亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于等級保護2.0的中小型企業(yè)網(wǎng)絡(luò)安全建設(shè)研究

        2021-09-11 07:28:38張德棟趙英明馮凱亮
        鐵路計算機應用 2021年8期
        關(guān)鍵詞:管理區(qū)防火墻邊界

        陳 勛,張德棟,趙英明,馮凱亮

        (中國鐵道科學研究院集團有限公司 電子計算技術(shù)研究所,北京 100081)

        近年來,國內(nèi)外的網(wǎng)絡(luò)安全形勢較為嚴峻,網(wǎng)絡(luò)攻擊的組織性和目的性愈加凸顯。高級持續(xù)性威脅(APT,Advanced Persistant Threat)攻擊逐步向重要行業(yè)滲透[1],安全漏洞更加頻繁地被利用[2],勒索攻擊威脅突破歷史最高點[3]。中國于2020年首次超過美國、韓國、中東等國家和地區(qū),成為全球APT攻擊的首要地區(qū)性目標[4],網(wǎng)絡(luò)安全早已成為關(guān)系國家安全的重要領(lǐng)域。

        我國在國家層面已開始提高對網(wǎng)絡(luò)空間安全的重視,并陸續(xù)發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(簡稱:等級保護2.0)等法律法規(guī)。國內(nèi)的各行各業(yè)陸續(xù)開展網(wǎng)信自主創(chuàng)新產(chǎn)業(yè),圍繞核心芯片、基礎(chǔ)硬件、操作系統(tǒng)、中間件、數(shù)據(jù)服務(wù)器等基礎(chǔ)信息技術(shù)(IT,Information Technology)底層架構(gòu),逐步進行國產(chǎn)化設(shè)備替代。加強網(wǎng)絡(luò)安全建設(shè),優(yōu)先采用國產(chǎn)化軟硬件設(shè)備來實現(xiàn)網(wǎng)信安全可靠,已成為企業(yè)信息化建設(shè)的首要任務(wù)。

        許多企業(yè)按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(簡稱:等級保護1.0)的要求,建成了網(wǎng)絡(luò)安全防護體系。如今,滿足等級保護1.0要求的網(wǎng)絡(luò)安全防護體系已經(jīng)不滿足等級保護2.0的要求,且設(shè)備老舊,這使其無法滿足日益增長的信息化安全和性能要求,因此,不少企業(yè)已經(jīng)陸續(xù)啟動網(wǎng)絡(luò)安全改造工程的計劃。目前,已有企業(yè)進行網(wǎng)絡(luò)安全的相關(guān)學術(shù)研究,大部分是以等級保護1.0為標準,通過優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)和部署各類網(wǎng)絡(luò)安全設(shè)備來提升企業(yè)網(wǎng)絡(luò)安全水平[5-6];也有使用數(shù)據(jù)融合算法和云存儲策略等方式強化云安全防護的研究[7]。但以等級保護2.0為建設(shè)目標,側(cè)重未知威脅感知預警,滿足企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境、云平臺、移動設(shè)備等企業(yè)全方位安全的研究成果較少。本文以此為目標,圍繞通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境、管理中心、云安全、移動安全等方面,提出滿足當前與未來幾年網(wǎng)絡(luò)安全防護需求的建設(shè)方案。

        1 網(wǎng)絡(luò)安全現(xiàn)狀與風險分析

        各中小企業(yè)的網(wǎng)絡(luò)架構(gòu)與網(wǎng)絡(luò)安全現(xiàn)狀不盡相同。在網(wǎng)絡(luò)架構(gòu)方面,企業(yè)一般采用包含外網(wǎng)和內(nèi)網(wǎng)的典型網(wǎng)絡(luò)架構(gòu),其中,外網(wǎng)與互聯(lián)網(wǎng)相連;內(nèi)網(wǎng)包含企業(yè)重要的敏感信息,與互聯(lián)網(wǎng)不相連。內(nèi)網(wǎng)和外網(wǎng)之間通過網(wǎng)閘或物理方式進行隔離。在信息系統(tǒng)方面,企業(yè)一般在內(nèi)外網(wǎng)都部署了信息系統(tǒng),等級保護級別通常被定級為第二級或第三級,因此,本文按照等級保護2.0第三級的要求對企業(yè)所面臨的網(wǎng)絡(luò)安全風險進行分析。

        1.1 安全通信網(wǎng)絡(luò)

        安全通信網(wǎng)絡(luò)的風險主要包括以下方面。

        (1)安全域劃分:現(xiàn)有的安全域規(guī)劃無法滿足網(wǎng)絡(luò)安全需求,主要體現(xiàn)在缺少集中的安全管理區(qū)域和開發(fā)測試區(qū)域。

        (2)安全通信網(wǎng)絡(luò):部分關(guān)鍵節(jié)點缺少硬件冗余,存在單點故障的風險。

        (3)網(wǎng)絡(luò)性能:網(wǎng)絡(luò)鏈路存在部分設(shè)備沒有部署雙機的情況。

        (4)設(shè)備國產(chǎn)化:關(guān)鍵鏈路存在采用國外網(wǎng)絡(luò)設(shè)備的情況。

        1.2 安全區(qū)域邊界

        安全區(qū)域邊界的風險主要包括以下方面。

        (1)在安全區(qū)域之間的邊界防護方面,沒有確保每個區(qū)域之間設(shè)置訪問控制手段?,F(xiàn)有防火墻的訪問控制列表無法保證控制規(guī)則最優(yōu)化和規(guī)則數(shù)量最小化。

        (2)終端接入?yún)^(qū)攻擊行為的檢測與報警手段缺失,整個網(wǎng)絡(luò)缺少對未知威脅攻擊的檢測與分析手段。

        (3)網(wǎng)絡(luò)的關(guān)鍵節(jié)點缺少重要的安全事件審計手段。

        (4)有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的邊界之間缺少無線接入網(wǎng)關(guān),使有線流量與無線流量混在一起無法區(qū)分。

        (5)無線網(wǎng)絡(luò)的邊界缺少非授權(quán)接入及攻擊檢測手段。

        (6)部分邊界防護系統(tǒng)存在采用國外安全設(shè)備的情況。

        1.3 安全計算環(huán)境

        安全計算環(huán)境的風險主要包括以下方面。

        (1)身份認證:雖然能夠為部分系統(tǒng)提供雙因子身份認證,但是缺少為整個網(wǎng)絡(luò)提供雙因子認證的身份鑒別措施。

        (2)脆弱性檢查:缺少對關(guān)鍵節(jié)點的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的安全基線檢查和漏洞檢查手段。

        (3)數(shù)據(jù)安全:缺少對數(shù)據(jù)庫的安全審計措施。

        (4)應用安全:缺少網(wǎng)頁防篡改的自動恢復手段。

        1.4 安全管理中心

        安全管理中心的風險主要包括以下方面。

        (1)審計:缺少能夠?qū)ο到y(tǒng)管理員、審計管理員和安全管理員進行身份鑒別和運維操作的審計措施。

        (2)集中管理:缺少對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器等運行狀況進行集中監(jiān)測和管理的技術(shù)手段。

        1.5 云安全防護

        云安全防護存在防護能力不足的問題,缺少對云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為、虛擬網(wǎng)絡(luò)節(jié)點發(fā)起的網(wǎng)絡(luò)攻擊行為的檢測與審計能力,缺少對虛擬機與宿主機之間、虛擬機與虛擬機之間異常流量的檢測能力。

        1.6 移動應用安全防護

        移動應用安全防護在移動終端的接入安全、移動環(huán)境安全方面缺少相應的安全防護手段。

        2 總體設(shè)計原則

        中小型企業(yè)園區(qū)網(wǎng)絡(luò)安全的設(shè)計應遵循以下設(shè)計原則。

        2.1 強化邊界監(jiān)管

        中小型企業(yè)通過細化邊界防護系統(tǒng)的訪問控制粒度來強化邊界防護,堅決不允許不符合安全策略的流量通過。

        2.2 嚴控終端安全

        多份調(diào)研報告表明,由于防護不當,終端設(shè)備極易成為攻擊者滲透進入企業(yè)網(wǎng)絡(luò)的跳板。中小型企業(yè)通過嚴格防護終端設(shè)備的安全,保障終端設(shè)備合規(guī)入網(wǎng),以減少網(wǎng)絡(luò)攻擊的滲透點。

        2.3 定期檢查漏洞,做好基線核查

        網(wǎng)絡(luò)攻擊往往針對系統(tǒng)的脆弱點,因此,中小型企業(yè)可以通過定期檢查并修復漏洞,堵住系統(tǒng)存在的各類安全隱患。同時,中小型企業(yè)也要做好基線配置核查,修復系統(tǒng)的脆弱點。

        2.4 緊盯異常流量

        當發(fā)生攻擊時,攻擊行為將會體現(xiàn)在流量的異常變化上。中小型企業(yè)可以通過監(jiān)測并發(fā)現(xiàn)異常流量,及時采取措施,以防范惡意攻擊。

        2.5 態(tài)勢集中研判

        中小型企業(yè)可以通過建立集中安全管理平臺,結(jié)合外部安全情報,對安全威脅實時分析,實現(xiàn)安全態(tài)勢的集中研判。

        3 建設(shè)方案設(shè)計

        3.1 建設(shè)目標

        通過對網(wǎng)絡(luò)進行改造,以達到滿足網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的基本要求為目標,根據(jù)國內(nèi)外網(wǎng)絡(luò)安全威脅的發(fā)展趨勢,提出適用于中小型企業(yè)網(wǎng)絡(luò)安全建設(shè)的方案。所提方案能夠優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)與配置,強化網(wǎng)絡(luò)邊界,構(gòu)建基于計算環(huán)境安全、應用安全、網(wǎng)絡(luò)邊界安全、集中管控為一體的“一個中心,三重防護”安全防御體系。中小型企業(yè)通過本文所提方案建設(shè)符合等級保護2.0第三級要求的網(wǎng)絡(luò)安全架構(gòu),建成網(wǎng)絡(luò)安全威脅自動分析、安全漏洞實時檢測、威脅情報通報共享、安全策略集中管控、防護措施協(xié)同聯(lián)動、安全事件預警及時的安全防御機制。

        3.2 總體架構(gòu)

        中小型企業(yè)的網(wǎng)絡(luò)安全設(shè)計思路應遵循我國網(wǎng)絡(luò)安全的相關(guān)法律法規(guī),依據(jù)等級保護2.0的建設(shè)規(guī)范,建立以計算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的網(wǎng)絡(luò)安全整體保障體系,建立態(tài)勢感知平臺和集中管理平臺,實現(xiàn)從事后分析向主動防御、動態(tài)防護、整體防控、精準防護推進。網(wǎng)絡(luò)安全整體設(shè)計框架如圖1所示,本文基于該框架提出可改進安全防護能力的網(wǎng)絡(luò)安全建設(shè)方案。

        圖1 網(wǎng)絡(luò)安全整體設(shè)計框架

        3.3 建設(shè)方案

        3.3.1 安全通信網(wǎng)絡(luò)

        (1)安全域改造

        假設(shè)原網(wǎng)絡(luò)區(qū)域包括邊界接入?yún)^(qū)、服務(wù)器區(qū)和終端接入?yún)^(qū)。在此基礎(chǔ)上,將內(nèi)外網(wǎng)服務(wù)器區(qū)的開發(fā)測試環(huán)境劃分為獨立的開發(fā)測試區(qū),以便使生產(chǎn)環(huán)境與開發(fā)測試環(huán)境相互隔離,避免開發(fā)測試行為影響生產(chǎn)環(huán)境。通過測試的數(shù)據(jù)才能遷移到生產(chǎn)環(huán)境,以保障生產(chǎn)環(huán)境數(shù)據(jù)的安全性。同時,規(guī)劃安全管理區(qū)、核心交換區(qū)和帶外管理區(qū),其中,安全管理區(qū)集中部署用于網(wǎng)絡(luò)安全管理的設(shè)備或系統(tǒng);核心交換區(qū)是各個安全區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)匯聚區(qū)域,以便進行安全監(jiān)測;帶外管理區(qū)用于收集可能產(chǎn)生大流量的監(jiān)控數(shù)據(jù),以及用于網(wǎng)絡(luò)安全運維管理,運維流量單獨隔離可減少對業(yè)務(wù)流量的影響。在各個安全區(qū)域邊界均部署防火墻,通過安全策略進行訪問控制。

        (2)關(guān)鍵設(shè)備冗余設(shè)計

        對匯聚交換機、區(qū)域邊界防火墻、核心交換機、入侵防御系統(tǒng)(IPS,Intrusion Prevention System)、網(wǎng)站應用級防護系統(tǒng)(WAF,Web Application Firewall)等各區(qū)域核心節(jié)點均采用硬件冗余設(shè)計,保障高可用性。

        (3)性能保障

        對于年代久遠、性能不足的設(shè)備,將它們替換成高性能、支持高帶寬的設(shè)備。在品牌選擇上,以成熟度較高的國產(chǎn)品牌為主,確保自主安全可控。

        (4)VPN流量防護

        中小型企業(yè)的虛擬專用網(wǎng)絡(luò)(VPN,Virtual Private Network)設(shè)備在部署上可以進行優(yōu)化,將VPN加密機旁路部署在邊界接入?yún)^(qū)的防火墻,并在防火墻后端串聯(lián)部署IPS,確保VPN流量經(jīng)過解密后,由IPS進行攻擊流量檢測。

        3.3.2 安全區(qū)域邊界

        (1)入侵檢測與入侵防御

        除在上述邊界接入?yún)^(qū)部署IPS用來抵御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊外,還分別在內(nèi)網(wǎng)和外網(wǎng)服務(wù)器區(qū)的邊界部署IPS,用以抵御來自內(nèi)部的網(wǎng)絡(luò)攻擊。同時,在外網(wǎng)終端接入?yún)^(qū)的無線網(wǎng)絡(luò)邊界部署IPS作為安全防護網(wǎng)關(guān),使無線網(wǎng)絡(luò)的流量與有線網(wǎng)絡(luò)的流量區(qū)分開,以抵御無線網(wǎng)絡(luò)攻擊。

        (2)網(wǎng)絡(luò)流量審計

        分別在外網(wǎng)的核心交換區(qū)、服務(wù)器區(qū)、終端接入?yún)^(qū)和內(nèi)網(wǎng)的核心交換區(qū)、服務(wù)器區(qū)部署網(wǎng)絡(luò)流量分析器(也稱流量探針),對已知和未知威脅進行檢測和分析,為態(tài)勢感知平臺和威脅分析平臺提供數(shù)據(jù)來源。

        (3)應用邊界防護

        傳統(tǒng)VPN提供粗粒度的訪問控制,一般只提供身份鑒別信息的保護,一旦通過驗證,整個內(nèi)部網(wǎng)絡(luò)將被暴露給訪問者。身份鑒別信息若因保管不善落入攻擊者手中,企業(yè)的整個網(wǎng)絡(luò)相當于開放給了攻擊者。因此,在邊界接入?yún)^(qū)部署軟件定義邊界(SDP,Software Defined Perimeter)系統(tǒng),為園區(qū)外的員工提供遠程訪問應用系統(tǒng)服務(wù)。SDP系統(tǒng)可以實現(xiàn)基于用戶、設(shè)備、應用的細粒度訪問控制[8],達到最小化特權(quán)的目的,對所有的遠程訪問以零信任的態(tài)度進行不間斷、持續(xù)強化地身份驗證,并監(jiān)控其訪問行為。

        (4)違規(guī)接入檢測

        在內(nèi)網(wǎng)的安全管理區(qū)部署“一機兩網(wǎng)”檢測設(shè)備,通過主動探測技術(shù)進行邊界安全檢測,保障網(wǎng)絡(luò)邊界的完整性,實現(xiàn)專網(wǎng)專用,杜絕“一機兩網(wǎng)”現(xiàn)象的發(fā)生。

        (5)終端準入控制

        在內(nèi)外網(wǎng)的安全管理區(qū)部署網(wǎng)絡(luò)準入控制系統(tǒng),并且在全網(wǎng)接入層交換機配置準入控制策略,使所有入網(wǎng)的設(shè)備經(jīng)過網(wǎng)絡(luò)準入的控制,實現(xiàn)對非授權(quán)設(shè)備私自聯(lián)到企業(yè)網(wǎng)絡(luò)的行為進行檢查和限制,并且實現(xiàn)對已授權(quán)入網(wǎng)的設(shè)備、關(guān)聯(lián)人員和安全事件的綁定。

        3.3.3 安全計算環(huán)境

        (1)身份鑒別

        在外網(wǎng)部署動態(tài)口令(OTP,One Time Password)認證引擎,通過為每個用戶分配不同的身份種子,實現(xiàn)服務(wù)器端與客戶端在同一時刻計算出用于驗證的動態(tài)口令,也為各系統(tǒng)認證模塊提供基于密碼運算的第二因子身份認證服務(wù)。同時,建設(shè)統(tǒng)一認證與授權(quán)系統(tǒng),實現(xiàn)各信息系統(tǒng)的認證與雙因子認證的集成,并對用戶訪問信息系統(tǒng)的授權(quán)進行統(tǒng)一管理。

        (2)應用安全

        在內(nèi)外網(wǎng)的服務(wù)器區(qū)部署WAF,通過對應用層的攻擊進行攔截,實現(xiàn)信息系統(tǒng)的防護。同時,在外網(wǎng)的安全管理區(qū)部署網(wǎng)頁防篡改系統(tǒng),實現(xiàn)網(wǎng)頁的完整性檢測與自動恢復;部署安全基線核查系統(tǒng),對操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件等多類設(shè)備及系統(tǒng)的不合理或不安全配置進行核查并匯總報告與加固建議;并在內(nèi)外網(wǎng)的安全管理區(qū)部署漏洞掃描系統(tǒng),定期對服務(wù)器進行漏洞掃描,使漏洞得到及時檢測、跟蹤、修復。

        (3)數(shù)據(jù)庫審計

        在內(nèi)外網(wǎng)的服務(wù)器區(qū)旁路部署數(shù)據(jù)庫審計系統(tǒng),對數(shù)據(jù)庫的操作行為進行審計與分析,防止內(nèi)部人員違規(guī)訪問數(shù)據(jù)庫。

        3.3.4 安全管理中心

        (1)防火墻集中管理

        通過部署防火墻集中管理平臺,對全網(wǎng)防火墻的訪問控制策略進行靜態(tài)和動態(tài)分析,使訪問控制策略最小化與最優(yōu)化,并實現(xiàn)對防火墻的統(tǒng)一管理[9]。

        (2)集中安全管理

        在內(nèi)外網(wǎng)的安全管理區(qū)部署網(wǎng)絡(luò)運維管理系統(tǒng),對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備的運行狀況進行集中監(jiān)測和配置管理;在帶外管理區(qū)部署安全威脅分析系統(tǒng)[10],通過帶外管理鏈路收集各個網(wǎng)絡(luò)區(qū)域的流量探針所采集的流量審計數(shù)據(jù),并進行分析處理,實現(xiàn)對網(wǎng)絡(luò)中已知和未知威脅的檢測。同時,在內(nèi)網(wǎng)的安全管理區(qū)部署安全態(tài)勢感知平臺[11],收集安全威脅分析系統(tǒng)的數(shù)據(jù),以及各個安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器等系統(tǒng)采集的審計數(shù)據(jù),全面掌握中小型企業(yè)網(wǎng)絡(luò)安全態(tài)勢的威脅、風險和隱患,及時預警重大網(wǎng)絡(luò)安全威脅。

        (3)運維審計

        通過在內(nèi)外網(wǎng)的安全管理區(qū)部署堡壘機,對運維人員進行身份鑒別、賬號授權(quán),以及對運維操作的審計,實現(xiàn)事中監(jiān)控、事后取證。

        (4)日志審計存儲

        為了達到《中華人民共和國網(wǎng)絡(luò)安全法》關(guān)于日志記錄需留存不少于6個月的要求,增加日志審計的存儲設(shè)備,用以存儲網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件等數(shù)據(jù)。

        3.3.5 云安全防護

        在內(nèi)外網(wǎng)的服務(wù)器區(qū)部署云安全平臺,通過提供云WAF、云IPS、云防火墻、云審計等功能,對云計算環(huán)境中南北向(數(shù)據(jù)中心內(nèi)外網(wǎng)之間的方向)、東西向(數(shù)據(jù)中心內(nèi)部之間的方向)的流量進行檢查、審計和防護,提升面向云環(huán)境的綜合安全防護能力。

        3.3.6 移動應用安全防護

        通過在外網(wǎng)的安全管理區(qū)部署移動安全管理平臺,實現(xiàn)對安裝客戶端的移動設(shè)備進行安全管理。移動安全管理平臺能夠為關(guān)鍵應用提供安全且隔離的運行環(huán)境,同時,通過用戶無感知的加密隧道,實現(xiàn)互聯(lián)網(wǎng)環(huán)境下移動應用安全接入企業(yè)內(nèi)網(wǎng),防止數(shù)據(jù)泄露,為企業(yè)員工提供一個安全的移動辦公環(huán)境。

        4 關(guān)鍵技術(shù)

        4.1 網(wǎng)絡(luò)準入控制

        目前的網(wǎng)絡(luò)準入控制從技術(shù)層面包括基于802.1x標準、動態(tài)主機配置協(xié)議(DHCP,Dynamic Host Configuration Protocol)、策略路由器、虛擬網(wǎng)關(guān)、地址解析協(xié)議(ARP,Address Resolution Protocol)、TCP重置報文技術(shù)(TCP RST)等[12],這些準入控制技術(shù)各有利弊[13]。信息系統(tǒng)與數(shù)據(jù)存儲系統(tǒng)存儲著大量的重要數(shù)據(jù),因此,企業(yè)希望網(wǎng)絡(luò)準入控制技術(shù)在保護好重要數(shù)據(jù)的同時,能夠方便員工和來訪人員使用互聯(lián)網(wǎng)。本文所提方案將有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)分開,其中,無線網(wǎng)絡(luò)直接由專線提供互聯(lián)網(wǎng)訪問,并禁止訪問企業(yè)的內(nèi)部網(wǎng)絡(luò);有線網(wǎng)絡(luò)則通過強綁定與強認證的準入控制實現(xiàn)安全準入?;?02.1x標準的網(wǎng)絡(luò)準入控制技術(shù)是較為合適的選擇,通過交換機等網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持基于802.1x標準認證服務(wù)。常用的桌面型操作系統(tǒng)也支持的802.1x標準認證服務(wù),可以實現(xiàn)員工賬號、終端設(shè)備的多媒體接入控制(MAC,Media Access Control)地址、員工身份綁定等功能。這些技術(shù)都可以實現(xiàn)網(wǎng)絡(luò)的準入控制,并且不影響網(wǎng)絡(luò)使用的便攜性。

        4.2 安全態(tài)勢感知

        安全態(tài)勢感知平臺主要由網(wǎng)絡(luò)流量分析器和態(tài)勢處理系統(tǒng)組成。部署在網(wǎng)絡(luò)核心結(jié)點的流量探針采集來自流量監(jiān)測、各類安全系統(tǒng)、信息系統(tǒng)監(jiān)測等多源數(shù)據(jù),通過數(shù)據(jù)過濾、數(shù)據(jù)格式標準化、數(shù)據(jù)關(guān)聯(lián)信息補齊等處理,將采集的數(shù)據(jù)匯集到可檢索型數(shù)據(jù)庫進行數(shù)據(jù)存儲。數(shù)據(jù)分析系統(tǒng)對統(tǒng)一格式后的數(shù)據(jù)進行分類、關(guān)聯(lián)、聚類、回歸等大數(shù)據(jù)處理,并通過多維態(tài)勢可視化技術(shù)給予安全態(tài)勢展示,實現(xiàn)安全態(tài)勢感知、資產(chǎn)安全評估、安全狀況預警等功能。

        本文部署的安全態(tài)勢感知平臺,能夠幫助企業(yè)及時發(fā)現(xiàn)各類已知與未知威脅,抵御逐年增加的漏洞利用、勒索威脅、APT等攻擊,及時發(fā)現(xiàn)并修復潛在的安全風險。該平臺可以為企業(yè)提供全面的安全評估,以及攻擊發(fā)生時提供及時預警。

        4.3 防火墻策略優(yōu)化

        防火墻策略優(yōu)化是安全管理中心的重要功能之一,本文通過策略審計技術(shù)來實現(xiàn)防火墻策略的優(yōu)化。策略審計技術(shù)的靜態(tài)分析和動態(tài)分析技術(shù)可以優(yōu)化已配置的防火墻策略,其中,靜態(tài)分析可檢測策略中屏蔽異常、冗余異常、交叉異常等未知問題[14];動態(tài)分析則通過一定時長的流量監(jiān)測分析出過寬策略、頻次為零的策略。防火墻策略審計技術(shù)可以優(yōu)化企業(yè)各個防火墻的安全策略,既能滿足等級保護2.0中關(guān)于訪問控制規(guī)則數(shù)量最小化的要求,又能提高防火墻的邊界防護性能,同時,還能減少大量的運維成本,降低因安全策略配置不當造成的損失。

        5 結(jié)束語

        在企業(yè)從等級保護1.0向等級保護2.0升級所進行的網(wǎng)絡(luò)升級改造背景下,本文分析總結(jié)中小型企業(yè)網(wǎng)絡(luò)所面臨的共性問題,根據(jù)等級保護2.0第三級的要求,提出可供中小型企業(yè)參考的網(wǎng)絡(luò)安全建設(shè)方案。該方案不僅可以滿足國家法律法規(guī)的合規(guī)性要求,還能為企業(yè)信息化打造一個高可靠的縱深防御體系,減少來自外部和內(nèi)部的網(wǎng)絡(luò)安全威脅,降低因網(wǎng)絡(luò)安全事件所帶來的經(jīng)濟損失風險。

        猜你喜歡
        管理區(qū)防火墻邊界
        新型采油管理區(qū)建設(shè)過程中的人力資源管理問題
        化工管理(2022年13期)2022-12-02 09:18:50
        拓展閱讀的邊界
        推進全域發(fā)展 建設(shè)美好西湖——常德市西湖管理區(qū)紀實
        構(gòu)建防控金融風險“防火墻”
        當代陜西(2019年15期)2019-09-02 01:52:08
        區(qū)域中心 農(nóng)業(yè)公園——常德市西湖管理區(qū)側(cè)記
        區(qū)域中心 農(nóng)業(yè)公園——常德市西湖管理區(qū)側(cè)記
        論中立的幫助行為之可罰邊界
        “偽翻譯”:“翻譯”之邊界行走者
        外語學刊(2014年6期)2014-04-18 09:11:49
        下一代防火墻要做的十件事
        自動化博覽(2014年6期)2014-02-28 22:32:13
        思考新邊界
        7777色鬼xxxx欧美色妇| 久久精品国产只有精品96 | 亚洲综合免费在线视频| 日本免费一区二区久久久| 日本一区三区三区在线观看 | 伊人精品在线观看| 一本久道久久综合狠狠操| 国产一区资源在线播放| 丰满人妻一区二区三区蜜桃| 狠狠躁日日躁夜夜躁2020| 一二三四视频社区在线| 国产精品无需播放器| 亚洲第一区无码专区| 国产一区二区三区免费在线播放| 天堂免费av在线播放| 男女真人后进式猛烈视频网站| 又粗又黄又猛又爽大片app| 国产人妻久久精品二区三区特黄| 久久aⅴ无码av高潮AV喷| 中文字幕乱码在线婷婷| 虎白女粉嫩粉嫩的18在线观看| 香港aa三级久久三级| 天天爽夜夜爽夜夜爽| 久久青草伊人精品| 中文字幕a区一区三区| 亚洲精品国产一区二区免费视频 | 一区二区三区国产天堂| 日韩中文字幕素人水野一区| 在线播放五十路熟妇| 成熟丰满熟妇高潮xxxxx视频| 日本亚洲欧美高清专区| 国产精品一区成人亚洲| 五月婷婷开心五月播五月| 国产在线无码精品无码| 伊人久久大香线蕉亚洲五月天 | 国产在线精品一区二区三区| 怡红院免费的全部视频| 99热精品国产三级在线观看| 精品熟妇av一区二区三区四区| 精品少妇人妻av一区二区蜜桃 | 又色又爽又黄又硬的视频免费观看|