没有合适的资源?快使用搜索试试~ 我知道了~
消防安全系统检查评估【如何评估网络系统的安全】.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 117 浏览量
2023-03-15
16:15:17
上传
评论
收藏 703KB PDF 举报
温馨提示
试读
23页
消防安全系统检查评估【如何评估网络系统的安全】.pdf消防安全系统检查评估【如何评估网络系统的安全】.pdf消防安全系统检查评估【如何评估网络系统的安全】.pdf消防安全系统检查评估【如何评估网络系统的安全】.pdf消防安全系统检查评估【如何评估网络系统的安全】.pdf
资源推荐
资源详情
资源评论
消防安全系统检查评估【如何评估网络系统的安全】
网络系统的安全程度同样符合木桶原理,即最终的安全性取决
于网络中最弱的一个环节。本文系统地对网络架构的各个安全点进行
了分析,同时针对性地介绍了降低这些安全点风险的方案和措施。
各种网络安全事故频发使得各个组织对信息安全的重视程度逐
渐提高,同时各种专门提供网络安全服务的企业也应运而生。然而,
目前大多安全服务都是以主机的安全评估、系统加固、应急响应、应
用安全防护、管理层面的安全策略体系制订、应用安全防护、安全产
品集成等为主,对于网络架构的安全评估却很少。综观近几年来互连
网上不断出现的病毒蠕虫感染等安全事件,不少是由于对网络架构安
全的忽视导致了大范围的传播和影响。xx 年的 27 号文件――《国家
信息化领导小组关于加强信息安全保障的文件》下发后,对信息系统
安全域划分、等级保护、信息安全风险评估、等级保障等需求愈来愈
迫切,而做好安全域划分的关键就是对网络架构安全的正确分析。
信息系统的网络架构安全分析是通过对整个组织的网络体系进
行深入调研,以国际安全标准和技术框架为指导,全面地对网络架构、
网络边界、网络协议、网络流量、网络 QoS、网络建设的规范性、网
络设备安全、网络管理等多个方面进行深入分析。
网络架构分析
网络架构分析的主要内容包括根据 IATF 技术框架分析网络设
计是否层次分明,是否采用了核心层、汇聚层、接入层等划分原则的
网络架构(划分不规范不利于网络优化和调整); 网络边界是否清晰,
是否符合 IATF 的网络基础设施、边界/外部连接、计算环境、支撑基
础设施的深度防御原则(边界不清晰不便于安全控制)。应考虑的安
全点主要有:
1. 网络架构设计应符合层次分明、分级管理、统一规划的原则,
应便于以后网络整体规划和改造。
2. 根据组织实际情况进行区间划分,Inter、Intra 和 Extra
之间以及它们内部各区域之间结构必须使网络应有的性能得到充分
发挥。
3. 根据各部门的工作职能、重要性、所涉及信息等级等因素划
分不同的子网或网段。
4. 网络规划应考虑把核心网络设备的处理任务分散到边缘设
备,使其能将主要的处理能力放在对数据的转发或处理上。
5. 实体的访问权限通常与其真实身份相关,身份不同,工作的
内容、性质、所在的部门就不同,因此所应关注的网络操作也不同,
授予的权限也就不同。
6. 网络前期建设方案、网络拓扑结构图应和实际的网络结构一
致; 所有网络设备(包括交换机、路由器、防火墙、IDS 以及其他网
络设备)应由组织统一规划部署,并应符合实际需求。
7. 应充分考虑 Inter 接入的问题,防止出现多 Inter 接入点,
同时限制接入用户的访问数量。
8. 备份也是需要考虑的重要因素,对广域网设备、局域网设备、
广域网链路、局域网链路采用物理上的备份和采取冗余协议,防止出
现单点故障。
网络边界分析
边界保护不仅存在于组织内部网络与外部网络之间,而且也存
在于同一组织内部网络中,特别是不同级别的子网之间边界。有效的
边界防护技术措施主要包括网络访问控制、入侵防范、网关防病毒、
信息过滤、网络隔离部件、边界完整性检查,以及对于远程用户的标
识与鉴别/访问控制。边界划分还应考虑关键业务系统和非关键业务
系统之间是否进行了分离,分离后各业务区域之间的逻辑控制是否合
理,业务系统之间的交叠不但影响网络的性能还会给网络带来安全上
的隐患。应考虑的安全点主要有:
1. Inter、Intra 和 Extra 之间及它们内部各 VLAN 或区域之间
边界划分是否合理; 在网络节点(如路由器、交换机、防火墙等设备)
互连互通应根据实际需求进行严格控制; 验证设备当前配置的有效
策略是否符合组织确定的安全策略。
2. 内网中的安全区域划分和访问控制要合理,各 VLAN 之间的
访问控制要严格,不严格就会越权访问。
3. 可检查网络系统现有的身份鉴别、路由器的访问控制、防火
墙的访问控制、NAT 等策略配置的安全性; 防止非法数据的流入; 对
内防止敏感数据(涉密或重要网段数据)的流出。
4. 防火墙是否划分 DMZ 区域; 是否配置登录配置的安全参数。
例如: 最大鉴别失败次数、最大审计存储容量等数据。
5. 网络隔离部件上的访问通道应该遵循“默认全部关闭,按需
求开通的原则”; 拒绝访问除明确许可以外的任何一种服务,也就是
拒绝一切未经特许的服务。
6. 实现基于源和目的的 IP 地址、源和目的端口号、传输层协
议的出入接口的访问控制。对外服务采用用户名、IP、MAC 等绑定,
并限制变换的 MAC 地址数量,用以防止会话劫持、中间人攻击。
7. 对于应用层过滤,应设置禁止访问 Java Applet、ActiveX
等以降低威胁。
8. 采用业界先进的安全技术对关键业务系统和非关键业务系
统进行逻辑隔离,保证各个业务系统间的安全性和高效性,例如: 采
用 MPLS-VPN 对各业务系统间逻辑进行划分并进行互访控制。
9. 必要时对涉密网络系统进行物理隔离; 实现 VPN 传输系统;
对重要网络和服务器实施动态口令认证; 进行安全域的划分,针对不
同的区域的重要程度,有重点、分期进行安全防护,逐步从核心网络
剩余22页未读,继续阅读
资源评论
hhappy0123456789
- 粉丝: 59
- 资源: 5万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- java-leetcode面试题解Stack之第155题最小栈-题解.zip
- java-leetcode面试题解Stack之第150题逆波兰表达式求值-题解.zip
- HeroBG1101_Lv1.unity3d
- java-leetcode面试题解Stack之第71题简化路径-题解.zip
- java-leetcode面试题解Stack之第42题接雨水-题解.zip
- matlab绘制椭圆阵列
- 电商基础秒杀项目-springboot开发
- java-leetcode面试题解Stack之第20题有效的括号-题解.zip
- 基于TP4056芯片MICRO USB接口 充电模块pads+及转AD版 PCB文件.zip
- BTS432 芯片规格书
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功