網路安全防禦體系

㈠ 什麼是 網路安全 縱深防禦體系

縱深防禦體系是基於邊界防禦的又一拓展，強調任何防禦都不是萬能的，存在被攻破的可能性，所以縱深防禦本質是多層防禦，即每一個訪問流量都要經過多層安全檢測，一定程度上增加安全檢測能力和被攻破的成本。
在Web領域至少會包含下面幾層，資料庫端，伺服器端，網路層，網路邊界。優點是每個產品功能定位清晰，允許不同品牌產品混用，攻擊成本較高，安全性較好，不足之處是各個產品之間缺乏協同機制，如盲人摸象，各自為政，檢測手段多是基於規則和黑白名單，對於抱有經濟政治目的的專業黑客，攻克這種防禦體系也只是時間問題。

㈡ 網站系統如何做好安全防護措施呢

防火牆
這塊十多年來網路防禦的基石，如今對於穩固的基礎安全來說，仍然十分需要。如果沒有防火牆屏蔽有害的流量，那麼企業保護自己網路資產的工作就會成倍增加。防火牆必須部署在企業的外部邊界上，但是它也可以安置在企業網路的內部，保護各網路段的數據安全。在企業內部部署防火牆還是一種相對新鮮但卻很好的實踐。之所以會出現這種實踐，主要是因為可以區分可信任流量和有害流量的任何有形的、可靠的網路邊界正在消失的緣故。舊有的所謂清晰的互聯網邊界的概念在現代網路中已不復存在。最新的變化是，防火牆正變得越來越智能，顆粒度也更細，能夠在數據流中進行定義。如今，防火牆基於應用類型甚至應用的某個功能來控制數據流已很平常。舉例來說，防火牆可以根據來電號碼屏蔽一個SIP語音呼叫。
安全路由器
(FW、IPS、QoS、VPN)——路由器在大多數網路中幾乎到處都有。按照慣例，它們只是被用來作為監控流量的交通警察而已。但是現代的路由器能夠做的事情比這多多了。路由器具備了完備的安全功能，有時候甚至要比防火牆的功能還全。今天的大多數路由器都具備了健壯的防火牆功能，還有一些有用的IDS/IPS功能，健壯的QoS和流量管理工具，當然還有很強大的VPN數據加密功能。這樣的功能列表還可以列出很多。現代的路由器完全有能力為你的網路增加安全性。而利用現代的VPN技術，它可以相當簡單地為企業WAN上的所有數據流進行加密，卻不必為此增加人手。有些人還可充分利用到它的一些非典型用途，比如防火牆功能和IPS功能。打開路由器，你就能看到安全狀況改善了很多。
網路安全防護
網路安全防護
無線WPA2
這5大方案中最省事的一種。如果你還沒有採用WPA2無線安全，那就請把你現在的安全方案停掉，做個計劃准備上WPA2吧。其他眾多的無線安全方法都不夠安全，數分鍾之內就能被破解。所以請從今天開始就改用帶AES加密的WPA2吧。
郵件安全
我們都知道郵件是最易受攻擊的對象。病毒、惡意軟體和蠕蟲都喜歡利用郵件作為其傳播渠道。郵件還是我們最容易泄露敏感數據的渠道。除了安全威脅和數據丟失之外，我們在郵件中還會遭遇到沒完沒了的垃圾郵件！
Web安全
今天，來自80埠和443埠的威脅比任何其他威脅都要迅猛。有鑒於基於Web的攻擊越來越復雜化，所以企業就必須部署一個健壯的Web安全解決方案。多年來，我們一直在使用簡單的URL過濾，這種辦法的確是Web安全的一項核心內容。但是Web安全還遠不止URL過濾這么簡單，它還需要有注入AV掃描、惡意軟體掃描、IP信譽識別、動態URL分類技巧和數據泄密防範等功能。攻擊者們正在以驚人的速度侵襲著很多高知名度的網站，假如我們只依靠URL黑白名單來過濾的話，那我們可能就只剩下白名單的URL可供訪問了。任何Web安全解決方案都必須能夠動態地掃描Web流量，以便決定該流量是否合法。在此處所列舉的5大安全解決方案中，Web安全是處在安全技術發展最前沿的，也是需要花錢最多的。而其他解決方案則大多數已經相當成熟。Web安全應盡快去掉虛飾，回歸真實，方能抵擋住黑客們發起的攻擊。 [1]
安全防禦編輯
根據目前的網路安全現狀，以及各領域企業的網路安全需求，能夠簡單、快捷地實現整個網路的安全防禦架構。企業信息系統的安全防禦體系可以分為三個層次：安全評估，安全加固，網路安全部署。
安全評估
通過對企業網路的系統安全檢測，web腳本安全檢測，以檢測報告的形式，及時地告知用戶網站存在的安全問題。並針對具體項目，組建臨時項目腳本代碼安全審計小組，由資深網站程序員及網路安全工程師共通審核網站程序的安全性。找出存在安全隱患程序並准備相關補救程序。
安全加固
以網路安全評估的檢測結果為依據，對網站應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除，同時通過對網站相關的安全源代碼審計，找出源代碼問題所在，進行安全修復。安全加固作為一種積極主動地安全防護手段，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵，加強系統自身的安全性。
網路安全部署
在企業信息系統中進行安全產品的部署，可以對網路系統起到更可靠的保護作用，提供更強的安全監測和防禦能力

㈢ 網路安全防護的安全防禦

根據目前的網路安全現狀，以及各領域企業的網路安全需求，能夠簡單、快捷地實現整個網路的安全防禦架構。企業信息系統的安全防禦體系可以分為三個層次：安全評估，安全加固，網路安全部署。 在企業信息系統中進行安全產品的部署，可以對網路系統起到更可靠的保護作用，提供更強的安全監測和防禦能力。

㈣ 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

㈤ 名詞解釋網路安全防禦體系

信息安全是指信息網路的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
信息系統是指基於計算機技術和網路通信技術的系統，是人，規程，資料庫，硬體和軟體等各種設備、工具的有機集合。

㈥ 怎樣為信息系統構建安全防護體系

1、結構化及縱深防禦保護框架
系統在框架設計時應從一個完整的安全體系結構出發，綜合考慮信息網路的各個環節，綜合使用不同層次的不同安全手段，為核心業務系統的安全提供全方位的管理和服務。
在信息系統建設初期，考慮系統框架設計的時候要基於結構化保護思想，覆蓋整體網路、區域邊界、計算環境的關鍵保護設備和保護部件本身，並在這些保護部件的基礎上系統性地建立安全框架。使得計算環境中的應用系統和數據不僅獲得外圍保護設備的防護，而且其計算環境內的操作系統、資料庫自身也具備相應的安全防護能力。同時要明確定義所有訪問路徑中各關鍵保護設備及安全部件間介面，以及各個介面的安全協議和參數，這將保證主體訪問客體時，經過網路和邊界訪問應用的路徑的關鍵環節，都受到框架中關鍵保護部件的有效控制。
在進行框架設計時可依據IATF（信息保護技術框架）深度防護戰略的思想進行設計，IATF模型從深度防護戰略出發，強調人、技術和操作三個要素，基於縱深防禦架構構建安全域及邊界保護設施，以實施外層保護內層、各層協同的保護策略。該框架使能夠攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。在攻擊者成功地破壞了某個保護機制的情況下，其它保護機制仍能夠提供附加的保護。
在安全保障體系的設計過程中，必須對核心業務系統的各層邊界進行全面分析和縱深防禦體系及策略設計，在邊界間採用安全強隔離措施，為核心業務系統建立一個在網路層和應用層同時具備較大縱深的防禦層次結構，從而有效抵禦外部通過網路層和應用層發動的入侵行為。
2、全生命周期的閉環安全設計
在進行信息系統的安全保障體系建設工作時，除設計完善的安全保障技術體系外，還必須設計建立完整的信息安全管理體系、常態化測評體系、集中運維服務體系以及應急和恢復體系，為核心信息系統提供全生命周期的安全服務。
在項目開展的全過程中，還應該遵循SSE-CMM（信息安全工程能力成熟度模型）所確定的評價安全工程實施綜合框架，它提供了度量與改善安全工程學科應用情況的方法，也就是說，對合格的安全工程實施者的可信性，是建立在對基於一個工程組的安全實施與過程的成熟性評估之上的。SSE-CMM將安全工程劃分為三個基本的過程域：風險、工程、保證。風險過程識別所開發的產品或系統的危險性，並對這些危險性進行優先順序排序。針對危險性所面臨的問題，工程過程要與其他工程一起來確定和實施解決方案。由安全保證過程來建立對最終實施的解決方案的信任，並向顧客轉達這種安全信任。因此，在安全工程實施過程中，嚴格按照SSE-CMM體系來指導實施流程，將有效地提高安全系統、安全產品和安全工程服務的質量和可用性。
3、信息系統的分域保護機制
對信息系統進行安全保護設計時，並不是對整個系統進行同一級別的保護，應針對業務的關鍵程度或安全級別進行重點的保護，而安全域劃分是進行按等級保護的重要步驟。
控制大型網路的安全的一種方法就是把網路劃分成單獨的邏輯網路域，如內部服務網路域、外部服務網路域及生產網路域，每一個網路域由所定義的安全邊界來保護，這種邊界的實施可通過在相連的兩個網路之間的安全網關來控制其間訪問和信息流。網關要經過配置，以過濾兩個區域之間的通信量，並根據訪問控制方針來堵塞未授權訪問。
根據信息系統實際情況劃分不同的區域邊界，重點關注從互聯網→外部網路→內部網路→生產網路，以及以應用系統為單元的從終端→伺服器→應用→中間件→資料庫→存儲的縱向各區域的安全邊界，綜合採用可信安全域設計，從而做到縱深的區域邊界安全防護措施。
實現結構化的網路管理控制要求的可行方法就是進行區域邊界的劃分和管理。在這種情況下，應考慮在網路邊界和內部引入控制措施，來隔離信息服務組、用戶和信息系統，並對不同安全保護需求的系統實施縱深保護。
一般來說核心業務系統必然要與其它信息系統進行交互。因此，應根據防護的關鍵保護部件的級別和業務特徵，對有相同的安全保護需求、相同的安全訪問控制和邊界控制策略的業務系統根據管理現狀劃分成不同的安全域，對不同等級的安全域採用對應級別的防護措施。根據域間的訪問關系和信任關系，設計域間訪問策略和邊界防護策略，對於進入高等級域的信息根據結構化保護要求進行數據規劃，對於進入低等級域的信息進行審計和轉換。
4、融入可信計算技術
可信計算技術是近幾年發展起來的一種基於硬體的計算機安全技術，其通過建立信任鏈傳遞機制，使得計算機系統一直在受保護的環境中運行，有效地保護了計算機中存儲數據的安全性，並防止了惡意軟體對計算機的攻擊。在信息系統安全保障體系設計時，可以考慮融入可信計算技術，除重視安全保障設備提供的安全防護能力外，核心業務系統安全保障體系的設計將強調安全保障設備的可靠性和關鍵保護部件自身安全性，為核心業務系統建立可信賴的運行環境。
以可信安全技術為主線，實現關鍵業務計算環境關鍵保護部件自身的安全性。依託縱深防禦架構應用可信與可信計算技術（含密碼技術）、可信操作系統、安全資料庫，確保系統本身安全機制和關鍵防護部件可信賴。在可信計算技術中，密碼技術是核心，採用我國自主研發的密碼演算法和引擎，通過TCM模塊，來構建可信計算的密碼支撐技術，最終形成有效的防禦惡意攻擊手段。通過系統硬體執行相對基礎和底層的安全功能，能保證一些軟體層的非法訪問和惡意操作無法完成，可信計算技術的應用可以為建設安全體系提供更加完善的底層基礎設施，並為核心業務系統提供更強有力的安全保障。
5、細化安全保護策略與保障措施
在核心業務系統不同區域邊界之間基本都以部署防火牆為鮮明特點，強化網路安全策略，根據策略控制進出網路的信息，防止內部信息外泄和抵禦外部攻擊。
在區域邊界處部署防火牆等邏輯隔離設備實施訪問控制，設置除因數據訪問而允許的規則外，其他全部默認拒絕，並根據會話狀態信息（如包括數據包的源地址、目的地址、源埠號、目的埠號、協議、出入的介面、會話序列號、發出信息的主機名等信息，並應支持地址通配符的使用）對數據流進行控制；對進出網路的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；自動終止非活躍會話連接；限制網路最大流量及網路連接數，防止DOS等攻擊行為；使用IP與MAC綁定技術，防範地址欺騙等攻擊行為；使用路由器、防火牆、認證網關等邊界設備，配置撥號訪問控制列表對系統資源實現單個用戶的允許或拒絕訪問，並限制撥號訪問許可權的用戶數量。
在核心業務系統內網的核心交換邊界部署網路入侵檢測系統，對網路邊界處入侵和攻擊行為進行檢測，並在最重要的區域和易於發生入侵行為的網路邊界進行網路行為監控，在核心交換機上部署雙路監聽埠IDS系統，IDS監聽埠類型需要和核心交換機對端的埠類型保持一致。在網路邊界處監視以下攻擊行為：埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網路蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。
在區域邊界處部署防病毒網關，對進出網路的數據進行掃描，可以把病毒攔截在外部，減少病毒滲入內網造成危害的可能。防病毒網關是軟硬體結合的設備，通常部署在防火牆和中心交換機之間，可以在病毒進入網路時對它進行掃描和查殺。防病毒網關可以採用全透明方式，適用於各種復雜的網路環境，通過多層過濾、深度內容分析、關聯等技術策略，對網路數據進行高效過濾處理，可以提升網路環境的安全狀況。防病毒網關需要具備以下特性：
（1）防病毒、防木馬以及針對操作系統、應用程序漏洞進行的攻擊。
（2）防蠕蟲攻擊，防病毒網關根據自有的安全策略可以攔截蠕蟲的動態攻擊，防止蠕蟲爆發後對網路造成的阻塞。
（3）過濾垃圾郵件功能，防病毒過濾網關通過檢查郵件伺服器的地址來過濾垃圾郵件。防病毒網關通過黑名單資料庫以及啟發式掃描的資料庫，對每封郵件進行判斷並且識別，提高了對垃圾郵件的檢測力度，實現了垃圾郵件網關的功能。
邊界設備等作為區域邊界的基礎平台，其安全性至關重要。由於邊界設備存在安全隱患（如：安裝、配置不符合安全需求；參數配置錯誤；賬戶/口令問題；許可權控制問題；安全漏洞沒有及時修補；應用服務和應用程序濫用等）被利用而導致的安全事件往往是最經常出現的安全問題，所以對這些基礎設施定期地進行安全評估、安全加固與安全審計，對增強區域邊界的安全性有著重要的意義。
6、常態化的安全運維
信息系統的安全不僅依賴於增加和完善相應的安全措施，而且在安全體系建設完成之後，需要通過相應的安全體系運行保障手段，諸如定期的評估、檢查加固、應急響應機制及持續改進措施，以確保安全體系的持續有效性。
（1）定期進行信息安全等級保護測評。根據國家要求，信息系統建設完成後，運營、使用單位或者其主管部門應當選擇具有信息安全測評資質的單位，依據相關標準定期對信息系統開展信息安全等級保護測評。通過測評可以判定信息系統的安全狀態是否符合等級保護相應等級的安全要求，是否達到了與其安全等級相適應的安全防護能力。通過對信息系統等級符合性檢驗，最終使系統達到等級保護的相關要求，降低信息安全風險事件的發生概率。
（2）定期進行安全檢查及整改。確定安全檢查對象，主要包括關鍵伺服器、操作系統、網路設備、安全設備、主要通信線路和客戶端等，通過全面的安全檢查，對影響系統、業務安全性的關鍵要素進行分析，發現存在的問題，並及時進行整改。
（3）對於互聯網系統或與互聯網連接的系統，定期進行滲透測試。滲透測試是一種信息系統進行安全檢測的方法，是從攻擊者的角度來對信息系統的安全防護能力進行安全檢測的手段，在對現有信息系統不造成任何損害的前提下，模擬入侵者對指定系統進行攻擊測試。滲透測試通常能以非常明顯、直觀的結果來反映出系統的安全現狀。
（4）定期進行安全教育培訓。技術培訓主要是提高員工的安全意識和安全技能，使之能夠符合相關信息安全工作崗位的能力要求，全面提高自身整體的信息安全水平。針對不同層次、不同職責、不同崗位的員工，進行有關信息安全管理的理論培訓、安全管理制度教育、安全防範意識宣傳和專門安全技術訓練，確保信息安全策略、規章制度和技術規范的順利執行，從而最大限度地降低和消除安全風險。

㈦ 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9