等級(jí)保護(hù)網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容及山石網(wǎng)科應(yīng)對(duì)方案

等級(jí)保護(hù)網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容及山石應(yīng)對(duì)方案Hillstone山石網(wǎng)科解決方案事業(yè)部編寫目的大多數(shù)行業(yè)用戶多要做等級(jí)保護(hù)等級(jí)保護(hù)建設(shè)的關(guān)鍵任務(wù)是通過測(cè)評(píng)山石的價(jià)值在于提供滿足等保要求的產(chǎn)品從測(cè)評(píng)內(nèi)容反觀山石網(wǎng)關(guān)能做的事情編寫內(nèi)容依據(jù)理解反觀Hillstone山石網(wǎng)科安全網(wǎng)關(guān)可為用戶提供的價(jià)值用戶等級(jí)保護(hù)建設(shè)的要點(diǎn)用戶等級(jí)保護(hù)建設(shè)結(jié)果的考察點(diǎn)先看等級(jí)保護(hù)的基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全身份鑒別（S）安全標(biāo)記（S）訪問控制（S）可信路徑（S）安全審計(jì)（G）剩余信息保護(hù)（S）物理位置的選擇（G）物理訪問控制（G）防盜竊和破壞（G）防雷/火/水（G）溫濕度控制（G）電力供應(yīng)（A）數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）備份與恢復(fù)（A）防靜電（G）電磁防護(hù)（S）入侵防范（G）資源控制（A）惡意代碼防范（G）結(jié)構(gòu)安全（G）訪問控制（G）安全審計(jì)（G）邊界完整性檢查（S）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）身份鑒別（S）剩余信息保護(hù)（S）安全標(biāo)記（S）訪問控制（S）可信路徑（S）安全審計(jì)（G）通信完整性（S）通信保密性（S）抗抵賴（G）軟件容錯(cuò)（A）資源控制（A）技術(shù)要求Hillstone山石網(wǎng)科安全網(wǎng)關(guān)技術(shù)可以滿足的部分Hillstone山石網(wǎng)科安全網(wǎng)關(guān)技術(shù)可以滿足的部分等級(jí)保護(hù)網(wǎng)絡(luò)安全要求概述結(jié)構(gòu)安全（7項(xiàng)要求）訪問控制（8項(xiàng)要求）安全審計(jì)（4項(xiàng)要求）邊界完整性檢查（2項(xiàng)要求）入侵防范（2項(xiàng)要求）惡意代碼防范（2項(xiàng)要求）網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)要求）以三級(jí)系統(tǒng)為例7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)結(jié)構(gòu)安全（7項(xiàng)）結(jié)構(gòu)安全是網(wǎng)絡(luò)安全測(cè)評(píng)檢查的重點(diǎn)，網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接關(guān)系到信息系統(tǒng)的整體安全典型的方法為訪談、檢查兩種手段Hillstone山石網(wǎng)科安全網(wǎng)關(guān)的價(jià)值在于提供帶靈活寬管理手段結(jié)構(gòu)安全部分應(yīng)保證主要網(wǎng)絡(luò)設(shè)備等而業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；條款理解為了保證信息系統(tǒng)的可用性，主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間檢查方法訪談網(wǎng)絡(luò)管理員，詢問主要網(wǎng)絡(luò)設(shè)備的性能及業(yè)務(wù)高峰流量訪談網(wǎng)絡(luò)管理員，詢問采取何種手段對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控Hillstone山石網(wǎng)科安全網(wǎng)關(guān)的狀態(tài)監(jiān)控接口流量監(jiān)控設(shè)備狀態(tài)監(jiān)控特色功能：應(yīng)用和用戶流量監(jiān)控結(jié)構(gòu)安全部分應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；條款理解對(duì)網(wǎng)絡(luò)各個(gè)部分進(jìn)行帶寬分配，從而保證在業(yè)務(wù)高峰期業(yè)務(wù)服務(wù)的連續(xù)性檢查方法詢問當(dāng)前網(wǎng)絡(luò)各部分的帶寬是否滿足業(yè)務(wù)高峰期需要如果無法滿足業(yè)務(wù)高峰期需要，則需進(jìn)行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)備是否進(jìn)行帶寬分配Hillstone山石網(wǎng)科安全網(wǎng)關(guān)的流量控制策略依據(jù)特定接口的特定應(yīng)用制定發(fā)送流量控制規(guī)則依據(jù)特定接口的特定應(yīng)用制定接受流量控制規(guī)則依據(jù)特定接口的特定地址制定發(fā)送流量控制規(guī)則依據(jù)特定接口的特定地址制定接受流量控制規(guī)則Hillstone山石網(wǎng)科安全網(wǎng)關(guān)的流量控制策略依據(jù)特定接口/特定用戶/特定應(yīng)用制定QOS策略支持QOS嵌套特色功能：根據(jù)業(yè)務(wù)動(dòng)態(tài)調(diào)整帶寬特色功能：根據(jù)業(yè)務(wù)動(dòng)態(tài)調(diào)整帶寬結(jié)構(gòu)安全部分應(yīng)在而業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑條款理解靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。動(dòng)態(tài)路由是指路由器能夠自動(dòng)地建立自己的路由表。路由器之間的路由信息交換是基于路由協(xié)議實(shí)現(xiàn)的，如OSPF路由協(xié)議是一種典型的鏈路狀態(tài)的路由協(xié)議。如果使用動(dòng)態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認(rèn)證功能，保證網(wǎng)絡(luò)路由安全。檢查方法檢查邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)備，查看是否進(jìn)行了路由控制建立安全的訪問路徑。查看動(dòng)態(tài)路由協(xié)議是否啟用了“認(rèn)證碼”的配置Hillstone山石網(wǎng)科安全網(wǎng)關(guān)支持的路由功能Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供多種路由技術(shù)，包括靜態(tài)路由：目的路由、源路由、源接口路由、ISP路由、策略路由，動(dòng)態(tài)路由：RIPV1/V2、OSPF山石能夠根據(jù)具體的應(yīng)用和用戶指定策略路由，使得對(duì)不同應(yīng)用和不同用戶的訪問控制更加靈活。結(jié)構(gòu)安全部分應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖條款理解為了便于網(wǎng)絡(luò)管理，應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生改變時(shí)，應(yīng)及時(shí)更新。檢查方法檢查網(wǎng)絡(luò)拓?fù)鋱D，查看其與當(dāng)前運(yùn)行情況是否一致。結(jié)構(gòu)安全部分應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段條款理解根據(jù)實(shí)際情況和區(qū)域安全防護(hù)要求，應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行VLAN劃分或子網(wǎng)劃分。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的。如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備實(shí)現(xiàn)檢查方法訪談網(wǎng)絡(luò)管理員，是否依據(jù)部門的工作職能、重要性和應(yīng)用系統(tǒng)的級(jí)別劃分了不同的VLAN或子網(wǎng)。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)實(shí)現(xiàn)安全域定義與隔離Hillstone山石網(wǎng)科安全網(wǎng)關(guān)可將不同的接口定義到不同的安全域上，然后在安全域之間進(jìn)行隔離與訪問控制；Hillstone山石網(wǎng)科安全網(wǎng)關(guān)也可將同一個(gè)接口定義到不同的安全子域上，同樣在不同的子域之間進(jìn)行訪問控制；Hillstone山石網(wǎng)科安全網(wǎng)關(guān)還可以將不同的接口定義到一個(gè)安全域內(nèi)，但此時(shí)不同接口間的訪問也需要進(jìn)行訪問控制。結(jié)構(gòu)安全部分應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段條款理解為了保證信息系統(tǒng)的安全，應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，防止來自外部信息系統(tǒng)的攻擊。在重要網(wǎng)段和其它網(wǎng)段之間配置安全策略進(jìn)行訪問控制。檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其它網(wǎng)段之間是否配置安全策略進(jìn)行訪問控制。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)實(shí)現(xiàn)分域安全防護(hù)互聯(lián)網(wǎng)電信專線ERP應(yīng)用服務(wù)器ERP數(shù)據(jù)庫(kù)OA應(yīng)用服務(wù)器OA數(shù)據(jù)庫(kù)網(wǎng)站應(yīng)用服務(wù)器網(wǎng)站數(shù)據(jù)庫(kù)終端主機(jī)運(yùn)維主機(jī)終端主機(jī)終端主機(jī)終端主機(jī)移動(dòng)辦公終端總部分支機(jī)構(gòu)1分支機(jī)構(gòu)2分支機(jī)構(gòu)3網(wǎng)站安全域OA安全域ERP安全域終端安全域運(yùn)維安全域終端安全域終端安全域終端安全域Hillstone山石網(wǎng)科安全網(wǎng)關(guān)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)山石安全管理中心網(wǎng)站安全域終端安全域應(yīng)用系統(tǒng)安全域運(yùn)維安全域終端安全域終端安全域終端安全域數(shù)據(jù)中心安全域數(shù)據(jù)中心安全域應(yīng)用系統(tǒng)安全域數(shù)據(jù)中心安全域應(yīng)用系統(tǒng)安全域結(jié)構(gòu)安全部分應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)條款理解為了保證重要業(yè)務(wù)服務(wù)的連續(xù)性，應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，從而保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。檢查方法訪談網(wǎng)絡(luò)管理員，依據(jù)實(shí)際應(yīng)用系統(tǒng)狀況，是否進(jìn)行了帶寬優(yōu)先級(jí)分配。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)基于業(yè)務(wù)的帶寬控制依據(jù)特定接口的特定應(yīng)用制定發(fā)送流量控制規(guī)則依據(jù)特定接口的特定應(yīng)用制定接受流量控制規(guī)則依據(jù)特定策略控制QOS優(yōu)先級(jí)等級(jí)保護(hù)網(wǎng)絡(luò)安全要求概述結(jié)構(gòu)安全（7項(xiàng)要求）訪問控制（8項(xiàng)要求）安全審計(jì)（4項(xiàng)要求）邊界完整性檢查（2項(xiàng)要求）入侵防范（2項(xiàng)要求）惡意代碼防范（2項(xiàng)要求）網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)要求）以三級(jí)系統(tǒng)為例7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)訪問控制（8項(xiàng)）訪問控制是網(wǎng)絡(luò)測(cè)評(píng)檢查中的核心部分，涉及到大部分網(wǎng)絡(luò)設(shè)備、安全設(shè)備。這是網(wǎng)絡(luò)安全設(shè)備必須滿足的典型的方法為訪談、檢查兩種手段山石網(wǎng)關(guān)的價(jià)值在于提供靈活的訪問控制策略訪問控制部分應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能條款理解在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,防御來自其他網(wǎng)絡(luò)的攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署了訪問控制設(shè)備，是否啟用了訪問控制功能。山石網(wǎng)絡(luò)邊界隔離與訪問控制方案Hillstone山石網(wǎng)科安全網(wǎng)關(guān)作用在不同安全域的邊界，進(jìn)行隔離與訪問控制措施，對(duì)重要業(yè)務(wù)進(jìn)行有效保護(hù)。訪問控制部分應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)條款理解在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。配置的訪問控制列表應(yīng)有明確的源/目的地址、源/目的、協(xié)議及服務(wù)等。檢查方法檢查訪問控制設(shè)備，看是否能夠針對(duì)/目的地址、源/目的、協(xié)議及服務(wù)制定訪問控制策略。查看策略是否可定義禁止和允許訪問的能力。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)安全訪問策略Hillstone山石網(wǎng)科安全網(wǎng)關(guān)可根據(jù)IP地址、安全域、用戶、服務(wù)、時(shí)間、特征等配置更細(xì)粒度的訪問控制策略針對(duì)策略還可限定QOS優(yōu)先級(jí)、病毒及入侵防御方式等訪問控制部分應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制條款理解對(duì)于一些常用的應(yīng)用層協(xié)議，能夠在訪問控制設(shè)備上實(shí)現(xiàn)應(yīng)用層協(xié)議命令級(jí)的控制和內(nèi)容檢查，從而增強(qiáng)訪問控制粒度。檢查方法該測(cè)評(píng)項(xiàng)一般在防火墻、入侵防御系統(tǒng)上檢查。首先查看防火墻、入侵防御系統(tǒng)是否具有該功能，然后登錄設(shè)備查看是否啟用了相應(yīng)的功能。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)應(yīng)用行為控制技術(shù)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)支持的ALG（應(yīng)用網(wǎng)關(guān)）技術(shù)能夠?qū)ΤＲ姷膽?yīng)用進(jìn)行命令級(jí)控制訪問控制部分應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；條款理解當(dāng)惡意用戶進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，有時(shí)會(huì)發(fā)起大量會(huì)話連接，建立會(huì)話后長(zhǎng)時(shí)間保持狀態(tài)連接從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。應(yīng)在會(huì)話終止或長(zhǎng)時(shí)間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。檢查方法該測(cè)評(píng)項(xiàng)一般在防火墻上檢查。登錄防火墻，查看是否設(shè)置了會(huì)話連接超時(shí)，設(shè)置的超時(shí)時(shí)間是多少，判斷是否合理。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)會(huì)話超時(shí)控制技術(shù)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)除在應(yīng)用中定義超時(shí)時(shí)間以外，還支持會(huì)話維護(hù)功能，可根據(jù)會(huì)話ID、IP地址、協(xié)議、端口、用戶等參數(shù)清除指定的會(huì)話，也可支持對(duì)當(dāng)前全部會(huì)話的清除訪問控制部分應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；條款理解可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量，還可以根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)，從而保證業(yè)務(wù)帶寬不被占用，業(yè)務(wù)系統(tǒng)可以對(duì)外正常提供業(yè)務(wù)。應(yīng)在會(huì)話終止或長(zhǎng)時(shí)間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。檢查方法該測(cè)評(píng)項(xiàng)一般在防火墻上檢查。訪談系統(tǒng)管理員，依據(jù)實(shí)際網(wǎng)絡(luò)狀況是否需要限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。登錄設(shè)備查看是否設(shè)置了最大流量數(shù)和連接數(shù)，并做好記錄。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)流量控制技術(shù)依據(jù)特定接口的特定應(yīng)用制定發(fā)送流量控制規(guī)則依據(jù)特定接口的特定應(yīng)用制定接受流量控制規(guī)則依據(jù)特定策略控制QOS優(yōu)先級(jí)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)連接數(shù)控制技術(shù)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)可針對(duì)具體的安全域、具體的IP地址、具體的應(yīng)用、具體的用戶、一定的時(shí)間范圍來限制最大會(huì)話數(shù)和新建會(huì)話數(shù)（5秒內(nèi)的）比如：可限制內(nèi)部用戶在上班時(shí)間，每臺(tái)終端的并發(fā)會(huì)話請(qǐng)求限制為20個(gè)，超出部分被丟棄訪問控制部分重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；條款理解地址欺騙在網(wǎng)絡(luò)安全中比較重要的一個(gè)問題,這里的地址,可以是MAC地址,也可以是IP地址。在關(guān)鍵設(shè)備上，采用IP/MAC地址綁定方式防止地址欺騙。檢查方法檢查用于訪問控制的設(shè)備是否啟用了IP/MAC地址綁定以防止地址欺騙攻擊。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)IP/MAC綁定控制技術(shù)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)支持手動(dòng)添加IP/MAC地址綁定，也可支持自動(dòng)搜索綁定關(guān)系及自動(dòng)綁定。訪問控制部分應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；條款理解對(duì)于遠(yuǎn)程撥號(hào)用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認(rèn)證功能。通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實(shí)現(xiàn)對(duì)認(rèn)證成功的用戶允許訪問受控資源。檢查方法登錄相關(guān)設(shè)備查看是否對(duì)撥號(hào)用戶進(jìn)行身份認(rèn)證，是否配置訪問控制規(guī)則對(duì)認(rèn)證成功的用戶允許訪問受控資源。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)用戶訪問控制技術(shù)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)支持用戶認(rèn)證與訪問控制的結(jié)合，控制力度可到單個(gè)用戶。等級(jí)保護(hù)網(wǎng)絡(luò)安全要求概述結(jié)構(gòu)安全（7項(xiàng)要求）訪問控制（8項(xiàng)要求）安全審計(jì)（4項(xiàng)要求）邊界完整性檢查（2項(xiàng)要求）入侵防范（2項(xiàng)要求）惡意代碼防范（2項(xiàng)要求）網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)要求）以三級(jí)系統(tǒng)為例7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)安全審計(jì)（4項(xiàng)）安全審計(jì)要對(duì)相關(guān)事件進(jìn)行日志記錄，還要求對(duì)形成的記錄能夠分析、形成報(bào)表典型的方法為訪談、檢查兩種手段山石網(wǎng)關(guān)的價(jià)值在于提供安全管理平臺(tái)，也可將審計(jì)日志提供給第三方SYSLOG安全審計(jì)部分應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；條款理解為了對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、管理記錄等進(jìn)行檢測(cè)和記錄，需要啟用系統(tǒng)日志功能。系統(tǒng)日志信息通常輸出至各種管理端口、內(nèi)部緩存或者日志服務(wù)器。檢查方法檢查測(cè)評(píng)對(duì)象，查看是否啟用了日志記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到日志服務(wù)器。記錄日志服務(wù)器的地址。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備狀態(tài)監(jiān)控功能Hillstone山石網(wǎng)科安全網(wǎng)關(guān)流量監(jiān)控功能安全審計(jì)部分審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；條款理解日志審計(jì)內(nèi)容需要記錄時(shí)間、類型、用戶、事件類型、事件是否成功等相關(guān)信息。檢查方法登錄測(cè)評(píng)對(duì)象或日志服務(wù)器，查看日志記錄是否包含了事件的日期和時(shí)間、用戶、事件類型、事件是否成功等信息。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)日志審計(jì)功能Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供的會(huì)話日志、NAT日志、上網(wǎng)日志以及NBC日志，并且可通過山石安全管理中心，或?qū)С鼋o第三方進(jìn)行查詢安全審計(jì)部分應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；條款理解為了便于管理員對(duì)能夠及時(shí)準(zhǔn)確地了解網(wǎng)絡(luò)設(shè)備運(yùn)行狀況和發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，需要對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行分析和生成報(bào)表。檢查方法訪談并查看網(wǎng)絡(luò)管理員采用了什么手段實(shí)現(xiàn)了審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)安全管理平臺(tái)提供統(tǒng)計(jì)和報(bào)表Hillstone山石網(wǎng)科安全網(wǎng)關(guān)安全管理中心可實(shí)現(xiàn)對(duì)流量、上網(wǎng)行為、攻擊事件、病毒事件等進(jìn)行統(tǒng)計(jì)，并輸出相關(guān)報(bào)表給系統(tǒng)管理人員Hillstone山石網(wǎng)科安全網(wǎng)關(guān)安全審計(jì)部分應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等；條款理解審計(jì)記錄能夠幫助管理人員及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行狀況和網(wǎng)絡(luò)攻擊行為，因此需要對(duì)審計(jì)記錄實(shí)施技術(shù)上和管理上的保護(hù)，防止未授權(quán)修改、刪除和破壞。檢查方法審計(jì)記錄能夠幫助管理人員及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行狀況和網(wǎng)絡(luò)攻擊行為，因此需要對(duì)審計(jì)記錄實(shí)施技術(shù)上和管理上的保護(hù)，防止未授權(quán)修改、刪除和破壞。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)應(yīng)用行為控制技術(shù)獨(dú)立的審計(jì)服務(wù)器，獨(dú)立存儲(chǔ)，單獨(dú)維護(hù)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)Hillstone山石網(wǎng)科安全網(wǎng)關(guān)安全管理中心此外，Hillstone山石網(wǎng)科安全網(wǎng)關(guān)也可通過郵件方式將日志發(fā)送出去。等級(jí)保護(hù)網(wǎng)絡(luò)安全要求概述結(jié)構(gòu)安全（7項(xiàng)要求）訪問控制（8項(xiàng)要求）安全審計(jì)（4項(xiàng)要求）邊界完整性檢查（2項(xiàng)要求）入侵防范（2項(xiàng)要求）惡意代碼防范（2項(xiàng)要求）網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)要求）以三級(jí)系統(tǒng)為例7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)邊界完整性檢查（2項(xiàng)）邊界完整性檢查主要檢查在全網(wǎng)中對(duì)網(wǎng)絡(luò)的連接狀態(tài)進(jìn)行監(jiān)控，發(fā)現(xiàn)非法接入、非法外聯(lián)時(shí)能夠準(zhǔn)確定位并能及時(shí)報(bào)警和阻斷。山石網(wǎng)關(guān)的價(jià)值在于提供802.1X認(rèn)證，實(shí)現(xiàn)準(zhǔn)入控制邊界完整性檢查部分應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；條款理解可以采用技術(shù)手段和管理措施對(duì)“非法接入”行為進(jìn)行檢查。技術(shù)手段包括網(wǎng)絡(luò)接入控制、IP/MAC地址綁定。檢查方法訪談網(wǎng)絡(luò)管理員，詢問采用何種技術(shù)手段或管理措施對(duì)“非法接入”進(jìn)行檢查，對(duì)于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供IP/MAC綁定Hillstone山石網(wǎng)科安全網(wǎng)關(guān)支持手動(dòng)添加IP/MAC地址綁定，也可支持自動(dòng)搜索綁定關(guān)系及自動(dòng)綁定。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供802.1X接入認(rèn)證邊界完整性檢查部分應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻；條款理解可以采用技術(shù)手段和管理措施對(duì)“非法外聯(lián)”行為進(jìn)行檢查。技術(shù)手段可以采取部署桌面管理系統(tǒng)或其他技術(shù)措施控制。檢查方法訪問網(wǎng)絡(luò)管理員，詢問采用了何種技術(shù)手段或管理措施對(duì)“非法外聯(lián)”行為進(jìn)行檢查，對(duì)于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。通常做法通過桌面安全管理系統(tǒng)提供的“非法外聯(lián)”監(jiān)控來實(shí)現(xiàn)等級(jí)保護(hù)網(wǎng)絡(luò)安全要求概述結(jié)構(gòu)安全（7項(xiàng)要求）訪問控制（8項(xiàng)要求）安全審計(jì)（4項(xiàng)要求）邊界完整性檢查（2項(xiàng)要求）入侵防范（2項(xiàng)要求）惡意代碼防范（2項(xiàng)要求）網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)要求）以三級(jí)系統(tǒng)為例7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)入侵防范（2項(xiàng)）對(duì)入侵事件不僅能夠檢測(cè)，并能發(fā)出報(bào)警，對(duì)于入侵防御系統(tǒng)要求定期更新特征庫(kù)，發(fā)現(xiàn)入侵后能夠報(bào)警并阻斷。山石網(wǎng)關(guān)的價(jià)值在于提供抗攻擊和入侵防御功能，能夠探測(cè)并對(duì)入侵進(jìn)行報(bào)警和阻斷。入侵防范部分應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；條款理解當(dāng)檢測(cè)到攻擊行為時(shí)，應(yīng)對(duì)攻擊信息進(jìn)行日志記錄。在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)能通過短信、郵件等向有關(guān)人員報(bào)警。檢查方法查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。如果部署了相應(yīng)設(shè)備，則檢查設(shè)備的日志記錄是否完備，是否提供了報(bào)警功能。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供的入侵防范功能Hillstone山石網(wǎng)科安全網(wǎng)關(guān)在深度應(yīng)用識(shí)別的技術(shù)上，支持超過3000中攻擊特征庫(kù)，能夠?qū)χ髁鞯墓粜袨檫M(jìn)行有效檢測(cè)并給予阻斷和報(bào)警。并且攻擊特征庫(kù)支持自動(dòng)升級(jí)入侵防范部分當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警；條款理解當(dāng)檢測(cè)到攻擊行為時(shí)，應(yīng)對(duì)攻擊信息進(jìn)行日志記錄。在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)能通過短信、郵件等向有關(guān)人員報(bào)警。檢查方法查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。如果部署了相應(yīng)設(shè)備，則檢查設(shè)備的日志記錄是否完備，是否提供了報(bào)警功能。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供的攻擊日志與監(jiān)控功能等級(jí)保護(hù)網(wǎng)絡(luò)安全要求概述結(jié)構(gòu)安全（7項(xiàng)要求）訪問控制（8項(xiàng)要求）安全審計(jì)（4項(xiàng)要求）邊界完整性檢查（2項(xiàng)要求）入侵防范（2項(xiàng)要求）惡意代碼防范（2項(xiàng)要求）網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)要求）以三級(jí)系統(tǒng)為例7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)惡意代碼防范（2項(xiàng)）惡意代碼防范是綜合性的多層次的，在網(wǎng)絡(luò)邊界處需要對(duì)惡意代碼進(jìn)行防范。山石網(wǎng)關(guān)的價(jià)值在于提供防病毒網(wǎng)關(guān)功能，通過病毒流過濾技術(shù)，阻斷病毒通過Hillstone山石網(wǎng)科安全網(wǎng)關(guān)傳播。惡意代碼防范部分應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；條款理解計(jì)算機(jī)病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。在網(wǎng)絡(luò)邊界處部署防惡意代碼產(chǎn)品進(jìn)行惡意代碼防范是最為直接和高效的辦法。檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了防惡意代碼產(chǎn)品。如果部署了相關(guān)產(chǎn)品，則查看是否啟用了惡意代碼檢測(cè)及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供的病毒過濾功能Hillstone山石網(wǎng)科安全網(wǎng)關(guān)在深度應(yīng)用識(shí)別的技術(shù)上，支持超過10萬種病毒進(jìn)行有效檢測(cè)并給予阻斷和報(bào)警。并且攻擊特征庫(kù)支持自動(dòng)升級(jí)惡意代碼防范部分應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新；條款理解惡意代碼具有特征變化快，特征變化快的特點(diǎn)。因此對(duì)于惡意代碼檢測(cè)重要的特征庫(kù)更新，以及監(jiān)測(cè)系統(tǒng)自身的更新，都非常重要。檢查方法訪談網(wǎng)絡(luò)管理員，詢問是否對(duì)防惡意代碼產(chǎn)品的特征庫(kù)進(jìn)行升級(jí)及具體是升級(jí)方式。登錄相應(yīng)的防惡意代碼產(chǎn)品，查看其特征庫(kù)、系統(tǒng)軟件升級(jí)情況，查看當(dāng)前是否為最新版本。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)提供的病毒過濾功能Hillstone山石網(wǎng)科安全網(wǎng)關(guān)支持病毒庫(kù)的自動(dòng)和手動(dòng)升級(jí)。支持病毒狀態(tài)實(shí)時(shí)監(jiān)控等級(jí)保護(hù)網(wǎng)絡(luò)安全要求概述結(jié)構(gòu)安全（7項(xiàng)要求）訪問控制（8項(xiàng)要求）安全審計(jì)（4項(xiàng)要求）邊界完整性檢查（2項(xiàng)要求）入侵防范（2項(xiàng)要求）惡意代碼防范（2項(xiàng)要求）網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)要求）以三級(jí)系統(tǒng)為例7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)）網(wǎng)絡(luò)設(shè)備的防護(hù)主要是對(duì)用戶登錄前后的行為進(jìn)行控制，對(duì)網(wǎng)絡(luò)設(shè)備的權(quán)限進(jìn)行管理。山石網(wǎng)關(guān)的價(jià)值在于提供多種配置管理手段。網(wǎng)絡(luò)設(shè)備防護(hù)部分應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；條款理解對(duì)于網(wǎng)絡(luò)設(shè)備，可以采用CON、AUX、VTY等方式登錄。對(duì)于安全設(shè)備，可以采用WEB、GUI、命令行等方式登錄。檢查方法檢查測(cè)評(píng)對(duì)象采用何種方式進(jìn)行登錄，是否對(duì)登錄用戶的身份進(jìn)行鑒別，是否修改了默認(rèn)的用戶名及密碼。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)登錄方式Hillstone山石網(wǎng)科安全網(wǎng)關(guān)管理界面Hillstone山石網(wǎng)科安全網(wǎng)關(guān)面板AUXCONHillstone山石網(wǎng)科安全網(wǎng)關(guān)管理方式配置管理員認(rèn)證配置網(wǎng)絡(luò)設(shè)備防護(hù)部分應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；條款理解為了保證安全，需要對(duì)訪問網(wǎng)絡(luò)設(shè)備的登錄地址進(jìn)行限制，避免未授權(quán)的訪問。檢查方法訪談網(wǎng)絡(luò)管理員，查看對(duì)管理主機(jī)的登錄地址是否進(jìn)行了限制。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)管理主機(jī)配置網(wǎng)絡(luò)設(shè)備防護(hù)部分網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；條款理解不允許在網(wǎng)絡(luò)設(shè)備上配置用戶名相同的用戶，要防止多人共用一個(gè)帳戶，實(shí)行分帳戶管理，每名管理員設(shè)置一個(gè)單獨(dú)的帳戶，避免出現(xiàn)問題后不能及時(shí)進(jìn)行追查。檢查方法登錄網(wǎng)絡(luò)設(shè)備，查看設(shè)置的用戶是否有相同用戶名。詢問網(wǎng)絡(luò)管理員，是否為每個(gè)管理員設(shè)置了單獨(dú)的賬戶。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)管理員配置網(wǎng)絡(luò)設(shè)備防護(hù)部分主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；條款理解采用雙因子鑒別是防止身份欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等。檢查方法訪談網(wǎng)絡(luò)設(shè)備管理員，詢問采用了何種鑒別技術(shù)實(shí)現(xiàn)了雙因子鑒別，并在管理員的配合下驗(yàn)證雙因子鑒別的有效性。網(wǎng)絡(luò)設(shè)備防護(hù)部分身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；條款理解為避免身份鑒別信息被冒用，可以通過采用令牌、認(rèn)證服務(wù)器等措施，加強(qiáng)身份鑒別信息的保護(hù)。如果僅僅基于口令的身份鑒別，應(yīng)當(dāng)保證口令復(fù)雜度和定期更改的要求。檢查方法詢問網(wǎng)絡(luò)管理員對(duì)身份鑒別所采取的具體措施，使用口令的組成、長(zhǎng)度和更改周期等。Hillstone山石網(wǎng)科安全網(wǎng)關(guān)管理員口令配置Hillstone山石網(wǎng)科安全網(wǎng)關(guān)管理員密碼策略網(wǎng)絡(luò)設(shè)備防護(hù)部分應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；條款理解應(yīng)對(duì)登錄失敗進(jìn)行處理，避免系統(tǒng)遭受惡意的攻擊。檢查方法訪談網(wǎng)絡(luò)管理員，詢問是否有登錄失敗處理措施Hillstone山石網(wǎng)科安全網(wǎng)關(guān)管理方式配置網(wǎng)絡(luò)設(shè)備防護(hù)部分當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；條款理解對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理時(shí)，應(yīng)采用SSH、HTTPS等加密協(xié)議，防止鑒別信息被竊聽。檢查方法檢查是否支持SSH、HTTPS等安全協(xié)議管理防火墻設(shè)