網路資訊安全設計及防護策略總結
原创 twt社区
【摘要】隨著網路+科技的快速發展,網路DDOS攻擊、勒索病毒、SQL注入、暴力破解、資料洩密等等網路安全事件經常發生,網路資訊安全面臨嚴重的挑戰,為保障客戶的資訊資產安全 ,保障客戶業務系統安全穩定運行,實現“高效預防、高效檢測,快速處理”,本文對網絡信息安全規劃及防護策略進行梳理、總結,希望對大家在實際工作起到借鑒與參考作用。
【作者】陳勇,從事IT產業10多年的老兵,熟悉各類系統,曾分別獲得IBM CATE、HP CSA、SUN SCSA、VMware VCP、HUAWEI HCNP等多項專業認證。
網路資訊安全的運作與防護不僅關係到整個資料中心業務系統穩定運行,同時,由於網路系統的多樣性、複雜性、開放性、終端分佈的不均勻性,致使網路極易遭到駭客、惡性軟體 或非法授權的入侵與攻擊。
鑑於資料資訊的嚴肅性和敏感性,為了保障和加強系統安全,防止偶然因素和惡意原因破壞、更改、洩密,保障工作正常持續進行,同時,提高系統應對威脅和抵禦攻擊的對抗能力和恢復能力 ,需要建置安全保障系統,滿足資訊安全等級保護的要求。 使系統具有抵禦和防範大規模、較強惡意攻擊、較為嚴重的自然災害、電腦病毒和惡意程式碼危害的能力;具有檢測、發現、警報、記錄入侵行為的能力;具有對安全事件進行回應處置, 並且能追蹤安全責任的能力;在系統遭到損害後具有能夠較快恢復正常運作狀態的能力,對於服務保障性要求高的系統,應能快速恢復正常運作狀態;具有對系統資源、使用者、安全 機制等進行集中控管的能力。
1.網路資訊安全範圍
網路資訊安全範圍主要包括:網路結構、網路邊界以及網路設備本身安全等,具體的控制點包括:結構安全、存取控制、安全稽核、邊界完整性檢查、入侵防範、惡意程式碼防範、網路設備防護等 ,透過網路安全的防護,為使用者資訊系統運作提供一個安全的環境。
1.1、結構安全
結構安全範圍包括:
1) 應確保主要網路設備的業務處理能力具備冗餘空間,滿足業務高峰期需求;
2) 應確保網路各部分的頻寬滿足業務高峰期需求;
3) 應在業務終端與業務伺服器之間進行路由控制,建立安全的存取路徑;
4) 應依各業務系統類型、重要性及所涉及資訊的重要程度等因素,劃分不同的子網或網段,並依方便管理及控制的原則為各子網、網段分配位址段;
5) 應避免將重要網段部署在網路邊界處且直接連接外部資訊系統,重要網段與其他網段之間採取可靠的技術隔離手段;
6) 應依照對業務服務的重要次序來指定頻寬分配優先級別,並保證在網路發生擁堵的時候優先保護重要主機。
1.2、門禁控制
存取控制範圍包括:
1)、應在網路邊界部署存取控制設備,啟用存取控制功能;
2)、應能根據會話狀態資訊為資料流提供明確的允許/拒絕存取的能力,控製粒度為連接埠級;
3)、 應對進出網路的資訊內容進行過濾,實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協定命令級的控制;
4)、 應在會話處於非活躍一定時間或會話結束後終止網路連線;
5)、 應限製網路最大流量數及網路連線數;
6)、 重要網段應採取技術手段防止地址欺騙;
7)、… Continue reading
什麼是行動裝置安全?
什麼是行動裝置安全?
行動裝置安全是對便攜式裝置上的資料以及連接到裝置的網路的全面保護。網路中常見的便攜式設備包括智慧型手機、平板電腦和個人電腦。
為什麼行動裝置安全如此重要?
如今,超過 50% 的商用 PC 都是行動設備,物聯網 (IoT) 設備的增加為網路安全帶來了新的挑戰。因此,IT 必須調整其安全方法。網路安全計畫必須考慮員工對公司網路的所有不同位置和用途的需求,但您可以採取一些簡單的步驟來提高行動裝置的安全性。
如何保護我的行動裝置?
保護行動裝置的安全需要統一的多層方法。雖然行動裝置安全有核心組件,但每種方法可能略有不同。為了獲得最佳安全性,您需要找到最適合您網路的方法。
我應該停止使用行動裝置嗎?
不會。隨著工作場所的行動性日益增強,企業常常會因網路上的所有行動裝置而感到不知所措。雖然這可能令人望而生畏,但有一些安全解決方案可以提供幫助。
行動裝置安全的組成部分
以下是一些可以幫助確保您的行動裝置更加安全的解決方案。
端點安全:隨著組織採用靈活和行動的員工隊伍,他們必須部署允許遠端存取的網路。端點安全解決方案透過監控存取網路的每台行動裝置上的檔案和進程來保護企業。透過不斷掃描惡意行為,端點安全性可以及早期識別威脅。當發現惡意行為時,端點解決方案會迅速向安全團隊發出警報,以便在威脅造成任何損害之前將其消除。
VPN:虛擬私人網路或 VPN 是透過網路從裝置到網路的加密連線。加密連線有助於確保敏感資料的安全傳輸。它可以防止未經授權的人竊聽流量,並允許使用者安全地進行遠端工作。
安全 Web 閘道:安全 Web 閘道提供強大的整體雲端安全性。由於 70% 的攻擊對於組織來說是獨特的,因此企業需要雲端安全性來識別以前使用過的攻擊,然後再發動攻擊。雲端安全性可以在 DNS 和 IP 層運行,以更早防禦網路釣魚、惡意軟體和勒索軟體。透過將安全性與雲端集成,您可以識別一個位置的攻擊並立即阻止其他分支機構的攻擊。
電子郵件安全:電子郵件既是最重要的業務通訊工具,也是安全漏洞的主要攻擊媒介。事實上,根據最新的思科年中網路安全性報告,電子郵件是攻擊者傳播勒索軟體和其他惡意軟體的主要工具。適當的電子郵件安全包括進階威脅防護功能,可更快地偵測、阻止和修復威脅;防止資料遺失;並透過端對端加密保護傳輸中的重要資訊。
雲端存取安全代理:您的網路必須保護員工的工作地點和方式,包括在雲端。您將需要一個雲端存取安全代理程式 (CASB),這是一個充當本地基礎架構和雲端應用程式(Salesforce、Dropbox 等)之間網關的工具。CASB 可識別基於雲端的惡意應用程序,並透過雲端資料遺失防護 (DLP) 引擎防止違規。… Continue reading