二级要求及措施-gjb 4896a-2018军用电子设备印制电路板验收判据

时间:2024-06-27 14:39:03
【文件属性】:

文件名称:二级要求及措施-gjb 4896a-2018军用电子设备印制电路板验收判据

文件大小:1.06MB

文件格式:PDF

更新时间:2024-06-27 14:39:03

银行 等保 行标

A.1 网络安全 A.1.1 二级要求及措施 序号 要求的内容 对应技术措施 实现方式 结构安全 1 应保证关键网络 设备的业务处理 能力具备冗余空 间,满足业务高 峰期需要。 设备高可用性 可以通过以下方式保证处理能力具有冗余性: a) 高可用性设计: 双机热备:双机热备一 般分为主-从模式,在正常情况下由主机进行数 据包的处理工作,从机实时监测主机的工作状态,如果从机出现了问题,会 将主机的工作接管过来,确保网络不出现单点故障。 HA 集群:多台设备同时工作,同时进行数据包的处理工作(轮询是一 种处理方式),无主从的区别,如果一台设备出现故障,另外的设备会将该 设备工作接管过来。HA 集群在确保消除单点故障的基础上,还能提高该点 的处理能力。 产品软硬件 bypass功能:产品软硬件 bypass功能可以保证设备在断电 或者死机时,数据包还能通过故障设备,网络不中断。 b) 设备高性能设计:设备的高性能设计,如比较高的吞吐量、并发连接 数能保证满足业务高峰期的需要。 在安全产品的部署上尽量采取双机的部署模式,特别是在核心数据区的 边界或者流量比较大的区域边界处。并尽可能的选择具有软硬件 bypass 功 能的产品。 2 应保证接入网络 和核心网络的带 宽满足业务高峰 期需要。 设备高可靠性 可以通过以下方式保证带宽满足业务高峰期需要: a) 设备高性能设计:设备的高性能设计,如比较高的吞吐量、并发连接 数能保证满足业务高峰期的需要。 b) 防火墙要适合金融业网间互联的网络带宽要求,不能成为网络瓶颈, 或明显影响网络工作效率。 3 应绘制与当前运 行情况相符的网 络拓扑结构图。 拓扑规划 可以通过以下方式保证与当前运行情况相符的网络拓扑结构图: a) 拓扑规划设计 b) DNS服务器配置中对主机的命名应采用不规则的方式,以保护整个网络 的拓扑结构 4 应根据各部门的 工作职能、重要 性和所涉及信息 的重要程度等因 素,划分不同的 子网或网段,并 按照方便管理和 控制的原则为各 子网、网段分配 地址规划与安全 域隔离设计 可以通过以下方式保证地址分配要求: a) 地址规划设计 b) 安全域设计:防火墙、UTM安全网关产品可以进行不同网段的划分,并 为个子网、网段分配地址段。另外支持安全域划分,对不同的安全域 实施不同的安全策略,提供等级不同的安全保护。防火墙至少有 3 个 网络接口,分别用于外联区,内部网络和中立区;内部网络和中立区 之间的访问设置访问策略,只允许彼此之间需要访问的地址和端口; 内部网络对外联区的访问采用网络地址转换,同时只开放需要访问的 端口;外联网络对中立区的访问设置严格的端口和 IP访问策略,对不


网友评论