- 1、本文档共39页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
实用文档
第一章 网络安全测评
1.1 网络全局
1.1.1 结构安全
a)应保证主要网络设备的业务处理能力有冗余空间,满足业务高峰期需要
b)应保证网络各个部分的带宽满足业务高峰期需要;
c )应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d)应绘制与当前运行情况相符的网络拓扑结构图;
e)应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网和
网段,并按照方便管理和控制的原则为各子网、网段分配地址段
f )应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之
间采取可靠的技术隔离手段
g)应按照对业务服务的重要次序来制定带宽分配优先级别,保证在网络发生拥堵时优先保
护重要主机。
1.1.2 边界完整性检查
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定位,并对其进行有效阻
断;
技术手段 :网络接入控制,关闭网络设备未使用的端口、 IP/MAC 地址绑定等
管理措施 :进入机房全程陪同、红外视频监控等
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定位,并对其进行有效
阻断;
1.1.3 入侵防范
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻
击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,记录攻击源 IP 、攻击类型、攻击目的、攻击时间,在发生严重入
侵事件时应提供报警
文案大全
实用文档
1.1.4 恶意代码防范
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新
1.2 路由器
1.2.1 访问控制
a)应在网络边界处部署访问控制设备,启用访问控制功能;
能够起访问控制功能的设备有: 网闸、防火墙、路由器和三层路由交换机 等
b)应能根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力,控制粒度为 端口级 ;
c )应对进出网络的信息内容进行过滤,实现对应用层 HTTP, FTP, TELNET, SMTP, POP3 等
协议命令级的控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
路由器可根据 IP 地址、端口、协议 来限制应用 数据流的最大流量;
根据 IP 地址 来限制 网络连接数
路由器的带宽策略一般采用 分层 的带宽管理机制,管理员可以通过设置细粒度的带宽策略,
对数据报文做 带宽限制 和 优先级别 设定, 还可以通过 源地址、 目的地址、 用户和协议 4 个方
面来限制带宽
f )重要网段应采取技术手段防止地址欺骗
地址欺骗中的地址可以使 MAC地址,也可以使 IP 地址。目前发生比较多的是 ARP地址欺骗,
ARP地址欺骗是 MAC地址欺骗的一种。 ARP(Address Resolution Protocol ,地址解析协议)
是一个位于 TCP/IP 协议栈中的低层协议,负责将某个 IP 地址解析成对应的 MAC地址。
ARP欺骗分为 2 种,一种是对网络设备 ARP表的欺骗,另一种是对内网 PC的网关欺骗。
解决方法: 1 在网络设备中把所有 PC的 IP-MAC 输入到一个静态表中,这叫 IP-MAC 绑定;
2. 在内网所有 PC上设置网关的静态 ARP信息,这叫 PC IP-MAC 绑定。
一般要求 2 个工作都要做,称为 IP-MAC 双向绑定
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,
控制粒度为单个用户
h)应限制具有拨号访问权限的用户数量
文案
文档评论(0)