等级保护测评之网络安全技术基本要求

">

信息安全等级保护制度是国家对基础信息网络和重要信息系统实施重点保护的关键措施。2017年6月1日，《中华人民共和国网络安全法》施行。网安法第21条提出国家实行网络安全等级保护制度，是从国家层面对等级保护工作的法律认可。

等级保护测评中技术要求类别分为：

物理安全

网络安全

主机安全

应用软件系统安全

数据保护安全

网络结构安全

a) 关键网络设备的业务处理能力应具备冗余空间（至少为历史峰值的3倍），满足业务高峰期需要；

b)保证接入网络和核心网络的带宽满足业务高峰期需要；

c) 绘制与当前运行情况相符的网络拓扑结构图；

d) 根据网络所涉及的各个业务部门的工作职能、重要性或所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

网络访问控制

a) 在网络节点和边界设置访问控制机制，按确定的网络访问控制策略控制用户对网络的访问；

b) 网络访问控制策略应包含：

根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，允许/拒绝数据包出入；

通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度为用户级和系统资源级；

根据会话状态信息为数据流提供明确的允许/拒绝的能力，控制粒度为用户级和网段级；

网络访问控制应设定过滤规则集，并涵盖所有出人边界数据包的处理方式，对于没有明确定于的数据包，应缺省拒绝；

按用户和系统之间的允许访问规则，允许或拒绝用户对受控系统进行资源访问，控制粒度为用户级和系统资源级；

应限制具有拨号访问权限的用户数量。

网络安全审计

a) 在网络节点和边界设置安全审计；

b) 审计内容包含网络设备运行状况、用户行为等安全相关事件；

c) 审计记录包含事件的日期和时间、用户、事件类型、事件是否成功等；

d) 提供按事件进行安全审计分类、安全审计事件选择，以及进行安全审计查阅、安全审计分析并生成审计报表等功能；

e) 提供安全审计事件报警、安全审计记录存储与保护等功能；审计记录应至少保存6个月；

f) 在安全审计存储区记满时，应采取相应的防止安全审计数据丢失的措施；

g) 为安全审计机制集中控制和审计数据的汇集提供接口。

边界完整性保护

能够对内部网络用户联接到外部的行为（比如，网络用户终端采用双网卡跨接外部网络，或采用电话拨号、ADSL拨号、手机、无线上网卡等无线拨号方式连接其他外部网络）进行检查。

网络设备登录控制

a) 对网络设备的管理员、审计员等进行身份标识、身份鉴别，并对登录地址进行限制；

身份标识：在网络用户注册到设备时进行，应对注册信息的完整性及其在系统整个生存周期的唯一性进行保护；

身份鉴别：在网络用户登录到设备时进行，采用强化管理的口令或具有相应安全强度的其他机制，并对鉴别所使用的鉴别信息的保密性和完整性进行保护；应具有登录失败处理能力，可采取结束会话、限制非法登录次数和网络登录连接超时自动退出等措施；

b) 强化管理口令的具体要求如下：采用数字、字幕、符号的无规律混排方式；口令的长度至少应为8位，并且每季度至少更换1次，更新的口令至少5次内不能重复；

如果设备口令不支持上述复杂度要求，应使用所支持的最长长度，并适当缩小更换周期；也可以使用动态密码卡等一次性口令认证方式。

c) 应删除默认用户或修改默认用户的口令，系统无法实现的除外；

d) 对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃取。

网络备份与恢复

a) 提供关键网络设备、通信线路的硬件备份；当相关设备或线路发生故障时，用备份设备或线路替换故障设备或线路；

b) 主备通信线路应采用不同运营商的设备；当相关设备或线路发生故障时进行主备切换，支持业务继续运行。