信息安全等级保护之技术要求→网络安全→访问控制

 1437浏览

一、要求内容 

a)应在网络边界部署访问控制设备,启用访问控制功能; 

b)应不允许数据带通用协议通过; 

c)应根据数据的敏感标记允许或拒绝数据通过; 

d)应不开放远程拨号访问功能。 

二、实施建议 

在网络边界处设立防火墙或网闸等设备实施访问控制,配置适当的访问控制策略,只允许必要的网络协议通过,对于要求较高的企业可根据数据的敏感性标记限制通过;对于网络设备一般不建议开启远程拨号功能。 

三、常见问题 

有的企业虽然购买了防火墙等访问控制设备,但没有进行合适的配置,有的甚至就用的默认配置。 

四、实施难点 

通过网络协议和数据标记进行过滤的访问控制设备,对设备的性能要求较高,同时可能会对正常的网络访问速度造成影响。 

五、测评方法 

形式 访谈,检查,测试。 对象 安全管理员,边界网络设备。 

实施 

a)应访谈安全管理员,询问网络访问控制的措施有哪些;询问访问控制策略的设计原则;询问访问控制策略是否做过调整,以及调整后和调整前的情况如何; 

b)应检查边界网络设备,查看是否有相应的访问控制措施来实现禁止数据带通用协议通过; 

c)应测试边界网络设备,可通过发送带通用协议的数据(如使用http隧道工具),测试访问控制措施是否有效阻断这种连接。 

六、参考资料 

ISO17799中对网络安全控制有实施指导: 

11.4.6 网络连接控制 控制: 在公共网络中,尤其是那些延展到组织边界之外的网络,应限制用户联接的能力,并与业务应用系统的访问控制策略和要求一致(见11.1) 实施指南: 访问控制策略要求维护和更新用户的网络访问权力(见11.1.1)。 用户的连接能力可通过网关来限制,该网关借助预先定义的表或规则过滤通信量。

施加限制的应用例子有: 

a) 消息传递,例如电子邮件; 

b) 文件传送; 

c) 交互式访问; 

d) 应用访问。 应考虑将网络访问权力限制到日或日期的确定时间。

流行热度:超过1437次围观
生产日期:2014-10-30 02:17:57
上次围观:2016-09-18 10:23:16
转载时必须以链接形式注明原始出处及本声明。