附录A 边界防护策略建议

A.0.1 双向网络的互联网边界防护，可采取下列防护措施：

1 在互联网边界部署外部和内部两级异构防火墙进行安全访问控制；

2 在互联网边界出口路由器处部署IPS和防DDOS等设备；

3 在核心交换设备处部署IDS并及时进行策略更新，监控异常网络行为，实现安全内容审计；

4 外层防火墙外部接口对内安全策略只允许开放对外所必需的服务端口，应只允许互联网区域访问第一层防火墙内提供WEB或指定服务(如邮件系统)的负载均衡设备的虚拟IP地址和服务端口；

5 设备宜部署主机防病毒软件。

A.0.2 内部系统区与双向网络的边界防护，可采取下列防护措施：

1 在边界处部署防火墙策略进行安全访问控制；

2 防火墙对内安全策略应仅允许开放业务系统需要的双向回传通道的相应端口；

3 部署IDS并及时进行策略更新，监控异常行为和异常流量；

4 部署独立日志服务器，内部系统区的日志均保存到独立的日志服务器上，日志服务器除日志服务外关闭其他任何服务，仅允许控制台登录，保证在系统异常时有据可查。

A.0.3 内部系统区的外部专用通道边界防护，可采取下列防护措施：

1 在边界部署防火墙进行安全访问控制；

2 以安全要求通则为基准，各接口分别制定防护策略；

3 部署堡垒机，对内部系统的维护操作必须通过堡垒机验证后操作，内部系统区的主机仅允许堡垒机的IP地址访问，实现对内部系统维护访问的单点控制；

4 各级有线电视网络运营机构应加强对第三方业务、系统和设备提供商的管理，制订相关管理制度，建立规范的业务规划、运行和维护流程。

A.0.4 内部系统区面向用户直接访问的边界防护，可采取下列防护措施和策略：终端用户不得直接访问服务系统后台，可通过设置DMZ区隔离用户与后台系统。终端用户直接访问门户或其他服务系统，如用户接入门户、自服务系统门户、营业厅门户等时，可采取下列防护措施：

1 部署防拒绝服务攻击设备，对进出互联网的流量进行清洗；

2 部署防病毒网关设备，作为企业版防病毒的补充，防止WEB访问带来的安全威胁；

3 部署网页防篡改系统，对DMZ区服务器进行保护；

4 部署用户行为管理系统，监测和控制用户访问系统的操作；

5 部署负载均衡设备，可以采用软件或硬件的方式实现。对于采用硬件设备进行负载均衡的，要求负载均衡器上虚拟IP端口(与防火墙互联的端口)和实际服务器的端口分属不同的区域。如果服务器通过软件方式实现负载均衡，宜将负载均衡服务器与业务服务器分离。

A.0.5 内部系统区与内部公共区边界防护，可采取下列防护措施和策略：

1 在内部公共区边界处部署前置机，对内部系统区的访问通过前置机转发；

2 在内部公共区边界处部署网络流量管理系统实时监控网络中的异常流量，进行带宽限制；

3 网管客户端和网络公司办公网络间应严格禁止数据互访；

4 对网管账号依据申请、审批、分配、审核等流程进行管理和控制；

5 办公终端应部署主机防病毒软件；

6 在该接口边界的网络设备上部署IDS并及时进行策略更新，监控异常网络行为，实现安全内容审计(可以根据各地区实际情况，选择部署)。

A.0.6 内部系统区与内部互联区边界防护，可采取下列防护措施和策略：

1 在IP承载网边界处部署防火墙，防火墙应限制相关业务的端口和IP地址，严禁非内部互联区网段的地址访问内部系统区；

2 在该接口边界核心安全区侧的网络设备上部署IDS并及时进行策略更新，监控异常网络行为，实现安全内容审计。