您当前的位置:首页 >> 个人求职 >> 正文

统层安全应用层安全等四个方面进行

时间:2012-04-22 23:42:26 来源:szpsys.com 作者:gaohaoer 点击:
面应为标准图形交互界面,要求风格统一、层次简洁,操作命令的命名不得具有二义性。5.4.6应用软件应具有可扩展性,系统应预留可升级空间以供纳入新功能,宜采用能适应最新版本的信息平台,并能适应信息系统管理功能的变动。55网络安全系统检测5.5.1网络安全系统宜从物理层安全、网络层安全、系统层安全、应用层安全等四个方面进行检测,以保证信息的保密性、真实性、完整性、可控性和可用性等信息安全性能符合设计要求。条文说明:5.5.11物理层安全,包括对于信息网络运行的物理环境(如机房、配线间等)的控制和管理,也包括防范因为物理介质、信号辐射等造成的安全风险。2网络层安全,主要是保证网络通信的稳定和可靠,并在网络层进行访问控制和安全检查,抵御在网络层的攻击和破坏。网络层安全包括防攻击、因特网(Internet)访问控制和访问管理、安全隔离等内容。涉及安全网络拓扑、防火墙、入侵检测系统、内容过滤等技术或产品。3系统层安全,主要对各种网络设备、服务器、桌面主机等进行保护,保证操作系统和网络服务平台的安全,防范通过系统攻击对数据造成的损坏。4应用层安全,主要解决各种网络应用系统的安全。5.5.3建议安装入侵检测系统、内容过滤系统,安全性要求较高的还可以配置应用安全平台(“应用安全平台”的解释见条文说明第5.5.8条)。防火墙是在网络中不同网段之间实现边界安全的网络安全设备,主要功能是在网络层控制某一网段对另一网段的访问。一般用在局域网和互联网之间,或局域网内部重要网段和其他网段之间。1非军事化区:简称DMZ,在网络结构中,处于不安全外网和安全内网之间的一个网段,它可以同时被外网和内网访问到,主要提供一些对内对外公开的服务,如主页(WWW)、文件传输服务(FTP)、电子邮件(E-mail)和代理服务(Proxy)等;2安全内网:在网络结构中一个受到重点保护的子网,一般是内部办公网络和内部办公服务器或监控系统,此子网禁止来自外网的任何访问,但可以接受来自非军事化区的访问;3所有对外提供服务的服务器只能放在非军事化区,不允许放在内网;数据库服务器和其他不对外服务的服务器应放置在内网;4配置防火墙之后,应满足如下要求:1)从外网能够且只能够访问到非军事化区内指定服务器的指定服务;2)未经授权,从外网不允许访问到内网的任何主机和服务;3)从非军事化区可以根据需要访问外网的指定服务;4)从非军事化区可以根据需要访问内网的指定服务器上的指定服务;5)从内网可以根据需要访问外网的指定服务;6)从内网可以根据需要访问非军事化区的指定服务器上的指定服务;7)防火墙的配置必须针对某个主机、网段、某种服务;8)防火墙的配置必须能够防范IP地址欺骗等行为;9)配置防火墙后,必须能够隐藏内部网络结构,包括内部IP地址分配;10)防火墙的配置必须是可以调整的。5网络环境下病毒的防范分以下层次,用户可根据自己的实际情况进行选择配置:1)配置网关型防病毒服务器的防病毒软件,对进出信息网络系统的数据包进行病毒检测和清除;网关型防病毒服务器应尽可能与防火墙统一管理;2)配置专门保护邮件服务器的防病毒软件,防止通过邮件正文、邮件附件传播病毒;3)配置保护重要服务器的防病毒软件,防止病毒通过服务器访问传播;4)对每台主机进行保护,防止病毒通过单机访问(如使用带毒光盘、软盘等)进行传播。6入侵检测系统应该具备以下特性:1)必须具备丰富的攻击方法库,能够检测到当前主要的黑客攻击;2)软件厂商必须定期提供更新的攻击方法库,以检测最新出现的黑客攻击方法;3)必须能够在入侵行为发生之后,及时检测出黑客攻击并进行处理;4)必须提供包括弹出对话窗口、发送电子邮件、寻呼等在内的多种报警手段;5)发现入侵行为之后,必须能够及时阻断这种入侵行为,并进行记录;6)不允许占用过多的网络资源,系统启动后,网络速度和不启动时不应有明显区别;7)应尽可能与防火墙设备统一管理、统一配置。7内容过滤系统应具备以下特征:1)具有科学、全面和及时升级的因特网网址(URL)分类数据库;2)具有和防火墙结合进行访问控制的功能;3)具有全面的访问管理手段。
Ⅰ主控项目5.5.2计算机信息系统安全专用产品必须具有公安部计算机管理监察部门审批颁发的“计算机信息系统安全专用产品销售许可证”;特殊行业有其他规定时,还应遵守行业的相关规定。5.5.3如果与因特网连接,智能建筑网络安全系统必须安装防火墙和防病毒系统。5.5.4网络层安全的安全性检测应符合以下要求:1防攻击:信息网络应能抵御来自防火墙以外的网络攻击,使用流行的攻击手段进行模拟攻击,不能攻破判为合格;2因特网访问控制:信息网络应根据需求控制内部终端机的因特网连接请求和内容,使用终端机用不同身份访问因特网的不同资源,符合设计要求判为合格;3信息网络与控制网络的安全隔离:测试方法应按本规范第5.3.2条的要求,保证做到未经授权,从信息网络不能进入控制网络;符合此要求者判为合格;4防病毒系统的有效性:将含有当前已知流行病毒的文件(病毒样本)通过文件传输、邮件附件、网上邻居等方式向各点传播,各点的防病毒软件应能正确地检测到该含病毒文件,并执行杀毒操作;符合本要求者判为合格;5入侵检测系统的有效性:如果安装了入侵检测系统,使用流行的攻击手段进行模拟攻击(如DoS拒绝服务攻击),这些攻击应被入侵检测系统发现和阻断;符合此要求者判为合格;6内容过滤系统的有效性:如果安装了内容过滤系统,则尝试访问若干受限网址或者访问受限内容,这些尝试应该被阻断;然后,访问若干未受限的网址或者内容,应该可以正常访问;符合此要求者为合格。条文说明:5.5.4网络层安全的检测方法:检查网络拓扑图,应该确保所有服务器和办公终端都在相应的防火墙保护之下;扫描防火墙,应保证防火墙本身没有任何对外服务的端口(代理内网或DMZ网的服务除外);内网宜使用私有IP地址;扫描DMZ网的服务器,只能扫描到应该提供服务的端口。5.5.5系统层安全应满足以下要求:1操作系统应选用经过实践检验的具有一定安全强度的操作系统;2使用安全性较高的文件系统;3严格管理操作系统的用户账号,要求用户必须使用满足安全要求的口令;4服务器应只提供必须的服务,其他无关的服务应关闭,对可能存在漏洞的服务或操作系统,应更换或者升级相应的补丁程序;扫描服务器,无漏洞者为合格;5认真设置并正确利用审计系统,对一些非法的侵入尝试必须有记录;模拟非法尝试,审计日志中有正确记录者判为合格。条文说明:5.5.5系统层安全检测:检测方法:1)以系统输入为突破口,利用输入的容错性进行正面攻击;2)申请和占用过多的资源压垮系统导致破坏安全措施,从而进入系统;3)故意使系统出错,利用系统恢复的过程,窃取用户口令及其他有用的信息;4)利用计算机各种资源中的垃圾信息(无用信息),以获取如口令、安全码、解密密钥等重要信息;5)浏览全局数据,期望从中找到进入系统的关键字;6)浏览那些逻辑上不存在,但物理上还存在的各种记录和资源,寻找突破口。系统要求:1)操作系统版本应达到或超过国际通用的《美国可信计算机系统评估准则》DoD5200.28-STD中划分的C2级安全;2)对WindowsNT系列,必须采用NTFS格式,严禁使用FAT格式;3)对用户口令的建议:最少为6位(管理员帐号至少8位)的字母、数字和特殊符合的组合,同时要求用户必须定期(最长三个月)更换口令。5.5.6应用层安全应符合下列要求:1身份认证:用户口令应该加密传输,或者禁止在网络上传输;严格管理用户帐号,要求用户必须使用满足安全要求的口令;2访问控制:必须在身份认证的基础上根据用户及资源对象实施访问控制;用户能正确访问其获得授权的对象资源,同时不能访问未获得授权的资源,符合此要求者判为合格。条文说明:5.5.6身份认证:确认被认证者是一个合法用户,并且明确该用户所具有的角色的过程。访问控制:在用户访问信息资源(包括网络资源和应用资源)时,根据事先确定的权限设置、控制用户对资源访问的过程。Ⅱ一般项目5.5.7物理层安全应符合下列要求:1中心机房的电源与接地及环境要求应符合本规范第11章、第12章的规定;2对于涉及国家秘密的党政机关、企事业单位的信息网络工程,应按《涉密信息设备使用现场的电磁泄漏发射保护要求》BMB5、《涉及国家秘密的计算机信息系统保密技术要求》BMZ1和《涉及国家秘密的计算机信息系统安全保密评测指南》BMZ3等国家现行标准的相关规定进行检测和验收。5.5.8应用层安全应符合下列要求:1完整性:数据在存储、使用和网络传输过程中,不得被篡改、破坏;2保密性:数据在存储、使用和网络传输过程中,不应被非法用户获得;3安全审计:对应用系统的访问应有必(责任编辑:gaohaoer)
挑错】 【收藏
发表评论 发表评论
  • 评价:中立中立好评好评差评差评请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
  • 表情: 高兴 愤怒 吃惊 汗 大哭 无所谓 骷髅 匿名
进入详细评论页>>最新评论 最新评论
热门课程
综合实例
计价实务
[挑错]标题:统层安全应用层安全等四个方面进行
匿名