安全设备/系统
(文章来源:墨者安全科技)
网络和通信安全风险的来源主要从网络和安全设备硬件、软件和网络通信协议三个方面进行识别。网络和安全设备作为网络通信的基础设施,其硬件性能、可靠性和网络结构设计在一定程度上决定了数据传输的效率。带宽或硬件性能不足会导致高延迟、服务稳定性差等风险,但也更容易因拒绝服务攻击而造成服务中断的严重影响。
不合理的架构设计,如设备单点故障,可能导致严重的可用性问题。网络通信协议带来的风险更多地体现在协议层的设计缺陷上。虽然事件发生的概率很低,但是一旦安全研究人员发现了这些缺陷,特别是安全通信协议,它们可能会对网络安全产生严重影响。
信息系统网络建设以维护用户网络活动的保密性、网络数据传输的完整性和应用系统可用性为基本目标。在网络架构安全层面上,在传输通路层面上,在网络设备层面上,在边界防护层面上以及在入侵防范层面上都有些特定的要求。
(1)网络架构要求:应保证网络设备的业务处理能力满足业务高峰期需要;应保证网络各个部分的带宽满足业务高峰期需要;应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;应避免将重要网络区域部署在网络边界处且没有边界防护措施;应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。
(2)通信传输要求:应采用校验码技术或加解密技术保证通信过程中数据的完整性;应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。
(3)访问控制要求:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外,受控接口拒绝所有通信;应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的功能,控制粒度为端口级;应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
(4)入侵防范要求:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
(5)集中管控要求:应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;应对分散在各个设备上的审计数据进行收集汇总和集中分析;应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;应能对网络中发生的各类安全事件进行识别、报警和分析。
(责任编辑:fqj)
全部0条评论
快来发表一下你的评论吧 !