Cilj: Spriječiti neovlašten pristup mrežnim uslugama. Potrebno je kontrolirati pristup, kako unutarnjim, tako i vanjskim mrežnim uslugama. Pristup korisnika mreži i mrežnim uslugama ne smije narušiti sigurnost mrežnih usluga, a to se postiže: a) sučeljem između organizacijske mreže i mreža drugih organizacija ili javnih mreža; b) prikladnim autentifikacijskim mehanizmima za korisnike i opremu; c) kontrolom pristupa korisnika informacijskim uslugama.
Kontrola Korisnici smiju imati pristup samo onim uslugama za koje su autorizirani. Implementacijske smjernice Potrebno je formulirati politiku za korištenje mreže i mrežnih usluga, koja će sadržavati: a) mreže i mrežne usluge kojima je dozvoljen pristup; b) autorizacijske procedure za utvrđivanje tko smije pristupati kojim mrežama i mrežnim uslugama; c) kontrole i procedure za zaštitu pristupa mrežnim konekcijma i uslugama; d) načine na koje se smiju upotrebljavati mrežne usluge.
Kontrola Potrebno je upotrebljavati prikladne autentifikacijske metode za kontrolu pristupa udaljenih korisnika. Implementacijske smjernice Autentifikacija udaljenih korisnika se može postići, npr. upotrebom kriptografskih tehnika, sklopovskih tokena ili upit/odgovor protokola. Procedure povratnog poziva i kontrole, npr. uporaba modema za povratno pozivanje (engl. dial back), mogu pružiti zaštitu od neželjenog pristupa informacijskim sredstvima. Čvorišna autentifikacija može poslužiti kao alternativni način autentifikacije grupe korisnika. Kriptografske tehnike, npr. one zasnovane na strojnim certifikatima, se mogu koristiti za čvorišnu autentifikaciju. Dodatne kontrole je potrebno ugraditi za kontrolu pristupa bežičnim mrežama zbog veće mogućnosti presretanja i umetanja mrežnog prometa.
Kontrola Potrebno je uzeti u obzir automatsku detekciju opreme kao način autentifikacije povezivanja sa specijalnih lokacija ili opreme. Implementacijske smjernice Identifikacija opreme se upotrebljava ako je važno da se komunikacija može inicirati samo s određenih lokacija ili opreme. Identifikator opreme se koristi kako bi se utvrdilo da li je dozvoljeno spajanje na mrežu. On jednoznačno označava na koje mreže se oprema smije spojiti. Ponekad je potrebno osigurati fizičku zaštitu opreme kako bi se osigurali identifikatori opreme. Dodatne informacije Identifikacija opreme se može primjeniti uz korisničku autentifikaciju.
Kontrola Potrebno je kontrolirati fizički i logički pristup dijagnostičkim i konfiguracijskim portovima. Implementacijske smjernice Potencijalne kontrole za zaštitu dijagnostičkih i konfiguracijskih portova uključuju uporabu zaključavanja i pripadajuće procedure za kontrolu fizičkog pristupa potrovima. Portovi, usluge i slična sredstva, instalirana na računalnu ili mrežnu opremu, koja nisu nužna za poslovnu funkcionalnost, trebaju biti uklonjena ili onemogućena. Dodatne informacije Mnogi računalni, mrežni i komunikacijski sustavi, imaju instalirane dijagnostičke i konfiguracijske portove koji služe za održavanje. Ako su nezaštićeni, mogu poslužiti za neautoriziran pristup.
Kontrola Grupe informacijskih usluga, korisnika i informacijskih sustava trebaju biti razdvojeni u mrežama. Implementacijske smjernice Jedna od metoda kontroliranja sigurnosti u velikim mrežama je podjela na logičke domene. Stupnjevito postavljanje sigurnosnih kontrola se može primjeniti na različite logičke domene da bi se još više razdvojilo mrežno sigurnosno okruženje. Domene se trebaju definirati na osnovu procjene rizika i različitih sigurnosnoh zahtjeva. Ovakav mrežni opseg se može implementirati postavljanjem sigurnosnog usmjernika između dvije mreže. Taj usmjernik treba biti konfiguriran tako da filtrira promet između domena i da blokira naovlašteni pristup u skladu s politikom kontrole pristupa. Takav usmjernik je zapravo vatrozid. Druga metoda razdvajanja logičkih domena je ograničavanje mrežnog pristupa upotrebom virtualnih privatnih mreža za grupe korisnika unutar organizacije. Kriterij za razdvajanje mreža u domene se treba zasnivati na politici kontrole pristupa i pristupnim zahtjevima, ali treba uzeti u obzir trošak i performanse mrežnog usmjeravanja. Bežične mreže je dobro razdvojiti od internih ili privatnih mreža. Ako opseg bežične mreže nije dobro definiran, tada je potrebno analizom rizika identificirati kontrole za razdvajanje mreže. Dodatne informacije Širenje mreže izvan granica organizacije povećava rizik od neautoriziranog pristupa.
Kontrola Potrebno je ograničiti mrežna povezivanja u skladu s politikom kontrole pristupa i uvjetima poslovnih aplikacija, pogotovo za one mreže koje se prostiru izvan granica organizacije. Implementacijske smjernice Prava pristupa mreži trebaju biti održavana, ažurirana i usklađena s politikom kontrole pristupa. Povezivanje korisnika se može ograničiti mrežnim usmjernicima koji filtriraju mrežni promet prema predefiniranim tablicama ili pravilima. Primjeri aplikacija za koje se primjenjuju takva ograničenja su: a) prijenos poruka, npr. elektronička pošta; b) prijenos podataka; c) interaktivni pristup; d) aplikacijski pristup.
Kontrola Potrebno je implementirati kontrolu mrežnog usmjeravanja kako bi se osiguralo da povezivanje računala i tok informacija ne djeluju protivno politici kontrole pristupa poslovnim aplikacijama. Implementacijske smjernice Kontrole usmjeravanja trebaju biti bazirane na mehanizmima provjere odredišnih i izvorišnih adresa. Ako se koriste tehnologije za prevođenje mrežnih adresa ili posrednici (engl. proxy), tada se upotrebljavaju vatrozidi u kontrolnim točkama, kako bi se validirali podaci o izvorišnim i odredišnim adresama. Dodatne informacije Djeljene mreže, osobito one koje prelaze granice organizacije, ponekad zahtjevaju dodatne kontrole usmjeravanja. Ovo se osobito odnosi na one mreže koje se dijele s trećom stranom.