第一章 网络安全测评1.1 网络全局1。1。1 结构安全a)应保证主要网络设备的业务处理能力有冗余空间,满足业务高峰期需要b)应保证网络各个部分的带宽满足业务高峰期需要;c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;d)应绘制与当前运行情况相符的网络拓扑结构图;e)应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网和网段,并根据方便管理和控制的原则为各子网、网段分配地址段f)应避开将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间实行可靠的技术隔离手段g)应根据对业务服务的重要次序来制定带宽分配优先级别,保证在网络发生拥堵时优先保护重要主机.1.1.2 边界完整性检查a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定位,并对其进行有效阻断;技术手段:网络接入控制,关闭网络设备未使用的端口、IP/MAC 地址绑定等管理措施:进入机房全程陪同、红外视频监控等b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定位,并对其进行有效阻断;1。1.3 入侵防范a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;b)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警1。1.4 恶意代码防范a)应在网络边界处对恶意代码进行检测和清除;b)应维护恶意代码库的升级和检测系统的更新1.2 路由器1。2.1 访问控制a)应在网络边界处部署访问控制设备,启用访问控制功能;能够起访问控制功能的设备有:网闸、防火墙、路由器和三层路由交换机等b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c)应对进出网络的信息内容进行过滤,实现对应用层 HTTP,FTP,TELNET,SMTP,POP3等协议命令级的控制d)应在会话处于非活跃一定时间或会话结束后终止网络连接;e)应限制网络最大流量数及网络连接数;路由器可根据 IP 地址、端口、协议来限制应用数据流的最大流量;根据 IP 地址来限制网络连接数路由器的带宽策略一般采纳分层的带宽管理机制,管理员可以通过设置细粒度的带宽策略,对数据报文做带宽限制和优先级别设定,还可以通过源地址、目的地址、用户和协议 4 个方面来限制带宽f)重要网段应实行技术手段防止地址欺骗地址欺骗中的地址可以使 MAC 地址,也可以使 IP 地址...
