当前位置：公众IT > 技术文章 > 如何建立有效的网络安全防御体系？

如何建立有效的网络安全防御体系？

新闻来源：互联网资料整理发布时间：2023/4/5 17:17:15 共计：4603 浏览

2016年11月，《中华人民共和国网络安全法》高票通过，成为我国首部网络安全领域的法律。从明确提出“没有网络安全就没有国家安全”，到突出强调“树立正确的网络安全观”，再到明确要求“全面贯彻落实总体国家安全观”，党的十八大以来，我国网络安全保障能力建设得到加强，国家网络安全屏障进一步巩固。“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”在全国网络安全和信息化工作会议上，习近平总书记着重强调树立网络安全意识，就做好国家网络安全工作提出明确要求，为筑牢国家网络安全屏障、推进网络强国建设提供了根本遵循。习近平总书记指出，要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为，切断网络犯罪利益链条，持续形成高压态势，维护人民群众合法权益。要深入开展网络安全知识技能宣传普及，提高广大人民群众网络安全意识和防护技能。
网络安全保障体系的构建
网络安全保障体系如图1所示。其保障功能主要体现在对整个网络系统的风险及隐患进行及时的评估、识别、控制和应急处理等，便于有效地预防、保护、响应和恢复，确保系统安全运行。
图1 网络安全保障体系
1．网络安全保障关键要素
网络安全保障关键要素包括四个方面：网络安全策略、网络安全管理、网络安全运作和网络安全技术，如图2所示。其中，网络安全策略为安全保障的核心，主要包括网络安全的战略、政策和标准。网络安全管理是指企事业机构的管理行为，主要包括安全意识、组织结构和审计监督。网络安全运作是企事业机构的日常管理行为，包括运作流程和对象管理。网络安全技术是网络系统的行为，包括安全服务、措施、基础设施和技术手段。
图2 网络安全保障要素图3 P2DR模型示意图
在机构的管理机制下，只有利用运作机制借助技术手段，才可真正实现网络安全。通过网络安全运作，在日常工作中认真执行网络安全管理和网络安全技术手段，“七分管理，三分技术，运作贯穿始终”，管理是关键，技术是保障，其中的管理实际上包括管理技术。P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型，也是动态安全模型，包含4个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。如图3所示。
2．网络安全保障总体框架
鉴于网络系统的各种威胁和风险，以往传统针对单方面具体的安全隐患，所提出的具体解决方案具有一定其局限性，应对的措施也难免顾此失彼。面对新的网络环境和威胁，需要建立一个以深度防御为特点的网络信息安全保障体系。网络安全保障体系总体框架如图4所示。此保障体系框架的外围是风险管理、法律法规、标准的符合性。
图4 网络安全保障体系框架
网络安全管理的本质是对网络信息安全风险进行动态及有效管理和控制。网络安全风险管理是网络运营管理的核心，其中的风险分为信用风险、市场风险和操作风险，包括网络信息安全风险。实际上，在网络信息安全保障体系框架中，充分体现了风险管理的理念。网络安全保障体系架构包括五个部分：
1) 网络安全策略。属于整个体系架构的顶层设计，起到总体宏观上的战略性和方向性指导作用。以风险管理为核心理念，从长远发展规划和战略角度整体策划网络安全建设。
2) 网络安全政策和标准。是对网络安全策略的逐层细化和落实，包括管理、运作和技术三个层面，各层面都有相应的安全政策和标准，通过落实标准政策规范管理、运作和技术，保证其统一性和规范性。当三者发生变化时，相应的安全政策和标准也需要调整并相互适应，反之，安全政策和标准也会影响管理、运作和技术。
3) 网络安全运作。基于日常运作模式及其概念性流程（风险评估、安全控制规划和实施、安全监控及响应恢复）。是网络安全保障体系的核心，贯穿网络安全始终；也是网络安全管理机制和技术机制在日常运作中的实现，涉及运作流程和运作管理。
4) 网络安全管理。对网络安全运作至关重要，从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现，而网络安全管理体系是从人员组织的角度保证正常运作，网络安全技术体系是从技术角度保证运作。
5) 网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可极大提高网络安全运作的有效性，从而达到网络安全保障体系的目标，实现整个生命周期（预防、保护、检测、响应与恢复）的风险防范和控制。

还是B/S架构的应用，如何保证数据传输的安全是管理员要面对的问题，安全的关注点主要在三个方面：用户身份验证的安全性：用户身份验证的安全主要包括用户身份密码的安全和验证安全两个环节，传统的应用体系中，用户验证通常有用户名/密码验证、USB key验证及智能卡验证等方法。在EWEBS 2008 中，采用用户帐号和Windows帐号关联的方式，在EWEBS 2008中存储用户密码，用户访问应用程序时不直接使用Windows 帐号密码，而是使用EWEBS 2008中为用户单独创建的帐号。用户帐号的身份验证支持用户名/密码、USB Key验证、智能卡、指纹或视网膜等生物学身份验证方法。服务器的安全性：在传统的远程接入模式中，因为用户的应用直接在服务器端运行，如何保证服务器的安全性是管理员面临的一个大问题，一般都采用Windows 组策略等手段来保护服务的安全，但是组策略配置的复杂性、效果都不尽如人意。在EWEBS 2008中，直接内嵌了Windows Active Directory 组策略的配置设置，管理员无需熟悉组策略的具体配置，只需要进行简单的选择，就可以轻松的限制用户对某个具体的硬盘、系统任务栏或IE等服务器端资源的访问。数据传输的安全性：在传统的应用模式中，客户端和服务器端需要传送应用程序相关的数据记录，如数据库的查询结果集等，这就对数据在网络上的传输安全提出了较高的要求，通常采用VPN加密、SSL加密等技术来保证应用数据的安全。在EWEBS 2008中，由于所有的应用程序都在服务器(集群)上运行，所以客户端和服务器端传送的仅仅是应用程序的输入输出逻辑，在没有特别授权的情况下，数据无法离开服务器(集群)，保证了数据的安全。EWEBS 2008中还内嵌了SSL通信技术来保证客户端和服务器端网络通讯的安全。除了上述的三个方面的安全之外，在EWEBS 2008中，管理员还可以轻松的对客户端进行控制，可以根据用户帐号、访问时间、客户端IP地址、客户端MAC地址、客户端机器特征码（从CPU、主板、硬盘等硬件计算而来）等来限制客户端对应用程序的访问，从而做到即使用户帐号信息泄露，第三方也无法盗用应用程序，有效的保证了用户关键应用和数据的安全。

如果是小型企业的话建议制作一个软路由，一般都带防火墙的功能，比如爱快，ROS，PA这些都可以 PA是付费的，爱快ROS都是免费的，网上都可以下载，如果预算比较充足的话可以上硬件版的防火墙，网络设备强烈推荐华为，因为我有10年以上网吧维护经验，DDOS攻击，ARP攻击这些都碰到过，还有小区宽带，自建的就是服务器目前用的是PA这款软路由，硬路由有点贵，剩下就是配置交换机，交换机配置好VLAN，能杜绝一些网络攻击。电脑的话如果不嫌麻烦可以用安装360，里边有个局域网防火墙功能ARP绑定这个打开，就可以防止一些ARP攻击。如果是DDOS攻击的话，可以限制一些连接数，来防止。或者直接上硬件版的防火墙。希望得到您的关注或点赞。

网络架构安全
划分网络安全域，隔离企业内部不同安全级别的主机，避免同网络环境下一台服务器被入侵后影响到其它主机。
使用NAT提供上网服务，禁止主机直接绑定公网IP，直接绑定公网IP会导致主机完全暴露在互联网遭受攻击入侵。
对互联网提供服务，通过负载均衡（LB）将需要开放对外的端口（如：80，443）代理到后端的应用服务，并将对外服务放置在独立的子网中。
防火墙隔离是主要网络安全隔离手段，通过ACL设置在网络层过滤服务器的访问行为，限定服务器对外/对内的的端口访问，授权访问地址，从而减少攻击面，保护服务器的安全。
高危网络端口，开启的服务端口越多越不安全。只对外开放提供服务的必要端口，禁止将RDP、SSH、Redis、MongoDB、MySQL、MSsql等高危服务直接暴露在互联网上。
账号口令安全
杜绝弱口令，弱口令是最容易出现的也是最容易被利用的漏洞。
为所有服务配置强密码，要求至少8个字符以上，包含大小写字母、数字、特殊符号，并且要不定时更新口令。
Linux系统，禁止使用root账号直接登录，使用证书登录，设置可信登录主机的IP。
Windows系统，修改 administrator 默认名称，设置可信登录主机的IP。
Web应用系统，必须使用强密码安全策略和验证码，防止暴力破解和撞库。
数据库系统（Redis、MongoDB、MySQL、MSsql Server）禁止使用弱密码或无密码。
增强安全策略，使用多因素验证机制（MFA）、强制密码安全策略（如：锁定策略），和审计功能（异常告警）。
系统运维安全
使用跳板机/堡垒机进行远程维护，实施强密码策略，合理分配权限，对于所有操作行为严格记录并审计。
为操作系统云服务器安装防病毒软件，并定期更新病毒库。
定期更新补丁，修补操作系统漏洞，关注安全漏洞情报，当出现高风险漏洞时，及时更新操作系统所有补丁。
Windows系统的补丁更新要一直开启，Linux系统要设置定期任务执行yum update -y来更新系统软件包及内核。
开启系统日志记录功能，集中管理日志和审计分析。
对所有业务系统进行实时监控，当发现异常时，立即介入处理。
对软件安全加固（Apache、Nginx、Tomcat、Mysql、MSsql、Redis等服务）标准化安全配置，禁止随意修改。
应用开发安全
对应用服务软件（如 Tomcat、Apache、Nginx 等软件），建议使用官方最新版的稳定版。
及时更新Web应用版本，如：Struts、ElasticSearch非最新版都爆发过远程命令执行漏洞。
WDCP、TOMCAT、Apache、Nginx、Jekins、PHPMyAdmin、WebLogic、Jboss等Web服务管理后台不要使用默认密码或空密码；不使用的管理后台建议直接关闭。
使用安全扫描工具（例如，系统漏扫工具：Nessus、Nexpose，Web 漏扫工具：Appscan、AWVS）上线前扫描应用服务，是否仍存在高风险漏洞，修复完漏洞后再发布使用。