1、合规性设计原则
采取技术和管理相结合的安全防护措施,将安全技术与运行管理机制、人员思想教育与安全规章制度建设相结合。
2、分区分域防护原则
安全总体架构设计将按照分级、分域保护思路进行,从结构上划分为不同的安全区域,针对不同安全区域进行相应安全等级划分,安全等级高的区域重点防护,并通过统一的安全运维监管平台来实现对整个系统安全设施的集中管理,构建分级分域的控制体系。
3、构建纵深的防御体系
安全防御采用统一身份管理、访问控制、入侵检测、病毒防范、安全审计、传输加密、集中数据备份等多种传统技术和措施,从外到内形成一个纵深的安全防御体系,保障信息系统整体的安全保护能力。
5、最小授权与分权管理原则:
在网络系统、应用系统的访问权限的划分上,遵循最小授权与分权管理原则:
1)、按最小特权和职责分离原则,配备系统管理员、安全管理员、安全审计员,形成互相牵制、互相监督管理体制。
2)、对访问权限进行分解,在网络中帐号设置、服务配置、主机间信任关系配置应该为网络正常运行所需的最小限度,并将用户的权限配置为完成其工作所必需的最小权限。
l 边界出口处采用防火墙技术进行严格的链路访问控制,并能承载高会话数转发和会话状态控制。
l 核心计算域的访问控制通过核心交换机进行区域划分,然后通过防火墙或 ACL 机制进行对进出的数据流进行严格的访问管控,细化到 IP+ 端口细粒度的级别。
l 在出口增加防火墙加网络病毒检测防护,提升网络边界的恶意代码的防护。
l 在内网部署 NIDS 系统用于监测内部不安全网络会话和访问,对入侵、攻击行为及时告警和记录。
l 终端非法外联多层防控机制提供对非法外联的全程监视、阻断、审计和告警全过程的非法外联防控,能够彻底杜绝终端非法外联的违规行为,保证终端始终在允许的网络范围内访问。
收起