網路和通訊安全有哪些要求？

網路和通訊安全風險的來源主要從網路和安全裝置硬體、軟體和網路通訊協議三個方面進行識別。網路和安全裝置作為網路通訊的基礎設施，其硬體效能、可靠性和網路結構設計在一定程度上決定了資料傳輸的效率。頻寬或硬體效能不足會導致高延遲、服務穩定性差等風險，但也更容易因拒絕服務攻擊而造成服務中斷的嚴重影響；不合理的架構設計，如裝置單點故障，可能導致嚴重的可用性問題。網路通訊協議帶來的風險更多地體現在協議層的設計缺陷上。雖然事件發生的機率很低，但是一旦安全研究人員發現了這些缺陷，特別是安全通訊協議，它們可能會對 產生嚴重影響。

 
資訊系統網路建設以維護使用者網路活動的保密性、網路資料傳輸的完整性和應用系統可用性為基本目標。在網路架構安全層面上，在傳輸通路層面上，在網路裝置層面上，在邊界防護層面上以及在入侵防範層面上都有些特定的要求。
 
（1）網路架構要求
 
1）應保證網路裝置的業務處理能力滿足業務高峰期需要；
2）應保證網路各個部分的頻寬滿足業務高峰期需要；
3）應劃分不同的網路區域，並按照方便管理和控制的原則為各網路區域分配地址；
4）應避免將重要網路區域部署在網路邊界處且沒有邊界防護措施；
5）應提供通訊線路、關鍵網路裝置的硬體冗餘，保證系統的可用性。
 
（2）通訊傳輸要求
 
1）應採用校驗碼技術或加解密技術保證通訊過程中資料的完整性；
2）應採用加解密技術保證通訊過程中敏感資訊欄位或整個報文的保密性。
 
（3）訪問控制要求
 
1）應在網路邊界或區域之間根據訪問控制策略設定訪問控制規則，預設情況下除允許通訊外，受控介面拒絕所有通訊；
2）應刪除多餘或無效的訪問控制規則，最佳化訪問控制列表，並保證訪問控制規則數量最小化；
3）應對源地址、目的地址、源埠、目的埠和協議等進行檢查，以允許/拒絕資料包進出；
4）應能根據會話狀態資訊為進出資料流提供明確的允許/拒絕訪問的功能，控制粒度為埠級；
5）應在關鍵網路節點處對進出網路的資訊內容進行過濾，實現對內容的訪問控制。
 
（4）入侵防範要求
 
1）應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為；
2）應在關鍵網路節點處檢測、防止或限制從內部發起的網路攻擊行為；
3）應採取技術措施對網路行為進行分析，實現對網路攻擊特別是未知的新型網路攻擊的檢測和分析；
4）當檢測到攻擊行為時，記錄攻擊源IP、攻擊型別、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。
 
（5）集中管控要求
 
1）應劃分出特定的管理區域，對分佈在網路中的安全裝置或安全元件進行管控；
2）應能夠建立一條安全的資訊傳輸路徑，對網路中的安全裝置或安全元件進行管理；
3）應對網路鏈路、安全裝置、網路裝置和伺服器等的執行狀況進行集中監測；
4）應對分散在各個裝置上的審計資料進行收集彙總和集中分析；
5）應對安全策略、惡意程式碼、補丁升級等安全相關事項進行集中管理；
6）應能對網路中發生的各類安全事件進行識別、報警和分析。