整理当前数据库安全现状及其安全审计
数据库安全防护与审计策略
数据库安全防护与审计策略数据库在现代信息系统中扮演着至关重要的角色,它们存储了企业和个人的关键信息,包括客户数据、财务记录和交易历史等。
因此,保护数据库的安全和完整性变得尤为重要。
本文将探讨数据库安全防护与审计策略,旨在帮助读者了解如何有效地保护数据库免受潜在威胁。
一、数据库安全防护策略1. 强密码策略对于数据库的登录账号和管理员密码,应实行强密码策略。
强密码应包含字母、数字和特殊字符,并具有一定的复杂性。
此外,密码应定期更换,以保证安全性。
2. 用户权限管理数据库用户应根据其职责进行分级,只授予其最低限度的权限以执行其职能。
管理员应定期审查和更新用户权限,及时撤销不再需要的权限。
3. 数据加密对于存储在数据库中的敏感数据,如密码和个人身份信息等,应进行加密。
加密可以防止未经授权的访问者获取和使用这些信息。
4. 防火墙和网络隔离在数据库服务器和外部网络之间设置防火墙,限制来自外部的非法访问。
此外,数据库服务器应与其他服务器隔离,以避免其他服务器受到数据库安全漏洞的影响。
5. 定期备份和恢复数据库应进行定期备份,以防止数据丢失或损坏。
备份数据应存储在不同的位置,以防止单点故障。
此外,恢复测试应定期进行,以确保备份数据的可靠性和可用性。
二、数据库安全审计策略1. 监控和日志记录数据库应设立审计日志,记录所有的数据库活动。
监控和分析这些日志能够帮助发现潜在的安全威胁和异常行为,并及时采取措施。
2. 异常检测和实时警报建立实时监控系统,对数据库活动进行监测和分析。
当发现异常行为时,系统应能够及时发出警报,以便管理员采取相应的措施。
3. 审计数据分析对数据库的审计日志进行定期分析,以了解数据库的使用状况和潜在的安全问题。
通过审计数据分析,可以及时发现和解决安全漏洞。
4. 审计报告和合规性建立定期的审计报告和合规性检查机制,以确保数据库的安全性和合规性。
同时,及时解决审计报告中的问题,并持续改进数据库安全措施。
数据库安全审计与监管
数据库安全审计与监管数据库安全是保护数据库系统中的数据免受未授权访问、数据泄露和数据损坏等威胁的过程。
随着数据库系统的广泛应用和数字化环境的不断发展,数据库安全问题越来越受到重视。
为了确保数据库的安全性,数据库安全审计与监管成为一项重要的工作。
一、数据库安全审计数据库安全审计是对数据库系统中的活动和事件进行监测、收集和分析的过程。
通过审计,可以检测和排查潜在的安全漏洞,发现异常行为和未授权的访问,并及时采取相应的措施保护数据的安全。
1. 日志审计日志审计是数据库安全审计的核心环节。
数据库系统会自动生成各种类型的日志,包括登录日志、操作日志、安全日志等,通过对这些日志进行分析,可以查看用户的访问行为和操作,判断是否存在异常情况。
日志审计可以帮助发现数据库被非法用户登录或者恶意操作的情况,有助于及时采取应对措施。
2. 异常检测除了对日志进行审计,还可以通过异常检测来识别潜在的安全风险。
异常检测可以通过对数据库系统的行为和性能进行监测,发现异常的操作或者性能下降,及时采取措施修复漏洞和提高数据库系统的安全性。
3. 安全策略审计数据库安全审计还需要对安全策略进行审计。
安全策略包括密码策略、权限管理策略、备份策略等,通过审计这些安全策略的合规性和执行情况,可以及时调整和优化安全策略,提高数据库的安全性。
二、数据库安全监管数据库安全监管是对数据库系统的安全性进行持续监测和评估的过程。
通过安全监管,可以及时发现和解决数据库系统中的安全问题,提高数据库系统的整体安全水平。
1. 安全策略管理安全策略管理是数据库安全监管的重要环节。
通过对数据库系统中的安全策略进行管理,包括权限管理、密码管理、备份与恢复管理等,可以提高数据库系统的抵御风险能力,加强对敏感数据的保护。
2. 安全漏洞扫描数据库系统中存在着各种各样的安全漏洞,例如未及时打补丁、配置错误等。
通过安全漏洞扫描,可以全面地检查数据库系统的安全漏洞,并及时采取相应的修复措施,提高系统的安全性。
数据库安全策略与安全审计
数据库安全策略与安全审计随着信息技术的不断发展,数据库安全问题愈发引起人们的重视。
作为信息系统的基础和核心,数据库面临着来自内部和外部的安全威胁。
为了确保数据库的安全性,采取适当的安全策略并进行安全审计变得至关重要。
一、数据库安全策略数据库安全策略是一系列措施和技术,用于保护数据库免受非法访问、恶意攻击和数据泄露的威胁。
下面将介绍几个重要的数据库安全策略。
1. 强密码策略为了防止密码猜测和强制破解,数据库应强制使用强密码。
强密码应该包含大小写字母、数字和特殊字符,并且长度应大于8位。
此外,用户密码应定期更换,避免重复使用。
2. 用户权限管理数据库用户权限的管理非常重要。
只有经过授权的用户才能访问敏感数据和执行特定的数据库操作。
管理员应根据不同用户的职责和需求,分配相应的权限,避免滥用和访问控制上的漏洞。
3. 数据加密数据库中存储的数据可能包含敏感信息,如个人身份信息、财务数据等。
通过对数据进行加密,即使数据库被非法访问,攻击者也无法读取和利用数据。
应采用合适的加密算法和密钥管理机制来保护数据的机密性。
4. 定期备份与恢复数据库备份是防止数据丢失的重要手段。
定期进行全量备份和增量备份,并将备份数据存储在独立的地理位置,以防止自然灾害和硬件故障。
同时,定期测试和验证备份的可恢复性,保证在发生问题时能够及时恢复数据。
5. 漏洞管理数据库供应商和社区经常发布安全补丁和更新。
及时安装这些补丁以修复发现的漏洞,可以有效减少数据库系统受攻击的风险。
此外,安全团队应对数据库进行持续漏洞扫描和监测,及时发现和解决潜在的安全问题。
二、数据库安全审计数据库安全审计是对数据库活动进行监控和审查的过程,以确保数据库的合规性和安全性。
安全审计可以追踪数据库的访问记录和操作记录,发现异常行为和潜在的安全风险。
下面介绍常见的数据库安全审计技术。
1. 审计日志数据库系统应启用审计日志功能,记录用户活动和数据库操作,如登录、查询、修改、删除等。
数据安全监控审计报告
数据安全监控审计报告尊敬的领导:根据要求,我对公司的数据安全进行了监控审计,并得出以下结论和建议。
1. 数据安全现状:经过对公司数据安全措施的审查,发现目前公司的数据安全情况较为薄弱。
首先,我们的网络安全措施存在漏洞,未能完全保护公司的敏感数据。
其次,员工对数据安全意识的培养不够,缺乏必要的培训和教育。
最近还发生了一起数据泄露的事件,这给公司的信誉和竞争力造成了负面影响。
2. 数据安全风险:目前存在的数据安全风险主要包括:网络攻击和黑客入侵、数据泄露、病毒和恶意软件的传播等。
这些风险可能导致公司的重要数据被窃取、篡改或破坏,造成公司经济损失和商业竞争力的下降。
3. 数据安全措施建议:为了提高公司的数据安全水平,我建议采取以下措施:3.1 加强网络安全防护:更新和升级公司的网络安全设备和软件,构建完善的防火墙和入侵检测系统,加强对公司网络的监控和管理。
3.2 加强员工教育和培训:组织定期的数据安全培训,提高员工对数据安全的意识和知识,教育员工遵守公司的数据安全政策和规定,减少不必要的安全风险。
3.3 加强数据备份和恢复:定期备份公司重要数据,并确保备份数据的安全性和可靠性。
建立快速恢复系统,以便在发生数据丢失或破坏的情况下能够迅速恢复数据,并最大程度地减少影响。
3.4 加强安全审计和监控:建立完善的数据安全审计机制,定期对公司的数据安全进行检查和评估,及时发现和解决潜在的安全问题,保护公司的数据安全。
4. 数据安全监控和审计计划:为了持续改进和保障公司的数据安全,我建议制定一个数据安全监控和审计计划,包括以下内容:4.1 制定数据安全审计指南和标准,规范数据安全审计的程序和方法。
4.2 定期对公司的数据安全进行审计,发现安全隐患并提出改进措施。
4.3 建立数据安全监控系统,实时监测公司的数据安全状况,并及时响应安全事件。
综上所述,公司目前的数据安全状况较为脆弱,存在一定的风险。
为了保护公司的数据安全,我们应该加强网络安全防护、加强员工教育和培训、加强数据备份和恢复以及加强安全审计和监控。
数据库审计技术
一、数据库现状及安全威胁
一、数据库现状及安全威胁
十大数据库安全威胁
权限滥用 弱鉴权机制
权限提升
身份验证不足
拒绝服务
平台漏洞
通信协议漏洞
SQL 注入 审计记录不足 备份数据暴露
一、数据库现状及安全威胁
数据库管理存在问题: 无法有效分析数据来源,做到快速定位。 对关键数据的访问无记录,出现事故无法追踪。
三、应用场景部署-多级分布式管理
三、应用场景部署-多级分布式管理
多级管理适用于多层次网络管理架构,在满足各级网络自身的审计要求 基础上,总部可以对二级公司的审计系统进行管理,并对下级的审计报表进 行查看,方便总部管理人员了解下级网络的安全状态。
培训内容
一、数据库现状及安全威胁
二、数据库审计系统介绍 三、应用场景介绍
信息泄露
信息篡改
高危操作阻断
误操作和攻击防范
不良记录删除
数据库被破坏
一、数据库现状及安全威胁
• 等级保护
– 网络安全、主机安全、应用安全 – 二级、三级、四级
等级保护 大类 网络安全 二级要求 主机安全 小类 安全审计 安全审计 要求 2 4
应用安全
网络安全 三级要求 主机安全 应用安全 网络安全 四级要求 主机安全 应用安全
数据库审计系统
培训内容
一、数据库现状及安全威胁
二、数据库审计系统介绍 三、应用场景介绍
四、简单部署
一、数据库现状及安全威胁
内部威胁 根据最新研究显示,恶意内部人员和人为错误是对 数据库安全的最大威胁,而不是外部入侵者。
电信员工等23人出售手机用户信息被起诉,23人被
控出卖公民个人信息。
……
外部威胁: 花旗集团:黑客攻击影响客户超过36万。 美军方承包商机密数据遭泄露。 ……
数据库安全审计总结
数据库安全审计总结在当今数字化的时代,数据库作为企业和组织存储关键信息的核心资产,其安全性至关重要。
数据库安全审计作为保障数据库安全的重要手段,能够有效地监测和记录数据库的访问活动,发现潜在的安全威胁,并为合规性要求提供有力的证据支持。
本文将对数据库安全审计进行全面的总结,涵盖其概念、重要性、审计方法、常见问题及应对策略等方面。
一、数据库安全审计的概念数据库安全审计是指对数据库系统中的各种操作和活动进行监视、记录和分析的过程。
它通过收集和审查与数据库相关的事件日志、用户操作、系统配置变更等信息,以确定是否存在违反安全策略、法规要求或异常的活动。
二、数据库安全审计的重要性1、合规性要求许多行业都有严格的法规和标准,要求企业对数据库活动进行审计,以确保数据的处理和存储符合法律规定。
例如,金融行业的《萨班斯奥克斯利法案》、医疗行业的《健康保险流通与责任法案》等。
2、数据保护审计能够及时发现未经授权的访问、数据篡改、数据泄露等风险,从而采取措施保护敏感数据的机密性、完整性和可用性。
3、责任追溯当发生安全事件时,审计日志可以作为追溯责任的重要依据,帮助确定事件的源头和相关责任人。
4、风险评估和预防通过对审计数据的分析,可以识别潜在的安全风险和漏洞,为改进安全策略和措施提供指导。
三、数据库安全审计的方法1、日志分析数据库系统通常会生成各种类型的日志,包括登录日志、操作日志、错误日志等。
审计人员可以通过对这些日志的收集、整理和分析,了解数据库的活动情况。
2、数据库审计工具市场上有许多专门的数据库审计工具,它们能够实时监测数据库的访问,记录详细的操作信息,并提供灵活的查询和报告功能。
3、网络监控通过对数据库所在网络的流量进行监控,可以发现异常的网络连接和数据传输,从而发现潜在的安全威胁。
4、系统配置审查定期审查数据库系统的配置参数,如用户权限设置、访问控制策略等,确保其符合安全要求。
四、数据库安全审计中的常见问题1、日志缺失或不完整由于系统配置错误、存储空间不足等原因,可能导致部分日志缺失或不完整,影响审计的准确性和完整性。
数据库安全审计方法与实施策略
数据库安全审计方法与实施策略数据库是现代企业信息化建设的重要组成部分,存储着大量的关键数据。
然而,随着互联网的快速发展,数据库安全问题也日益突出。
黑客攻击、数据泄露和不当操作等风险对数据库的安全性造成了严重的威胁。
因此,数据库安全审计方法和实施策略的重要性不可忽视。
一、数据库安全审计方法1. 日志审计日志是数据库记录的关键信息,通过对数据库的日志进行审计,可以监控和追踪对数据库的访问和操作。
日志审计可以识别非法的操作行为和异常访问,同时也可以为安全分析提供重要依据。
通过设定合适的日志级别和审计策略,捕获和记录数据库的所有操作,包括登录和退出、数据增删改、权限变更等,以便及时发现和解决安全问题。
2. 数据库访问控制审计数据库的访问控制是数据库安全的基础,通过加强访问控制审计可以有效防止未经授权的访问和操作。
访问控制审计应包括权限管理的审计、用户访问控制的审计和身份认证的审计等方面。
通过分析数据库的权限设置、用户账号的使用情况和登录记录,可以及时发现未经授权的访问和可能存在的风险隐患。
3. 异常行为监测异常行为监测是数据库安全审计的重要手段之一,主要通过分析和识别数据库的异常操作行为来发现安全漏洞。
常见的异常行为包括频繁的登录失败、远程登录等。
通过对这些异常行为进行实时监测和记录,可以尽早发现并采取相应的防御措施。
4. 审计数据的分析与挖掘数据库安全审计不仅仅是对审计数据的采集和记录,更需要对这些数据进行深入分析与挖掘。
通过运用数据挖掘技术,可以发现数据库中隐藏的安全威胁,预测未来可能出现的安全风险,并提供相应的解决策略。
例如,对登录失败日志进行时间和地域分析,可以发现并禁用异常登录的账号,保障数据库的安全。
二、数据库安全实施策略1. 加强数据库的物理安全物理安全是数据库安全的第一道防线。
首先,应将数据库安装在安全可靠的环境中,避免非授权人员接触。
其次,数据库服务器的防火墙和安全设施要得到保护,并且要定期检查和升级,确保其能够抵御各种网络攻击。
数据库安全与审计
数据库安全与审计数据安全一直是一个极其重要且备受关注的领域。
随着信息技术的迅猛发展,数据库的规模和复杂性不断增加,数据安全面临着更多的挑战。
因此,数据库安全与审计成为了保障数据安全的不可或缺的一环。
1. 数据库安全的重要性数据库作为存储和管理大量敏感数据的核心系统,其安全性对于企业和个人用户都具有重要意义。
首先,数据库安全能够保护数据不被非法获取、篡改或破坏,确保数据的完整性和可靠性。
其次,数据库安全能够防止内部员工滥用权限获取不应访问的数据,保护数据的隐私性。
此外,数据库安全还能够应对各种网络攻击和恶意行为,确保数据库系统的可用性和稳定性。
2. 数据库安全的措施为了确保数据库安全,需要采取一系列的安全措施。
首先,建立合理的用户权限管理体系,为每个用户分配不同的权限,确保用户仅能够访问其需要的数据。
其次,加密数据传输,防止数据在传输过程中被窃取或篡改。
同时,对数据进行加密存储,即使数据被非法获取,也难以解密。
此外,定期对数据库进行安全漏洞扫描和修复,及时更新数据库软件和补丁,以应对潜在的安全隐患。
最后,建立数据库安全审计机制,记录和监控数据库的访问和操作行为,以便对异常行为进行发现和分析。
3. 数据库安全审计的作用数据库安全审计是数据库管理中的一项重要工作,其作用不容忽视。
数据库安全审计能够监控和分析数据库的访问和操作行为,及时发现和处理异常行为,为数据泄露和漏洞利用提供预警。
同时,数据库安全审计还可以为司法鉴定提供证据,帮助调查和解决数据库安全事件。
此外,数据库安全审计还有助于优化数据库性能和管理,发现潜在的问题和瓶颈,提升数据库系统的可靠性和效率。
4. 数据库安全审计的实施在实施数据库安全审计时,需要遵循一定的原则和方法。
首先,确立详细、明确的审计策略和流程,明确谁来执行审计、何时执行审计以及审计的具体内容和要求。
其次,选择适合的审计工具和技术,实现对数据库的全面监控和审计。
同时,保护审计数据的安全性,防止审计数据被篡改或删除。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当前数据库安全现状及其安全审计整理表姓名:职业工种:申请级别:受理机构:填报日期:UDCP GB XXXX -XXXX(征求意见稿 )中华人民共和国国家标准互联网网络安全设施技术标准Technical Standard for Internet Security Facilities20X X -X X -X X 发布20X X -X X -X X 实施中华人民共和国住房和城乡建设部 中华人民共和国国家质量监督检验检疫总局联合发布中华人民共和国国家标准互联网网络安全设施技术标准Technical Standard for Internet Security FacilitiesGB XXXX-20XX主编部门:中华人民共和国工业和信息化部批准部门:中华人民共和国住房和城乡建设部施行日期:20XX年XX月XX日XXXXXX出版社20XX 北京中华人民共和国住房和城乡建设部公告第XXX号关于发布《互联网网络安全设施技术标准》的通知现批准《互联网网络安全设施技术标准》为国家标准,编号为GB XXXX-20XX,自20XX年XX月XX日起实施。
本规范由XXXXXX出版社出版发行。
中华人民共和国住房和城乡建设部二〇XX年X月X日前言根据住房和城乡建设部《关于印发2017年工程建设标准规范制修订及相关工作计划的通知》(建标[2016]248号)的要求,由中通服咨询设计研究院有限公司、华信咨询设计研究院有限公司、广东省电信规划设计院有限公司、广州宏亮信息技术有限公司会同有关单位共同编制而成。
本规范在编制过程中,结合《中华人民共和国网络安全法》关于网络安全“三同步”的相关要求,认真总结了近年来我国互联网网络安全工程建设的经验和教训,参考和借鉴了国内外有关标准,在广泛征求意见的基础上,经反复审查定稿。
本规范共分为7章,主要内容包括:总则、术语和符号、网络安全工程规划、网络安全工程设计、网络安全工程施工要求、网络安全工程验收、网络安全设施运行维护。
本规范由住房和城乡建设部负责管理和对强制性条文的解释,工业和信息化部信息通信发展司负责日常管理工作,中通服咨询设计研究院有限公司负责具体技术内容的解释。
在执行本规范过程中,请各单位结合工程实践,注意发现问题,总结经验,积累资料,随时将有关意见和建议反馈给中通服咨询设计研究院有限公司(地址:江苏省南京市建邺区楠溪江东街58号,邮政编码:210019),以供今后修订时参考。
本规范主编单位、主要起草人和主要审查人:主编单位:中通服咨询设计研究院有限公司参编单位:华信咨询设计研究院有限公司广东省电信规划设计院有限公司广州宏亮信息技术有限公司主要起草人:王小鹏、董育萍、莫晓楠、梁建辉、杨波、张子扬、叶挺、李艳杰主要审查人员:目次1总则22术语和符号32.1术语32.2符号43网络安全工程规划64网络安全工程设计74.1设计基本要求74.2安全防护设施设计要求74.3安全监测设施设计要求104.4安全审计设施设计要求134.5应急灾备设施设计要求155网络安全工程实施要求185.1一般要求185.2安全要求186网络安全工程验收206.1验收前准备206.2工程验收要求207网络安全设施运行维护23本标准用词说明25引用标准名录261.总则1.为规范我国互联网网络安全设施建设,确保网络安全技术措施与关键信息基础设施同步规划、同步建设、同步使用,做到技术先进、经济合理、安全适用,制定本标准。
2.本标准适用于新建、改建和扩建的互联网网络安全工程。
3.互联网网络安全工程建设应贯彻国家网络安全管理方针政策和技术经济政策,符合国家相关技术体制及技术标准,同时应密切结合互联网快速发展的实际,具备快速扩容升级的能力。
4.互联网网络安全工程建设应充分调查分析和预测网络安全需求及运营维护需求,并充分考虑新业务、新技术对网络安全设施结构、能力的影响等因素。
5.互联网网络安全工程建设应充分利用已有的网络安全设施,实现共建共享并降低工程造价。
6.互联网网络安全工程建设除应执行本规范外,尚应符合国家现行有关标准的规定。
2.术语和符号1.术语1.互联网业务系统Internet Business System通过计算机网络提供信息服务的业务系统,由主机、交换机、路由器、数据库、操作系统、应用软件等硬件和软件设备所组成。
2.网络安全防护设施Network Security Protection Facilities用于保护互联网业务系统的安全性、保密性和可用性免受外部破坏的网络安全设施。
3.网络安全监测设施Network Security Detecting Facilities用于监测互联网业务系统安全威胁、安全漏洞和安全事件等的网络安全设施。
4.安全审计设施Network Security Audit Facilities用于对网络数据和日志进行采集记录并支持对异常行为分析取证的网络安全设施。
5.应急灾备设施Emergency Disaster Recovery Facilities用于在网络安全事件发生后即时响应并快速恢复数据和业务的网络安全设施。
2.符号下列缩略语适用于本规范:英文缩写英文名称中文名称4A Account Authentication Authorization &Audit统一安全管理平台解决方案ACK Acknowledgement 确认字符CA Certificate Authority 证书授权中心CC Challenge Collapsar 挑战黑洞DoS Denial of Service 拒绝服务攻击DDoS Distributed Denial of Service 分布式拒绝服务攻击HTTP HyperText Transfer Protocol 超文本传输协议ICMP Internet Control Message Protocol 控制报文协议IMAP Internet Mail Access Protocol 交互式邮件存取协议POP3 Post Office Protocol - Version 3 邮局协议版本3 SDN Software Defined Network 软件定义网络SMTP Simple Mail Transfer Protocol 简单邮件传输协议SQL Structured Query Language 结构化查询语言SYN Synchronization 同步TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议1.网络安全设施需能保证互联网业务的稳定持续运行,能够对网络安全风险进行有效的防御、监测和审计,能够支撑安全事件应急处置和业务灾备恢复,网络安全设施应与互联网信息设施同步规划、同步建设、同步使用。
2.网络安全工程规划中应综合考虑互联网基础设施和信息系统业务发展等对网络安全防护、网络安全监测、网络安全审计、网络应急灾备的需求。
3.网络安全工程规划应根据近、远期互联网业务及网络发展规划、用户数量、网络带宽、网络资产规模、网络安全管理需求等情况测算网络安全设施的功能性能需求和建设规模。
4.网络安全工程规划应根据现有网络安全设施的建设使用情况、各互联网信息基础设施和信息系统发展规划进行综合业务预测,结合网络安全设施技术发展情况,确定网络安全设施组织方案和近、远期演进路线。
5.网络安全工程规划应处理好整体和局部的关系,全局通用的安全技术手段宜采用共建共享的模式。
6.网络安全工程规划应进行多种方案的技术经济比较。
1.设计基本要求1.网络安全工程设计应满足互联网网络安全保障相关功能、性能、质量和工程投资等建设项目要求。
2.互联网网络安全设施需满足互联网业务可用性、完整性、保密性、可审计性等安全需求。
3.网络安全工程设计应根据所保障的互联网业务的具体特征和信息安全等级保护等相关法规的技术要求,有针对性地进行网络安全方案设计、网络安全指标设计、网络安全设施配置等工作。
4.对特定的互联网应用场景应采用定制化的网络安全设计方案。
对于SDN网络,应注重网络控制器等核心部件的安全保障;对于云计算系统,应注重虚拟机的安全保障;对于物联网系统,应注重传感层设备的安全保障。
5.对于网络安全升级改造工程,应保证现网已有网络安全设施的合理利用和充分整合。
6.网络安全工程设计应优先采用成熟稳定的网络安全技术和设备,并充分考虑网络安全技术的演进及融合发展。
7.网络安全工程设计应做到安全域划分合理、纵深防御功能清晰、安全性能计算准确。
2.安全防护设施设计要求1.互联网网络安全防护设施主要包括访问控制设施、用户认证授权设施、入侵防御设施、异常流量清洗设施、病毒过滤设施、垃圾邮件过滤设施、敏感信息加密设施等。
网络安全工程设计中需根据所保障互联网业务的特点,编制相应的安全防护策略,综合采取多种安全防护设施,实现对网络攻击行为的纵深防御。
2.安全防护设施设计宜遵循以下基本步骤:1.调查梳理网络与系统现状;2.明确安全防护目标:包括防护对象、防护等级、性能目标和投资费用目标;3.安全防护体系设计:包括安全域划分、防护设施配置、防护策略设计;4.防护性能设计:包括网络攻击规模预测和防御性能配置;5.网络安全威胁分析;6.防护设施规划和参数设计;7.设备选型;8.勘察局址,确定最终方案。
1.安全防护设施设计应遵循以下原则:1.应根据互联网业务所面临的网络安全威胁和攻击模型进行防护系统设计,在兼顾工程投资的前提下,实现高效全面的安全防护,达到纵深防御的要求;2.应根据互联网业务发展需求构建合理的安全防护体系,能够按需对相关防护设施的功能和性能进行灵活扩容而无需对整个安全防护架构进行调整。
3.网络安全防护设施能够与网络安全监测设施进行联动,通过动态监测与主动防御相结合,实现精准化、智能化防护。
4.互联网网络安全防护设施的防护性能须与所防护的互联网业务规模相匹配,防护设施配置需不低于业务忙时和攻击峰值时的安全防护需求。
1.访问控制设施用于在关键网络节点和安全域边界按照确定的控制策略对网络访问进行管控,访问控制设施可按需以路由模式、透明模式或者混杂模式参与系统组网,访问控制策略应包括:1.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,允许或者拒绝数据包出入;2.网络访问控制应设定过滤规则集,并涵盖所有出入边界数据包的处理方式,对于没有明确定义的数据包,应缺省拒绝;3.能够根据应用层协议信息及相应的安全规则,对数据流中的每一个报文进行允许/禁止操作。
1.用户认证授权设施用于对访问特定网络目标的用户及终端进行身份认证和访问授权,身份认证宜采取静态密码、动态口令、CA证书等多因子组合认证的方式,访问授权应细化到用户级和系统资源级。