应保证网络各个部分的带宽满足业务高峰期需要。

应绘制与当前运行情况相符的网络拓扑结构图。

应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

6.1.3.2 边界完整性检查

应能够对非授权设备私自联到内部网络以及内部网络私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

6.1.3.3 入侵防范

应在网络边界处设置入侵检测（防御）设备，监视可能的攻击行为，记录入侵事件的发生，并报警正在发生的入侵事件。

定期或在网络发生重大变更后，对安全控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描，对网络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查。

应对互联网接入本单位网络进行严格审批，如业务需要必须接入，需在互联网入口处设置防火墙和入侵检测（防御）等安全设备。

6.1.3.4 恶意代码防范

6.2 无线网络

6.2.1 无线广域网

移动广域网，指通过2G/3G/4G移动通信技术基础上建立起的网络，这种网络容易被攻击者利用无线协议的漏洞，布网的缺陷或者错误配置窃取敏感信息，因此使用2G/3G/4G网络通讯时，网络布局及终端使用应该遵循如下原则：

1）终端在联网过程中所必须的参数，APN、用户名、密码等信息必须进行安全存储，设置修改权限，防止非法修改，尽可能避免使用终端预设值；

2）无线通信应尽量建立在虚拟专用网环境下，避免直接接入广域网，如果必须直接接入广域网，那么必须采用安全的通信协议，如SSL/TLS,IPSEC等；

3）虚拟专用网络环境建立后，需要定期的对系统环境进行内部和外部漏洞扫描，防止敏感数据信息的泄漏，防止存在不受信任的网络连接；

4）除了通信链路尽量建立在安全隧道（SSL VPN、IPSEC VPN）下，同时要求在应用过程中对敏感信息进行有效的数据加密及安全存储操作，加密、存储方案应满足银联已认可的方案；

5）需要提供有效的安全使用指南，要求用户具备相应的安全知识，避免敏感重要信息的泄漏。

6.2.2 Wi-Fi

Wi-Fi是一种短距离传输技术，能够方便的将个人电脑、手持设备（如Pad、手机）等终端以无线

中应在网络边界处对恶意代码进行检测和清除。 应维护恶意代码库的升级和检测系统的更新。 应及时进行网络及网络安全设备的补丁安装和版本升级，及时更新入侵检测（防御）系统的防护知识库。 国版权银所联 有