4.3结构组成

    4.4设备部署

    4.4.1在物理布置方面

    对机房划分区域进行管理；

    区域和区域之间设置物理隔离装置；

    在莺要区域前设置交付或安装等过渡区域；

    重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员；

    对机房设置监控报警系统；

    防雷击，防止感应雷；

    防静电、防火、防水防潮；

    需要特别提出的是有对关键设备和磁介质实施电磁屏蔽。

    4.4.2在安全策略方面

    要求在网络边界部署访问控制设备，启用访问控制功能；

    要求根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

    对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；

    在会话处于非活跃一定时间或会话结束后终止网络连接；

    限制网络最大流量数及网络连接数；

    重要网段应采取技术手段防止地址欺骗；

    按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；

    限制具有拨号访问权限的用户数量；

    对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

    要求部署IDS系统；

    对于系统相关的网络设备的管理上也有要求，这方面主要以采用网络设备的安全加固和管理员用户的统一管理实现；

    (1)应对登录网络设备的用户进行身份鉴别；

    (2)应对网络设备的管理员登录地址进行限制；

    (3)网络设备用户的标识应唯一；

    (4)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

    (5)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

    (6)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

    (7)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；