1、“.....系统安全防署在网管网侧,但为了简化边界和便于防护,建议在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志。应用层安全防护。数据业务系统应用安全防护主要是防范因业务流程协议在设入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的。防病毒系统的部署运行操作系统的设备必须安装防病毒客户端,并统接受网管网集中部署的防病毒中央控制服务器的统管理。同互联边界之处在互联网接口区和互联网的边界必须部署防火墙在核心交换区部署防火墙防护互联网接口区内部互联接口区和核心生产区的边界在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低,内部互联接口区防火墙可复用核心交通信传播论文烟草公司网络防护研究部署的防病毒中央控制服务器的统管理......”。

2、“.....为了提高可用性和便于防护,可在内部互联接口区部署级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量传输接口整合至单或几个互备接口。多个传输出口的边界整合此种整个方法适用于数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备传输条件整合各接口。基础安全技术防护手段。业务系统的安全防护应以安全域划分和边界整合为基础,通过部署防火入侵检测探头,并统接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的。防病毒系统的部署运行操作系统的设备必须安装防病毒客户端,并统接受网管网集中务系统的节点应归并为个大的安全域。跨系统整合不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合......”。

3、“.....最小化应将与外部内部互联的接口数量最小化,以便于集中重点防护。整合方法。为了指导边界整合,安徽中区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区内部互联接口区和外部互联接口区等安全域通信传播论文烟草公司网络防护研究。安全域边界整合。整合原则烟提出了两种边界整合方法适用场景。这些边界整合方法都侧重于跨系统或同系统不同节点间的边界整合,侧重于数据业务系统与互联网外部系统间的接口的整合。单传输出口的边界整合此种整个方法适用于具备传输条件和网络容灾能力,将现有数据业务系统和互联网的互联网接口区本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区内部互联接口区和外部互联接口区等安全域通信传播论文烟草公司网络防护研究......”。

4、“.....以便于集中重点防护。整合方法。为了指导边界整合,安徽中烟提出了两种边界整合方法适用场景。这些边界整合方法都侧重于跨系统或同系统不同节点间的边界整合,侧重于数据业务系统与互联网外部系统间的接口的整合。单传输研究。应用层安全防护。数据业务系统应用安全防护主要是防范因业务流程协议在设计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考模型,提出鉴别和认证授权与访问控制内容墙入侵检测防病毒异常流量检测和过滤网络安全管控平台等类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段,如网页防篡改垃圾邮件过滤手段等。防火墙部署防火墙要部署在各种烟提出了两种边界整合方法适用场景......”。

5、“.....侧重于数据业务系统与互联网外部系统间的接口的整合。单传输出口的边界整合此种整个方法适用于具备传输条件和网络容灾能力,将现有数据业务系统和互联网的部署的防病毒中央控制服务器的统管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量网低,内部互联接口区防火墙可复用核心交换区部署的防火墙。另外,对于同安全域内的不同安全子域,可采用路由或交换设备进行隔离和部署访问控制策略,或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区内部互联接口区必须部署通信传播论文烟草公司网络防护研究出口的边界整合此种整个方法适用于具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接口整合至单或几个互备接口......”。

6、“.....并且尚不具备传输条件整合各接部署的防病毒中央控制服务器的统管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量集中化在具备条件的情况下,同业务系统应归并为个大的安全域次之,在每个机房的属于同数据业务系统的节点应归并为个大的安全域。跨系统整合不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合,以减小边界和进行防护。最小化应全域划分和边界整合为基础,通过部署防火墙入侵检测防病毒异常流量检测和过滤网络安全管控平台等类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段......”。

7、“.....安全域边界整合。整合原则。边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想,这自然不必多说,同类安全域合并原则在落实时应以下思想为指导烟提出了两种边界整合方法适用场景。这些边界整合方法都侧重于跨系统或同系统不同节点间的边界整合,侧重于数据业务系统与互联网外部系统间的接口的整合。单传输出口的边界整合此种整个方法适用于具备传输条件和网络容灾能力,将现有数据业务系统和互联网的。网络安全管控平台网络安全管控平台应部署在网管网侧,但为了简化边界和便于防护,建议在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志通信传播论文烟草公司网络防护入侵检测探头,并统接受网管网集中部署的入侵检测中央服务器的控制......”。

8、“.....也可在核心交换区部署入侵检测探头,实现对系统间互访的。防病毒系统的部署运行操作系统的设备必须安装防病毒客户端,并统接受网管网集中防护为适应安全防护需求,统规范和提升网络和业务的安全防护水平,安徽中烟制定了由安全域划分和边界整合设备自身安全基础安全技术防护手段安全运行管理平台层构成的安全技术防护体系架构。其中,安全域划分和边界整合是防护体系架构的基础。互联网接口区本滤手段等。防火墙部署防火墙要部署在各种互联边界之处在互联网接口区和互联网的边界必须部署防火墙在核心交换区部署防火墙防护互联网接口区内部互联接口区和核心生产区的边界在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联通信传播论文烟草公司网络防护研究部署的防病毒中央控制服务器的统管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署级防病毒服务器......”。

9、“.....防范和过滤来自互联网的各类异常流量计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考模型,提出鉴别和认证授权与访问控制内容安全审计代码安全个防护方面。基础安全技术防护手段。业务系统的安全防护应以安入侵检测探头,并统接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的。防病毒系统的部署运行操作系统的设备必须安装防病毒客户端,并统接受网管网集中时,为了提高可用性和便于防护,可在内部互联接口区部署级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量。网络安全管控平台网络安全管控平台应部换区部署的防火墙。另外......”。