分享好友 最新动态首页 最新动态分类 切换频道
网络安全规划包括哪些主要内容/规划网络安全主要包括-零开始黑客入门教程
2024-12-26 05:49

网络安全规划包括哪些主要内容/规划网络安全主要包括-零开始黑客入门教程

网络安全规划包括哪些主要内容/规划网络安全主要包括-零开始黑客入门教程

【摘要】随着互联网+技术的快速发展,网络DDOS攻击、勒索病毒、SQL注入、暴力破解、数据泄密等等网络安全事件经常发生,网络信息安全面临严重的挑战,为保障客户的信息资产安全,保障客户业务系统安全稳定运行,实现“高效预防、高效检测,快速处理”,本文对网络信息安全规划及防护策略进行梳理、总结,希望对大家在实际工作起到借鉴与参考作用。

【作者】陈勇,一名从事IT行业10多年的老兵,熟悉各类系统,曾分别获得IBM CATE、HP CSA、SUN SCSA、 VCP、 HCNP等多项专业认证。

网络信息安全的运行和防护不仅关系到整个数据中心业务系统稳定运行,同时,由于网络系统的多样性、复杂性、开放性、终端分布的不均匀性,致使网络极易遭到黑客、恶性软件或非法授权的入侵与攻击。

鉴于数据信息的严肃性和敏感性,为了保障和加强系统安全,防止偶然因素和恶意原因破坏、更改、泄密,保障工作正常持续进行,同时,提高系统应对威胁和抵御攻击的对抗能力和恢复能力,需要建设安全保障系统,满足信息安全等级保护的要求。使系统具有抵御和防范大规模、较强恶意攻击、较为严重的自然灾害、计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后具有能够较快恢复正常运行状态的能力,对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。

1、网络信息安全范围

网络信息安全范围主要包括:网络结构、网络边界以及网络设备自身安全等,具体的控制点包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等,通过网络安全的防护,为用户信息系统运行提供一个安全的环境。

1.1、结构安全

结构安全范围包括

1) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要

2) 应保证网络各个部分的带宽满足业务高峰期需要

3) 应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径

4) 应根据各业务系统类型、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段

5) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段

6) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。

1.2、访问控制

访问控制范围包括

1)、应在网络边界部署访问控制设备,启用访问控制功能

2)、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级

3)、 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、、SMTP、POP3等协议命令级的控制

4)、 应在会话处于非活跃一定时间或会话结束后终止网络连接

5)、 应限制网络最大流量数及网络连接数

6)、 重要网段应采取技术手段防止地址欺骗

7)、 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户

8)、 应限制具有拨号访问权限的用户数量。

1.3、安全审计

安全审计范围包括

1) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录

2) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

3) 应能够根据记录数据进行分析,并生成审计报表

4) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

1.4、边界完整性审计

边界完整性检查范围包括

1) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断

2) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

1.5、入侵防范需求

入侵防范范围包括

1)、应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等

2)、当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

1.6、恶意代码防范

恶意代码范围包括

a) 应在网络边界处对恶意代码进行检测和清除

b) 应维护恶意代码库的升级和检测系统的更新。

1.7、网络设备防护

网络设备范围包括

1) 应对登录网络设备的用户进行身份鉴别

2) 应对网络设备的管理员登录地址进行限制

3) 网络设备用户的标识应唯一

4) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别

5) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换

6) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施

7) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

8) 应实现设备特权用户的权限分离。

2、网络信息安全设计

网络层安全主要设计的方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几大类安全控制,下面我们来结合信息系统等级保护网络安全要求,详细聊聊网络安全设计。

2.1、网络安全区域划分

为了实现信息系统的等级化划分与保护,依据等级保护的相关原则规划、区分不同安全保障对象,并根据保障对象设定不同业务功能及安全级别的安全区域,以根据各区域的重要性进行分级的安全管理。

根据系统的业务功能、特点及各业务系统的安全需求,并根据网络的具体应用、功能需求及安全需求,规划设计功能区域。

具体功能说明及安全需求见下表

2.2、网络结构设计

为了对信息系统实现良好的安全保障,依据等级保护三级的要求对系统进行安全建设。通过对系统的安全区域划分设计,并对主要区域进行冗余建设,用以保障关键业务系统的可用性与连续性。建议采用如下方式构建网络架构

在网络架构的建设过程中,要充分考虑到信息系统的发展及后期建设的需求,在设备的采购及安全域的构建与划分时,就要为后期的发展与建设做好准备,如产品的功能、性能至少要满足未来3-5年的业务发展要求,产品的接口、规格要满足冗余部署的需要,VLAN的划分要为后期建设实现安全隔离提供预留VLAN等。

2.3、区域边界访问控制设计

区域边界的访问控制防护可以通过利用各区域边界区交换机设置ACL列表实现,但该方法不便于维护管理,并且对于访问控制的粒度把控的效果较差。从便于管理维护及安全性的角度考虑,可以通过在关键网络区域边界部署专业的访问控制设备(如防火墙产品,实现对区域边界的访问控制。访问控制措施需满足以下功能需求

在网络结构中,需要对各区域的边界进行访问控制,对于关键区域,应采用部署防火墙的方式实现网络区域边界端口级的访问控制,其它区域,应考虑通过交换机的VLAN划分\ACL以及防火墙的访问控制等功能的方式实现访问控制。

通过部署防火墙设备,利用其虚拟防火墙功能,实现不同区域之间的安全隔离和访问控制。同时,在数据中心内部区域与网络互联区之间部署防火墙。主要实现以下安全功能

1)实现纵向专网与业务网的双向访问控制

2)实现核心网与应用服务区、数据交换区之间端口级访问控制,关闭不必要端口

3)实现应用层协议命令级的访问控制

4)实现长链接的管理与控制。

2.4、网络安全审计设计

安全审计设计时,在网络层做好对网络设备运行状况、网络流量、用户行为等要素的审计工作。审计系统需具备以下功能

根据网络特点及业务重要性,建议部署相关网络安全审计设备。

网络安全审计涉及网络行为审计、数据库审计、日志审计和运维审计等。

网络行为审计:主要在核心业务区交换机旁路部署2台网络审计设备,可针对常见的网络协议进行内容和行为的审计,主要包括TCP五元组、应用协议识别结果、IP地址溯源结果等。可根据用户审计级别配置,实现不同协议的不同粒度审计要求。通过流量分析,分析信息,统计分析当前网络流量状况,用户可根据此功能分析网络中的应用分布以及网络带宽使用情况等。

数据库审计:需要在核心业务区交换机旁路部署2台数据库审计设备,审计数据库的操作过程变化,可以将数据库的增删改查等操作全部审计并提供实时查询统计功能。包括SQL语句的解析、SQL语句的操作类型、操作字段和操作表名等的分析等。通过对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行业务关联分析,管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发,定位追查到真正的访问者,从而将访问Web的资源账号和相关的数据库操作关联起来。包括访问者用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息。根据解析的SQL,对用户数据库服务器进行安全判断、攻击检测。

日志审计:需要在在核心业务区交换机旁路部署2台日志审计设备,以全面采集各种网络设备、安全设备、主机和应用系统日志,将收集到的各种格式日志进行解析、归一化处理,提供给后续模块进行分析存储,以支持事后审计和定责取证。帮助实现网络日志和信息的有效管理及全面审计。

运维审计:需要在在核心业务区交换机旁路部署2台运维审计设备(堡垒机,实现数据中心内所有设备的统一运维和集中管理。通过运维审计功能记录所有运维会话,以充足的审计数据方便事后查询和追溯,解决了数据中心内众多服务器、网络设备在运维过程中所面临的“越权使用、权限滥用、权限盗用”等安全威胁。

2.5、边界完整性设计

在区域边界部署检测设备实现探测非法外联和入侵等行为,完成对区域边界的完整性保护。检测需具备以下功能

具体技术实现如下

1)在边界防火墙上实现基于业务的端口级访问控制,并严格限制接入IP及外联IP,杜绝在网络层发生的非法外联与内联

2)在服务器上进行安全加固,防止因服务器设备自身安全性而造成后边界完整性损害。

2.6、入侵检测与防御设计

在网络区域的边界处,通过部署入侵防御设备对网络攻击行为进行监测或者阻断,并及时产生报警和详尽的报告,通过入侵防御功能实现。

通过在网络中部署入侵防御系统,可有效实现以下防御手段

1)满足了重要网络边界处对攻击行为的监控需求,符合等级保护中对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等的监控要求。

2)实现了对网络中攻击行为的高效记录:当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时提供报警。

3)实现了对网络中的重要信息的保护功能,可以按照等级保护要求对重要服务器的入侵行为,记录其入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。

2.7、网络边界恶意代码防范设计

区域边界防恶意代码设备需具备以下功能

通过部署防病毒网关系统可以有效实现网络边界的恶意代码的入侵行为。网关防病毒系统实现了在业务系统边界网络攻击、入侵行为的检测与控制,能够有效针对恶意代码进行识别并控制。

2.8、基础网络设施防范设计

基础网络设施安全防范设计,主要对交换机等设备需要实现如下功能

1)启用对远程登录用户的IP地址校验功能,保证用户只能从特定的IP设备上远程登录交换机进行操作

2)启用交换机对用户口令的加密功能,使本地保存的用户口令进行加密存放,防止用户口令泄密

3)对于使用SNMP进行网络管理的交换机必须使用SNMP V2以上版本,并启用MD5等校验功能

4)在每次配置等操作完成或者临时离开配置终端时必须退出系统

5)设置控制口和远程登录口的idle 时间,让控制口或远程登录口在空闲一定时间后自动断开

6)一般情况下关闭交换机的Web配置服务,如果实在需要,应该临时开放,并在做完配置后立刻关闭

7)对于接入层交换机,应该采用VLAN技术进行安全的隔离控制,根据业务的需求将交换机的端口划分为不同的VLAN

8)在接入层交换机中,对于不需要用来进行第三层连接的端口,应该设置使其属于相应的VLAN,必要时可以将所有尚未使用的空闲交换机端口设置为“”,防止空闲的交换机端口被非法使用。

原题:浅谈网络信息安全设计及防护策略研究

~

网络安全学习,我们一起交流

最新文章
第六届新生程序设计竞赛—正式赛(C语言)
一个正整数a是一个完全平方数,是指它是某一个整数的平方,即存在一个整数b,使得a = b × b。 现在给出一个区间[m,n],统计在该区间中有多少个完全平方数?输入单组输入。 输入两个正整数m和n,1
本文由 发布,转载请注明出处,如有问题请联系我们! 发布时间: 2021-10-01国产畅销手机排行榜(2021最值得买的手机推荐)
在互联网上,有这样几个品牌的热度一直高居前列,包括华为、小米、苹果等等,各家风评也是各不相同,但不管风评如何,最终消费者买单才是真王道,尤其是在以产品因素为主的全球市场,一款产品想要突出重围,在销量方面领跑舒着实不易。近日
聚焦“上云用数” 推动国产算力应用与智算创新发展
工人日报-中工网记者 刘静12月12日,以“智耀京华焕新领航”为主题的天翼云中国行北京站活动在京举行。会上,国产算力应用创新计划、息壤智能体应用服务平台、AI Cloud MSP技术服务实验室北京电信试验基地等正式发布。北京市经济和信息化局
谷歌应用商店Google Play崩溃解决方法:
谷歌应用商店最新版2024是一款名为Google Play Store的谷歌商店手机客户端,在谷歌应用商店当中可以找到最新、最好玩的游戏以及相关的应用,提供超多的谷歌服务,不论是从质量还是从数量上来看都是不错的,远超国内的一些小型的应用商店,
抵御寒潮,就抓住一个关键词,用好两个养生“宝藏”
那就是冰箱里的灯看着亮实际上冻得筛!过了大雪就标志正式进入仲冬时节此时气候寒冷、空气干燥如何在冻手冻脚的时候养生呢?湖北省中医院(湖北中医药大学附属医院)专家团教给大家一个养生关键词两个养生“宝藏”一个养生关键词冯毅表示,
豪横!字母谈NBA杯夺冠:50万美金能改变你一生,付个房子首付
在NBA杯决赛开打之际,雄鹿队当家球星字母哥在接受媒体采访时语出惊人,他表示在比赛开打时,“他尽量不去想赢下冠军能拿50万美元的事,即便是这笔钱足以改变你的一生。你可以拿着这笔钱给自己的房子付一个首付。”对于字母哥关于50万美金
Python爬虫从入门到精通——爬虫基础:爬虫基本原理,2024年最新python项目开发案例集锦 百度网盘
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7 深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技
戴尔科技VxRail 助力优化工作负载可靠性强
前天2022北京冬奥会正式闭幕中国队9金4银2铜收官金牌数及奖牌数均创历史新高恭喜中国队!冬奥虽已落幕但场上精彩瞬间已刻入世人记忆不论是否拿到奖牌选手们站在赛场上超越自我就是对奥林匹克精神的最佳诠释超越自我,不仅是奥运赛场的追求
纳米材料激光在线测厚面密度无损检测仪
在线动态激光测厚仪与涂层面密度无损检测设备简介 (凤鸣亮科技的设备对人无伤害对环境无污染)动态在线激光测厚仪可测量几乎所有材料: 钢板、高分子材料、电池电极、橡胶、透明簿膜,铝箔、铜箔和铜薄板的厚度。且能检测涂布的面密度,使
相关文章
推荐文章
发表评论
0评