1. <em id="lcxa8"><tr id="lcxa8"></tr></em>

          您好,請登錄或注冊會員中心

          網絡安全

          結構安全:劃分不同安全域


          應保證主要網絡設備的業務處理能力具備冗余空間,滿足業務高峰期需要;

          應保證網絡各個部分的帶寬滿足業務高峰期需要;

          應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑;(強制性訪問控制列表)

          應避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取可靠的技術隔離手段;(網閘安全隔離)

          應按照對業務服務的重要次序來指定帶寬分配優先級別,保證在網絡發生擁堵的時候優先保護重要主機。(應用交付-鏈路負載均衡器)


          訪問控制:下一代防火墻、網閘隔離系統


           應在網絡邊界部署訪問控制設備,啟用訪問控制功能;

          應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;

          應對進出網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制;

          應在會話處于非活躍一定時間或會話結束后終止網絡連接;

          應限制網絡最大流量數及網絡連接數;

          重要網段應采取技術手段防止地址欺騙;

          應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶;

          應限制具有撥號訪問權限的用戶數量。


          安全審計-綜合日志審計


          應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;

          審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

          應能夠根據記錄數據進行分析,并生成審計報表;

          應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。


          邊界完整性檢查-網絡準入控制


          應能夠對非授權設備私自聯到內部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷;

          應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。


          入侵防范-入侵防護/檢測系統


          應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等;

          當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。


          惡意代碼防范-防病毒網關


          應在網絡邊界處對惡意代碼進行檢測和清除;

          應維護惡意代碼庫的升級和檢測系統的更新。


          網絡設備防護-運維審計堡壘機


          應對登錄網絡設備的用戶進行身份鑒別;

          應對網絡設備的管理員登錄地址進行限制;

          網絡設備用戶的標識應唯一;

          主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;

          身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換;

          應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施;

          當對網絡設備進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽;

          應實現設備特權用戶的權限分離。


          1472190487120691.png






          > 贵州十一选五历史记录