（文章來源：墨者安全科技）

網(wǎng)絡(luò)和通信安全風(fēng)險的來源主要從網(wǎng)絡(luò)和安全設(shè)備硬件、軟件和網(wǎng)絡(luò)通信協(xié)議三個方面進行識別。網(wǎng)絡(luò)和安全設(shè)備作為網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施，其硬件性能、可靠性和網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計在一定程度上決定了數(shù)據(jù)傳輸?shù)男?。帶寬或硬件性能不足會?dǎo)致高延遲、服務(wù)穩(wěn)定性差等風(fēng)險，但也更容易因拒絕服務(wù)攻擊而造成服務(wù)中斷的嚴重影響。

不合理的架構(gòu)設(shè)計，如設(shè)備單點故障，可能導(dǎo)致嚴重的可用性問題。網(wǎng)絡(luò)通信協(xié)議帶來的風(fēng)險更多地體現(xiàn)在協(xié)議層的設(shè)計缺陷上。雖然事件發(fā)生的概率很低，但是一旦安全研究人員發(fā)現(xiàn)了這些缺陷，特別是安全通信協(xié)議，它們可能會對網(wǎng)絡(luò)安全產(chǎn)生嚴重影響。

信息系統(tǒng)網(wǎng)絡(luò)建設(shè)以維護用戶網(wǎng)絡(luò)活動的保密性、網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾院蛻?yīng)用系統(tǒng)可用性為基本目標(biāo)。在網(wǎng)絡(luò)架構(gòu)安全層面上，在傳輸通路層面上，在網(wǎng)絡(luò)設(shè)備層面上，在邊界防護層面上以及在入侵防范層面上都有些特定的要求。

（1）網(wǎng)絡(luò)架構(gòu)要求：應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒有邊界防護措施；應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

（2）通信傳輸要求：應(yīng)采用校驗碼技術(shù)或加解密技術(shù)保證通信過程中數(shù)據(jù)的完整性；應(yīng)采用加解密技術(shù)保證通信過程中敏感信息字段或整個報文的保密性。

（3）訪問控制要求：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外，受控接口拒絕所有通信；應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的功能，控制粒度為端口級；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對內(nèi)容的訪問控制。

（4）入侵防范要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。

（5）集中管控要求：應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控；應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理；應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測；應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析；應(yīng)對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理；應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。