當前位置:首頁 > 關于我們 > 公司動態 > 正文
關于我們
·關于四卜格
·榮譽資質
·我們的風彩
·人才招聘
·聯系方式
·合作伙伴
·機房介紹
 
 
相關文檔下載
 
IDC業務合同下載
網站備案登記表
反向解析業務登記表
增值服務合同
客戶意見反饋表
   
 
常見問題
 
什么是服務器租用?
服務器租用和托管有什么區別?
整機租用與虛擬主機有什么區別?
服務器的速度由哪些因素決定?
服務器租用服務承諾
   
 
 
 
 
網絡安全始于心 安全行動踐于行
2020-4-15
 

網絡安全始于心 安全行動踐于行

網絡安全工作五大目標

①進不來,②拿不走,③看不懂,④改不了,⑤跑不了。

1 進不來

①、網絡出口邊界

這是我們網絡通往互聯網的一道大門。我們需要從精彩紛呈的互聯網上獲取有價值內容,也把我們有價值的內容分享到互聯網上。這里是病毒、攻擊的的一條高速公路。

  要保障這條信息高速公路的安全,我們需要設立一個檢查站,這就是我們的防火墻/UTM。防火墻可以設立各種安全策略來阻斷非法訪問。它工作在TCP/IP網絡的的下三層。

  l 如果是一般的網絡買臺防火墻/UTM也就可以了基本實現進不了了;

  l 如果稍微重要一點的網絡,就可以購買兩臺組建雙機系統,保障防火墻的高可用性;

  l 如果是重要網絡,那僅僅在TCP/IP網絡的下三層防護就顯的不太夠了,需要在防火墻后面額外配備專業IPS來進行防護(UTM雖然有IPS功能,但沒有獨立IPS功能完善和處理效率高)。IPS可以通過更加深層次的分析和安全策略來對異常訪問或者攻擊行為進行阻斷。

  l 如果是特別重要網絡,那就在網絡出口邊界這里加上IDS設備,它可以幫助你檢測出各種網絡的安全威脅,聯動IPS、防火墻進行阻斷訪問或者攻擊。

  l 如果是特別重要的專用網絡,那就在網絡需要一套網閘設備來對網絡做物理隔離,保障內外網的邊界安全。

②、主機出口邊界

這是人機互動的出口。主機通過顯示器、鍵盤、鼠標以及外設和人們進行互動。這個互動也就帶來了安全危險。主要威脅來自USB等外設帶來的文件傳輸、人為訪問內部網絡及設備。這算是內部網絡的很多小門。要管好這些小門我們需要通過如下安全產品來實現:

  l 終端安全:我們需要部署一套終端安全管理系統來對終端進行安全管控,至少包括“防病毒、終端準入”產品。防病毒大家都知道可以避免病毒感染,終端準入可以有強制的安全基線,對不安全的終端強制隔離。

  l 終端內部訪問:終端訪問內部服務器或其他IT資產,對于服務器來說默認是可信的。這里我們就需要對網絡進行分區域,不同安全區域之間部署區域防火墻,強制將安全要求不同的區域隔離開。

  l 終端外部訪問:終端隨意訪問不健康的互聯網資源,有很大可能會碰上釣魚網站,木馬、病毒。所以這里,我們需要上一臺上網行為管理來對內部終端進行管控。

  l 運維安全:運維是人對IT資產管理的必要交互。如果運維人員進行攻擊破壞后果不堪設想,所以這里我們需要上一套堡壘機來進行運維安全管控。

2 拿不走

拿不走是對進不來的第二級防護工作目標。也就是說黑客你逃過了第一道門,第二道保護就是讓你進來了啥也拿不走。這一塊主要是對我們信息系統的數字資產的防護。主要是對數據庫、重要文件等重要信息的保護。要做好這一級的防護,得從黑客攻擊的手段來考量,這樣才能做到知己知彼,百戰不殆。

  黑客獲取數據主要是幾個渠道,一是通過在網絡上監聽獲取。二是攻擊進入到內部直接拿走數據或者通過自己編寫的自動程序將數據傳輸出去。那我們防護工作就需要有針對性的產品來解決。

 、偌用軅鬏

  這是對付網絡監聽的常規辦法。我們可以通過VPN設備來加密我們分支機構或者在外辦公的同事連回公司的網絡連接?梢酝ㄟ^SSL加密技術讓我們網站對外采用HTTPS訪問。網絡運維全部采用加密的SSH、SFTP等來進行。

        ②權限管控

  為了防止數據被非法復制走,必須對本地數據庫、重要文件等進行嚴格的權限管控。能不給復制的權限就不給復制的權限。而且對權限管理細粒度足夠細,控制足夠嚴。

 、鄯乐购诳统绦

  為了防止黑客在機器上放木馬等黑客程序,這就需要部署防病毒軟件或者網絡防病毒設備來解決。

 、芊乐箖炔咳藛T拿走

  這需要用一套數據防泄密系統?梢試栏裣拗苾炔咳藛T拷貝數據發送數據。甚至截屏、拍照 都可以通過水印來事后追蹤。

 注意:這一級保護對于DDOS攻擊無效。因為DDOS攻擊是為了癱瘓業務,不是要數據。DDOS必須在進不來工作中就擋住。

3 看不懂

看不懂屬于第三級安全防護工作目標。對于數據萬一被黑客看到,我們需要做到就算被看到,他們也看不懂。這里需要用到數據加密技術來解決,技術原理上主要有對稱加密、非對稱加密、數字證書等。解決方案產品有:

 、贁祿䦷旒用

  數據庫的數據統一存儲在數據庫程序的表空間里。為了讓黑客們看不懂,我們必須采用數據庫加密系統對數據庫中的敏感字段加密、索引加密。最后對秘鑰進行安全管理。

       ②文檔加密

  文檔加密系統可以對文檔的整個生命周期進行管理,對重要文檔進行加密,加密分享。

4 改不了

  改不了是第四級安全防護工作目標。黑客看到了數據它也不改不了。技術上,這里需要用到防篡改解決方案。防篡改工作原理一般是:實時監控篡改企圖--阻斷篡改—從備份讀取標準文件覆蓋掉被篡改的文件。防篡改監測內容通常有進程、文件、注冊表、等等。場景通常涉及到網頁防篡改、網站防篡改、服務器防篡改。這些都只需要一套系統即可解決。

5 跑不了

  跑不了是最后一道防線的安全工作。這也是最低要求,就是當黑客得逞后,我必須有技術手段的記錄信息,可以通過記錄來追蹤到黑客。中國今年來對網絡安全高度重視,出臺的的《網絡安全法》中對網絡日志的保存期限已明確要求不低于六個月。

       ①:自己搭建日志服務器

  由日志服務器統一收集所有網絡設備的日志。采集方式可以通過SNMP Trap、WMI、HTTPS都可以。但是日志分析、統計報表恐怕就比較費力了。

    ②:購買一套日志審計系統

  它可以幫助你完成日志采集、日志歸集、日志存儲,日志分析告警等等功能。還有非常完善的報表系統給你展示當前的網絡設備運行情況。采集方式基本也都相同。日志分析策略還可以定制一些攻擊模型策略,可以幫助你通過日志盡快發現攻擊。

    ③:購買一套日志大數據產品

  日志大數據是結合了日志采集和大數據分析,非常適合日志數據量龐大的單位。通過大數據分析可以在大量的日志中幫你做趨勢分析,做前瞻性決策。 

結束語

  綜上,在這些年中國在網絡安全方面非常重視。不僅出臺了《網絡安全法》對網絡安全作了法律上的規定。還每年組織護網行動,采用攻防對抗來提升單位的網絡安全能力。等保2.0也在近期推出,對等級保護安全的要求又擴展了很多。

  但是,實際網絡安全工作目標都是這五大目標,大家可以結合法律法規指導文件將網絡安全工作做得更好。

 

 

上海市公安局浦東公安分局宣:




 
 
 
 
 
 
 
上海服務器租用 服務器托管 機柜帶寬 專業數據服務商!

上海四卜格網絡科技有限公司 版權所有
公司地址:上海市浦東新區新金橋路196號杉達大廈5樓
信息產業部網站備案:滬ICP備07018977號
因特網接入服務業務(ISP)經營許可證:滬B2-20070216

滬公網安備 31011502002379號

滬公網安備 31011502002379號

赖子山庄天津麻将3.5 炒股杠杆平台 想开通香港股票开户 股票几时开盘 新华联股票 股票怎么开户流程 股票交易的规则 最近股票大跌的原因 炒股软件下载 10元以下股票推荐 股票今日开盘