本書從實際應用角度,圍繞網(wǎng)絡攻擊和威脅逐步展開對網(wǎng)絡安全問題的討論,從網(wǎng)絡系統(tǒng)和應用系統(tǒng)方面,論述企業(yè)網(wǎng)絡安全建設的要點,探討網(wǎng)絡安全防護的技術與措施,最終呈現(xiàn)出完整的企業(yè)網(wǎng)絡安全建設解決方案。本書詳細闡述了具有不同安全級別要求、滿足實際需要的安全網(wǎng)絡建設過程和指導思路,對具體的技術實施細節(jié)不過多地關注,從一般的互聯(lián)網(wǎng)訪問用戶開始,逐步提出用戶的工作需求、網(wǎng)絡安全需求,圍繞用戶的需求,提出各種安全解決方案,逐步完善企業(yè)網(wǎng)絡的安全建設。
黃硯夫,男,畢業(yè)于吉林大學無線電電子學專業(yè),獲理學學士學位。長期從事網(wǎng)絡空間安全的研究工作,支持并完成省部級科研項目十多項。
第1章 企業(yè)網(wǎng)絡安全概述 1
1.1 網(wǎng)絡安全的重要性 1
1.2 企業(yè)網(wǎng)絡安全的總體要求 3
1.2.1 局域網(wǎng)的網(wǎng)絡安全需求 3
1.2.2 連接外網(wǎng)的網(wǎng)絡安全需求 4
1.2.3 網(wǎng)絡安全需求分析 4
1.2.4 網(wǎng)絡安全建設目標 7
1.2.5 網(wǎng)絡安全建設原則 7
1.2.6 網(wǎng)絡安全建設標準 8
1.3 局域網(wǎng)面臨的安全風險 10
1.3.1 從內(nèi)容上進行風險分析 10
1.3.2 從安全角度進行風險分析 13
1.3.3 從設備角度進行風險分析 16
第2章 局域網(wǎng)框架 21
2.1 局域網(wǎng)安全設計 21
2.1.1 OSI七層網(wǎng)絡模型 22
2.1.2 網(wǎng)絡級安全設計 25
2.1.3 系統(tǒng)級安全設計 28
2.1.4 傳輸級安全設計 29
2.1.5 應用級安全設計 29
2.1.6 數(shù)據(jù)安全設計 30
2.1.7 邊界防護設計 33
2.1.8 安全設備配置 33
2.1.9 機房安全設計 36
2.1.10 信息系統(tǒng)安全檢測 39
2.2 局域網(wǎng)的種類 44
2.2.1 普通網(wǎng)絡 44
2.2.2 內(nèi)部級網(wǎng)絡 45
2.2.3 等級保護網(wǎng)絡 46
2.2.4 分級保護網(wǎng)絡 46
2.2.5 增強的分級保護網(wǎng)絡 46
2.3 局域網(wǎng)典型網(wǎng)絡架構 46
2.3.1 連通互聯(lián)網(wǎng)的局域網(wǎng) 46
2.3.2 互聯(lián)互通的局域網(wǎng) 49
2.3.3 隔離的局域網(wǎng) 50
第3章 組建訪問互聯(lián)網(wǎng)的網(wǎng)絡 51
3.1 基本的網(wǎng)絡設備 51
3.1.1 路由器 51
3.1.2 交換機 54
3.1.3 集線器 57
3.2 組網(wǎng)方案設計 57
3.2.1 選擇入網(wǎng)方式 58
3.2.2 選擇合適的網(wǎng)絡結構 58
3.2.3 選擇通信方式 59
3.2.4 選擇上網(wǎng)模式 60
3.3 無線網(wǎng)絡 61
3.3.1 無線網(wǎng)絡已被廣泛應用 61
3.3.2 5G意味著什么 62
3.3.3 移動網(wǎng)絡的安全防護 65
3.4 網(wǎng)絡規(guī)劃設計 66
3.4.1 系統(tǒng)設計原則 66
3.4.2 網(wǎng)絡安全架構設計 67
第4章 局域網(wǎng)安全防護技術 71
4.1 網(wǎng)絡安全防護總體要求 71
4.1.1 網(wǎng)絡安全的范圍 71
4.1.2 網(wǎng)絡安全防護需求 74
4.1.3 安全設備部署示例 76
4.2 常見的網(wǎng)絡攻擊與防范 78
4.2.1 互聯(lián)網(wǎng)面臨的主要威脅 78
4.2.2 常見的系統(tǒng)入侵方法 79
4.2.3 常見的網(wǎng)絡攻擊形式 80
4.2.4 網(wǎng)絡攻擊的防范措施 85
4.3 常見的網(wǎng)絡安全防護技術 90
4.3.1 防火墻 90
4.3.2 防毒墻 98
4.3.3 入侵防御系統(tǒng) 99
4.3.4 安全網(wǎng)關 104
4.3.5 入侵檢測系統(tǒng) 109
4.3.6 雙向網(wǎng)閘 117
4.3.7 Web應用防火墻 120
4.3.8 服務器防護 123
4.3.9 殺毒軟件 124
4.3.10 上網(wǎng)行為管理 125
4.3.11 網(wǎng)絡通信安全 131
4.3.12 電子數(shù)據(jù)安全 132
4.3.13 終端安全防護 135
4.3.14 堡壘機 142
4.3.15 日志審計系統(tǒng) 146
4.4 備選的網(wǎng)絡安全防護技術 153
4.4.1 負載均衡技術 153
4.4.2 欺騙防御技術 157
4.4.3 端點檢測與響應系統(tǒng) 162
4.4.4 智能安全防御系統(tǒng) 167
4.4.5 漏洞掃描 170
4.4.6 防離線防篡改監(jiān)控系統(tǒng) 173
4.4.7 系統(tǒng)后臺行為監(jiān)控 174
4.4.8 移動終端安全防護技術 175
4.4.9 緩沖區(qū)防數(shù)據(jù)泄露技術 177
4.4.10 容災防護 177
4.4.11 網(wǎng)絡流量分析 180
4.4.12 供電系統(tǒng)防護 183
4.4.13 防電磁輻射措施 184
4.5 安全管理平臺 185
4.5.1 采集器部署 185
4.5.2 平臺技術應用 186
4.5.3 平臺的安全策略 187
4.6 網(wǎng)絡系統(tǒng)的安全升級 191
4.6.1 網(wǎng)絡系統(tǒng)的硬件升級 192
4.6.2 網(wǎng)絡系統(tǒng)的軟件升級 192
4.6.3 提高網(wǎng)絡的管理水平 192
4.7 信息系統(tǒng)安全風險評估 193
4.7.1 安全風險評估的必要性 193
4.7.2 如何進行安全風險評估 193
4.8 互聯(lián)網(wǎng)的管理和使用 194
4.8.1 培養(yǎng)良好的個人習慣 194
4.8.2 管理檢測與響應 196
4.8.3 完善管理使用規(guī)章制度 197
第5章 組建隔離網(wǎng)絡 200
5.1 分區(qū)域搭建局域網(wǎng) 201
5.1.1 按硬件種類分區(qū)域管理 201
5.1.2 按系統(tǒng)功能分區(qū)域管理 201
5.1.3 按文件數(shù)據(jù)的重要性分區(qū)域
管理 202
5.2 單向隔離技術 202
5.2.1 產(chǎn)生的原因 202
5.2.2 安全功能 203
5.2.3 類型和應用場景 204
5.2.4 目的和用途 205
5.2.5 技術思路和硬件結構 206
5.2.6 產(chǎn)品形式 206
5.2.7 安全部署 207
5.3 突破物理隔離網(wǎng)絡 207
第6章 應用系統(tǒng)安全防護技術 210
6.1 應用系統(tǒng)整體設計原則 210
6.2 系統(tǒng)級安全防護 213
6.2.1 系統(tǒng)驅動最小化處理 213
6.2.2 及時修補內(nèi)網(wǎng)操作系統(tǒng) 213
6.2.3 外部接口防護 214
6.2.4 輸出信息設備管理 215
6.3 應用級安全防護 220
6.3.1 應用軟件防護 220
6.3.2 防病毒檢查系統(tǒng) 221
6.3.3 數(shù)據(jù)加解密系統(tǒng) 222
6.3.4 數(shù)據(jù)防護技術 222
6.3.5 安全管理模塊 223
6.3.6 文件安全檢查預警系統(tǒng) 225
6.3.7 系統(tǒng)監(jiān)控 226
6.4 內(nèi)網(wǎng)使用管理制度 228
6.4.1 必要性 228
6.4.2 完善安全管理制度 228
第7章 特殊需求的網(wǎng)絡設計 229
7.1 獨立專線方案 229
7.2 無線加專線的通信方案 230
7.3 混合網(wǎng)絡方案 230
7.4 移動終端防護處理技術 231
7.5 無信息互通的網(wǎng)絡接口 231
7.6 有信息互通的網(wǎng)絡接口 232
7.6.1 基于單片機的單向傳輸設備 232
7.6.2 雙向網(wǎng)閘方式 235
7.6.3 傳輸鏈路加密 235
7.7 聯(lián)系緊密的網(wǎng)絡連接 236
7.8 與總部網(wǎng)絡連接 236
7.9 與高保密性網(wǎng)絡連接 236
第8章 云數(shù)據(jù)安全 238
8.1 關于云 238
8.1.1 云的本質 239
8.1.2 為什么上云 243
8.1.3 怎么上云 244
8.2 云存儲、云計算與其他存儲、
計算方式的區(qū)別 246
8.3 云面臨的安全風險 248
8.4 云安全防范措施 251
8.4.1 云安全的內(nèi)涵 251
8.4.2 云安全服務的方式 252
8.4.3 安全資源池解決方案 253
8.4.4 云安全防護技術 254
8.4.5 云安全解決方案示例 256
8.4.6 提升云安全的有效措施 263
第9章 系統(tǒng)加固與應急處置 266
9.1 系統(tǒng)選型的基本原則 266
9.2 系統(tǒng)工作區(qū)域空間防護 266
9.3 主機安全加固 267
9.3.1 服務器安全加固 267
9.3.2 系統(tǒng)終端安全加固 271
9.4 數(shù)據(jù)庫安全加固 276
9.4.1 加固的必要性 276
9.4.2 面臨的安全風險 276
9.4.3 安全加固措施 277
9.4.4 數(shù)據(jù)庫保險箱 280
9.5 應急處置預案及措施 280
9.5.1 制定應急處置預案的必要性 281
9.5.2 編制應急處置預案 281
9.5.3 應急處置預案演練 285
第10章 組網(wǎng)示例 287
10.1 不對外提供服務的網(wǎng)絡 287
10.2 對外提供特定服務的網(wǎng)絡 289
10.3 對外提供公共服務的網(wǎng)絡 290
10.4 信息安全檢測中心 291
10.5 數(shù)據(jù)采集系統(tǒng) 295
第11章 新形態(tài)、新技術、新挑戰(zhàn) 296
11.1 網(wǎng)絡的發(fā)展變化 296
11.1.1 中國互聯(lián)網(wǎng)的發(fā)展 296
11.1.2 無邊界網(wǎng)絡 298
11.1.3 暗網(wǎng) 298
11.1.4 “互聯(lián)網(wǎng)+”計劃 299
11.1.5 工業(yè)互聯(lián)網(wǎng)和物聯(lián)網(wǎng) 300
11.1.6 衛(wèi)星網(wǎng)絡 301
11.2 新技術 303
11.2.1 區(qū)塊鏈技術 303
11.2.2 擬態(tài)安全防御 304
11.2.3 量子技術 305
11.2.4 新系統(tǒng)助力數(shù)字化轉型 306
11.2.5 6G網(wǎng)絡 308
第12章 結束語 309
參考文獻 312