網絡安全等級測評工作流程，信息安全等級保護工作內容

信息安全等級保護制度是國家對基礎信息網絡和重要信息系統實施重點保護的關鍵措施。2017年6月1日，《中華人民共和國網絡安全法》施行。網安法第21條提出國家實行網絡安全等級保護制度，是從國家層面對等級保護工作的法律認可。

等級保護測評中技術要求類別分為：

物理安全

網絡安全

主機安全

應用軟件系統安全

數據保護安全

網絡結構安全

a) 關鍵網絡設備的業務處理能力應具備冗余空間（至少為歷史峰值的3倍），滿足業務高峰期需要；

b)保證接入網絡和核心網絡的帶寬滿足業務高峰期需要；

c) 繪制與當前運行情況相符的網絡拓撲結構圖；

d) 根據網絡所涉及的各個業務部門的工作職能、重要性或所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段。

網絡訪問控制

a) 在網絡節點和邊界設置訪問控制機制，按確定的網絡訪問控制策略控制用戶對網絡的訪問；

b) 網絡訪問控制策略應包含：

根據訪問控制列表對源地址、目的地址、源端口、目的端口和協議等進行檢查，允許/拒絕數據包出入；

通過訪問控制列表對系統資源實現允許或拒絕用戶訪問，控制粒度為用戶級和系統資源級；

根據會話狀態信息為數據流提供明確的允許/拒絕的能力，控制粒度為用戶級和網段級；

網絡訪問控制應設定過濾規則集，并涵蓋所有出人邊界數據包的處理方式，對于沒有明確定于的數據包，應缺省拒絕；

按用戶和系統之間的允許訪問規則，允許或拒絕用戶對受控系統進行資源訪問，控制粒度為用戶級和系統資源級；

應限制具有撥號訪問權限的用戶數量。

網絡安全審計

a) 在網絡節點和邊界設置安全審計；

b) 審計內容包含網絡設備運行狀況、用戶行為等安全相關事件；

c) 審計記錄包含事件的日期和時間、用戶、事件類型、事件是否成功等；

d) 提供按事件進行安全審計分類、安全審計事件選擇，以及進行安全審計查閱、安全審計分析并生成審計報表等功能；

e) 提供安全審計事件報警、安全審計記錄存儲與保護等功能；審計記錄應至少保存6個月；

f) 在安全審計存儲區記滿時，應采取相應的防止安全審計數據丟失的措施；

g) 為安全審計機制集中控制和審計數據的匯集提供接口。

邊界完整性保護

能夠對內部網絡用戶聯接到外部的行為（比如，網絡用戶終端采用雙網卡跨接外部網絡，或采用電話撥號、ADSL撥號、手機、無線上網卡等無線撥號方式連接其他外部網絡）進行檢查。

網絡設備登錄控制

a) 對網絡設備的管理員、審計員等進行身份標識、身份鑒別，并對登錄地址進行限制；

身份標識：在網絡用戶注冊到設備時進行，應對注冊信息的完整性及其在系統整個生存周期的唯一性進行保護；

身份鑒別：在網絡用戶登錄到設備時進行，采用強化管理的口令或具有相應安全強度的其他機制，并對鑒別所使用的鑒別信息的保密性和完整性進行保護；應具有登錄失敗處理能力，可采取結束會話、限制非法登錄次數和網絡登錄連接超時自動退出等措施；

b) 強化管理口令的具體要求如下：采用數字、字幕、符號的無規律混排方式；口令的長度至少應為8位，并且每季度至少更換1次，更新的口令至少5次內不能重復；

如果設備口令不支持上述復雜度要求，應使用所支持的最長長度，并適當縮小更換周期；也可以使用動態密碼卡等一次性口令認證方式。

c) 應刪除默認用戶或修改默認用戶的口令，系統無法實現的除外；

d) 對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊取。

網絡備份與恢復

a) 提供關鍵網絡設備、通信線路的硬件備份；當相關設備或線路發生故障時，用備份設備或線路替換故障設備或線路；

b) 主備通信線路應采用不同運營商的設備；當相關設備或線路發生故障時進行主備切換，支持業務繼續運行。