网络工程设计标准 GB/T51375-2019
12.5 网络安全
12.5.1 公用互联网应从控制、管理和数据三个层面保障自身安全。
12.5.2 公用互联网应在域内路由协议和域间路由协议中启用校验和认证功能,保证路由信息的完整性和已授权性。
12.5.3 在网络关键节点,可根据源地址及端口、目的地址及端口以及协议类型等参数实施ACL,可根据路由表中的网段和物理接口实施uRPF。
12.5.4 网络设备应支持对自身的访问控制和访问日志记录功能。
12.5.5 网络设备的远程维护应使用加密协议。
12.5.6 网络设备应关闭未使用的功能和服务。
12.5.7 网络设备应关闭未使用的SNMP协议和未使用的读写权限。
12.5.8 网络的域名服务器应实现域名数据安全和解析安全。
条文说明
12.5.1 互联网网络在网络控制面的安全威胁主要包括路由信息泄露、仿冒攻击、篡改攻击、路由干扰、路由过载和软件漏洞等;在管理面的安全威胁主要包括非法设备访问等;在数据面的安全威胁主要包括IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务攻击、分片攻击、网络侦听和应用层攻击等。应根据可能的威胁采取针对性的网络安全技术措施。
12.5.8 域名系统面临的安全威胁主要表现为数据完整性,具体表现在两个环节:一个是DNS权威服务器的主服务器和辅服务器之间的数据更新过程中的数据完整性保证;另一个是DNS递归服务器在执行递归查询过程中从权威服务器获取的查询结果的数据完整性保证。应对应地采取各种安全技术措施。
目录
返回
上节
下节
条文说明