1、安全設計要求-網絡安全2017年10月目 錄一、 網絡安全概述1二、 等級保護網絡安全基本要求及解讀22.1、 等級保護二級網絡安全基本要求2、結構安全（G2）2、訪問控制（G2）3、安全審計（G2）3、邊界完整性檢查（S2）4、入侵防范（G2）4、網絡設備防護（G2）52.2、 等級保護三級網絡安全基本要求6、結構安全（G3）6、訪問控制（G3）7、安全審計（G3）8、邊界完整性檢查（S3）8、入侵防范（G3）9、惡意代碼防范（G3）10、網絡設備防護（G3）10一、 網絡安全概述網絡是由節點和連線構成，表示諸多對象及其相互聯系。網絡的物理含義，是從某種相同類型的實際問題中抽象出來的模型。在

2、計算機領域中，網絡是信息傳輸、接收、共享的虛擬平臺，通過它把各個點、面、體的信息聯系到一起，從而實現這些資源的共享。網絡是人類發展史來最重要的發明，提高了科技和人類社會的發展。網絡實現了數據交互，也承載了非常多各類型的信息系統的運行，網絡在整個信息系統的運行中占據的作用的非常關鍵的。因此，網絡安全對于信息系統安全來說是至關重要的，可以說沒有網絡安全，就沒有信息系統安全，也沒有信息安全。在信息系統等級保護的要求中，網絡安全分為兩部分進行要求，分別是：網絡全局安全、網絡設備安全。一、 網絡全局安全，從網絡全局層面檢查等級保護基本要求是否被實現。二、 網絡設備安全，從組網的網絡設備上檢查等級保護基本

3、要求是否被實現。二、 等級保護網絡安全基本要求及解讀第二部分中，將引用基本要求中的編號及要求，并進行要求解讀。2.1、 等級保護二級網絡安全基本要求在基本要求中，從多個層面，對網絡安全提出了要求，包括：結構安全、訪問控制、安全審計、邊際完整性、入侵防范、網絡設備防護。2.1.1、 結構安全（G2）、 基本要求本項要求包括：a)應保證關鍵網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；b)應保證接入網絡和核心網絡的帶寬滿足業務高峰期需要；c)應繪制與當前運行情況相符的網絡拓撲結構圖；d)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照

4、方便管理和控制的原則為各子網、網段分配地址段。、 要求解讀結構安全是屬于網絡全局安全要求，重點是要保證檢查關鍵網絡設備、網絡帶寬在滿足業務的前提下有一定的冗余，保證業務高峰以及突發訪問的需求。同時，及時更新的網絡拓撲對于分析網絡現狀及故障非常重要。合適的網域劃分對于網絡安全而言相當重要。根據職能、物理位置以及信息重要程度進行網絡/網段的劃分，可以將風險控制在小區域中，并對重點區域實施重點保護。2.1.2、 訪問控制（G2）、 基本要求本項要求包括：a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制

5、粒度為網段級。c)應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；d)應限制具有撥號訪問權限的用戶數量。、 要求解讀訪問控制是網絡安全的基本安全控制手段，實現該項控制手段的方法是部署并配置防火墻，實現目的到源的控制。通常來說，基本的防火墻的基本控制要素包括：源地址、源端口、目的地址、目的端口、訪問協議等。在等級保護二級基本要求中，要求實現的是控制力度至少到網段級，即是某個網段訪問權限的控制，是作為“、結構安全”中關于劃分網段的要求的深化。2.1.3、 安全審計（G2）、 基本要求本項要求包括：a)應對網絡系統中的網絡設

6、備運行狀況、網絡流量、用戶行為等進行日志記錄；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。、 要求解讀安全審計是對于網絡安全設備的管控要求，要求保留相應的記錄，以在需求的時候進行事后審計。結合中華人民共和國網絡安全法的要求，日志信息需要至少保存6個月以上。2.1.4、 邊界完整性檢查（S2）、 基本要求應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。、 要求解讀邊界完整性檢查，主要的意圖是實現內網和互聯網的有效隔離，降低非法互聯的情況。最安全的模型中，內外網是物理隔離，但是現在存在一

7、種情況，即是部分終端同時兼具內網以及互聯網網口，這必將導致內網敏感信息通過互聯網網口外協的情況。傳統的控制手段包括MAC綁定、終端管控等。2.1.5、 入侵防范（G2）、 基本要求應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP 碎片攻擊和網絡蠕蟲攻擊等。、 要求解讀面向互聯網的安全問題，一直都是安全的重點和難點，因此需要在網絡邊界處對各類型攻擊進行檢測（和阻斷）。主流實現的方式包括各類型防御設備，如入侵檢測設備（IDS）、入侵防護設備（IPS）等。在要求中沒有要求阻斷，可是信息安全實踐中通常會使用阻斷設備或手段。

8、2.1.6、 網絡設備防護（G2）、 基本要求本項要求包括：a)應對登錄網絡設備的用戶進行身份鑒別；b)應對網絡設備的管理員登錄地址進行限制；c)網絡設備用戶的標識應唯一；d)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；e)應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；f)當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。、 要求解讀網絡設備防護是針對網絡設備的安全要求，用于保障網絡設備自身的安全性，提高網絡設備攻擊的難度。常見的手段包括：設備用戶和登錄密碼、對登錄地址進

9、行限定、密碼復雜度要求以及安全傳輸的要求（SSH）等。2.2、 等級保護三級網絡安全基本要求在基本要求中，從多個層面，對網絡安全提出了要求，包括：結構安全、訪問控制、安全審計、邊際完整性、入侵防范、網絡設備防護以及惡意代碼防護。2.2.1、 結構安全（G3）、 基本要求a)應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；b)應保證網絡各個部分的帶寬滿足業務高峰期需要；c)應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；d)應繪制與當前運行情況相符的網絡拓撲結構圖；e)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，

10、并按照方便管理和控制的原則為各子網、網段分配地址段；f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；g)應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。、 要求解讀結構安全是屬于網絡全局安全要求，重點是要保證檢查關鍵網絡設備、網絡帶寬在滿足業務的前提下有一定的冗余，保證業務高峰以及突發訪問的需求。同時，及時更新的網絡拓撲對于分析網絡現狀及故障非常重要。合適的網域劃分對于網絡安全而言相當重要。根據職能、物理位置以及信息重要程度進行網絡/網段的劃分，可以將風險控制在小區域中，并對重點

11、區域實施重點保護。在等級保護三級的要求中，新增了對于重要網段的保護（及隔離），并強調根據業務重要程度進行帶寬資源分配。2.2.2、 訪問控制（G3）、 基本要求本項要求包括：a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c)應對進出網絡的信息內容進行過濾，實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；d)應在會話處于非活躍一定時間或會話結束后終止網絡連接；e)應限制網絡最大流量數及網絡連接數；f)重要網段應采取技術手段防止地址欺騙；g)應按用戶和系統之間的

12、允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；h)應限制具有撥號訪問權限的用戶數量。、 要求解讀訪問控制是網絡安全的基本安全控制手段，實現該項控制手段的方法是部署并配置防火墻，實現目的到源的控制。通常來說，基本的防火墻的基本控制要素包括：源地址、源端口、目的地址、目的端口、訪問協議等。在等級保護三級基本要求中，要求實現的是控制力度為用戶級，即是某個用戶（IP）訪問權限的控制，是作為“、結構安全”中關于劃分網段的要求的深化。等級保護三級要求中，強調了對于訪問協議的控制。2.2.3、 安全審計（G3）、 基本要求本項要求包括：a)應對網絡系

13、統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應能夠根據記錄數據進行分析，并生成審計報表；d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。、 要求解讀安全審計是對于網絡安全設備的管控要求，要求保留相應的記錄，以在需求的時候進行事后審計。等級保護三級強調了對于記錄數據的分析及報表的生成，其中對于記錄保護的要求，與中華人民共和國網絡安全法的要求（日志信息需要至少保存6個月以上）相互呼應。2.2.4、 邊界完整性檢查（S3）、 基本要求本項要求包括：a)

14、應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；b)應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。、 要求解讀邊界完整性檢查，主要的意圖是實現內網和互聯網的有效隔離，降低非法互聯的情況。最安全的模型中，內外網是物理隔離，但是現在存在一種情況，即是部分終端同時兼具內網以及互聯網網口，這必將導致內網敏感信息通過互聯網網口外協的情況。等級保護三級要求中，新增了對于非授權外部設備接入內網的控制要求。傳統的控制手段包括MAC綁定、終端管控等。2.2.5、 入侵防范（G3）、 基本要求本項要求包括：a)

15、應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP 碎片攻擊和網絡蠕蟲攻擊等；b)當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。、 要求解讀面向互聯網的安全問題，一直都是安全的重點和難點，因此需要在網絡邊界處對各類型攻擊進行檢測（和阻斷）。主流實現的方式包括各類型防御設備，如入侵檢測設備（IDS）、入侵防護設備（IPS）等。在要求中沒有要求阻斷，可是信息安全實踐中通常會使用阻斷設備或手段。在等級保護三級的要求中，新增了對于攻擊的記錄以及報警的要求，結合中華人民共和國網絡安全法的

16、要求，攻擊的記錄要求保存至少6個月。2.2.6、 惡意代碼防范（G3）、 基本要求本項要求包括：a)應在網絡邊界處對惡意代碼進行檢測和清除；b)應維護惡意代碼庫的升級和檢測系統的更新。、 要求解讀惡意代碼防范是等級保護三級新增的要求項，這里的惡意代碼主要是指病毒、木馬及蠕蟲等。主流的防御手段是使用防病毒設備對邊界處進行檢測及防御。2.2.7、 網絡設備防護（G3）、 基本要求本項要求包括：a)應對登錄網絡設備的用戶進行身份鑒別；b)應對網絡設備的管理員登錄地址進行限制；c)網絡設備用戶的標識應唯一；d)主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；e)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；f)應具有登錄