宽。(增强)
1122访问控制(G3)
本项要求包括:a应在网络边界部署访问控制设备,启用访问控制功能;b访问控制设备应能根据会话状态信息为数据流提供明确的允许拒绝访问的能力,控制粒度为端口级;(增强)c应按用户和系统之间的允许访问规则,边界的网络控制设备决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。以拨号或VPN等方式接入网络的,应采用强认证方式,并对用户访问权限进行严格限制;(增强)d生产控制大区的拨号访问服务,服务器均应使用经安全加固的达到国家三级等级保护要求的操作系统,客户端应使用经安全加固的操作系统,并采取加密、数字证书认证和访问控制等安全防护措施;(新增)e应限制具有拨号、VPN等访问权限的用户数量;(增强)f应该采用严格的接入控制措施,保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网,进行广域网通信;(新增)g应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;h应在会话处于非活跃一定时间或会话结束后终止网络连接;i在网络出口和核心网络接口处应限制网络最大流量数及网络连接数;(落实)j重要网段应采取技术手段防止地址欺骗。
4
f1123安全审计(G3)
本项要求包括:a应在生产控制大区应部署专用审计系统,或启用设备或系统审计功能,应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;(增强)b审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c应能够根据记录数据进行分析,并生成审计报表,网络设备不支持的应采用第三方工具生成审计报表;(增强)d应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
1124边界完整性检查(S3)
本项要求包括:c应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;d应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1125入侵防范(G3)
本项要求包括:a应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;b当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1126恶意代码防范(G3)
本项要求包括a应在网络边界处对恶意代码进行检测和清除;b应r