《网络安全保障措施》 fanwen.wenku1.com(15)
时间:2017-08-24 23:44 来源:网络整理 作者:墨客科技 点击:次
(1)新系统应基于现有安全技术和投资水平。新的安全系统必须基于现有投资水平和在主机型安全系统(HBSS)方面的经验。实践证明,当前的能力仍然适用。重新打造一个全新的安全系统,可能会增加数亿美元的成本,并耗费大量时间,甚至有可能增加新的漏洞。 (2)创建一个单一的安全架构。这个架构必须消除烟囱式结构(即相互之间不能互通),减少接入点,加强网络管理,确保配置控制和升级的协调性,提供端到端态势感知,建立信息共享机制,并有效侦测和缓解威胁。 (3)为新的架构建立一个全局系统管理体制。鉴于国防信息网络规模庞大,高复杂性和不断变化的特性,新的安全系统必须具备全局系统管理体制,从而确保对配置进行控制,并强化整个网络的安全功能。系统管理体制也将有助于国防部提高企业的整体效率和服务的有效性,以及安全性。此外,单一管理体制将支持资源的有效配置,避免冗余。 (4)制定发展计划,使系统可根据威胁的变化进行升级。国防部必须提出与时俱进、能力更强的网络解决方案。原因在于:首先,国防部面临的网络威胁不断变化;其次,网络设计、管理策略和新技术正快速发展。 (5)提高新架构应对威胁的自动化能力。网络安全的关键在于反应速度,在于是否能及时检测到异常、及时分析潜在威胁并缓解攻击造成的影响,以及减少对手反应时间。美国国防信息网络过于庞大,加上网络攻击技术的日益成熟,难以提供所需的态势感知和响应能力。因此,国防部必须广泛使用自动检测和响应系统,以及威胁预防自适应机制。 (6)利用商业市场的力量。国防部必须借助商业研发的力量,利用商业公司的成熟技术和服务,以减少网络安全的成本,提高安全工作的整体有效性。此外,在网络安全方面,国防部需要尽可能采购商用现货产品,学习私营企业的用人机制,以及在降低人力成本等方面的做法。 (来源:防务视点,作者:吴海) 网络安全保障措施 网络安全保障措施 为了全面确保本公司网络安全,在本公司网络平台解决方案设计中,主要将基于以下设计原则: 1. 各系统网络设备当前运行配置文件应和备份配置文件保持一致。 2. 网络设备登录提示标识应适当屏蔽内部网络信息内容,并应有相关合法性警告信息。 3. 通过设备日志或外部认证设备维护对设备的登录状况,内容应当包括访问登录时间,人员,成功登录和失败登录时间和次数等信息。 4. 严格控制对网络设备的管理授权。按照最小权限原则对用户进行授权。 5. 各系统网络设备的密码应严格按照《账号、口令及权限管理办法》执行。 6. 严禁管理员透漏设备口令、SNMP字符串、设备配置文件等信息给未授权人员。 7. 所有网络必须具有关于拓扑结构、所用设备、链路使用情况等关于网络情况的详细说明文档,并保持文档内容和现有网络、设备连接和链路信息保持一致。 8. 对重要区域实行冷备份与热备份相结合的方式,避免双重失效造成的影响。 9. 重要系统在网络上传输机密性要求高的信息时,必须启用可靠的加密算法保证传输安全。 10. 由统一的IP地址管理机构、人员负责对IP地址进行规划、登记、维护和分配。确保部门有足够的地址容量并有一定的冗余供扩展使用,并及时关闭和回收被废止的地址。 11. 未经公司信息安全组织批准,测试网络与公司内部网络不能直接连接。 12. 未经公司信息安全组织批准,严禁员工私自设立拨号接入服务。 13. 未经公司信息安全组织批准,严禁员工通过拔号方式对外部网络进行访问。 14. 所有的远程访问必须具备身份鉴别和访问授权控制,至少应采用用户名/口令方式,通过Internet的远程接入访问必须通过VPN的连接,并启用VPN的加密与验证功能。 15. 不同安全区域之间应采用防火墙,路由器访问控制列表等方式对边界进行保护。只开放必要的服务和端口,减少暴露在网络外部的风险。 16. 根据业务变化及时检验更新现有的防火墙配置策略,满足新的安全需求。 17. 采取逻辑或物理隔离方法对网络采取必要的隔离措施,以维护不同网络间信息的机密性,解决网络信息分区传输的安全问题。 18. 网络中各设备应开启日志记录功能,对网络使用情况进行记录。 19.关闭不必要的端口,比如tcp 135 ,139,445,593,1025端口和udp135,137,138,445 端口,以及一些流行病毒的后门端口,如tcp 2745,3127,6129端口,以及远程服务访问端口3389都需要以解除隐患。 (责任编辑:admin) |
- 上一篇:浅谈网络安全防范措施
- 下一篇:《网络安全法》 fanwen.wenku1.com