技术要求→网络安全→访问控制

最新推荐文章于 2024-11-22 09:36:26 发布
原创 最新推荐文章于 2024-11-22 09:36:26 发布 · 954 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了网络边界安全的访问控制策略,包括部署访问控制设备、限制通用协议通过、依据数据敏感性进行筛选及禁用远程拨号功能。通过设置合理的访问控制设备和策略,确保网络边界的安全性。

一、要求内容
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应不允许数据带通用协议通过;
c)应根据数据的敏感标记允许或拒绝数据通过;
d)应不开放远程拨号访问功能。

二、实施建议
在网络边界处设立防火墙或网闸等设备实施访问控制,配置适当的访问控制策略,只允许必要的网络协议通过,对于要求较高的企业可根据数据的敏感性标记限制通过;对于网络设备一般不建议开启远程拨号功能。

三、常见问题
有的企业虽然购买了防火墙等访问控制设备,但没有进行合适的配置,有的甚至就用的默认配置。

四、实施难点
通过网络协议和数据标记进行过滤的访问控制设备,对设备的性能要求较高,同时可能会对正常的网络访问速度造成影响。

五、测评方法
形式
访谈,检查,测试。

对象
安全管理员,边界网络设备。

实施
a)应访谈安全管理员,询问网络访问控制的措施有哪些;询问访问控制策略的设计原则;询问访问控制策略是否做过调整,以及调整后和调整前的情况如何;
b)应检查边界网络设备,查看是否有相应的访问控制措施来实现禁止数据带通用协议通过;
c)应测试边界网络设备,可通过发送带通用协议的数据(如使用http隧道工具),测试访问控制措施是否有效阻断这种连接。

六、参考资料
ISO17799中对网络安全控制有实施指导:
11.4.6
网络连接控制
控制:
在公共网络中,尤其是那些延展到组织边界之外的网络,应限制用户联接的能力,并与业务应用系统的访问控制策略和要求一致(见11.1)
实施指南:
访问控制策略要求维护和更新用户的网络访问权力(见11.1.1)。
用户的连接能力可通过网关来限制,该网关借助预先定义的表或规则过滤通信量。施加限制的应用例子有:
a) 消息传递,例如电子邮件;
b) 文件传送;
c) 交互式访问;
d) 应用访问。
应考虑将网络访问权力限制到日或日期的确定时间。


本文首发:信息安全等级保护之技术要求→网络安全→访问控制

【愚公系列】2024年03月 《网络安全急管理技术实践》 021-网络安全技术实践(主机层-Windows 检查演练)
时光隧道
02-14 9万+
网络安全Windows检查演练是指对Windows操作系统进行一系列测试和检查的过程,旨在评估系统的安全性、发现存在的安全漏洞和风险,并采取相的措施加以修复和强化。该演练通常由安全专家或团队负责进行,其目的是确保系统的网络安全措施得到有效实施,以减少系统被攻击、数据泄露或服务中断的风险。在网络安全Windows检查演练中,安全专家会使用各种工具和技术,如漏洞扫描、强密码测试、网络流量监控等,对Windows操作系统进行全面的检查。
技术要求网络安全安全审计
12-23 1207
一、要求内容 a)网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b)审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息; c)能够根据记录数据进行分析,并生成审计报表; d)对审计记录进行保护,避免受到未预期的删除、修改或覆盖等; e)定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可
计算机网络安全控制技术
m0_58204203的博客
09-29 4222
1.防火墙技术 防火墙技术是近年来维护网络安全最重要的手段,但是防火墙不是万能的,需要配合其他安全措施来协同 2.加密技术 目前加密技术主要有两大类:对称加密和非对称加密 3.用户识别技术 核心是识别网络者是否是属于系统的合法用户 4.访问控制技术 控制不同的用户对信息资源的访问权限 5.网络反病毒技术 计算机病毒的数目和危害性都在飞速发展 6.网络安全漏洞扫描技术 漏洞检测和安全风险评估技术 7.入侵检测技术 入侵行为主要是指对系统资源的非授...
《计算机网络安全》学习笔记之访问控制虚和谐拟专和谐用网技术
克格莫(有需要的私信)
09-02 1271
一、访问控制技术的概念和特点 访问控制技术(AC)是针对越权使用资源的防御措施,即判断使用者是否有权限使用或更改某一项资源,并且防止未授权者滥用资源。 通常包含以下三方面含义: 1.机密性控制:保证数据资源不被非法读出 2.完整性控制:保证数据资源不被非法增删改 3.有效性控制:保证数据资源不被非法主体使用和破坏 一个AC系统一般包括主体(通常是用户或者用户进程)、客体(通常是被调用的...
等级保护----1、网络安全等级保护一级安全测评要求
七天
01-06 7187
信息安全技术-网络安全等级保护
企业边界网络设备的一般配置:ACL、端口复用(PAT)、端口映射
weixin_33854644的博客
11-19 1368
一、概述:企业的边界网络设备一般是路由器或者多层交换机,主要实现的功能如下:(1)实现内网部分设备访问外网;(2)客户从公网访问企业内网的Web服务器等;(3)运维人员从外网访问企业内部的部分设备进行远程维护。其中第一项功能需求通过ACL和端口复用(PAT)技术实现,第二、三项功能需求通过端口映射技术实现。本文结合拓扑图讲述上述几项功能的实现技术及具体配置。二、拓扑图说明:如...
是否为网络边界配置了基于策略的访问控制规则?
ZOMO的博客
02-27 1436
*一、概念和背景知识**:* 什么是 **网络边界**?* 什么是 **策略型访问控制(Strategy-based Access Control)**?**二、意义和作用**:策略性访问控制网络边界部署访问控制系统,确保只有经过授权的内部用户才能进入受保护的网络资源;对于外部攻击者来说则设置了严格的权限限制来阻止非法入侵并保护关键数据资产的安全稳定运行至关重要;
【愚公系列】2024年02月 《网络安全急管理技术实践》 009-网络安全技术实践(网络层-攻击分析)
时光隧道
02-08 10万+
网络层攻击是指针对网络层协议(如IP协议)的攻击。这些攻击旨在破坏网络通信、拒绝服务、窃取数据等。以下是网络层攻击的一些常见类型:IP地址欺骗:攻击者使用虚假的IP地址,伪装成其他合法主机或者隐藏自己的真实IP地址,以进行攻击、欺骗或匿名操作。IP分片攻击:攻击者通过发送大量的IP分片数据包,使目标主机的网络资源被消耗或者造成服务拒绝。IP源路由欺骗:攻击者在IP数据包中伪造源地址和路由信息,使目标主机误认为数据包来自合法的源地址,可能导致信息泄露或者伪造数据包攻击。
【愚公系列】2024年02月 《网络安全急管理技术实践》 010-网络安全技术实践(网络层-无线ARP欺骗消息监听重现分析)
热门推荐
时光隧道
02-08 10万+
无线ARP欺骗(Wireless ARP Spoofing)是一种网络攻击方式,它利用ARP(地址解析协议)中的漏洞,欺骗通信双方,使其将通信数据发送给攻击者,从而实现中间人攻击。消息监听(Message Eavesdropping)则是指攻击者截获并监听通信双方之间的通信数据。以下是无线ARP欺骗消息监听的重现分析过程:攻击者在同一局域网中启动无线ARP欺骗工具,如Ettercap、ARPwner等。攻击者扫描附近的无线网络,获取目标网络的SSID(无线网络名称)和MAC地址。
【愚公系列】2024年03月 《网络安全急管理技术实践》 025-网络安全技术实践(数据库层-MySOL数据库程序漏洞利用)
时光隧道
02-16 9万+
MySQL数据库是一种开源关系型数据库管理系统,常用于网站开发和用程序中的数据存储和管理。MySQL数据库程序是用于管理和操作MySQL数据库的软件程序。MySQL数据库和MySQL数据库程序都可能存在漏洞,被黑客利用进行攻击或非法访问。利用这些漏洞,黑客可以获取数据库中的敏感信息、修改或删除数据、执行恶意代码等。常见的MySQL数据库及其程序漏洞利用包括:SQL注入:黑客通过在输入参数中插入恶意的SQL语句,从而绕过用程序的验证和过滤机制,获取数据库中的敏感信息或执行恶意操作。
网络安全实验报告 防火墙的配置
05-19
(1)了解硬件防火墙的基本构成 (2)下载常见软件防火墙,如瑞星个人防火墙、金山网镖、江民防火墙、Norton firewall、Webroot desktop firewall、Injoy firewall、SurfSecret firewall等,至少下载安装三种防火墙,比较它们的性能,并利用防火墙的安全策略实现严格的访问控制
计算机网络安全访问控制系统的实现
万里船的专栏
05-13 1428
网络拓扑<br />外网网段202.120.36.0/24<br /> 防火墙eth0接口202.120.36.180内网网段192.168.33.0/24<br /> 防火墙eth1接口192.168.33.254DMZ区网段192.168.1.0/24<br /> 防火墙eth2接口192.168.1.1DNS服务器202.120.2.101主机A192.168.33.40<br /> 主机A公网地址202.120.36.100<br /> 主机B192.168.33.41<br /> 主机
等保培训.03.网络安全测评
老毛的博客
04-18 4975
文章目录1.前言:标准概述2.检查范围例子3.检查内容一、结构安全(7项)二、访问控制(8项)三、安全审计(4项)四、边界完整性检查(2项)五、入侵防范(2项)七、网络设备防护(8项)4.现场测评步骤1、网络全局性测评2、网络设备、安全设备测评备份恢复(这点是增加的)3、测评结果汇总整理 网络安全测评 公安部信息安全等级保护评估中心 于东升 内容目录 1.前言 2.检查范围 3.检查内容 4.现...
铭感标记
七安的博客
01-11 3500
敏感标记 访问控制是信息安全防范和保护的主要策略,用于保证信息资源不被非法使用和访问访问控制大致分为自主访问控制和强制访问控制两大类:在自主访问控制下,用户可以对其创建的文件、数据表等进行访问,并可自主地将访问权授予其他用户;在强制访问控制下,系统对需要保护的信息资源进行统一的强制性控制,按照预先设定的规则控制用户、进程等主体对信息资源的访问行为。通过自主访问控制强制访问控制的协同运作,安全操...
一文读懂敏感标记和强制访问控制,让你恍然大悟。
最新发布
2401_84434570的博客
11-22 1032
是由等级和范围构成,标记是可以比较的,其比较结果的含义是代表了数据的敏感程度。安全管理员可以给用户授予标记权限,以决定用户可以何种形式(读或写)访问想要访问的数据。当表中的数据被标记标识后,只有用户被授予了访问该标记的权限后,可以读取到或者写该数据。当数据具有多个数据标记时,用户必须具有所有标记的权限才可以访问该数据。通俗的来说,在强制访问控制下,用户(或其他主体)元组(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该元组。
信息安全第五章 操作系统安全
qq_44165890的博客
11-12 5870
第5章 操作系统安全 了解操作系统安全的发展历史; 掌握安全操作系统的安全策略模型; (重点) 掌握安全操作系统的访问控制机制; (重点) 了解安全操作系统的评测方法准则。 安全操作系统概述 系统安全架构发展回顾和TCB的提出 可信计算基(Trusted Computing Base,TCB) TCB是计算机系统内保护装置的总体,包括:硬件、固件、软件和负责执行安全策略的组合体 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-99uvi1Ri-1636730799867)
linux 敏感标记 权限,闲话Linux系统安全(二)——强制访问控制(MAC)
weixin_29507477的博客
04-29 1159
安全秘笈第二式——不安全的特殊权限和强制访问控制(MAC)在DAC的机制中,不管是所有权加权限的管理办法,还是文件系统访问控制列表(facl),都是非常强大的访问控制机制,均可以对文件资源进行比较有效的访问控制。但DAC的自主性太强,可以说文件资源的安全在很大的程度上取决于使用者个人的意志,因此这种安全似乎就被主观化了。尤其是对于root用户而言,不管是权限和所有权的限制,还是facl的管理控制,...
等保测评高风险判定——第二章 通信网络
qq_44713337的博客
01-06 3411
提示:文章如有错误,欢迎指出。 文章目录前言**等保测评高风险判定——第二章 通信网络篇**安全通信网络二级及以上系统高风险判定1.1网络区域划分不当1.2网络边界访问控制设备不可控1.3重要网络区域边界访问控制措施缺失1.4 云计算平台等级低于承载业务系统等级三级及以上系统高风险判定2.1机房防盗措施缺失总结 前言 什么是等保测评:等保测评的全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保
4.2 数据库安全性控制(2)
qq_43540354的博客
01-17 1307
4.2 数据库安全性控制(2)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值