网络工程设计标准 GB/T51375-2019
12.1 安全目标与框架
12.1.1 公用互联网的网络与信息安全目标应在合理的安全成本基础上,保证各类网元设备的正常运行,保证信息在网络上的安全传输,保障网络的运营维护管理安全,保障业务安全和内容安全,并应符合相关行业管理要求。
12.1.2 公用互联网的安全框架应由防护、检测与评估、响应闭环构成,并应符合下列规定:
1 防护部分应提供基本的安全技术和安全措施;
2 检测与评估部分宜实现对全网的实时监控,定期对全网进行安全扫描和风险评估,并将结果传给响应系统;
3 响应部分应能根据检测和评估结果,调整安全策略、产生安全告警、修补安全漏洞、进行安全加固等;
4 安全框架所需保障设施应与网络同步规划、设计、建设。
条文说明
12.1.1 根据IP网络的特点,IP网络涉及的网络与信息安全可以分为网络自身安全、业务提供安全和信息内容安全等三个层面。
12.1.2 安全框架的技术实现需要在工程设计中根据需要适当部署安全技术手段,以实现安全防护、安全检测与评估等,可采用的安全技术手段举例如下:
(1)访问控制,保证只有授权的人员和设备才允许访问网元、存储的信息、业务和应用;
(2)鉴别,保证参与通信或应用的实体声称的身份的有效性;
(3)不可抵赖,保证可提交给第三方用于证明某些事件或行为发生的证据的可用性;
(4)数据保密,保证数据内容不被非授权的实体理解;
(5)通信安全,保证信息只在授权的端点之间流动;
(6)完整性,保证数据信息的完整;
(7)可用性,保证对网元、信息、业务和应用的授权访问不被否决;
(8)隐私,保护包括地址位置、IP地址等信息不被非法获得或使用;
(9)审计和响应,对活动进行记录、检查、监控等,对安全事件做出告警,阻断等反应。
除了安全技术手段外,还应执行严格的安全维护措施,包括关闭所有无关的服务端口、及时安装软件补丁、定期进行病毒扫描和系统安全漏洞扫描,定期做入侵检测和防火墙的规则更新、详细记录安全日志并定期审计、定期更改密码等。
目录
返回
上节
下节
条文说明
- 上一节:12 网络与信息安全
- 下一节:12.2 安全管理