论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-26 11:14 
离线
初级用户

关注按钮

注册: 2011-08-20 17:56
最近: 2015-07-27 19:09
拥有: 161.00 安全币

奖励: 3 安全币
在线: 1148 点
帖子: 32
在基本要求里,三级网络安全里,边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这个是什么意思呀? 今天一个同事说意思就是 内部的电脑只能连接内部网络,比如把内部电脑带回家,就要求不能连别的网络,我觉得他胡扯呢,这怎么做到,大家来讨论下?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-26 11:34 
离线
初级用户

注册: 2009-11-25 11:07
最近: 2014-03-12 16:38
拥有: 980.00 安全币

奖励: 94 安全币
在线: 1843 点
帖子: 46
这个属于边界完整性中防止非法内外联中的非法外链。


这个可以采用技术手段和管理措施对非法外联行为进行检查,技术手段可以采取部署桌面管理系统或其他
技术措施。例如在联想网御的防火墙中在:策略配置--非法外联控制,可以定义通过探测IP地址或者是域名的方式来进行。

我个人觉得,这个说的是在公司或者单位内部。用于内网的机器在单位不让连接互联网。内部电脑拿回家不让联网是不是只有通过封硬件或者是其它认证手段才可以实现不让其连互联网。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-27 09:22 
离线
新手

关注按钮

注册: 2011-09-30 16:01
最近: 2012-05-08 14:13
拥有: 199.00 安全币

奖励: 0 安全币
在线: 693 点
帖子: 17
jiho 写道:
在基本要求里,三级网络安全里,边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这个是什么意思呀? 今天一个同事说意思就是 内部的电脑只能连接内部网络,比如把内部电脑带回家,就要求不能连别的网络,我觉得他胡扯呢,这怎么做到,大家来讨论下?


你同事说得对,现在很多单位对非常重要的核心业务系统都采取的时这种办法(内部电脑只能连接内部网络【在线策略】,内部电脑带回家是不能够连接别的网络的【离线策略】,管理进程无法人为中断,除非重新格式化硬盘重装系统)。能实现你同事说得这种功能有专业的软件--------内网安全管理软件,国内比较有名的厂家有北信源、圣博润、启明星辰、互普威盾等等。

三级等级测评中:网络边界以及内网终端安全、数据安全中的存储介质测评等只要上了这个软件就可以通过。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-27 10:13 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,669.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
jiho 写道:
在基本要求里,三级网络安全里,边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这个是什么意思呀? 今天一个同事说意思就是 内部的电脑只能连接内部网络,比如把内部电脑带回家,就要求不能连别的网络,我觉得他胡扯呢,这怎么做到,大家来讨论下?


不胡扯,真可以做到。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-27 10:38 
离线
高级用户

关注按钮

注册: 2008-09-28 08:42
最近: 2015-04-29 08:59
拥有: 1,694.40 安全币

奖励: 1623 安全币
在线: 4309 点
帖子: 181
122804703 写道:
jiho 写道:
在基本要求里,三级网络安全里,边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这个是什么意思呀? 今天一个同事说意思就是 内部的电脑只能连接内部网络,比如把内部电脑带回家,就要求不能连别的网络,我觉得他胡扯呢,这怎么做到,大家来讨论下?


你同事说得对,现在很多单位对非常重要的核心业务系统都采取的时这种办法(内部电脑只能连接内部网络【在线策略】,内部电脑带回家是不能够连接别的网络的【离线策略】,管理进程无法人为中断,除非重新格式化硬盘重装系统)。能实现你同事说得这种功能有专业的软件--------内网安全管理软件,国内比较有名的厂家有北信源、圣博润、启明星辰、互普威盾等等。

三级等级测评中:网络边界以及内网终端安全、数据安全中的存储介质测评等只要上了这个软件就可以通过。

非法外连及非法内连都是为了保证网络边界的完整性,不仅仅是要求一个设备只能链接进入本网络而不能带入别的网络使用。
就像上面说的单位能用,回家不能用,这是一个方面,但不是全部,也不是必须。
非法外连主要是防止网络搭界,由内部破坏网络防护的完整性。比如,你在公司内部联网办公,公司网有完整的边界防护措施,同时你又插入了移动网卡,你的移动网是没有边界防护的,而这时你的公司办公网的边界防护已经没用啦。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-27 16:17 
离线
新手

注册: 2010-02-22 14:52
最近: 2015-07-30 22:21
拥有: 31.00 安全币

奖励: 0 安全币
在线: 620 点
帖子: 19
对于网络边界的完整性的保护在内网方面主要是使用终端安全管理方面的软件来控制。(桌面管理+准入控制802.1x).
对于内部电脑带回家后不允许使用,这个需求从技术上可以使用终端软件的离线策略来实现。
个人觉得这个需求更多是从管理上来控制,你内部电脑不让带回家不就得了,谁带,男的派富士康,女的派山木培训,赫赫。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-28 08:40 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 4,005.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
准入控制对于离开这个域的控制没有明确的要求,只是对这个域的控制,至于到别的域使用这个很难管理,比如他使用带网络模式的安全模式,网络是通的,但在安全模式下这个软件不起作用,他照样可以用,还有就是他可以通过进程管理软件终止这个进程,除了系统进程什么样的进程都可终止,要实现在其它域不可以使用不仅是技术上,还要求从管理上来实现,纯技术是很难完成的


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-28 08:45 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 4,005.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
Narcissisoul 写道:
122804703 写道:
jiho 写道:
在基本要求里,三级网络安全里,边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这个是什么意思呀? 今天一个同事说意思就是 内部的电脑只能连接内部网络,比如把内部电脑带回家,就要求不能连别的网络,我觉得他胡扯呢,这怎么做到,大家来讨论下?


你同事说得对,现在很多单位对非常重要的核心业务系统都采取的时这种办法(内部电脑只能连接内部网络【在线策略】,内部电脑带回家是不能够连接别的网络的【离线策略】,管理进程无法人为中断,除非重新格式化硬盘重装系统)。能实现你同事说得这种功能有专业的软件--------内网安全管理软件,国内比较有名的厂家有北信源、圣博润、启明星辰、互普威盾等等。

三级等级测评中:网络边界以及内网终端安全、数据安全中的存储介质测评等只要上了这个软件就可以通过。

非法外连及非法内连都是为了保证网络边界的完整性,不仅仅是要求一个设备只能链接进入本网络而不能带入别的网络使用。
就像上面说的单位能用,回家不能用,这是一个方面,但不是全部,也不是必须。
非法外连主要是防止网络搭界,由内部破坏网络防护的完整性。比如,你在公司内部联网办公,公司网有完整的边能界防护措施,同时你又插入了移动网卡,你的移动网是没有边界防护的,而这时你的公司办公网的边界防护已经没用啦。

主要是边界的完整性,也就是网络防护的完整性,重点不在你是否防止在公司以外可否上网,那个是个管理问题,单位的办公用品,不能拿回家,家里的拿到单位不能接入就可以了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-28 09:16 
离线
超级用户

注册: 2005-08-29 17:37
最近: 2014-10-17 22:41
拥有: 6,982.80 安全币

奖励: 1324 安全币
在线: 4600 点
帖子: 397
从操作来看,三级系统一般来说是业务系统,不至于是需要移动的吧。

对于非法外联,我认为次项检查的重点是看我们是否有手段去限制和检测。技术手段、管理手段都是必要的。

另外,对于楼主所说的那种电脑带回家的情况,实际上管理手段的效果可能比技术手段要好一些。技术手段防一片,管理手段可以针对敢于乱来的。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-10-28 13:02 
离线
初级用户

关注按钮

注册: 2011-08-20 17:56
最近: 2015-07-27 19:09
拥有: 161.00 安全币

奖励: 3 安全币
在线: 1148 点
帖子: 32
sjzlianglx 写道:
准入控制对于离开这个域的控制没有明确的要求,只是对这个域的控制,至于到别的域使用这个很难管理,比如他使用带网络模式的安全模式,网络是通的,但在安全模式下这个软件不起作用,他照样可以用,还有就是他可以通过进程管理软件终止这个进程,除了系统进程什么样的进程都可终止,要实现在其它域不可以使用不仅是技术上,还要求从管理上来实现,纯技术是很难完成的



边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

那这句话的意思是不是只能让某一台电脑只能在单位使用单位的网络,不能连接别的网络?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-11-02 11:49 
离线
超级用户

注册: 2010-10-27 10:30
最近: 2015-07-30 20:57
拥有: 2,520.00 安全币

奖励: 0 安全币
在线: 1307 点
帖子: 391
jiho 写道:
sjzlianglx 写道:
准入控制对于离开这个域的控制没有明确的要求,只是对这个域的控制,至于到别的域使用这个很难管理,比如他使用带网络模式的安全模式,网络是通的,但在安全模式下这个软件不起作用,他照样可以用,还有就是他可以通过进程管理软件终止这个进程,除了系统进程什么样的进程都可终止,要实现在其它域不可以使用不仅是技术上,还要求从管理上来实现,纯技术是很难完成的



边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

那这句话的意思是不是只能让某一台电脑只能在单位使用单位的网络,不能连接别的网络?


的确是这样,从技术和管理两个方面都要去把这个落实下来。
技术手段:在内部网络的主机上安装桌面安全管理系统,禁用设备的外设口或对外设口进行有限的开放(这种有限的开放是在可控的范围之内),这样可以解决部分非法外联的行为(如接入3G网络)。另外,可以限制客户端主机非法外联,只要接入非本地网络号,就认为主机非法外联。
但是,技术手段也有漏洞,比如北信源的内网安全管理系统在离线状态下产生的错误信息不会在接入回内网中后,上传错误信息给服务器,这样的话,在离线状态下主机的行为我们就无法监控的到了。因此,需要管理手段辅助解决。
管理手段:从制度上限制内网的机器不准离开本单位网络,如果机器发生故障,可以和服务商签订维护协议和保密协议,保证内网主机不离开本单位就可以了。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-11-17 11:18 
离线
中级用户

关注按钮

注册: 2011-09-14 11:34
最近: 2013-04-13 17:39
拥有: 414.00 安全币

奖励: 492 安全币
在线: 2719 点
帖子: 88
在单位一般会用准入控制相关的软件实现,但是电脑带回家是什么情况就不了解了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-11-17 12:33 
离线
高级用户

注册: 2008-07-16 14:25
最近: 2014-07-15 13:11
拥有: 1,076.70 安全币

奖励: 386 安全币
在线: 2507 点
帖子: 174
122804703 写道:
jiho 写道:
在基本要求里,三级网络安全里,边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这个是什么意思呀? 今天一个同事说意思就是 内部的电脑只能连接内部网络,比如把内部电脑带回家,就要求不能连别的网络,我觉得他胡扯呢,这怎么做到,大家来讨论下?


你同事说得对,现在很多单位对非常重要的核心业务系统都采取的时这种办法(内部电脑只能连接内部网络【在线策略】,内部电脑带回家是不能够连接别的网络的【离线策略】,管理进程无法人为中断,除非重新格式化硬盘重装系统)。能实现你同事说得这种功能有专业的软件--------内网安全管理软件,国内比较有名的厂家有北信源、圣博润、启明星辰、互普威盾等等。

三级等级测评中:网络边界以及内网终端安全、数据安全中的存储介质测评等只要上了这个软件就可以通过。

同意上述观点,像北信源、圣博润做的不错的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-11-18 15:35 
离线
中级用户

注册: 2010-03-01 04:12
最近: 2015-03-16 17:36
拥有: 735.00 安全币

奖励: 171 安全币
在线: 882 点
帖子: 71
回家后,如果不使用VPN连接,只是单纯连接Internet,这时客户端根本不能称为内网用户吧


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 等保基本要求三级中的疑惑?
帖子发表于 : 2011-11-22 00:47 
离线
新手

注册: 2010-02-22 11:29
最近: 2018-02-25 09:47
拥有: 5.00 安全币

奖励: 22 安全币
在线: 1459 点
帖子: 18
122804703 写道:
jiho 写道:
在基本要求里,三级网络安全里,边界完整性检查:应能够对内部网络用户私自连到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这个是什么意思呀? 今天一个同事说意思就是 内部的电脑只能连接内部网络,比如把内部电脑带回家,就要求不能连别的网络,我觉得他胡扯呢,这怎么做到,大家来讨论下?


你同事说得对,现在很多单位对非常重要的核心业务系统都采取的时这种办法(内部电脑只能连接内部网络【在线策略】,内部电脑带回家是不能够连接别的网络的【离线策略】,管理进程无法人为中断,除非重新格式化硬盘重装系统)。能实现你同事说得这种功能有专业的软件--------内网安全管理软件,国内比较有名的厂家有北信源、圣博润、启明星辰、互普威盾等等。

三级等级测评中:网络边界以及内网终端安全、数据安全中的存储介质测评等只要上了这个软件就可以通过。



我也关注过这个问题,有专用的软件,安装了就能实现


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012