>>>>>>>>>>点击进入2016年系统分析师考试网络课堂

  >>>>>>>>>>点击进入系统分析师历年考试真题题库

  >>>>>>>>>>点击进入2016年系统分析师考试大纲和教程

网络边界分析

边界保护不仅存在于组织内部网络与外部网络之间，而且也存在于同一组织内部网络中，特别是不同级别的子网之间边界。有效的边界防护技术措施主要包括网络访问控制、入侵防范、网关防病毒、信息过滤、网络隔离部件、边界完整性检查，以及对于远程用户的标识与鉴别/访问控制。边界划分还应考虑关键业务系统和非关键业务系统之间是否进行了分离，分离后各业务区域之间的逻辑控制是否合理，业务系统之间的交叠不但影响网络的性能还会给网络带来安全上的隐患。应考虑的安全点主要有:

1.Internet、Intranet和Extranet之间及它们内部各VLAN或区域之间边界划分是否合理;在网络节点（如路由器、交换机、防火墙等设备）互连互通应根据实际需求进行严格控制;验证设备当前配置的有效策略是否符合组织确定的安全策略。

2.内网中的安全区域划分和访问控制要合理，各VLAN之间的访问控制要严格，不严格就会越权访问。

3.可检查网络系统现有的身份鉴别、路由器的访问控制、防火墙的访问控制、NAT等策略配置的安全性;防止非法数据的流入;对内防止敏感数据（涉密或重要网段数据）的流出。

4.防火墙是否划分DMZ区域;是否配置登录配置的安全参数。例如:最大鉴别失败次数、最大审计存储容量等数据。

5.网络隔离部件上的访问通道应该遵循“默认全部关闭，按需求开通的原则”;拒绝访问除明确许可以外的任何一种服务，也就是拒绝一切未经特许的服务。

6.实现基于源和目的的IP地址、源和目的端口号、传输层协议的出入接口的访问控制。对外服务采用用户名、IP、MAC等绑定，并限制变换的MAC地址数量，用以防止会话劫持、中间人攻击。

7.对于应用层过滤，应设置禁止访问JavaApplet、ActiveX等以降低威胁。

8.采用业界先进的安全技术对关键业务系统和非关键业务系统进行逻辑隔离，保证各个业务系统间的安全性和高效性，例如:采用MPLS-VPN对各业务系统间逻辑进行划分并进行互访控制。

9.必要时对涉密网络系统进行物理隔离;实现VPN传输系统;对重要网络和服务器实施动态口令认证;进行安全域的划分，针对不同的区域的重要程度，有重点、分期进行安全防护，逐步从核心网络向网络边缘延伸。例如，网络可以分成三个区域:信任域、非信任域和隔离区域。信任域和隔离区域进行重点保护，对于非信任域，可根据不同业务系统的重要程度进行重点保护。

10.整体网络系统统一策略、统一升级、统一控制。

>>>>>>>>>>点击继续阅读

  相关链接：

  软考中常考的标准化知识汇编（新版）

  软考大纲（软考考试大纲汇编，新版）

  系统分析师考试历年试题分析与解答（案例分析与论文篇）