- 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
step1. 查看网络拓扑图,并比对实际的网络链路,确认网络边界设备及链路接入端口明确无误
step2. 通过相关命令显示设备端口、Vlan信息。
华为/H3C:
思科:
step3. 通过网络管理平台查看是否存在非授权的网络出口。
2. 应能够对非授权设备私自联到内部网络的行为进行检查或限制。
1)核查网络中采取了何种准入控制措施。
终端管理系统 或者 各接入交换机开启MAC/IP地址绑定
2)登陆设备、系统 确认准入措施配置有效合理。
① 核查终端管理系统的配置信息,各终端设备均已有效部署,无特权设备;
主要看特权账户多不多(应急的可以)
② IP/MAC 地址绑定策略
华为/H3C:
思科:
③ 未使用的端口均已关闭
华为/H3C:
思科:
[注]:1)终端准入控制措施中,部署终端安全管理系统或配置IP/MAC地址绑定,实现其中一种,该项及符合;
2)终端准入控制措施,应无特权设备。
3. 应能够对内部用户非授权连到外部网络的行为进行检查或限制。
1)网络中部署是否有终端安全管理系统,或非授权外联管控系统。
2)网络中各类型终端设备均已正确部署了终端安全管理系统或外联管控系统,无特权设备。
3)根据管理要,禁止更改网络配置,禁用双网卡、USB接口、Modem、无线网络等。
[注]:非授权外连控制措施,应无特权设备。
4. 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
1)授权的无限网络通过无线接入网关,并通过防火墙等访问控制设备接入到有限网络。
2)无线接入网关实现对终端设备的管理,并针对无线终端设备进行认证、授权及准入。
3)通过网络管理平台,实现对无线网络的管理、发现。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
