文章目录
文字描述
安全通信网络
网络架构
1)应保证网络设备的业务处理能力满足业务高峰期需要。
2)应保证网络各个部分的带宽满足业务高峰期需要。
3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
4)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
5)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
通信传输
6)应采用校验技术或密码技术保证通信过程中数据的完整性。
7)应釆用密码技术保证通信过程中数据的保密性。
可信验证
8)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全区域边界
边界防护
1)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
2)应能够对非授权设备私自联到内部网络的行为进行检查或限制。
3)应能够对内部用户非授权联到外部网络的行为进行检査或限制。
4)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
访问控制
5)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接□拒绝所有通信。
6)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
7)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进岀。
8)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
9)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
入侵防护
10)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
11)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
12)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
13)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
恶意代码和垃圾邮件防范
14)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
15)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
安全审计
16)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
17)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
18)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
19)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
可信验证
20)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全通信网络-思维导图
3个控制点,8条检测要求
安全区域边界
6个控制点,20条检测要求
边界防护、访问控制、入侵防范
恶意代码和垃圾邮件防范、安全审计、可信验证
版权归原作者 移动安全星球 所有, 如有侵权,请联系我们删除。