網(wǎng)絡(luò)安全概述
近年來網(wǎng)絡(luò)與信息技術(shù)高速發(fā)展，移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、區(qū)塊鏈、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智能制造、伶俐城市等新興基礎(chǔ)設(shè)施和應(yīng)用賡續(xù)出現(xiàn)，網(wǎng)上購物、無卡付出、主動駕駛、共享經(jīng)濟在網(wǎng)絡(luò)與信息技術(shù)的發(fā)展驅(qū)動之下成為實際并快速普及，人們在享受著網(wǎng)絡(luò)與信息技術(shù)所創(chuàng)造新經(jīng)濟奇跡的同時已經(jīng)悄然進入了萬物互聯(lián)的IoT時代。

黨和國家向?qū)藲v來正視網(wǎng)絡(luò)與信息安全工作，中共中間總書記、國家主席、中間軍委主席、中間網(wǎng)絡(luò)安全和信息化委員會組長習(xí)近平2014年2月27日下戰(zhàn)書主持召開中間網(wǎng)絡(luò)安全和信息化向?qū)〗M第一次會議并發(fā)表緊張講話。他強調(diào)：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有當(dāng)代化。網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的龐大戰(zhàn)略題目，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強國”。

綜上，現(xiàn)現(xiàn)在網(wǎng)絡(luò)安全已經(jīng)是一項有關(guān)國家、民生的事項。

 風(fēng)險分析

根據(jù)生產(chǎn)網(wǎng)絡(luò)的近況和脆弱性，其面臨的風(fēng)險如下：

  入侵威脅

任何操作體系都不可避免的存在bug，并且新安全漏洞賡續(xù)的被發(fā)現(xiàn)，因此體系自己的脆弱性是不可能完全避免的。網(wǎng)站平臺的互聯(lián)網(wǎng)出口處僅由路由器進行基礎(chǔ)網(wǎng)絡(luò)控制，不能對應(yīng)用層的惡意代碼進行檢測。因此來自Internet的惡意入侵者可以通過提議惡意掃描和長途溢出等攻擊，滲透或繞過路由器，進入生產(chǎn)網(wǎng)絡(luò)，獲取、篡改甚至破壞敏感的數(shù)據(jù)，乃至破壞整個網(wǎng)絡(luò)的正常運行。

 數(shù)據(jù)破壞和泄漏

因為信息體系平臺作為WEB站點，可以被互聯(lián)網(wǎng)上所有效戶訪問，其公開性也導(dǎo)致了網(wǎng)站服務(wù)器極易被入侵者選作第一目標。當(dāng)入侵者行使網(wǎng)站存在的漏洞（如SQL注入漏洞、跨站腳本漏洞、長途代碼實行漏洞等）控制了WEB服務(wù)器之后，很容易以其為跳板，進一步滲透數(shù)據(jù)庫服務(wù)器。因此存在包含商品信息、客戶信息、交易信息的敏感數(shù)據(jù)遭到破壞和泄漏的風(fēng)險。

 Web網(wǎng)頁篡改

信息體系網(wǎng)站也是單位展示形象的平臺、宣傳企業(yè)價值的窗口、對外提供企業(yè)信息和服務(wù)的通道。假如被入侵者篡改頁面，將會受到諸如形象受損、惡意發(fā)布信息等多種緊張后果。

從網(wǎng)站頁面被篡改的角度來看，存在兩種攻擊的可能，一種是網(wǎng)站被入侵，也就是說網(wǎng)站頁面確實被篡改了，另外一種是網(wǎng)站被劫持，這種情況下網(wǎng)站的頁面現(xiàn)實上并沒用被篡改，但是攻擊者劫持了網(wǎng)絡(luò)訪問并發(fā)送誑騙頁面給來訪者，進而造成頁面被篡改的表象。

 網(wǎng)頁掛馬

網(wǎng)頁掛馬就是攻擊者入侵了一些網(wǎng)站后，將本身編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中。欣賞者在打開該頁面的時候，這段代碼被實行，然后下載并運行某木馬的服務(wù)器端程序，進而控制欣賞者的主機。行使被黑網(wǎng)站的流量將本身的網(wǎng)頁木馬傳播開去，以達到本身不可告人的目的。

網(wǎng)站被掛馬，被植入后門，這是無法忍受的。網(wǎng)頁掛馬不僅對WEB服務(wù)器造成很大影響，還“城門失火殃及池魚”。網(wǎng)站的欣賞者也不能幸免。網(wǎng)站被掛馬不僅會讓本身的網(wǎng)站失去信譽，也會讓通俗用戶陷入黑客設(shè)下的陷阱，淪為黑客的肉雞。因此這無論是對電商的信譽，照舊對公民的信賴度都是沉重的襲擊。

 網(wǎng)絡(luò)蠕蟲 

蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共同特性，如傳播性、潛伏性和破壞性等。同時具有本身的特別特性，如不行使文件寄生(如只存在于內(nèi)存中)，引起網(wǎng)絡(luò)拒絕服務(wù)故障及與黑客技術(shù)相結(jié)合等。在破壞性上網(wǎng)絡(luò)蠕蟲也不是通俗病毒所能比擬的，它可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。

 內(nèi)部人員和安全審計風(fēng)險

無數(shù)的安全案例告訴我們，信息安全最微弱的環(huán)節(jié)是人，而針對網(wǎng)站的緊張資料，許多競爭對手會通過高價利誘內(nèi)部信息中間的運維人員竊取相干的機密資料?，F(xiàn)網(wǎng)環(huán)境下，信息體系缺少專業(yè)的安全審計和控制手段，是一個龐大的隱患。

 設(shè)計思路

  安全分區(qū)分域設(shè)計

安全域是指統(tǒng)一體系內(nèi)有雷同的安全珍愛需求，相互信賴，并具有雷同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且雷同的網(wǎng)絡(luò)安全域共享一樣的安全策略。在安全防護領(lǐng)域，對網(wǎng)絡(luò)體系進行分區(qū)分域進行防護是常規(guī)的做法。

 安全域的定義

安全域是由在統(tǒng)一工作環(huán)境中、具有雷同或相似的安全珍愛需求和珍愛策略、相互信賴、相互關(guān)聯(lián)或相互作用的IT要素的薈萃。

對安全域的概念應(yīng)掌握以下要點：

安全域由一組IT要素組成。這些IT要素包括但不限于物理環(huán)境、網(wǎng)絡(luò)設(shè)備/區(qū)域、主機、終端、體系、數(shù)據(jù)/信息、營業(yè)、流程、策略、人員/組織等等。從技術(shù)角度上看，這些IT要素可體現(xiàn)為物理層、網(wǎng)絡(luò)層、應(yīng)用層通訊實體，如設(shè)備、主機、體系、應(yīng)用程序、進程等；從管理角度上看，這些IT要素可體現(xiàn)為人員、組織等。

工作環(huán)境是指IT要素所在的內(nèi)部和外部環(huán)境，這一工作環(huán)境可以是但不限于物理環(huán)境、信息體系、詳細的營業(yè)數(shù)據(jù)流程、會話、進程等等。

安全珍愛需求和珍愛策略是安全域劃分的基礎(chǔ)。IT要素的安全珍愛需求泛指保持IT要素的機密性、完備性、可用性等等安全屬性的要求，保障IT要素關(guān)聯(lián)舉動可控性、可稽核性、可用性、機密性、完備性等等安全屬性的要求。安全珍愛需求的內(nèi)容可來自標準規(guī)范、法律法規(guī)、營業(yè)要求、安全風(fēng)險評估等方面，且聽從于信息體系的安全珍愛目的和目標。IT要素的安全珍愛需求會因其在信息體系或者安全系統(tǒng)架構(gòu)中的位置、承擔(dān)的營業(yè)功能、作用的不同而有所區(qū)別。珍愛策略是指為降低和控制IT要素及其關(guān)聯(lián)舉動所面臨的信息安全風(fēng)險所采取的風(fēng)險處置方法、控制要求、控制目標、控制措施等綜合體。單位組織對風(fēng)險的控制包括多個方面，如物理訪問、網(wǎng)絡(luò)訪問、體系管理維護、體系開發(fā)、測量評價、監(jiān)控審計等等。屬于統(tǒng)一個安全域的IT要素具有雷同或相似的安全珍愛需求和安全珍愛策略。從安全域的角度可以將珍愛策略分為安全域的內(nèi)部珍愛策略和邊界珍愛策略。

在統(tǒng)一安全域內(nèi)的IT要素應(yīng)是互信賴任的。信賴指IT要素相互作用并保持其應(yīng)有的（根據(jù)IT要素的安全要求和安全珍愛策略而應(yīng)具備的）機密性、完備性、可用性、可控性、可稽核性等安全屬性的能力。假如具有雷同安全要求和安全珍愛策略，并能夠保持各IT要素完備性、機密性、可用性、可控性、可稽核性等安全屬性的能力，則這些IT要素應(yīng)屬于統(tǒng)一個安全域。

在統(tǒng)一安全域內(nèi)的IT要素是相互作用、相互關(guān)聯(lián)的，是具有內(nèi)部本質(zhì)聯(lián)系的，是結(jié)構(gòu)化，而不是松散地結(jié)合在一路的。

  劃分原則

在按照安全域設(shè)計引導(dǎo)思想和安全域的設(shè)計原理進行安全域劃分時，為了保證安全域劃分的簡單、實用、實效，應(yīng)遵循以下原則：

l 基于并優(yōu)化體系結(jié)構(gòu)原則

安全域的劃分應(yīng)基于體系結(jié)構(gòu)，與體系的體系架構(gòu)、應(yīng)用結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)相適應(yīng)、相匹配，但又不局限于體系結(jié)構(gòu)，是體系結(jié)構(gòu)近況的基礎(chǔ)上對體系架構(gòu)、應(yīng)用結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)的簡化、優(yōu)化和規(guī)范。

l 保障性能和有用隔離原則

安全域劃分應(yīng)以不影響或損害營業(yè)信息體系的營業(yè)功能、性能為首先原則，在保證營業(yè)的性能的基礎(chǔ)上對體系進行安全域劃分、進行有用地隔離和安全防護。

l 簡潔并規(guī)范原則

安全域劃分的簡潔把握三個方面：一個安全域功能和邊界通訊的簡潔，二是安全域之間關(guān)系（相連互通或隔離）的間接，三是體系安全域團體結(jié)構(gòu)的簡潔。這就要求安全域不可分的太細，也不可分的太粗，要適度，要保持團體上的簡潔。

同時，安全域的劃分應(yīng)科學(xué)、規(guī)范，不僅要方法和過程規(guī)范，而且要效果規(guī)范。

l 最小影響原則

在安全域設(shè)計和劃分時，應(yīng)做到營業(yè)、性能、安全兼顧，要基于體系的近況并避免對體系的網(wǎng)絡(luò)、應(yīng)用進行大量的改進，最小化對體系的影響。

l 體系性和團體性原則

對于安全域劃分，不僅要關(guān)注本體系自身，而且要關(guān)注體系地外部環(huán)境，采用體系性、團體性的觀點的看待本體系與外部環(huán)境。即關(guān)注本體系內(nèi)部的數(shù)據(jù)流和數(shù)據(jù)處理運動的安全，又關(guān)注體系的外部用戶、公共用戶及跨越體系邊界的數(shù)據(jù)流和數(shù)據(jù)處理運動的安全。

安全域的劃分效果應(yīng)是結(jié)構(gòu)化的，應(yīng)是有機聯(lián)系的一個團體，易于構(gòu)成縱深的安全防護技術(shù)系統(tǒng)，保障體系團體營業(yè)的安全。

l 與組織管理架構(gòu)相適應(yīng)的原則

安全域的劃分應(yīng)與信息體系的管理組織架構(gòu)相適應(yīng)，原則由一個機構(gòu)管理的信息體系部分應(yīng)為一個或幾個安全域。另外，一個安全域應(yīng)由一個部門來管理，而不應(yīng)涉及兩個部門。

l 與體系發(fā)展相適應(yīng)的原則

安全域的劃分應(yīng)考慮到營業(yè)將來發(fā)展必要，在保持體系安全域模型相對穩(wěn)固的前提下，能夠順利地進行調(diào)整、擴展和提拔。

 建設(shè)方案

  出口邊界：下一代防火墻

建議在網(wǎng)絡(luò)出口部署下一代防火墻，加強邊界防護能力，實現(xiàn)對各種應(yīng)用的訪問控制，有用珍愛整個網(wǎng)絡(luò)體系。

  DMZ區(qū)：WAF應(yīng)用防火墻

建議在web應(yīng)用服務(wù)器前部署web防護體系，通過串聯(lián)部署的體例，有用攔截針對網(wǎng)頁應(yīng)用的攻擊，從而避免遭受資料泄漏和網(wǎng)頁篡改的入侵危害。

 運維區(qū)：堡壘機

建議在運維管理區(qū)，旁路部署堡壘機，對運維人員的所有操作舉動進行控制和審計，有用地避免內(nèi)網(wǎng)入侵的可能。

  運維區(qū)：日志審計體系

建議在運維管理區(qū)，旁路部署日志審計體系，對安全設(shè)備日志的同一收集以及分析，幫助管理員快速排出定位故障以及攻擊舉動。

 安全漏洞掃描

漏洞的危害越來越緊張，發(fā)展的趨勢的情勢也是日益嚴厲。歸根結(jié)底，就是體系漏洞的存在并被攻擊者惡意行使。軟件因為在設(shè)計初期考慮不周導(dǎo)致的漏洞造成的題目仍然沒有得到很好的解決，人們依然用著“亡羊補牢”的方法來度過每一次攻擊，行使漏洞的攻擊成為管理員始終特別很是關(guān)注的題目。

統(tǒng)計注解其中19.4%來自于行使管理配置錯誤，而行使已知的一個體系漏洞入侵成功的占到了15.3%。事實證實，絕大多數(shù)的網(wǎng)絡(luò)攻擊事件都是行使廠商已經(jīng)宣布的、用戶未及時修補的漏洞。已經(jīng)宣布的漏洞未得到及時的修補和用戶的安全意識有很大的關(guān)系，一個漏洞從廠商宣布到漏洞被大規(guī)模行使之間的時間雖然在漸漸的縮短，但是最短的也有18天之久，18天對于一些安全意識高的用戶來說修補一個安全漏洞應(yīng)該沒有任何題目。

通過漏洞掃描體系服務(wù)，并啟動準時掃描選項，可以方便的發(fā)現(xiàn)應(yīng)用體系中路由器、防火墻、交換機分外是緊張服務(wù)器的漏洞情況，根據(jù)掃描設(shè)備提供的解決方法進行漏洞修補，可以有用的解決漏洞帶來的危害。

通過旁路體例在交換機上部署機架式漏洞掃描服務(wù)工具對WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器以及其他應(yīng)用服務(wù)器定期進行漏洞掃描，可以有用評估各個體系的安全狀態(tài)。通過漏洞掃描服務(wù)工具，實現(xiàn)第臨時間自動對網(wǎng)絡(luò)中的資產(chǎn)進行過細深入的漏洞檢測、分析，并提供專業(yè)、有用的漏洞防護建議與相干廠商的補丁超鏈接地址。

 安全配置核查

隨著應(yīng)用內(nèi)容賡續(xù)雄厚，網(wǎng)絡(luò)規(guī)模日益擴大，其生產(chǎn)、營業(yè)支持體系的網(wǎng)絡(luò)結(jié)構(gòu)也變得越來越復(fù)雜。其中，緊張應(yīng)用和服務(wù)器的數(shù)量及種類日益增多，一旦發(fā)生維護人員誤操作，或者采用刻舟求劍的初始體系設(shè)置而忽略了對于安全控制的要求，就可能會極大的影響體系的正常運轉(zhuǎn)。為了維持WEB應(yīng)用體系設(shè)備安全，必須從入網(wǎng)測試、工程驗收和運行維護等設(shè)備全生命周期各個階段增強和落實各項基本安全要求。

不同行務(wù)體系安全檢測基準的建立和行之有用的檢測手段是安全管理人員面臨的最為緊張和迫切的題目。

安全配置核查是檢查和核實已有設(shè)備和應(yīng)用軟件的安全配置是否達到安全要求的緊張手段，是進行基礎(chǔ)安全建設(shè)的一個緊張方面，也是進行自動安全防御的緊張組成部分。

可根據(jù)應(yīng)用安全的現(xiàn)實情況制訂《應(yīng)用通用安全功能和配置規(guī)范》，將管理層面、技術(shù)層面和運營層面的安全控制措施落實到信息體系的安全配置上，提出明確的典型網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫、操作體系等的安全配置要求，建立基于營業(yè)體系的安全基線?！杜渲靡?guī)范》的出臺，采用了同一的安全配置標準來規(guī)范技術(shù)人員在各類體系上的日常操作，讓運維人員有了檢查默認風(fēng)險的標桿。

因為應(yīng)用安全維護人員有限，可根據(jù)《配置規(guī)范》的要求進行相干主動化安全檢查工具的設(shè)計和部署，以便快速、有用的完成檢查，主動生成風(fēng)險審核報告，識別與安全規(guī)范不吻合的項目，以達到整改合規(guī)的要求。同時主動化安全檢查工具的使用也大大進步檢查效果的正確性和客觀性。

通過《配置規(guī)范》的下發(fā)以及相干配套工具的應(yīng)用，使應(yīng)用的安全運維工作做到有章可循。

 安全加固服務(wù)

網(wǎng)絡(luò)安全是動態(tài)的，必要時刻關(guān)注最新漏洞和安全動態(tài)，制訂更新的安全策略以應(yīng)付外來入侵和蠕蟲病毒等威脅。針對各臺服務(wù)器的漏洞和脆弱性，定期的進行安全加固，可以使體系有用的抵御外來的入侵和蠕蟲病毒的打擊，使體系可以長期保持在高度可信的狀況。

安全加固是針對進行評估后的主機的漏洞和脆弱性采取的一種有用的安全手段，可以幫助體系抵御外來的入侵和蠕蟲病毒的打擊，使體系可以長期保持在高度可信的狀況。通常對體系和應(yīng)用服務(wù)的安全加固包括如下方面：

u 安裝最新補丁

u 帳號、口令策略調(diào)整

u 網(wǎng)絡(luò)與服務(wù)加固

u 文件體系權(quán)限加強

u 日志審核功能加強

u 安全性加強

常規(guī)加固工作流程如下：

 安全培訓(xùn)服務(wù)

根據(jù)信息安全技術(shù)的發(fā)展和不同層面的信息安全人才需求，本方案建議為應(yīng)用體系相干人員提供如下三類的信息安全培訓(xùn)課程：

u 信息安全意識培訓(xùn)：

面向非技術(shù)類用戶。目的是通過大量的當(dāng)前典型安全事件導(dǎo)入，從感性認知層面對目前的信息安全威脅給予直觀、形象的描述，使用戶能對當(dāng)前的信息安全威脅有一個深刻的熟悉。同時通過案例介紹的體例對用戶日常工作、生活中經(jīng)常用到的一些客戶端應(yīng)用工具、體系的安全威脅進行分析，并闡明詳細的提防措施，最終幫忙建立起適合小我、企業(yè)的用戶舉動基準。

u 信息安全技術(shù)培訓(xùn)：

面向信息安全技術(shù)類用戶，例如體系管理員、安全技術(shù)員等。目的是通過培訓(xùn)讓其在體系及應(yīng)用層面上了解常見通用操作體系架構(gòu)以及其安全性，掌握相干體系的安全配置和管理能力；在網(wǎng)絡(luò)層面上了解常見的網(wǎng)絡(luò)安全協(xié)議掌握網(wǎng)絡(luò)安全協(xié)議以及路由交換常見安全配置；同時通過實驗了解常見的網(wǎng)絡(luò)攻擊技術(shù)原理，掌握常見的攻擊防護方法。

u 信息安全產(chǎn)品培訓(xùn)：

通過細致介紹系列安全產(chǎn)品的工作原理、安裝部署和調(diào)參排錯方法，同時結(jié)合一些產(chǎn)品實驗增強對產(chǎn)品的了解，使相干人員能天真行使這些安全產(chǎn)品解決組織的現(xiàn)實安全題目。