網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）網(wǎng)絡(luò)安全設(shè)計(jì)全套

網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）網(wǎng)絡(luò)安全設(shè)計(jì)物理和環(huán)境安全建設(shè)機(jī)房場(chǎng)地的選擇機(jī)房場(chǎng)地物理位置要遠(yuǎn)離人造和自然災(zāi)害多發(fā)的地方，例如：加油站、儲(chǔ)氣站、蓄水池、機(jī)場(chǎng)、低洼地帶、高犯罪率地區(qū)等。機(jī)房場(chǎng)所應(yīng)具備防震、防風(fēng)、防雨等能力；機(jī)房不應(yīng)建在建筑物的高層和地下室，以及用水設(shè)備的下層或隔壁；機(jī)房場(chǎng)地應(yīng)當(dāng)避開強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染、易發(fā)生火災(zāi)、水災(zāi)、易遭受雷擊的地區(qū)。機(jī)房出入控制設(shè)置電子門禁系統(tǒng)，進(jìn)入機(jī)房的人員進(jìn)行身份鑒別并登記在案；設(shè)置視頻監(jiān)控系統(tǒng)，監(jiān)控并限制進(jìn)入機(jī)房人員的活動(dòng)；對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)度區(qū)域。相應(yīng)采取的措施有：監(jiān)控設(shè)備；電子門禁系統(tǒng)。防盜竊和防破壞主要設(shè)備存放位置物理受控；主要設(shè)備和部件固定，并加上不易拆除標(biāo)記；通信線路隱藏鋪設(shè)；存儲(chǔ)介質(zhì)分類標(biāo)記和存儲(chǔ)；安裝防盜報(bào)警設(shè)備。相應(yīng)采取的措施有：防盜報(bào)警系統(tǒng)。防雷擊購(gòu)置防雷設(shè)備，進(jìn)行防雷擊措施的保護(hù)；設(shè)置交流電接地線；防雷保安器，防止感應(yīng)雷。相應(yīng)采取的措施有：防雷保安器或過(guò)壓保護(hù)裝置。防火設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火；機(jī)房場(chǎng)所建筑材料應(yīng)當(dāng)采用耐火材料；機(jī)房采取防火隔離設(shè)施，將重要設(shè)備和其他設(shè)備隔離開。相應(yīng)采取的措施有：自動(dòng)滅火報(bào)警系統(tǒng)；耐火材料、防火隔離設(shè)施。防水和防潮在水管安裝時(shí)，不要使得水管穿過(guò)屋頂和活動(dòng)地板下，以免水管破裂或者爆裂造成水災(zāi)；對(duì)穿過(guò)墻壁和樓板的水管增加必要的保護(hù)措施，如設(shè)置套管；采取必要的措施防止雨水通過(guò)屋頂和墻壁滲透，造成水災(zāi)；采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。相應(yīng)采取的措施有：安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。防靜電在機(jī)房場(chǎng)所設(shè)置必要的接地等防靜電措施；可以采用防靜電地板或地毯。相應(yīng)采取的措施有：采用靜電消除器、佩戴防靜電手環(huán)等。溫濕度控制購(gòu)置恒溫恒濕設(shè)備，保持機(jī)房的溫濕度，保證設(shè)備運(yùn)行在允許溫濕度環(huán)境下，防止設(shè)備在非正常的情況下運(yùn)行造成的安全隱患。相應(yīng)采取的措施有：空調(diào)；恒濕空調(diào)設(shè)備。電力供應(yīng)計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開；設(shè)置穩(wěn)壓和過(guò)壓防護(hù)設(shè)備；提供短期電力供應(yīng)系統(tǒng)，如UPS系統(tǒng)；電力供應(yīng)系統(tǒng)配置冗余或者并行的電力電纜。相應(yīng)采取的措施有：穩(wěn)壓裝置、過(guò)壓保護(hù)器；UPS；備用發(fā)電機(jī)。電磁防護(hù)交流電一定要接地線，防止外界電磁干擾和寄生設(shè)備耦合；電力電纜與通信線纜要實(shí)行分離部署，防止電磁干擾；重要設(shè)備和磁介質(zhì)實(shí)行電子屏蔽。相應(yīng)采取措施有：絕緣地板、防電磁干擾設(shè)備、關(guān)鍵設(shè)備實(shí)施電磁屏蔽。安全技術(shù)體系設(shè)計(jì)方案根據(jù)等級(jí)保護(hù)安全技術(shù)要求第三級(jí)中三重防護(hù)的思想和控制要求，安全技術(shù)體系建設(shè)包括安全計(jì)算環(huán)境防護(hù)建設(shè)、安全區(qū)域邊界防護(hù)建設(shè)、安全通信網(wǎng)絡(luò)防護(hù)建設(shè)，以及安全管理中心建設(shè)等幾個(gè)方面。安全計(jì)算環(huán)境防護(hù)設(shè)計(jì)依據(jù)等級(jí)保護(hù)要求第三級(jí)中設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等相關(guān)安全控制項(xiàng)，結(jié)合安全計(jì)算環(huán)境對(duì)于用戶身份鑒別、自主與標(biāo)記訪問(wèn)控制、系統(tǒng)安全審計(jì)、惡意代碼防護(hù)、安全接入連接、安全配置檢查等技術(shù)設(shè)計(jì)要求，安全計(jì)算環(huán)境防護(hù)建設(shè)主要通過(guò)身份鑒別與權(quán)限管理、安全通信傳輸、主機(jī)安全加固、終端安全基線、入侵監(jiān)測(cè)/入侵防御、漏洞掃描、惡意代碼防護(hù)、Web應(yīng)用攻擊防護(hù)、網(wǎng)絡(luò)管理監(jiān)控、安全配置核查、安全審計(jì)，重要節(jié)點(diǎn)設(shè)備冗余備份，以及系統(tǒng)和應(yīng)用自身安全控制等多種安全機(jī)制實(shí)現(xiàn)。具體如下：身份鑒別與訪問(wèn)身份鑒別與權(quán)限授權(quán)是對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等實(shí)現(xiàn)雙因素身份認(rèn)證及操作權(quán)限分配管理。如采用PKI/CA系統(tǒng)、安全堡壘機(jī)、4A平臺(tái)系統(tǒng)等。安全通信傳輸通過(guò)VPN技術(shù)能夠在管理終端與主機(jī)設(shè)備之間創(chuàng)建加密傳輸通道，實(shí)現(xiàn)遠(yuǎn)程接入數(shù)據(jù)安全傳輸服務(wù)，保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?。通過(guò)將VPN安全系統(tǒng)與安全堡壘機(jī)系統(tǒng)相互關(guān)聯(lián)和聯(lián)動(dòng)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)等重要設(shè)備的遠(yuǎn)程安全管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被惡意竊聽。主機(jī)安全加固主機(jī)操作系統(tǒng)安全加固不僅能夠?qū)崿F(xiàn)基于文件自主訪問(wèn)控制，對(duì)服務(wù)器上的敏感數(shù)據(jù)設(shè)置訪問(wèn)權(quán)限，禁止非授權(quán)訪問(wèn)行為，保護(hù)服務(wù)器資源安全；更是能夠?qū)崿F(xiàn)文件強(qiáng)制訪問(wèn)控制，即提供操作系統(tǒng)訪問(wèn)控制權(quán)限以外的高強(qiáng)度的強(qiáng)制訪問(wèn)控制機(jī)制，對(duì)主客體設(shè)置安全標(biāo)記，授權(quán)主體用戶或進(jìn)程對(duì)客體的操作權(quán)限，有效杜絕重要數(shù)據(jù)被非法篡改、刪除等情況的發(fā)生，確保服務(wù)器重要數(shù)據(jù)完整性不被破壞。終端安全基線通過(guò)終端安全基線管理能夠?qū)K端計(jì)算機(jī)的基礎(chǔ)安全和使用控制實(shí)現(xiàn)自動(dòng)化安全管理和防護(hù)，包括操作系統(tǒng)安全加固、關(guān)閉不必要的服務(wù)、端口、共享和來(lái)賓組等，為不同用戶開放相應(yīng)權(quán)限，防止安裝不必要的應(yīng)用軟件；對(duì)終端外設(shè)接口、外聯(lián)設(shè)備及使用的監(jiān)視、有效控制計(jì)算機(jī)的資源利用率；實(shí)現(xiàn)系統(tǒng)密碼口令安全策略管控、系統(tǒng)資源文件使用訪問(wèn)控制、終端計(jì)算機(jī)基礎(chǔ)資源使用監(jiān)控等安全功能。入侵檢測(cè)與防御網(wǎng)絡(luò)入侵監(jiān)測(cè)/入侵防御主要用于檢測(cè)和阻止針對(duì)內(nèi)部計(jì)算環(huán)境中的惡意攻擊和探測(cè)，諸如對(duì)網(wǎng)絡(luò)蠕蟲、間諜軟件、木馬軟件、數(shù)據(jù)庫(kù)攻擊、高級(jí)威脅攻擊、暴力破解、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等多種深層攻擊行為進(jìn)行深入檢測(cè)和主動(dòng)阻斷，以及對(duì)網(wǎng)絡(luò)資源濫用行為（如P2P上傳/下載、網(wǎng)絡(luò)游戲、視頻/音頻、網(wǎng)絡(luò)炒股）、網(wǎng)絡(luò)流量異常等行為進(jìn)行及時(shí)檢測(cè)和報(bào)警。漏洞檢測(cè)掃描漏洞掃描技術(shù)能夠?qū)W(wǎng)絡(luò)主機(jī)（如服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)打印機(jī)）、操作系統(tǒng)（如MicrosoftWindows系列、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等）、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)（如Web應(yīng)用、FTP、電子郵件等）、常用軟件（如Office、Symantec、McAfee、Chrome、IE等）、網(wǎng)站開源架構(gòu)（如phpmyadmin、WordPress等）、主流數(shù)據(jù)庫(kù)（SQLServer、Oracle、Sybase、DB2、MySQL等）進(jìn)行系統(tǒng)漏洞、應(yīng)用漏洞、安全配置掃描和檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中各類設(shè)備和系統(tǒng)的安全脆弱性，提出修復(fù)和整改建議，保障設(shè)備和系統(tǒng)自身安全性。惡意代碼防護(hù)惡意代碼是指以危害信息安全等不良意圖為目的的程序或代碼，它通常潛伏在受害計(jì)算機(jī)系統(tǒng)中伺機(jī)實(shí)施破壞或竊取信息，是安全計(jì)算環(huán)境中的重大安全隱患。其主要危害包括攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常；竊取和泄露文件、配置或隱私信息；肆意占用資源，影響系統(tǒng)、應(yīng)用或系統(tǒng)平臺(tái)的性能。惡意代碼防護(hù)能夠具備查殺各類病毒、木馬或惡意軟件的服務(wù)能力，包括文件病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件等。Web應(yīng)用安全防護(hù)Web安全應(yīng)用保護(hù)能夠防止包括CGI漏洞掃描攻擊、SQL注入攻擊、XSS攻擊、CSRF攻擊防護(hù)，以及Cookie篡改防護(hù)、網(wǎng)站盜鏈防護(hù)、網(wǎng)頁(yè)掛馬防護(hù)、WebShell防護(hù)等各種針對(duì)Web系統(tǒng)的入侵攻擊行為，結(jié)合網(wǎng)頁(yè)防篡改技術(shù)實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中重要程序或文件完整性檢測(cè)和恢復(fù)。主機(jī)運(yùn)行監(jiān)控針對(duì)重要節(jié)點(diǎn)的遠(yuǎn)程運(yùn)行資源監(jiān)視，包括監(jiān)視CPU、硬盤、內(nèi)存等資源使用情況，以及業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行環(huán)境資源狀況可以通過(guò)網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行遠(yuǎn)程在線實(shí)時(shí)監(jiān)測(cè)，實(shí)現(xiàn)重要節(jié)點(diǎn)服務(wù)水平降低到預(yù)先規(guī)定的閾值時(shí)進(jìn)行報(bào)警，保障業(yè)務(wù)應(yīng)用運(yùn)行環(huán)境的可靠性和可用性。安全配置核查在IT系統(tǒng)中，由于服務(wù)和軟件的不正確部署和配置會(huì)造成安全配置漏洞，入侵者會(huì)利用這些安裝時(shí)默認(rèn)設(shè)置的安全配置漏洞進(jìn)行操作從而造成威脅。特別是在當(dāng)前網(wǎng)絡(luò)環(huán)境中，無(wú)論是網(wǎng)絡(luò)運(yùn)營(yíng)者，還是網(wǎng)絡(luò)使用者，均面臨著越來(lái)越復(fù)雜的系統(tǒng)平臺(tái)、種類繁多的重要應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)，很容易發(fā)生管理人員的配置操作失誤造成極大的影響。由此，通過(guò)自動(dòng)化的安全配置核查服務(wù)能夠及時(shí)發(fā)現(xiàn)各類關(guān)鍵資產(chǎn)的不合理策略配置、進(jìn)程服務(wù)信息和環(huán)境參數(shù)等，以便及時(shí)修復(fù)。安全審計(jì)管理在安全計(jì)算環(huán)境防護(hù)中，安全審計(jì)管理包括對(duì)各類用戶的操作行為審計(jì)，以及網(wǎng)絡(luò)中重要安全事件的記錄審計(jì)等內(nèi)容，且審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。因此，此類安全審計(jì)通常包括日常運(yùn)維安全審計(jì)、數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)、Web業(yè)務(wù)訪問(wèn)審計(jì)，以及對(duì)所有設(shè)備、系統(tǒng)的綜合日志審計(jì)。同時(shí)，審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生（如部署NTP服務(wù)器），以確保審計(jì)分析的正確性。安全區(qū)域邊界防護(hù)設(shè)計(jì)依據(jù)等級(jí)保護(hù)要求第三級(jí)中網(wǎng)絡(luò)和通信安全相關(guān)控制項(xiàng)，結(jié)合安全區(qū)域邊界對(duì)于區(qū)域邊界訪問(wèn)控制、區(qū)域邊界包過(guò)濾、區(qū)域邊界安全審計(jì)、區(qū)域邊界完整性保護(hù)等安全設(shè)計(jì)要求，安全區(qū)域邊界防護(hù)建設(shè)主要通過(guò)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、安全區(qū)域劃分，基于地址、協(xié)議、服務(wù)端口的訪問(wèn)控制策略；通過(guò)安全準(zhǔn)入控制、終端安全管理、流量均衡控制、抗DDoS攻擊、惡意代碼防護(hù)、入侵監(jiān)測(cè)/入侵防御、APT攻擊檢測(cè)防護(hù)、非法外聯(lián)/違規(guī)接入網(wǎng)絡(luò)、無(wú)線安全管理，以及安全審計(jì)管理等安全機(jī)制來(lái)實(shí)現(xiàn)區(qū)域邊界的綜合安全防護(hù)。具體如下：網(wǎng)絡(luò)架構(gòu)及安全區(qū)域設(shè)計(jì)1、

網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)層架構(gòu)設(shè)計(jì)應(yīng)重點(diǎn)關(guān)注以下方面：·主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備（如核心交換機(jī)、核心路由器、關(guān)鍵節(jié)點(diǎn)安全設(shè)備等）的業(yè)務(wù)處理能力應(yīng)能滿足業(yè)務(wù)高峰期需要，保證各項(xiàng)業(yè)務(wù)運(yùn)行流暢。如主干網(wǎng)絡(luò)需要采用包括設(shè)備冗余、鏈路冗余的網(wǎng)絡(luò)架構(gòu)，以滿足業(yè)務(wù)連續(xù)性需求?！ぞW(wǎng)絡(luò)帶寬應(yīng)能滿足業(yè)務(wù)高峰期的需求，保證各業(yè)務(wù)系統(tǒng)正常運(yùn)行的基本帶寬?！澐植煌淖泳W(wǎng)，按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段?！け苊鈱⒅匾W(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒(méi)有邊界防護(hù)措施。2、

安全區(qū)域劃分安全區(qū)域通常也稱"安全域"，通常是由安全計(jì)算環(huán)境和安全區(qū)域邊界組合形成。具體而言，安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求、相互信任，并且具有相同的訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)。同時(shí)，安全域還可以根據(jù)其更細(xì)粒度的防護(hù)策略，進(jìn)一步劃分安全子域，以便能夠落實(shí)重點(diǎn)防護(hù)思想，形成重要資源重點(diǎn)保護(hù)的策略方針。安全域及安全子域劃分時(shí)應(yīng)重點(diǎn)考慮以下要素：·各業(yè)務(wù)系統(tǒng)/子系統(tǒng)在同一個(gè)管理機(jī)構(gòu)的管理控制之下，保證遵循相同的安全策略；·各業(yè)務(wù)系統(tǒng)/子系統(tǒng)具有相似的業(yè)務(wù)類型或相似的用戶群體，安全需求相近，保證遵循相同的安全策略；·各業(yè)務(wù)系統(tǒng)/子系統(tǒng)具有相同的物理位置或相似的運(yùn)行環(huán)境，有利于采取統(tǒng)一的安全保護(hù)機(jī)制；·各業(yè)務(wù)系統(tǒng)/子系統(tǒng)面臨相似的安全威脅，需采用相似的安全控制措施來(lái)保證安全性。區(qū)域邊界訪問(wèn)控制依據(jù)等級(jí)保護(hù)要求第三級(jí)中網(wǎng)絡(luò)和通信安全相關(guān)安全要求，區(qū)域邊界訪問(wèn)控制防護(hù)需要通過(guò)在網(wǎng)絡(luò)區(qū)域邊界部署專業(yè)的訪問(wèn)控制設(shè)備（如下一代防火墻、統(tǒng)一威脅網(wǎng)關(guān)等），并配置細(xì)顆粒度的基于地址、協(xié)議和端口級(jí)的訪問(wèn)控制策略，實(shí)現(xiàn)對(duì)區(qū)域邊界信息內(nèi)容的過(guò)濾和訪問(wèn)控制。邊界惡意代碼防護(hù)網(wǎng)絡(luò)區(qū)域邊界的惡意代碼防范工作是在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署網(wǎng)絡(luò)防病毒網(wǎng)關(guān)/防垃圾郵件網(wǎng)關(guān)對(duì)惡意代碼和垃圾郵件進(jìn)行及時(shí)檢測(cè)和清除，或在下一代防火墻/統(tǒng)一威脅網(wǎng)關(guān)中啟用防病毒模塊/防垃圾郵件模塊，并保持網(wǎng)絡(luò)病毒庫(kù)和垃圾郵件庫(kù)的升級(jí)和更新。帶寬流量負(fù)載管理考慮到網(wǎng)絡(luò)架構(gòu)中業(yè)務(wù)應(yīng)用系統(tǒng)帶寬分配和處理能力需要，以及針對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)中資源控制要求，通過(guò)專業(yè)流量負(fù)載均衡或應(yīng)用交付系統(tǒng)能夠有效支撐網(wǎng)絡(luò)鏈路負(fù)載、服務(wù)器負(fù)載、應(yīng)用協(xié)議優(yōu)化與加速，保障流量帶寬資源的合理管控。抗DDoS攻擊防護(hù)作為第一道安全防線，異常流量及抗DDoS攻擊防護(hù)能夠通過(guò)分析網(wǎng)絡(luò)中的網(wǎng)絡(luò)流信息（包括NetFlow、sFlow等），及時(shí)發(fā)現(xiàn)針對(duì)網(wǎng)絡(luò)中特定目標(biāo)IP的DDoS攻擊等異常流量，通過(guò)流量牽引的方式將DDoS攻擊等異常數(shù)據(jù)流清洗處理，將干凈的流量回注到網(wǎng)絡(luò)環(huán)境中繼續(xù)轉(zhuǎn)發(fā)。區(qū)域邊界入侵防護(hù)區(qū)域邊界網(wǎng)絡(luò)入侵防護(hù)主要在網(wǎng)絡(luò)區(qū)域邊界/重要節(jié)點(diǎn)檢測(cè)和阻止針對(duì)內(nèi)部的惡意攻擊和探測(cè)，諸如對(duì)網(wǎng)絡(luò)蠕蟲、間諜軟件、木馬軟件、溢出攻擊、數(shù)據(jù)庫(kù)攻擊、高級(jí)威脅攻擊、暴力破解等多種深層攻擊行為，進(jìn)行及時(shí)檢測(cè)、阻止和報(bào)警。APT攻擊檢測(cè)防護(hù)高級(jí)持續(xù)性威脅（APT）通常隱蔽性很強(qiáng)，很難捕獲。而一旦APT攻擊滲透進(jìn)網(wǎng)絡(luò)內(nèi)部，建立起橋頭堡，然后在相當(dāng)長(zhǎng)一段時(shí)間內(nèi)，十分隱蔽地盜取敏感數(shù)據(jù)信息或?qū)嵤┲卮笃茐男袆?dòng)，潛在危害極大。高級(jí)可持續(xù)性威脅APT攻擊檢測(cè)能夠?qū)Υ祟惏踩{具有細(xì)粒度檢測(cè)效果，可實(shí)現(xiàn)對(duì)未知惡意代碼檢查、嵌套式攻擊檢測(cè)、木馬蠕蟲病毒識(shí)別、隱秘通道檢測(cè)等攻擊利用行為的檢測(cè)。違規(guī)外聯(lián)/安全接入控制針對(duì)終端計(jì)算機(jī)非授權(quán)連接外部網(wǎng)絡(luò)，或者未經(jīng)安全檢測(cè)和授權(quán)而隨意接入網(wǎng)絡(luò)中的情況，通常是采用安全準(zhǔn)入控制和違規(guī)外聯(lián)控制技術(shù)來(lái)進(jìn)行檢查和控制。違規(guī)外聯(lián)控制能夠及時(shí)監(jiān)測(cè)終端計(jì)算機(jī)違規(guī)連接外網(wǎng)/互聯(lián)網(wǎng)的終端訪問(wèn)行為，并及時(shí)進(jìn)行阻斷和報(bào)警；安全準(zhǔn)入控制能夠?qū)尤氲絻?nèi)部網(wǎng)絡(luò)中的終端計(jì)算機(jī)進(jìn)行安全檢查，使其必須滿足一定安全基線要求、經(jīng)過(guò)認(rèn)證授權(quán)的情況下方能使用網(wǎng)絡(luò)系統(tǒng)，保障網(wǎng)絡(luò)區(qū)域邊界的完整性保護(hù)。區(qū)域邊界安全審計(jì)區(qū)域邊界安全審計(jì)需要對(duì)區(qū)域網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行用戶行為和重要安全事件進(jìn)行安全審計(jì)，并統(tǒng)一上傳到安全審計(jì)管理中心。同時(shí)，審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生（如部署NTP服務(wù)器），以確保審計(jì)分析的正確性。安全通信網(wǎng)絡(luò)防護(hù)設(shè)計(jì)依據(jù)等級(jí)保護(hù)要求第三級(jí)中網(wǎng)絡(luò)和通信安全相關(guān)安全控制項(xiàng)，結(jié)合安全通信網(wǎng)絡(luò)對(duì)通信安全審計(jì)、通信數(shù)據(jù)完整性/保密性傳輸、遠(yuǎn)程安全接入防護(hù)等安全設(shè)計(jì)要求，安全通信網(wǎng)絡(luò)防護(hù)建設(shè)主要通過(guò)通信網(wǎng)絡(luò)安全傳輸、通信網(wǎng)絡(luò)安全接入，及通信網(wǎng)絡(luò)安全審計(jì)等機(jī)制實(shí)現(xiàn)。通信網(wǎng)絡(luò)安全傳輸通信通信安全傳輸要求能夠滿足業(yè)務(wù)處理安全保密和完整性需求，避免因傳輸通道被竊聽、篡改而引起的數(shù)據(jù)泄露或傳輸異常等問(wèn)題。通過(guò)采用VPN技術(shù)而形成