关键点
网络安全测评1结构安全应该保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；应该保证网络的各个部分的带宽满足业务高峰期需要；应在业务终端与服务器之间进行路由控制，简历安全的访问路径；绘制与当前运行状况相符合的网络拓扑结构图；根据各个部门工作智能，重要性和所涉及信息的重要程度等一些因素，划分不同的子网或者网段，并按照方便管理和控制的原则为各子网，网段分配地址段；避免将重要的网段不是在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间采取可靠的技术手段隔离；按照对业务的重要次序来指定带宽的分配优先级别，保证在网络发生拥堵时优先保护重要主机；2边界完整性检查能够应对非授权的设备私自连接到内部网络的行为进行检查，能够做到准确定位，并能够对其进行有效阻断；应该能够对内部网络用户私自连接到外部网络的行为进行检查，能够做到准确定位，并对其进行有效的阻断；3入侵防范应该在网络边界处监视以下行为的攻击：端口扫描，强力攻击，木马后门攻击，拒绝服务攻击，缓冲区溢出攻击，IP碎片攻击和网络蠕虫攻击当检测到攻击行为时，能够记录攻击源IP，攻击类型，攻击目的，攻击时间，在发生严重入侵事件时应该提供报警；4恶意代码防范应该在网络边界处对恶意代码进行检查和清除；维护恶意代码库的升级和检测系统升级；5访问控制应在网络边界部署访问控制设备，启用访问控制功能；应能根据会话状态的信息为数据流提供明确的允许拒绝访问的能力，控制力度为端口级；应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制；应该在会话处于非活跃一段时间后自动终止连接；应该限制网络最大流量数及网络连接数；重要网络应该采取技术手段防止地址欺骗；应该按照用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；应该限制具有拨号访问权限的用户数量；6安全审计应对网络系统中的网络设备运行状况，网络流量，用户行为等进行日志记录；审计记录应该包括：事件的日期和时间，用户，事件类型，事件是否成功等相关信息；应能够根据记录数据进行分析，并生成审计报表；应对审计记录进行保护，避免受到未预期的删除，修改或者覆盖；7网络设备保护应该对登录网络设备的用户进行身份鉴别；应对网络r