一、网络安全体系架构
1、区域划分原则
包含六大原则:业务保障原则、适度安全原则、结构简化原则、等级保护原则、立体协防原则、生命周期原则。
2、传统IT网络安全区域划分
安全区域设置比如远程用户接入区、DMZ服务器区、核心网络区、安全管理区、业务服务器区、业务终端区、共享交换区、专网接入区。
二、网络通信安全
1、基于专网的广域网传输安全
需在整个传输链路中有相关的传输加密,符合等保通信传输加密的相关要求。
2、基于互联网的广域网传输安全
基于互联网的广域网传输安全存在数据传输过程中可能被篡改、敏感数据发生泄漏等风险。可通过部署SSL VPN实现远程用户的安全访问。
三、与等级保护合规技术要求对标
技术设计方案和等级保护合规技术要求对标表如下:
网络架构 | a)应保证网络设备的业务处理能力满足业务高峰期需要; | 满足网络设备、安全设备的性能要求。 |
b)应保证网络各个部分的带宽满足业务高峰期需要; | 关键网络设备、安全设备性能、带宽管理,可检查网管系统。 | |
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; | 防火墙区域隔离、网络设备VLAN划分以及网络机构的安全区域划分。 | |
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; | 内部网络区域之间的访问控制以及物理隔离、逻辑隔离手段。 | |
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 | 主干(关键)链路、关键网络设备、安全设备的冗余部署(如堆叠、双机热备等) | |
通信传输 | a)应采用校验技术或密码技术保证通信过程中数据的完整性; | VPN设备、加密机、加密认证网关等 |
b)应采用密码技术保证通信过程中数据的保密性。 | VPN设备、加密机、加密认证网关等 | |
可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | 如基于TCM安全芯片的系统启动度量和验证。 |
