文档介绍：第12章网络安全防御与防泄密体系建设的基本目标
实现高效的一体化智能防御能力
实现对核心内网的统一安全管理
实现对内部数据的全程监管
实现对内部用户行为的有效约束
实现高效的一体化智能防御能力
概述
如图12-1所示,实现高效的一体化智能防御能力包含四个不断演进的发展阶段:
(1) 深度防御,即全层次、全地域、全模块、涵盖网络内外的安全能力集成。网络中的每一个组件,包括物理环境、系统设备、网络设施、系统、应用、数据和人员都有各自的安全措施,实现“组件各自安全”。
(2) 一体化防御,即整个网络中各安全组件高度协同,安全防御能力高度融合。网络本身的安全机制和各类安全系统分别在网络中各个层次、各个模块、各个区域实施防护的同时,相互之间还可实时共享安全信息、协调响应动作,对潜在的威胁进行多方位、多角度、全过程的联合监视、分析和防御。 (3) 智能化主动防御,即在检测和响应机制中的智能性、适应性。网络能够不依靠传统的静态策略和特征判别等技术,而是采取类似人类思维的综合、分析、关联、演绎、推理和判断等方法,准确识别网络中出现的威胁,尽量减少对人工干预的依赖,主动改进并自行适应新的安全策略,使安全体系能够快速应对新出现的威胁。
(4) 面向关键业务的高效防御,即在防御过程中充分考虑安全成本和对正常业务的干扰,优化安全策略,尽量减少对系统计算、存储和网络通信容量的占用,保证关键业务的运行效能。
图12-1 新型安全防御理论的四大阶段
深度防御 深度防御体现的是“全面系统”的防御,其核心是增大监视、检测和保护实施的范围,提供网络中所有层次、所有模块和所有对象的集成安全性,实现从边界到内网,从物理层到数据的“组件各自安全”。 (1) 保证物理环境和基础设施,如服务器设备、路由器、交换机和终端的自身安全。只有首先保证基础平台自身是安全的,才能为运行其上的业务和应用提供进一步的安全性保障。因此可通过强化操作系统,禁用不必要的系统功能,或/和改变系统缺省配置,提高可维护性,缩小系统受攻击面来实现。对于终端,可配备独立的主机防火墙、主机入侵防护系统及病毒防护软件。
(2) 保证网络边界,包括采用防火墙、安全网关等设备的安全。在网络边界处进行持续的监控和检测,以发现潜在的网络攻击和测试网络的易攻击性,确定合法网络流量,过滤非法访问,上的攻击(包括来自公共的网络服务器的攻击),减小资深黑客仅需接入互联网和编写程序就可访问企业网的概率。 (3) 要保证内网安全。对于内网的防护是近几年刚提出的新概念,主要用于防止因内部管理不善和非法渗透造成的信息失窃。从终端接入网络开始,由主机到局域网,再到网关,层层布控,防止黑客或内部人员非法控制内部服务器或终端,以此为基地,对内网其他主机发起攻击。
(4) 保证应用层安全。应用程序是许多网络攻击的主要目标,也是近年来新的安全方向,防御包括恶意软件、病毒、木马、垃圾邮件、即时消息等带来的挑战,它代表了信息保护的较高层次。 (5) 实现数据保密,对存储信息和传输数据流进行有效管理,构建安全可控的使用、存储和交换环境。数据的移动性正日益加强,因此数据安全防护至关重要。防护的焦点在于数据本身,其目的在于确保数据安然无恙,而不论其传播途径如何。
一体化防御 一体化防御体现的是“高度协同”的防御,目的是实现“联合防御”。一方面对来源广泛的全方位监视数据进行融合,形成一致的安全图景,提高分析和预测的准确性;另一方面更实现了面对威胁的系统化对抗,能够调动大量资源从多个角度和层次对威胁进行联合防御,提高响应和保护力度。
互联网世界中的产品与系统普遍存在着脆弱性问题,很多网络在设计初期,缺少对安全防护的考虑,特别是没有从整体上规划安全设备和系统的布局,导致面对新的威胁时只能被动招架,哪里有问题就补哪里,采取“头痛医头,脚痛医脚”的“救火式”离散的单点静态防御安全加固办法。现阶段保证计算机网络安全的主要方法和途径包括实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等,但仍然经常出现以下问题: