网络设计安全评估checklist

网络设计安全评估内容包括网络整体架构、网络访问控制、网络通信保密、威胁防护、网络管理、网络可用性六个方面。

网络整体架构

▼▼网络结构
  • 网络结构是否合理?

▼▼安全隔离

  • 内外网之间是否采用合适的隔离措施?

  • 内外网之间是否采用NAT?

▼▼安全域

  • 内网是否划分安全域,明确安全防护边界?

网络访问控制

▼▼外部网络访问
  • 是否使用策略收紧或网络设备自带功能在内外网边界实施访问控制?

  • 是否使用专业设备在内外网边界实施访问控制?

▼▼不同安全域之间的访问

  • 是否使用策略收紧或安全设备自带功能在内网子域边界实施访问控制?

  • 是否使用专业设备在内网子域边界实施访问控制?

▼▼局域网接入

  • 是否采用网络准入控制(NAC)?

▼▼远程(移动)接入

  • 是否允许远程访问?

  • 远程访问是否使用安全通道,通过安全通道鉴别身份、进行通讯数据保护。如:VPN、SSL等?

▼▼外联监控

  • 是否部署WLAN?

  • 是否允许外联?

  • 是否部署非法外联监控?

网络通讯保密

▼▼传输加密
  • 是否通过加密机或VPN来保护传输数据的保密性?

威胁防护

▼▼安全监测
  • 是否使用自带或第三方工具定期或不定期扫描、分析网络及设备、系统/平台弱点的弱点,并采取控制措施消除这些弱点?

  • 是否在网络边界上安装监控软件或硬件,实时监控进出网络的信息,并对这些信息作攻击分析和响应和漏洞形势分析和响应,且通过报告、事件记录和报警等方式通知管理员?

  • 是否在系统/平台上安装监控软件或硬件,实时监控系统运行状态、主体活动、进出系统的数据流等信息,并对这些信息作攻击分析和响应、误操作分析和响应、以及漏洞形势分析和响应,且通过报告、事件记录和报警等方式通知管理员?

▼▼病毒防护

  • 是否采用终端控制系统,强制执行防病毒策略?

  • 是否采用终端控制系统严格控制系统/平台与外部网络的通讯连接?

  • 是否在所有恶意代码可能入侵的系统/平台上或网络连接部位设置防护网关,拦截并清楚除企图进入系统/平台的恶意代码?

  • 是否采用实时扫描、完整性保护和完整性检验等不同层次的技术,将恶意代码检测、多层数据保护和集中式管理功能集成起来,提供全面的恶意代码防护功能,检测、发现和消除恶意代码,阻止恶意代码的扩散和传播?

▼▼DDOS防护

  • 是否采用监控工具监控系统/平台状态,提供及时的拒绝服务攻击预警。监控内容括:CPU利用率,内存利用率,数据库连接状态,应用进程数,系统错误日志,网络连通性,系统对外提供服务的延时大小等,用户连接数,处理请求的线程数等?

  • 是否通过负载均衡增加系统/平台处理能力?

  • 是否部署专业的防拒绝服务设备保护系统/平台?

▼▼网络滥用控制

  • 是否在网络出口处对P2P等非法应用进行为和网络滥用行为做了合理的控制?

▼▼网络安全审计

  • 是否部署网络安全审计系统?

网络管理

▼▼日常管理平台
  • 是否采用集中管理平台对网络设备、系统设备、安全设备进行了统一管理?

▼▼补丁管理

  • 是否采用集中式系统补丁/平台管理?

  • 是否采用自动化工具进行系统/平台补丁管理?

网络可用性

▼▼网络可用性
  • 是否提供冗余链路?

▼▼HA架构

  • 是否在关键节点采用高可用性架构?

▼▼应用加速

  • 是否部署了应用加速系统对单位的主要业务系统做了性能的加速提升?

▼▼数据备份与恢复

  • 是否采用本地、NAS、SNA进行数据备份?

▼▼异地灾备

  • 是否建设异地灾备?

感谢关注“微言晓意(WeYanXY)”!

微言晓意(WeYanXY)专注于网络安全、IT治理、风险管理、监管合规、IT审计等专业领域,兼顾于一切文、史、哲、杂的东拉西扯,同时也会记录一些个人的读书笔记与成长经历。
(0)

相关推荐

  • 还认为防御DDoS是在花冤枉钱?今天带你了解其成本所在之处

    面对越来越复杂的网络安全环境,防御DDoS对企业的重要性已经不言而喻了.但是由于现在发起DDoS攻击越来越简单,攻击工具越来越智能化,单纯的通过服务器架构优化等常规手段,已经无法保障企业网络安全. 往 ...

  • 网络安全十大安全漏洞

    在学习中,总会有些书籍给我们总结一些比较有价值的知识.十大安全漏洞,就是在学习过程中,整理有关安全书籍摘录整理而来,供大家参考. 1,弱口令:所谓弱口令就是容易被猜测或重复的口令,弱口令会对信息安全造 ...

  • 谋定而后动|大型攻防演练加强篇

    通过这几年举行的大型攻防演练活动,很多人心里会有这样一个感受:攻防是不对等的.因为攻击方只需要撕开一个点,就会有所"收获".如同木桶理论一样,防守方只要有一个"薄弱&qu ...

  • 云服务:以洪荒之力防护Web安全

    作为学校重要的基础设施,校园网担负着教学.科研.管理的诸般重任,同时也是高校师生学习生活和共享交流的主要载体,其安全状况直接影响到高校日常工作的顺利进行.随着"双一流"高校建设的深 ...

  • 国产中,最良心的软件!终于全平台支持!

    可爱的分割线 说到电脑上的安全软件,如今有很多小伙伴,都喜欢用火绒这款工具. 火绒以免费.实用.干净著称,可以说是国产杀毒软件中的一股清流. 它专注于安全防护,没有添加乱七八糟的功能,所以界面非常简洁 ...

  • 云平台安全监管及体系设计

    摘 要:由于云环境资源高度整合且边界不清晰,因此存在安全风险,此外目前缺乏对云平台安全状态的全面认知,阻碍了云平台进一步的应用和发展.根据云计算应用典型系统架构特点,全面梳理云计算环境所面临的各种安全 ...

  • 计算机网络硬核指南|网络设计核心思想

    本篇主要是对计算机网络一些核心思想理解,属于内功心法,初学者适合入门,非初学者可以学习其设计思想,总之希望帮助大家提高对网络的理解: 深入浅出Linux网络硬核指南 本系列从网络通信理解到云计算网络等 ...

  • 家庭网络设计篇——明确需求很重要

    值得买数码2021-05-16 11:29:30 ...我被催更了,那么我今天就把这篇写完... 家庭的网络需求确定 首先,你要自己明白自己的网络需求是啥,举个栗子 栗子1:我想蹲坑时候,不管在哪个卫 ...

  • 无线WIFI网络设计-地勘规划

    无线网络极大的方便了我们的生活,无论到哪都可以看到无线WIFI的身影,它就像"旧时王谢堂前燕,飞入寻常百姓家".从街边小店到大型商场.从公交车站到机场.火车站.地铁站,WIFI信号 ...

  • 普通家庭全屋2.5G网络设计-J4125-8125b-AX6000-NAS-软路由

    源:如何薅电信羊毛 以前300Mbps和500Mbps的电信宽带的时候,总能双拨薅一点电信的羊毛. 自从升到1000Mbps的宽带,这个羊毛薅不动了. 主要是现在大部分的设备都是GE口(Gigabyt ...

  • 【干货】网络设计五个阶段NO.1

    学习网络,很多时候进入的阶段不一样,公司企业发展阶段也不完全一致,随着业务的增长,网络在不断的改造进阶,网络工程师身处公司的那个阶段网络并不完全知晓. 每个阶段所涉及的技术知识点也不完全一致,基本了解 ...

  • 真正的即插即用!盘点11种CNN网络设计中精巧通用的“小”插件

    作者丨皮特潘 编辑丨极市平台 极市导读 所谓"插件",就是要能锦上添花,又容易植入.落地,即真正的即插即用.本文盘点的"插件"能够提升CNN平移.旋转.scal ...

  • RegNet:设计网络设计空间

    设为星标,干货直达! 网络设计空间介绍了网络设计空间的概念以及如何用统计学方法来评估网络设计空间,那么有没有可能对网络设计空间进行优化呢,这就是Designing Network Design Spa ...

  • 如果让你来设计网络

    低并发编程,周一很颓废,周四很硬核 你是一台电脑,你的名字叫 A 很久很久之前,你不与任何其他电脑相连接,孤苦伶仃. 直到有一天,你希望与另一台电脑 B 建立通信,于是你们各开了一个网口,用一根网线连 ...

  • 【设计check】按键设计checklist(经典,必收藏)

    【设计check】按键设计checklist(经典,必收藏)