重要提示:本模板由国外“SANS网络安全培训与认证”机构提供的免费政策模板机翻整理而来。在参考使用时,请注意其表述与国内网络安全环境及法律法规可能存在差异。本文仅供学习参考,因不当引用或使用所引发的任何后果,本编译者及发布平台概不负责。
目的
本制度旨在为组织建立一个有效的过滤与监控框架,以管理进出网络边界的流量。通过明确防火墙、入侵防御系统(IPS)及安全网关等边界防护技术的实施指南与操作流程,本制度旨在落实网络安全控制措施,防范未授权访问,并降低来自外部的威胁风险。
通过推行强有力的边界过滤实践,本制度力求最大限度减少恶意活动(如未授权访问尝试、恶意软件感染及数据泄露)的风险。借助恰当的过滤规则配置、持续监控与定期更新,致力于保障网络资源的机密性、完整性与可用性,保护敏感信息,并确保符合行业标准及监管要求。强化边界过滤能力,将有效提升组织的整体网络安全态势与韧性,维护利益相关方的信任。
范围
本周边网络访问管理制度适用于组织的全体员工、承包商及相关利益方。它涵盖了为保护网络免受未授权访问及恶意活动影响,而部署与管理边界过滤机制的全部活动。
本制度涉及所有网络边界,包括互联网接入点、虚拟专用网络(VPN)及远程访问服务等外部连接。它为防火墙、入侵防御系统(IPS)、网络访问控制(NAC)等边界过滤技术的配置与维护提供了指导框架。制度同时明确了为维护安全策略、阻止未授权访问、检测与阻断恶意活动,而对边界网络流量进行监控与过滤的相关程序。
组织内所有人员均须遵守本制度。任何偏离或例外情况,都必须获得负责边界过滤与网络安全治理的指定机构批准。
保障措施
为达成制度目标,组织应实施以下保障措施:
PNA-01 维护一份经组织批准的周边网络连接清单(包括互联网及第三方连接)。
PNA-02 维护一份经组织批准的、针对周边网络连接的访问控制列表(ACL)文档。
PNA-03 维护经组织批准的边界网络防火墙拓扑关系图。
PNA-04 确保组织批准的周边网络防火墙支持基于IP地址的过滤策略,以管控周边网络连接。
PNA-05 确保组织批准的周边网络防火墙能够执行基于协议(如TCP、UDP等)的入站连接过滤。
PNA-06 确保组织批准的周边网络防火墙能够执行基于协议(如TCP、UDP等)的出站连接过滤。
PNA-07 确保组织批准的周边网络防火墙能够执行基于应用的边界网络连接过滤。
PNA-08 确保组织批准的周边网络防火墙能够执行基于用户的过滤,确保仅授权用户可远程连接至组织网络。
PNA-09 确保组织批准的周边网络防火墙在认证所有远程连接时,要求使用多因素认证(MFA)。
PNA-10 确保组织批准的周边网络防火墙在认证所有远程连接时,使用加密通道(如TLS)。
PNA-11 确保组织批准的周边网络防火墙在认证所有远程连接时,要求应用用户行为分析(UBA)。
PNA-12 维护一套能够对组织所有边界网络流量进行完整数据包捕获的系统。
PNA-13 在组织批准的周边网络连接处,维护入侵检测系统(IDS)与入侵防御系统(IPS)。
PNA-14 在组织互联网连接上,维护一套基于网络的边界URL过滤系统。
PNA-15 确保组织的基于网络的URL过滤系统能够阻断对未经批准的基于网络的服务(如电子邮件、存储等)的连接。
PNA-16 确保组织的基于网络的URL过滤系统能够解密所有TLS加密的邮件流量,以便进行URL过滤。
PNA-17 确保组织的基于网络的URL过滤系统对其每一个互联网连接应用数据丢失防护(DLP)功能。
PNA-18 确保组织的周边网络防火墙能够记录系统观测到的所有适当事件。
PNA-19 确保组织的基于网络的URL过滤系统能够记录所有被系统管控的、观测到的URL。
PNA-20 确保组织的域名系统(DNS)能够记录系统观测到的所有DNS查询。
PNA-21 确保组织的入侵检测系统(IDS)或入侵防御系统(IPS)能够记录系统生成的所有事件。
PNA-22 确保组织的周边网络防火墙能够记录系统观测到的所有远程用户连接。
PNA-23 在组织周边网络连接中部署网络欺骗技术,以辅助安全事件检测与管理。
制度责任
违反本制度的行为,将根据公司人力资源流程的规定受到纪律处分。后果可能包括强制复训、书面警告、临时暂停远程服务访问权限,严重情况下可能导致解雇或合同终止。若违规行为涉及非法活动,相关个人还可能根据适用法律承担法律责任。
这些制裁措施强调了网络安全的重要性、个人在保护数字资产中的责任,以及违反制度可能带来的潜在风险。制度的执行将保持一贯性与公正性,惩处的严厉程度直接与违规行为的严重性相对应。
本文涉及的制度框架与安全实践,你可以在云栈社区的网络/系统及安全/渗透/逆向板块找到更多深入的技术讨论与配置实例。 | 
发表于 昨天 05:12
|
查看: 2|
回复: 0
