網絡和(hé)通(tōng)信安全有(yǒu)哪些(xiē)要(yào)求≤✔？

網絡和(hé)通(tōng)信安全風(fēng)險的(de)來(l↔ ∞ái)源主要(yào)從(cóng)網絡和(hé)安全設備硬件(jiàn)、軟 '₩←件(jiàn)和(hé)網絡通(tōng)信協議(yì)三個(gè)方面進行(↓€xíng)識别。網絡和(hé)安全設備作(zuò)為(wèi)網絡通(t‌≈☆​ōng)信的(de)基礎設施，其硬件(jiàn)性能(néng)'↓、可(kě)靠性和(hé)網絡結構設計(jì)在一(yī)定程度上(♣ §αshàng)決定了(le)數(shù)據傳​>‌÷輸的(de)效率。帶寬或硬件(jiàn)性能(néng$♣)不(bù)足會(huì)導緻高(gāo)延遲、服務穩定性差等風(fēng)險×↓‍γ，但(dàn)也(yě)更容易因拒絕服務攻擊而造成服務中斷的(de)嚴重€ε∑影(yǐng)響；不(bù)合理(lǐ)的(de)架構設計(jì)，如(rú)↕•設備單點故障，可(kě)能(néng)導緻嚴∞σ&重的(de)可(kě)用(yòng)性問(wèn)題。網絡通(tōng)信☆↕≥§協議(yì)帶來(lái)的(de)風(fēng)險更多(duō)地(<₹¥dì)體(tǐ)現(xiàn)在協議(yì)層的(de)設計(jì)缺陷上(s♣‌hàng)。雖然事(shì)件(jiàn)發生(shēng)的(de)±£&¶概率很(hěn)低(dī)，但(dàn)是(shì)一(₹§®↕yī)旦安全研究人(rén)員(yuán)發現(xiàn)了(¶✔Ω≠le)這(zhè)些(xiē)缺陷，特别是(shì)<☆安全通(tōng)信協議(yì)，它們可(kě)能(néng)會(hu™♥ì)對(duì)網絡安全産生(shēng)嚴重影(yǐng)響。  
信息系統網絡建設以維護用(yòng)戶網絡活動的(de)保密性 ₹₩$、網絡數(shù)據傳輸的(de)完整性和(hπφé)應用(yòng)系統可(kě)用(yòng)性為(wè∞∞i)基本目标。在網絡架構安全層面上(shàng)，在傳輸•δΩ通(tōng)路(lù)層面上(shàng)，在網絡設備層面≤✘✔上(shàng)，在邊界防護層面上(shàng)以"$ <及在入侵防範層面上(shàng)都(dōu)有(yǒu)些(xiē)特定的(d♥♣∑¥e)要(yào)求。
 
（1）網絡架構要(yào)求
 
1）應保證網絡設備的(de)業(yè)務處理(lǐ)能(néng)↔÷↑♦力滿足業(yè)務高(gāo)峰期需要(yào)；
2）應保證網絡各個(gè)部分(fēn)的(de↔π×↔)帶寬滿足業(yè)務高(gāo)峰期需要(yào)；
3）應劃分(fēn)不(bù)同的(de)網絡區(qū)域，并按照(zhào✔€)方便管理(lǐ)和(hé)控制(zhì)​Ω♣的(de)原則為(wèi)各網絡區(qū)域分(fēn)配地(dì)址∏"←♦；
4）應避免将重要(yào)網絡區(qū)域部署在網絡邊界處且沒有(yǒu)邊界‌&σσ防護措施；
5）應提供通(tōng)信線路(lù)、關鍵網絡設備的(‍≠de)硬件(jiàn)冗餘，保證系統的(de)可(kě)用(yòng)性。∑ ≈
 
（2）通(tōng)信傳輸要(yào)求
 
1）應采用(yòng)校(xiào)驗碼技(jì)術(shù¶®☆)或加解密技(jì)術(shù)保證通(tōng)信過程中數(β✘∑>shù)據的(de)完整性；
2）應采用(yòng)加解密技(jì)術(shù)保證通(tōng)信↓↕過程中敏感信息字段或整個(gè)報(bào)文(wén)的(de)保密性↓→。
 
（3）訪問(wèn)控制(zhì)要(yào)求
 
1）應在網絡邊界或區(qū)域之間(jiān)根據訪問(wèn)控制(z₩​hì)策略設置訪問(wèn)控制(zhì)規則，默認情₹₹≤況下(xià)除允許通(tōng)信外(wài)，受控接口拒絕∏σΩ所有(yǒu)通(tōng)信；
2）應删除多(duō)餘或無效的(de)訪問(wèn)控®♣✔ 制(zhì)規則，優化(huà)訪問(wèn)控制(↑♣✔₩zhì)列表，并保證訪問(wèn)控制(zhì)規則☆☆‌數(shù)量最小(xiǎo)化(huà$Ω)；
3）應對(duì)源地(dì)址、目的(de)地(dì)址、源€•端口、目的(de)端口和(hé)協議(yì)等進行(xíng)檢查•β"，以允許/拒絕數(shù)據包進出；
4）應能(néng)根據會(huì)話(huà)狀态信息為(wèi)進出數(s →♦ hù)據流提供明(míng)确的(de)允許/拒絕訪問(wèn÷€ε‌)的(de)功能(néng)，控制(zhì)粒度為(wèi)>φ端口級；
5）應在關鍵網絡節點處對(duì)進出網絡的(de)信息內(nèi≥δ)容進行(xíng)過濾，實現(xiàn)對(duì)內(n ₽λèi)容的(de)訪問(wèn)控制(zhì)。
 
（4）入侵防範要(yào)求
 
1）應在關鍵網絡節點處檢測、防止或限制(zhì)從(cóng✘&₽∑)外(wài)部發起的(de)網絡攻擊行(xíng)☆"為(wèi)；
2）應在關鍵網絡節點處檢測、防止或限制(zhì≥₽‍σ)從(cóng)內(nèi)部發起的(de)網σφ絡攻擊行(xíng)為(wèi)；
3）應采取技(jì)術(shù)措施對(duì)網絡行(xí®±‍ng)為(wèi)進行(xíng)分(f ←ēn)析，實現(xiàn)對(duì)網絡攻擊特别是(shì)未知(zhī≥πΩ)的(de)新型網絡攻擊的(de)檢測和(hé)分(fδ≠≥ēn)析；
4）當檢測到(dào)攻擊行(xíng)為(wèi)時(shí)，記'∞錄攻擊源IP、攻擊類型、攻擊目的(de)、攻擊時(shí)間(jiλ™♣÷ān)，在發生(shēng)嚴重入侵事(shì)件(jiàn©&££)時(shí)應提供報(bào)警。
 
（5）集中管控要(yào)求
 
1）應劃分(fēn)出特定的(de)管理(×∏φ$lǐ)區(qū)域，對(duì)分(fēn)布在網絡中的(de)安全✘€₽設備或安全組件(jiàn)進行(xíng)管控；
2）應能(néng)夠建立一(yī)條安全的(deλ₽×)信息傳輸路(lù)徑，對(duì)網絡中的(de)安全設備或‍ ©​安全組件(jiàn)進行(xíng)管理(l↑×λǐ)；
3）應對(duì)網絡鏈路(lù)、安全ε ​設備、網絡設備和(hé)服務器(qì)等的(de↔≈)運行(xíng)狀況進行(xíng)集中監測；
4）應對(duì)分(fēn)散在各個(gè)設備上(  shàng)的(de)審計(jì)數(shù)據進行(xíng)✘₽收集彙總和(hé)集中分(fēn)析；
5）應對(duì)安全策略、惡意代碼、補丁升級等★¥ &安全相(xiàng)關事(shì)項進行×$  (xíng)集中管理(lǐ)；
6）應能(néng)對(duì)網絡中發生(shēng)的(de)各類安全事Ωγ(shì)件(jiàn)進行(xíng)識别、報(bào)警和(>€δhé)分(fēn)析。