13.1 網絡安全管理

13.1 網絡安全管理

13.1.1網絡控制

控制
宜管理和控制網絡以保護系統和應用中的信息。
實現指南
宜實現控制，以確保網絡中信息的安全、，確保所連接的網絡服務得到保護，免遭未授權訪問。特別的，宜考慮下列條款：
a) 宜建立網絡設備管理的責任和規程；
b) 在合適的地方，網絡的運行責任宜與計算機運行責任予以分離（見6.1.2）；
c) 宜建立專門的控制，以保護在公用網絡上或無線網絡上流經數據的保密性和完整性，并且保護已連接的系統及應用（見第10章和13.2）；為維護所連接的網絡服務和計算機的可用性，還可以需要專門的控制；
d) 宜應用合適的日志生成和監視，以便能記錄和檢測到一些可能影響信息安全或與信息安全相關的活動；
e) 為優化對組織的服務和確保在信息處理基礎設施中諸多控制的一致應用，宜緊密協調相應的管理活動；
f) 宜鑒別網絡上的系統；
g) 宜限制與網絡的系統連接。
其他信息

13.1.2網絡服務的安全

控制
所有網絡服務的安全機制、服務級別和管理要求宜予以確定并包括在網絡服務協議中，無論這些服務是由內部提供的還是外包的。
實現指南
網絡服務提供商以安全方式管理商定服務的能力，宜予以確定并定期監視，還宜商定審計的權利。
宜識別特殊服務必要的安全安排，例如安全特征、服務水平和管理要求。組織宜確保網絡服務提供商實現了這些措施。
其他信息
網絡服務包括接入服務、私有網絡服務、增值網絡和受控的網絡安全解決方案，例如防火墻和入侵檢測系統。這些服務既包括簡單的未受控的帶寬也包括復雜的增值的提供。
網絡服務的安全特征可以是：
a) 為網絡服務應用的安全技術，例如鑒別、加密和網絡連接控制；
b) 按照安全和網絡連接規則，網絡服務的安全連接需要的技術參數；

13.1.3網絡中的隔離

控制
宜在網絡中隔離信息服務、用戶及信息系統。
實現指南
管理大型網絡安全的一種方法是將該網絡分成獨立的網絡域。域的選擇可以基于信任級別（如公共訪問域、桌面域、服務器域）、所屬的組織單元（如人力資源、財務、市場）或某些組合（如連接到多個組織單元的服務器域）。域之間的隔離可以使用不同的物理網絡或者使用不同的邏輯網絡（如虛擬專用網絡）。
宜明確界定每個域的邊界。網絡域之間允許訪問，但宜在邊界處使用網關（如防火墻、過濾路由器）進行控制。劃分網絡域以及允許穿過網關訪問的準則宜基于對每個域安全要求的評估。該評估宜與訪問控制策略(見9.1.1)、訪問要求、被處理信息的價值和分級相一致，并考慮到相對成本和采用合適的網關技術對性能的影響。
由于無線網絡的邊界難以確定，因此需要專門處理。對敏感環境而言，宜考慮把所有無線訪問視為外部連接，并將該訪問從內部網絡隔離，直到該訪問在授權訪問內部系統之前根據網絡控制策略（見13.1.1）通過了網關為止。
當恰當地實現時，現代的、基于標準的無線網絡的鑒別、加密和用戶分級網絡訪問控制技術可能對直連組織內網是足夠的。
其他信息