網(wǎng)絡安全和通信安全的要求分別是什么

（文章來源：墨者安全科技）

網(wǎng)絡和通信安全風險的來源主要從網(wǎng)絡和安全設備硬件、軟件和網(wǎng)絡通信協(xié)議三個方面進行識別。網(wǎng)絡和安全設備作為網(wǎng)絡通信的基礎設施，其硬件性能、可靠性和網(wǎng)絡結構設計在一定程度上決定了數(shù)據(jù)傳輸?shù)男?。帶寬或硬件性能不足會導致高延遲、服務穩(wěn)定性差等風險，但也更容易因拒絕服務攻擊而造成服務中斷的嚴重影響。

不合理的架構設計，如設備單點故障，可能導致嚴重的可用性問題。網(wǎng)絡通信協(xié)議帶來的風險更多地體現(xiàn)在協(xié)議層的設計缺陷上。雖然事件發(fā)生的概率很低，但是一旦安全研究人員發(fā)現(xiàn)了這些缺陷，特別是安全通信協(xié)議，它們可能會對網(wǎng)絡安全產(chǎn)生嚴重影響。

信息系統(tǒng)網(wǎng)絡建設以維護用戶網(wǎng)絡活動的保密性、網(wǎng)絡數(shù)據(jù)傳輸?shù)耐暾院蛻孟到y(tǒng)可用性為基本目標。在網(wǎng)絡架構安全層面上，在傳輸通路層面上，在網(wǎng)絡設備層面上，在邊界防護層面上以及在入侵防范層面上都有些特定的要求。

（1）網(wǎng)絡架構要求：應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要；應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要；應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址；應避免將重要網(wǎng)絡區(qū)域部署在網(wǎng)絡邊界處且沒有邊界防護措施；應提供通信線路、關鍵網(wǎng)絡設備的硬件冗余，保證系統(tǒng)的可用性。

（2）通信傳輸要求：應采用校驗碼技術或加解密技術保證通信過程中數(shù)據(jù)的完整性；應采用加解密技術保證通信過程中敏感信息字段或整個報文的保密性。

（3）訪問控制要求：應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外，受控接口拒絕所有通信；應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的功能，控制粒度為端口級；應在關鍵網(wǎng)絡節(jié)點處對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對內(nèi)容的訪問控制。

（4）入侵防范要求：應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為；應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；應采取技術措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是未知的新型網(wǎng)絡攻擊的檢測和分析；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

（5）集中管控要求：應劃分出特定的管理區(qū)域，對分布在網(wǎng)絡中的安全設備或安全組件進行管控；應能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡中的安全設備或安全組件進行管理；應對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析；應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析。