信息技术安全与风险防范手册（执行版）.docxVIP

信息技术安全与风险防范手册（执行版）

第1章网络安全基础与威胁感知

1.1网络架构与边界防护策略

在构建企业级网络架构时，必须遵循纵深防御原则，将边界防护作为第一道物理防线。对于核心办公网，应部署基于下一代防火墙（NGFW）的访问控制列表（ACL），严格限制内网到互联网及外部未知域名的访问，仅开放必要的办公应用端口（如80/443/3306），其余端口一律关闭，防止横向移动。针对边界网关，需实施基于IP地址的黑客行为阻断策略，设定阈值如每分钟10次以上的ICMP扫描请求或50次/分钟的SYN包探测，一旦触发立即在防火墙层面进行丢弃并告警记录，阻断攻击者的探测入