网络安全概述

近年来网络与信息技术高速发展，移动互联网、云计算、大数据、区块链、人工智能、工业互联网、物联网、智能制造、智慧城市等新兴基础设施和应用不断出现，网上购物、无卡支付、自动驾驶、共享经济在网络与信息技术的发展驱动之下成为现实并快速普及，人们在享受着网络与信息技术所创造新经济奇迹的同时已经悄然进入了万物互联的IoT时代。

党和国家领导人历来重视网络与信息安全工作，中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化委员会组长习近平2014年2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。他强调：“没有网络安全就没有国家安全，没有信息化就没有现代化。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国”。

综上，现如今网络安全已经是一项有关国家、民生的事项。

 风险分析

根据生产网络的现状和脆弱性，其面临的风险如下：

  入侵威胁

任何操作系统都不可避免的存在bug，并且新安全漏洞不断的被发现，因此系统本身的脆弱性是不可能完全避免的。网站平台的互联网出口处仅由路由器进行基础网络控制，不能对应用层的恶意代码进行检测。因此来自Internet的恶意入侵者可以通过发起恶意扫描和远程溢出等攻击，渗透或绕过路由器，进入生产网络，获取、篡改甚至破坏敏感的数据，乃至破坏整个网络的正常运行。

  数据破坏和泄露

由于信息系统平台作为WEB站点，可以被互联网上所有用户访问，其公开性也导致了网站服务器极易被入侵者选作第一目标。当入侵者利用网站存在的漏洞（如SQL注入漏洞、跨站脚本漏洞、远程代码执行漏洞等）控制了WEB服务器之后，很容易以其为跳板，进一步渗透数据库服务器。因此存在包含商品信息、客户信息、交易信息的敏感数据遭到破坏和泄露的风险。

  Web网页篡改

信息系统网站也是单位展示形象的平台、宣传企业价值的窗口、对外提供企业信息和服务的通道。如果被入侵者篡改页面，将会受到诸如形象受损、恶意发布信息等多种严重后果。

从网站页面被篡改的角度来看，存在两种攻击的可能，一种是网站被入侵，也就是说网站页面确实被篡改了，另外一种是网站被劫持，这种情况下网站的页面实际上并没用被篡改，但是攻击者劫持了网络访问并发送欺骗页面给来访者，进而造成页面被篡改的表象。

  网页挂马

网页挂马就是攻击者入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。

网站被挂马，被植入后门，这是无法忍受的。网页挂马不仅对WEB服务器造成很大影响，还“城门失火殃及池鱼”。网站的浏览者也不能幸免。网站被挂马不仅会让自己的网站失去信誉，也会让普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。因此这无论是对电商的信誉，还是对公民的信任度都是沉重的打击。

  网络蠕虫 

蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共同特征，如传播性、隐蔽性和破坏性等。同时具有自己的特殊特征，如不利用文件寄生(如只存在于内存中)，引起网络拒绝服务故障及与黑客技术相结合等。在破坏性上网络蠕虫也不是普通病毒所能比拟的，它可以在短短的时间内蔓延整个网络，造成网络瘫痪。

  内部人员和安全审计风险

无数的安全案例告诉我们，信息安全最薄弱的环节是人，而针对网站的重要资料，很多竞争对手会通过高价利诱内部信息中心的运维人员窃取相关的机密资料。现网环境下，信息系统缺少专业的安全审计和控制手段，是一个重大的隐患。

设计思路

 安全分区分域设计

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。在安全防护领域，对网络系统进行分区分域进行防护是常规的做法。

 安全域的定义

安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。

对安全域的概念应掌握以下要点：

安全域由一组IT要素组成。这些IT要素包括但不限于物理环境、网络设备/区域、主机、终端、系统、数据/信息、业务、流程、策略、人员/组织等等。从技术角度上看，这些IT要素可表现为物理层、网络层、应用层通信实体，如设备、主机、系统、应用程序、进程等；从管理角度上看，这些IT要素可表现为人员、组织等。

工作环境是指IT要素所在的内部和外部环境，这一工作环境可以是但不限于物理环境、信息系统、具体的业务数据流程、会话、进程等等。

安全保护需求和保护策略是安全域划分的基础。IT要素的安全保护需求泛指保持IT要素的机密性、完整性、可用性等等安全属性的要求，保障IT要素关联行为可控性、可稽核性、可用性、机密性、完整性等等安全属性的要求。安全保护需求的内容可来自标准规范、法律法规、业务要求、安全风险评估等方面，且服从于信息系统的安全保护目的和目标。IT要素的安全保护需求会因其在信息系统或者安全体系架构中的位置、承担的业务功能、作用的不同而有所区别。保护策略是指为降低和控制IT要素及其关联行为所面临的信息安全风险所采取的风险处置方法、控制要求、控制目标、控制措施等综合体。单位组织对风险的控制包括多个方面，如物理访问、网络访问、系统管理维护、系统开发、测量评价、监控审计等等。属于同一个安全域的IT要素具有相同或相似的安全保护需求和安全保护策略。从安全域的角度可以将保护策略分为安全域的内部保护策略和边界保护策略。

在同一安全域内的IT要素应是互相信任的。信任指IT要素相互作用并保持其应有的（根据IT要素的安全要求和安全保护策略而应具备的）机密性、完整性、可用性、可控性、可稽核性等安全属性的能力。如果具有相同安全要求和安全保护策略，并能够保持各IT要素完整性、机密性、可用性、可控性、可稽核性等安全属性的能力，则这些IT要素应属于同一个安全域。

在同一安全域内的IT要素是相互作用、相互关联的，是具有内部本质联系的，是结构化，而不是松散地结合在一起的。

  划分原则

在按照安全域设计指导思想和安全域的设计原理进行安全域划分时，为了保证安全域划分的简单、实用、实效，应遵循以下原则：

l 基于并优化系统结构原则

安全域的划分应基于系统结构，与系统的系统架构、应用结构、网络结构相适应、相匹配，但又不局限于系统结构，是系统结构现状的基础上对系统架构、应用结构、网络结构的简化、优化和规范。

l 保障性能和有效隔离原则

安全域划分应以不影响或损害业务信息系统的业务功能、性能为首先原则，在保证业务的性能的基础上对系统进行安全域划分、进行有效地隔离和安全防护。

l 简洁并规范原则

安全域划分的简洁把握三个方面：一个安全域功能和边界通信的简洁，二是安全域之间关系（相连互通或隔离）的间接，三是系统安全域整体结构的简洁。这就要求安全域不可分的太细，也不可分的太粗，要适度，要保持整体上的简洁。

同时，安全域的划分应科学、规范，不仅要方法和过程规范，而且要结果规范。

l 最小影响原则

在安全域设计和划分时，应做到业务、性能、安全兼顾，要基于系统的现状并避免对系统的网络、应用进行大量的改动，最小化对系统的影响。

l 系统性和整体性原则

对于安全域划分，不仅要关注本系统自身，而且要关注系统地外部环境，采用系统性、整体性的观点的看待本系统与外部环境。即关注本系统内部的数据流和数据处理活动的安全，又关注系统的外部用户、公共用户及跨越系统边界的数据流和数据处理活动的安全。

安全域的划分结果应是结构化的，应是有机联系的一个整体，易于构成纵深的安全防护技术体系，保障系统整体业务的安全。

l 与组织管理架构相适应的原则

安全域的划分应与信息系统的管理组织架构相适应，原则由一个机构管理的信息系统部分应为一个或几个安全域。另外，一个安全域应由一个部门来管理，而不应涉及两个部门。

l 与系统发展相适应的原则

安全域的划分应考虑到业务未来发展需要，在保持系统安全域模型相对稳定的前提下，能够顺利地进行调整、扩展和提升。

 建设方案

  出口边界：下一代防火墙

建议在网络出口部署下一代防火墙，增强边界防护能力，实现对各种应用的访问控制，有效保护整个网络系统。

  DMZ区：WAF应用防火墙

建议在web应用服务器前部署web防护系统，通过串联部署的方式，有效拦截针对网页应用的攻击，从而避免遭受资料泄露和网页篡改的入侵危害。

 运维区：堡垒机

建议在运维管理区，旁路部署堡垒机，对运维人员的所有操作行为进行控制和审计，有效地避免内网入侵的可能。

  运维区：日志审计系统

建议在运维管理区，旁路部署日志审计系统，对安全设备日志的统一收集以及分析，帮助管理员快速排出定位故障以及攻击行为。

 安全漏洞扫描

漏洞的危害越来越严重，发展的趋势的形式也是日益严峻。归根结底，就是系统漏洞的存在并被攻击者恶意利用。软件由于在设计初期考虑不周导致的漏洞造成的问题仍然没有得到很好的解决，人们依然用着“亡羊补牢”的方法来度过每一次攻击，利用漏洞的攻击成为管理员始终非常关注的问题。

统计表明其中19.4%来自于利用管理配置错误，而利用已知的一个系统漏洞入侵成功的占到了15.3%。事实证明，绝大多数的网络攻击事件都是利用厂商已经公布的、用户未及时修补的漏洞。已经公布的漏洞未得到及时的修补和用户的安全意识有很大的关系，一个漏洞从厂商公布到漏洞被大规模利用之间的时间虽然在逐渐的缩短，但是最短的也有18天之久，18天对于一些安全意识高的用户来说修补一个安全漏洞应该没有任何问题。

通过漏洞扫描系统服务，并启动定时扫描选项，可以方便的发现应用系统中路由器、防火墙、交换机特别是重要服务器的漏洞情况，根据扫描设备提供的解决方法进行漏洞修补，可以有效的解决漏洞带来的危害。

通过旁路方式在交换机上部署机架式漏洞扫描服务工具对WEB服务器、数据库服务器以及其他应用服务器定期进行漏洞扫描，可以有效评估各个系统的安全状况。通过漏洞扫描服务工具，实现第一时间主动对网络中的资产进行细致深入的漏洞检测、分析，并提供专业、有效的漏洞防护建议与相关厂商的补丁超链接地址。

 安全配置核查

随着应用内容不断丰富，网络规模日益扩大，其生产、业务支撑系统的网络结构也变得越来越复杂。其中，重要应用和服务器的数量及种类日益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运转。为了维持WEB应用系统设备安全，必须从入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实各项基本安全要求。

不同业务系统安全检测基准的建立和行之有效的检测手段是安全管理人员面临的最为重要和迫切的问题。

安全配置核查是检查和核实已有设备和应用软件的安全配置是否达到安全要求的重要手段，是进行基础安全建设的一个重要方面，也是进行主动安全防御的重要组成部分。

可根据应用安全的实际情况制定《应用通用安全功能和配置规范》，将管理层面、技术层面和运营层面的安全控制措施落实到信息系统的安全配置上，提出明确的典型网络设备、主机、数据库、操作系统等的安全配置要求，建立基于业务系统的安全基线。《配置规范》的出台，采用了统一的安全配置标准来规范技术人员在各类系统上的日常操作，让运维人员有了检查默认风险的标杆。

由于应用安全维护人员有限，可根据《配置规范》的要求进行相关自动化安全检查工具的设计和部署，以便快速、有效的完成检查，自动生成风险审核报告，识别与安全规范不符合的项目，以达到整改合规的要求。同时自动化安全检查工具的使用也大大提高检查结果的准确性和客观性。

通过《配置规范》的下发以及相关配套工具的应用，使应用的安全运维工作做到有章可循。

 安全加固服务

网络安全是动态的，需要时刻关注最新漏洞和安全动态，制定更新的安全策略以应付外来入侵和蠕虫病毒等威胁。针对各台服务器的漏洞和脆弱性，定期的进行安全加固，可以使系统有效的抵御外来的入侵和蠕虫病毒的袭击，使系统可以长期保持在高度可信的状态。

安全加固是针对进行评估后的主机的漏洞和脆弱性采取的一种有效的安全手段，可以帮助系统抵御外来的入侵和蠕虫病毒的袭击，使系统可以长期保持在高度可信的状态。通常对系统和应用服务的安全加固包括如下方面：

u 安装最新补丁

u 帐号、口令策略调整

u 网络与服务加固

u 文件系统权限增强

u 日志审核功能增强

u 安全性增强

常规加固工作流程如下：

 安全培训服务

根据信息安全技术的发展和不同层面的信息安全人才需求，本方案建议为应用系统相关人员提供如下三类的信息安全培训课程：

u 信息安全意识培训：

面向非技术类用户。目的是通过大量的当前典型安全事件导入，从感性认知层面对目前的信息安全威胁给予直观、形象的描述，使用户能对当前的信息安全威胁有一个深刻的认识。同时通过案例介绍的方式对用户日常工作、生活中经常用到的一些客户端应用工具、系统的安全威胁进行分析，并阐明具体的防范措施，最终协助建立起适合个人、企业的用户行为基准。

u 信息安全技术培训：

面向信息安全技术类用户，例如系统管理员、安全技术员等。目的是通过培训让其在系统及应用层面上了解常见通用操作系统架构以及其安全性，掌握相关系统的安全配置和管理能力；在网络层面上了解常见的网络安全协议掌握网络安全协议以及路由交换常见安全配置；同时通过实验了解常见的网络攻击技术原理，掌握常见的攻击防护方法。

u 信息安全产品培训：

通过详细介绍系列安全产品的工作原理、安装部署和调参排错方法，同时结合一些产品实验加强对产品的了解，使相关人员能灵活利用这些安全产品解决组织的实际安全问题。