网络安全问题已经不是一个纯技术性的问题,一个完善的网络安全体系必须合理协调法律、技术和管理三种因素,集成防护、监控和恢复三种技术。无论是在局域网还是广域网中,网络完全措施应是能全方位地针对各种不同的威胁和脆弱性,保证网络信息的保密性、完整性和可用性。
网络安全结构
网络安全贯穿于OSI 7层模型(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层),针对网络系统实际运行的 TCP/ IP 协 议 ,网络安全贯穿于信息系统的 4 个层次。
物理层信息安全,主要防止物理链路的损坏、物理通路的窃听、对物理通路的攻击或干扰等。
链路层需要保证通过网络链路传送的数据不被窃听。可以采用划分Vlan(局域网)、加密通信(远程网)等手段
网络层需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免拦截监听。
操作系统安全要求保证用户资料、操作系统访问控制的安全,同时能对该操作系统上的应用进行审计。
应用平台指建立在网络系统上的应用软件服务 ,如数据库服务器、 电子邮件服务器、 Web 服务器 等。 由于应用平台的系统非常复杂 ,通常采用多种技 术(如 SSL 等) 来增强应用平台的安全性
网络系统的安全应具备以下功能
网络应用系统的安全体系应包含如下功能:
攻击干扰监控。 通过对特定网段、服务建立的攻击监控体系 ,可实时检测出绝大多数攻击 ,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等) 。
加密通讯。主动的加密通讯 ,可使攻击者不能了解、修改敏感信息。
检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
认证体系。良好的认证体系可防止攻击者假冒合法用户。
多层防御。攻击者在突破第一道防线后 ,延缓或阻断其到达攻击目标。
备份与恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
访问控制。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
设立安全监控中心,为信息系统提供安全体系管理、监控、保护及紧急情况服务。
单机
单机上网用户面临的安全问题主要有:计算机硬件设备安全、计算机病毒、网络蠕虫、恶意攻击、木马程序、网站恶意代码、操作系统和软件漏洞等。
防病毒木马软件
Norton、Anti-Vorus、Kaspersky、金山V8+终端安全系统等。
防网络攻击
针对单机上网的个人用户的网络攻击行为主要包括:端口扫描、拒绝服务、窃取文件、安装后门等,有效手段为安装个人防火墙,如Zone Alam Pro、诺顿个人防火墙、金山网镖、瑞星个人防火墙、天网防火墙个人版等。
防恶意代码
网络恶意代码是威胁用户安全的主要因素,大部分蠕虫、木马和病毒等有害程序都是通过该途径进入用户系统。防病毒软件具有检测和清除网站恶意代码的能力。
电子邮件安全
保护电子邮件的方法是让攻击者无法理解截获的数据包,即对电子邮件的内容进行加密处理。如PGP加密系统等。
设置电脑的登陆用户
添加合法用户,尽量避免使用管理员账户。保护计算机安全。
禁用多余服务
关闭没用的服务增加安全系数,并为电脑提速
关闭不用的端口
常见端口关闭:139、445、3389
监控系统性能
应用性能管理(APM), glances(适用于linux),windows自带任务管理器
局域网
一个不设防的网络,即使是局域网也是十分危险的,目前大多数局域网都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,若黑客对其进行解包分析,便能窃取关键信息
局域网安全的解决方案有以下几种:
网络分段
网络分段是保证安全的一项重要措施,同时也是一项基本手段,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。物理分段通过硬件路由,交换机等组建网络,逻辑分段通过划分VLAN划分广播域隔绝网络。
网络层安全防护设计
1) 通过FW、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。
2) 在各个内网安全域边界处,部署防火墙实现域边界的网络层访问控制。
3) 在内网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析, 通过会话时间、协议类型等判断业务性能和交互响应时间。
主机层安全防护与设计
4) 在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。
5) 通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。
应用层安全防护与设计
6) 在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护。
7) 通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。
数据层安全防护与设计
8) 在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制。
9) 在数据资源域边界处部署数据库审计设备实现数据库的操作审计。
10) 在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密。
安全数据分析
11) 部署态势感知系统,根据告警信息定位失陷主机,检测各类植入攻击,识别漏洞入侵的恶意代码。
12) 部署全景流量分析系统,建立正常网络流量模型,设定检测规则及阈值检测异常流量并报警处理。
安全管控措施
13) 基于漏洞检测的主动防御,云安全防护虚拟资源池提供系统层漏扫、web层漏扫、数据库漏扫等检测工具,基于已知或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为
14) 内网统一身份认证与权限管理。建立统一身份库,设立各级权限账户唯一身份标识,通过堡垒机实现访问。外部访问通过验证加入外部用户身份库,实现资源访问。
广域网
建议采用vpn
安全防护清单
防火墙
交换机
路由器
隔离网闸
防病毒网关
上网行为管理
流量分析系统
态势感知平台
统一身份认证
数字证书
威胁情报分析系统
漏洞统一管理平台
漏洞扫描器
安全运维审计
数据库审计:用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。
IPS(入侵防御系统): 监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
Waf (Web应用防护系统): Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
堡垒机:保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
单工、半双工、全双工
数据通常是在两个站(点对点)之间进行传输,按照数据流的方向可分成三种传输模式:单工、半双工、全双工。
单工(Simplex Communication)模式的数据传输是单向的。通信双方中,一方固定为发送端,一方则固定为接收端。信息只能沿一个方向传输,使用一根传输线。单工模式一般用在只向一个方向传输数据的场合。例如计算机与打印机之间的通信是单工模式,
因为只有计算机向打印机传输数据,而没有相反方向的数据传输。还有在某些通信信道中,如单工无线发送等。
半双工通信使用同一根传输线,既可以发送数据又可以接收数据,但不能同时进行发送和接收。数据传输允许数据在两个方向上传输,但是,在任何时刻只能由其中的一方发送数据,另一方接收数据。因此半双工模式既可以使用一条数据线,也可以使用两条数据线。它实际上是一种切换方向的单工通信,就和对讲机
(步话机)一样。半双工通信中每端需有一个收发切换电子开关,通过切换来决定数据向哪个方向传输。因为有切换,所以会产生时间延迟。信息传输效率低些。
全双工数据通信允许数据同时在两个方向上传输,因此,全双工通信是两个单工通信方式的结合,它要求发送设备和接收设备都有独立的接收和发送能力,就和电话一样。
在全双工模式中,每一端都有发送器和接收器,有两条传输线,可在交互式应用和远程监控系统中使用,信息传输效率高。目前的网卡一般都支持全双工。随着技术的不断进步,半双工会逐渐退出历史舞台. 全双工以太网使用两对电缆线,而不是像半双工方式那样使用一对电缆线。全双工方式在发送设备的发送方和接收设备的接收方之间采取点到点的连接,这意味着在全双工的传送方式下,可以得到更高的数据传输速度。
所以一般都是设置的全双工,速度更快
————————————————
版权声明:本文为CSDN博主「allen_swj」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_35257875/article/details/94585193
网络安全结构
网络安全贯穿于OSI 7层模型(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层),针对网络系统实际运行的 TCP/ IP 协 议 ,网络安全贯穿于信息系统的 4 个层次。
物理层信息安全,主要防止物理链路的损坏、物理通路的窃听、对物理通路的攻击或干扰等。
链路层需要保证通过网络链路传送的数据不被窃听。可以采用划分Vlan(局域网)、加密通信(远程网)等手段
网络层需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免拦截监听。
操作系统安全要求保证用户资料、操作系统访问控制的安全,同时能对该操作系统上的应用进行审计。
应用平台指建立在网络系统上的应用软件服务 ,如数据库服务器、 电子邮件服务器、 Web 服务器 等。 由于应用平台的系统非常复杂 ,通常采用多种技 术(如 SSL 等) 来增强应用平台的安全性
网络系统的安全应具备以下功能
网络应用系统的安全体系应包含如下功能:
攻击干扰监控。 通过对特定网段、服务建立的攻击监控体系 ,可实时检测出绝大多数攻击 ,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等) 。
加密通讯。主动的加密通讯 ,可使攻击者不能了解、修改敏感信息。
检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
认证体系。良好的认证体系可防止攻击者假冒合法用户。
多层防御。攻击者在突破第一道防线后 ,延缓或阻断其到达攻击目标。
备份与恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
访问控制。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
设立安全监控中心,为信息系统提供安全体系管理、监控、保护及紧急情况服务。
单机
单机上网用户面临的安全问题主要有:计算机硬件设备安全、计算机病毒、网络蠕虫、恶意攻击、木马程序、网站恶意代码、操作系统和软件漏洞等。
防病毒木马软件
Norton、Anti-Vorus、Kaspersky、金山V8+终端安全系统等。
防网络攻击
针对单机上网的个人用户的网络攻击行为主要包括:端口扫描、拒绝服务、窃取文件、安装后门等,有效手段为安装个人防火墙,如Zone Alam Pro、诺顿个人防火墙、金山网镖、瑞星个人防火墙、天网防火墙个人版等。
防恶意代码
网络恶意代码是威胁用户安全的主要因素,大部分蠕虫、木马和病毒等有害程序都是通过该途径进入用户系统。防病毒软件具有检测和清除网站恶意代码的能力。
电子邮件安全
保护电子邮件的方法是让攻击者无法理解截获的数据包,即对电子邮件的内容进行加密处理。如PGP加密系统等。
设置电脑的登陆用户
添加合法用户,尽量避免使用管理员账户。保护计算机安全。
禁用多余服务
关闭没用的服务增加安全系数,并为电脑提速
关闭不用的端口
常见端口关闭:139、445、3389
监控系统性能
应用性能管理(APM), glances(适用于linux),windows自带任务管理器
局域网
一个不设防的网络,即使是局域网也是十分危险的,目前大多数局域网都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,若黑客对其进行解包分析,便能窃取关键信息
局域网安全的解决方案有以下几种:
网络分段
网络分段是保证安全的一项重要措施,同时也是一项基本手段,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。物理分段通过硬件路由,交换机等组建网络,逻辑分段通过划分VLAN划分广播域隔绝网络。
网络层安全防护设计
1) 通过FW、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。
2) 在各个内网安全域边界处,部署防火墙实现域边界的网络层访问控制。
3) 在内网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析, 通过会话时间、协议类型等判断业务性能和交互响应时间。
主机层安全防护与设计
4) 在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。
5) 通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。
应用层安全防护与设计
6) 在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护。
7) 通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。
数据层安全防护与设计
8) 在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制。
9) 在数据资源域边界处部署数据库审计设备实现数据库的操作审计。
10) 在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密。
安全数据分析
11) 部署态势感知系统,根据告警信息定位失陷主机,检测各类植入攻击,识别漏洞入侵的恶意代码。
12) 部署全景流量分析系统,建立正常网络流量模型,设定检测规则及阈值检测异常流量并报警处理。
安全管控措施
13) 基于漏洞检测的主动防御,云安全防护虚拟资源池提供系统层漏扫、web层漏扫、数据库漏扫等检测工具,基于已知或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为
14) 内网统一身份认证与权限管理。建立统一身份库,设立各级权限账户唯一身份标识,通过堡垒机实现访问。外部访问通过验证加入外部用户身份库,实现资源访问。
广域网
建议采用vpn
安全防护清单
防火墙
交换机
路由器
隔离网闸
防病毒网关
上网行为管理
流量分析系统
态势感知平台
统一身份认证
数字证书
威胁情报分析系统
漏洞统一管理平台
漏洞扫描器
安全运维审计
数据库审计:用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。
IPS(入侵防御系统): 监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
Waf (Web应用防护系统): Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
堡垒机:保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
单工、半双工、全双工
数据通常是在两个站(点对点)之间进行传输,按照数据流的方向可分成三种传输模式:单工、半双工、全双工。
单工(Simplex Communication)模式的数据传输是单向的。通信双方中,一方固定为发送端,一方则固定为接收端。信息只能沿一个方向传输,使用一根传输线。单工模式一般用在只向一个方向传输数据的场合。例如计算机与打印机之间的通信是单工模式,
因为只有计算机向打印机传输数据,而没有相反方向的数据传输。还有在某些通信信道中,如单工无线发送等。
半双工通信使用同一根传输线,既可以发送数据又可以接收数据,但不能同时进行发送和接收。数据传输允许数据在两个方向上传输,但是,在任何时刻只能由其中的一方发送数据,另一方接收数据。因此半双工模式既可以使用一条数据线,也可以使用两条数据线。它实际上是一种切换方向的单工通信,就和对讲机
(步话机)一样。半双工通信中每端需有一个收发切换电子开关,通过切换来决定数据向哪个方向传输。因为有切换,所以会产生时间延迟。信息传输效率低些。
全双工数据通信允许数据同时在两个方向上传输,因此,全双工通信是两个单工通信方式的结合,它要求发送设备和接收设备都有独立的接收和发送能力,就和电话一样。
在全双工模式中,每一端都有发送器和接收器,有两条传输线,可在交互式应用和远程监控系统中使用,信息传输效率高。目前的网卡一般都支持全双工。随着技术的不断进步,半双工会逐渐退出历史舞台. 全双工以太网使用两对电缆线,而不是像半双工方式那样使用一对电缆线。全双工方式在发送设备的发送方和接收设备的接收方之间采取点到点的连接,这意味着在全双工的传送方式下,可以得到更高的数据传输速度。
所以一般都是设置的全双工,速度更快
————————————————
版权声明:本文为CSDN博主「allen_swj」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_35257875/article/details/94585193