网络安全防护体系建设

网络安全基本概念

网络安全（Cyber Security）是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性、不可抵赖性的能力。

数字化网络安全

数字化经济是继农业经济、工业经济之后的主要经济形态，是以数据资源为关键要素，以现代信息网络为主要载体，以信息通信技术融合应用、全要素数字化转型为重要推动力。

现代企业构建适应数字化时代的网络安全防护体系。落实《网络安全法》、《数据安全法》、《个人信息保护法》、网络安全等级保护制度等要求，加强网络安全保护工作顶层设计，全面提升数字化网络安全系统保护能力。

网络安全的重要意义

网络安全不仅关系到某一企业，还与国家安全密切相关，不仅涉及到国家政治、军事和经济各个方面，而且影响到国家的安全和主权。

网络安全的关注点

网络安全的关注点是信任与风险的控制，通过建立信任实现数字化业务的连接，通过控制风险抵御连接过程中的威胁，基于风险与信任的控制，保障网络安全技术体系落地。

网络安全基本概念

数字化网络安全

网络安全的重要意义

网络安全的关注点

一、网络安全建设

1.边界网络安全（互联网接入区）

2.业务安全（互联网业务区）

3.安全运维监测审计（安全管理区）

4.主机安全

二、网络安全扩展

1.安全接入

2.零信任

3.安全资源池

4.安全管理与态势感知

5.云安全服务

6.统一安全管控

三、安全指导

安全技术体系

安全管理体系

安全运维体系

一、网络安全建设

1.边界网络安全（互联网接入区）

企业通常在互联网最外侧部署DDoS从复杂的网络流量中精准地识别出各种已知和未知的拒绝服务攻击流量，并能够实时过滤和清洗，确保网络正常访问流量通畅，是保障服务器可用性和可靠性。

利用负载均衡技术将多台服务器组建成一个服务器集群，将用户流量通过负载均衡算法分发到各个真实的服务器，通过预先设定的链路负载均衡策略，将用户访问流量分配到不同的互联网链路上，实现出站时链路负载均衡，提升互联网链路带宽利用率。

在网络安全边界部署下一代防火墙（带有入侵防御、防病毒模块）全面应对应用层威胁，通过深入洞察网络流量中的用户、应用和内容，NGFW能够为用户提供有效的应用层一体化安全防护。

通过上网行为管理设备，帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

2.业务安全（互联网业务区）

DMZ区位于企业内部网络和外部网络之间的网络区域内，在这个网络区域内可以放置一些对外公开的服务器设施，如企业Web服务器、邮件服务器和论坛等。

Web应用防火墙（Web Application Firewall, 简称：WAF）用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题，提供 OWASP Top10(SQL 注入、XSS 跨站脚本、常见Web 服务器漏洞、非授权核心资源访问等)、网站扫描、网站挂马等各类常见 Web 应用攻击的防护。

网页防篡改分为三部分：监控客户端、管理中心、同步备份端。各组件之间通信采取完全加密传输，通过文件底层驱动技术对WEB 站点目录及目录内容提供全方位的保护，防止黑客、病毒等对目录中任意类型的文件进行非法篡改和破坏，主要用于保护站点内容安全，防止黑客非法篡改网页。

邮件网关可高效拦截垃圾、病毒、钓鱼等非法邮件，对人员的发信行为进行分析，检测恶意链接的邮件，过滤包含威胁附件的邮件进行病毒查杀，可对海量历史邮件进行归档备份保存，进行归档审计，防止丢失邮件。

3.安全运维监测审计（安全管理区）

入侵检测是一种对网络传输进行即时监控，在发现可疑传输时发出警报或者采取主动反应措施，可以准确地发现网络攻击、木马蠕虫传播、系统漏洞攻击等网络攻击行为，通过严密的检测过滤网络中细小、隐蔽的攻击行为，有效的监控网络威胁。

漏洞扫描系统集成系统漏洞、Web漏洞、数据库漏洞、弱口令的发现能力，可以高效从多个维度对网络环境中所有系统或网站进行脆弱性扫描和整体评估分析，为网络管理者提供有效的风险评估方法和加固方案。

日志审计对象主要包括不同厂商、各种类型的安全设备、网络设备、数据库、中间件、应用、服务等设备与信息系统。系统将对这些纳入到管理范围内的设备与信息系统所产生的海量日志数据进行全生命周期管理。

堡垒机通过集中化账号管理、高强度认证加固、细粒度授权控制和多形式审计记录，使内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下，规范运维的操作步骤，避免误操作和非授权操作带来的隐患，有效保障组织机构的服务器、虚拟机、网络设备、安全设备、数据库、业务系统等资产的安全运行和数据的安全使用。

4.主机安全

终端威胁检测响应系统集成病毒查杀、漏洞修复、系统加固、网络防御、终端管控、资产管理等功能，对威胁行为深度分析，结合勒索诱捕、虚拟补丁、微隔离等主动防御技术，有效解决勒索、挖矿、免杀逃逸等威胁，多维度防御病毒传播和横向感染，全面提升终端安全管理能力。

终端安全管理系统具备网络准入、文档加密，设备管控，文档打印管控等功能，全面地对内网进行详尽审计、严格管控数据安全，满足企业防数据泄露、员工行为管理和内网系统运维等全面信息安全管理需要。

云工作保护平台（CWPP）部署在操作系统层可以横跨物理机、公有云、私有云、混合云等多种数据中心环境，主要满足现代混合数据中心架构中，服务器工作负载的保护要求，包括配置和漏洞管理、网络隔离与流量可视、系统完整性认证及检测、应用防护、日志管理监测等。

二、网络安全扩展

1.安全接入

虚拟专用网络VPN可以服务于各类大型单位、分支机构、移动办公员工、业务合作伙伴以及有需求的用户，提供更加全面高效的安全接入服务。

2.零信任

零信任是一个安全概念，可以理解为是一个新的安全建设指导思想，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。零信任架构是一种端到端的网络安全体系，包含身份、凭据、访问管理、操作、终端、运行环境与关联基础设施。旨在消除在信息系统和服务中实施精准访问策略的不确定性。

3.安全资源池

云安全资源池充分实践了云计算、SDN和NFV等新技术和新理念，将硬件安全产品提供的安全功能迁移至云上，摒弃专用硬件，利用服务编排调度技术，实现安全功能灵活部署、资源弹性伸缩。安全资源池为租户提供上云安全保障安全即服务能力，形成完整的计算、网络、存储、安全等基础设施即服务业务。

4.安全管理与态势感知

安全管理和态势感知平台通过汇聚海量安全数据，结合大数据AI分析能力，开展多维度智能分析，构建安全防护“大脑”，实时掌握网络安全态势威胁风险，检测漏洞、病毒木马、网络攻击情况，发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为。

5.云安全服务

安全SaaS云服务以数据驱动服务为核心，SASE安全访问服务边缘，将 SD-WAN和网络安全（如：FWaaS、CASB、SWG 、ZTNA）融合到统一的云原生服务中。SASE用于从分布式云服务交付聚合的企业网络和安全服务，构建新一代云服务体系架构，提供零部署、线上开通的服务订阅模式，构建云安全立体化防御体系。

6.统一安全管控

统一安全管控平台实现对自然人、资源、资源账号的集中管理，实现自然人对资源的统一授权，对授权人员的运维操作进行记录、分析、展现，做到事前规划预防、事中实时监控违规行为响应、事后合规报告事故追踪回放，加强内部业务操作行为监管，实现日常运维和业务使用可视、可控、可信完善的安全管理体系。

三、安全指导

按照网络安全等级防护三级基本要求，是以等级保护的“一个中心、三重防护”为核心指导思想，构建集防护、检测、响应、恢复于一体的全面的安全保障体系。具体体现为：以全面贯彻落实等级保护制度为核心，打造科学实用的网络安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全管理、安全运维三个角度构建安全防护体系，切实保障网络安全。

安全技术体系

参考《信息安全技术网络安全等级保护设计技术要求》（GB/T25070-2019）安全技术体系设计内容主要涵盖到 “一个中心、三重防护”。即安全管理中心、安全区域边界、安全通信网络、安全计算环境。并加入了等保2.0云安全扩展内容。

安全管理体系

仅有安全技术防护，无严格的安全管理相配合，是难以保障整个系统的稳定安全运行。应该在安全建设、运行、维护、管理都要重视安全管理，严格按制度进行办事，明确责任权力，规范操作，加强人员、设备的管理以及人员的培训，提高安全管理水平，同时加强对紧急事件的应对能力，通过预防措施和恢复控制相结合的方式，使由意外事故所引起的破坏减小至可接受程度。