安全區域邊界 secure area boundary,按照保護能力劃分為第一級安全區域邊界、第二級安全區域邊界、第三級安全區域邊界、第四級安全區域邊界和第五級安全區域邊界。
第一級安全區域邊界從以下方面進行安全設計:
a)
區域邊界包過濾
可根據區域邊界安全控制策略,通過檢查數據包的源地址、目的地址、傳輸層協定和
請求的服務等,確定是否允許該數據包通過該區域邊界。
b) 區域邊界惡意代碼防範
可在安全區域邊界設定防惡意代碼軟體,並定期進行升級和更新,以防止惡意代碼入
侵。
第二級安全區域邊界從以下方面進行安全設計:
GB/T XXXXX—XXXX
5
a)
區域邊界包過濾
應根據區域邊界安全控制策略,通過檢查數據包的源地址、目的地址、傳輸層協定和
請求的服務等,確定是否允許該數據包通過該區域邊界。
b) 區域邊界安全審計
應在安全區域邊界設定審計機制,並由安全管理中心統一管理。
c)
區域邊界惡意代碼防範
應在安全區域邊界設定防惡意代碼網關,由安全管理中心管理。
d) 區域邊界完整性保護
應在區域邊界設定探測器,探測非法外聯等行為,並及時報告安全管理中心。
第三級安全區域邊界從以下方面進行安全設計:
a) 區域邊界訪問控制
應在安全區域邊界設定自主和強制訪問控制機制,實施相應的訪問控制策略,對進出安
GB/T XXXXX—XXXX
7
全區域邊界的數據信息進行控制,阻止非授權訪問。
b) 區域邊界包過濾
應根據區域邊界安全控制策略,通過檢查數據包的源地址、目的地址、傳輸層協定、
請求的服務等,確定是否允許該數據包進出該區域邊界。
c)
區域邊界安全審計
應在安全區域邊界設定審計機制,由安全管理中心集中管理,並對確認的違規行為及
時報警。
d) 區域邊界完整性保護
應在區域邊界設定探測器,例如外接探測軟體,探測非法外聯和入侵行為,並及時報告
安全管理中心。
第四級安全區域邊界從以下方面進行安全設計:
a)
區域邊界訪問控制
應在安全區域邊界設定自主和強制訪問控制機制,實施相應的訪問控制策略,對進出安
全區域邊界的數據信息進行控制,阻止非授權訪問。
b) 區域邊界包過濾
應根據區域邊界安全控制策略,通過檢查數據包的源地址、目的地址、傳輸層協定、
請求的服務等,確定是否允許該數據包進出受保護的區域邊界。
c)
區域邊界安全審計
應在安全區域邊界設定審計機制,通過安全管理中心集中管理,對確認的違規行為及
時報警並做出相應處置。
d) 區域邊界完整性保護
應在區域邊界設定探測器,例如外接探測軟體,探測非法外聯和入侵行為,並及時報告
安全管理中心。
