（文章來(lái)源：墨者安全科技）

網(wǎng)絡(luò)和通信安全風(fēng)險(xiǎn)的來(lái)源主要從網(wǎng)絡(luò)和安全設(shè)備硬件、軟件和網(wǎng)絡(luò)通信協(xié)議三個(gè)方面進(jìn)行識(shí)別。網(wǎng)絡(luò)和安全設(shè)備作為網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施，其硬件性能、可靠性和網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)在一定程度上決定了數(shù)據(jù)傳輸?shù)男省捇蛴布阅懿蛔銜?huì)導(dǎo)致高延遲、服務(wù)穩(wěn)定性差等風(fēng)險(xiǎn)，但也更容易因拒絕服務(wù)攻擊而造成服務(wù)中斷的嚴(yán)重影響。

不合理的架構(gòu)設(shè)計(jì)，如設(shè)備單點(diǎn)故障，可能導(dǎo)致嚴(yán)重的可用性問(wèn)題。網(wǎng)絡(luò)通信協(xié)議帶來(lái)的風(fēng)險(xiǎn)更多地體現(xiàn)在協(xié)議層的設(shè)計(jì)缺陷上。雖然事件發(fā)生的概率很低，但是一旦安全研究人員發(fā)現(xiàn)了這些缺陷，特別是安全通信協(xié)議，它們可能會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)生嚴(yán)重影響。

信息系統(tǒng)網(wǎng)絡(luò)建設(shè)以維護(hù)用戶網(wǎng)絡(luò)活動(dòng)的保密性、網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾院蛻?yīng)用系統(tǒng)可用性為基本目標(biāo)。在網(wǎng)絡(luò)架構(gòu)安全層面上，在傳輸通路層面上，在網(wǎng)絡(luò)設(shè)備層面上，在邊界防護(hù)層面上以及在入侵防范層面上都有些特定的要求。

（1）網(wǎng)絡(luò)架構(gòu)要求：應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒(méi)有邊界防護(hù)措施；應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

（2）通信傳輸要求：應(yīng)采用校驗(yàn)碼技術(shù)或加解密技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；應(yīng)采用加解密技術(shù)保證通信過(guò)程中敏感信息字段或整個(gè)報(bào)文的保密性。

（3）訪問(wèn)控制要求：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外，受控接口拒絕所有通信；應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化；應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的功能，控制粒度為端口級(jí)；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問(wèn)控制。

（4）入侵防范要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

（5）集中管控要求：應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理；應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析。