定策略的数据包丢弃;
----网络协议分析:应能偶支持基于网络协议类型的访问控制;
----应用程序监控:应能够设置应用程序对网络的访问控制规则,包括对端口、协
议访问方向的控制;
----内容过滤:应能对网页内容进行基于关键字匹配的过滤。
b)入侵检测功能:
----实时阻断:及时阻断严重的碗里入侵行为;
----文件监控:防止用户对保护文件的非法访问与误操作;
----注册表监控:防止用户对注册表的非法访问与误操作;
----事件监测:及时监测到主机异常事件;
----实时流量分析:对主机网络流量进行实时监测与分析,并据此判断是否有入侵
事件发生。
4.2.4.3 网络接入控制
终端计算机系统应能对所接入网络进行可信度评价,并根据不同可信评价等级采取不同
的的安全接入策略。
4.2.5 备份与故障恢复
为了实现确定的恢复功能,应在终端计算机系统正常运行时定期的或按某种条件实施备
份。根据不同安全等级的不同要求,备份与故障恢复分为:
a)用户数据备份与恢复:应提供用户有选择的备份重要数据的功能,当由于某种原因引起终端计算
机系统中用户数据丢失或破坏时,应能提供用户数据恢复的功能;
b)增量信心备份与恢复:应提供由终端计算机系统定时对新增信息进行备份的功能,当由于某种原
因引起终端计算机系统中的某些信息丢失或破坏时,应提供用户增量信息备份所保留的信息进行信息恢复
的功能。
c)局部系统备份与恢复:应提供定期对终端计算机系统的某些重要的局部系统的运行现场进行定期
备份的功能;当由于某种原因引起终端计算机系统某一局部发生故障时,应提供用户按局部系统备份所保
留的现场信息进行局部系统恢复的功能。
d)全系统备份与恢复:应提供定期对终端计算机系统全系统的运行现场进行备份的功能;当由于某
种原因引起终端计算机系统全系统发生故障时,应提供用户按全系统备份所保留的现场信息进行全系统恢
复的功能;
e)备份保护措施:数据在备份、存储和恢复过程中应有安全保护措施,并应设置不被用户操作系统
管理的系统来实现系统数据的备份与恢复功能,系统备份数据是用户操作系统不可访问的。
4.2.6 可信时间戳
终端计算机系统应为其运行提供可靠的始终和时钟同步系统,并按 GB/T 20271—2006
的要求提供可信时间戳服务。
4.2.7 I/O 接口配置
终端计算机系统应根据不同的环境要求,配置串口、并口、PCI、USB、网卡、硬盘等各
类 I/O 接口和设备的启用/禁用等状态:
a)用户自主配置:应支持用户基于 BIOS 和操作系统提供的功能自主配置各类接口的状态;
b)集中管理配置:终端计算机系统应接受所接入网络的接口配置管理,并确保只有授权用户才能修
改接口配置;