7個控制點

結構安全
訪問控制
安全審計
邊界完整性檢查
入侵防范
惡意代碼防范
網絡設備防護

結構安全

a)應保證主要網絡設備的業務處理能力**具備冗余空間**,滿足業務高峰期需要b)應保證網絡各個部分的**帶寬滿足業務高峰期**需要;)應在業務終端與業務服務器之間進行**路由控制**建立安全的訪問路徑;d)應繪制與當前運行情況相符的**網絡拓撲結構圖**e)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網或網段,并按照**方便管理和控制的原則**為各子網、網段分配地址段f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取**可靠的技術**隔離手段;g)應按照對業務服務的重要次序來指定**帶寬分配優先級別**,保證在網絡發生擁堵的時候優先保護重要主機。

訪問控制

a)應在網絡邊界部署**訪問控制設備**,啟用**訪問控制功能**b)應能根據會話狀態信息為數據流提供明確的**允許/拒絕訪問的能力**,控制粒度為端口級c)應對進出網絡的信息**內容進行過濾**,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制d)應在會話處于**非活躍一定時間或會話結束后終止網絡連接**e)應限制網絡**最大流量數及網絡連接數**f)重要網段應采取技術手段**防止地址欺騙**g)應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶h)應限制具有撥號**訪問權限的用戶數量**。

安全審計

a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;b)審計記錄應包括:事件的**日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息**c)應能夠根據記**錄數據進行分析,并生成審計報表**d)應對審計記錄進行**保護**,避免受到未預期的刪除、修改或覆蓋等

邊界完整性檢查

a)應能夠對非授權設備私自聯到內部網絡的**行為進行檢查**,準確定岀位置,并對其進行**有效阻斷**;b)應能夠對內部網絡用戶私自聯到外部網絡的行為**進行檢查**,準確定岀位置,并對其進行有**效阻斷**

入侵防范

a)應在網絡邊界處**監視以下攻擊行為**:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等b)當檢測到攻擊行為時,**記錄**攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應**提供報警**

惡意代碼防范

a)應在網絡邊界處對惡意代碼進行檢測和清除;b)應維護惡意代碼庫的升級和檢測系統的更新。

網絡設備防護

a)應對登錄網絡設備的用戶進行**身份鑒別**b)應對網絡設備的管理員**登錄地址進行限制**C)網絡設備用戶的**標識應唯一**d)主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行**身份鑒別**e)身份鑒別信息應具有不易被冒用的特點,口令應有**復雜度要求并定期更換;**f)應具有**登錄失敗處理功能**,可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施g)當對網絡設備進行**遠程管理時,**應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽h)應實現設備**特權用戶**的權限分離。

摘抄

---

人有時候真是奇怪，選擇了的會后悔，

放棄了的會遺憾，但完美只能是一種理想，

而不可能是一種存在。

– 山本文緒

---