網絡安全部署步驟

頂層設計概念
考慮項目各層次和各要素，追根溯源，統攬全局，在最高層次上尋求問題的解決之道
頂層設計”不是自下而上的“摸着石頭過河”，而是自上而下的“系統謀劃”

網絡安全分爲

物理、網絡、主機、應用、管理制度

邊界最強 接入層最薄弱

安全特性總綱

一、有效的訪問控制
二、有效識別合法的和非法的用戶
三、有效的防僞手段，重要的數據重點保護
四、內部網絡的隱蔽性
五、外網***的防護
六、內外網病毒防範
七、行之有效的安全管理手段（三分技術，七分管理）

單純***是沒意義的 ***網絡沒意義 竊取信息是有意義的
真正的安全是 產品安全 協議安全
截獲(interception)——中斷(interruption)——篡改(modification)——僞造(fabrication)

***的步驟
信息收集——》漏洞掃描——》***——》***——》提權——》後門——》日誌清除
網絡***的目的：
1：獲取保密信息
2：破壞網咯信息的網整性
3：***網絡的可用性
4：改變網絡運行的可控性
5：逃避責任

安全防護控制點:
訪問控制、安全審計、結構安全、網絡設備防護、通信機密性（數據被攔截）、通信完整性(數據不被篡改)、數據備份與恢復

一、訪問控制
1、基於數據流的訪問控制（路由器、交換機、防火牆ACL）
2、根據數據包信息進行數據分類（QoS）
3、不同的數據流採用不同的策略*（擴展ACL）
4、基於用戶的訪問控制（telnet、密碼複雜、密文形式、登錄次數、SNMP、堡壘主機）
5、對於接入服務用戶，設定特定的過濾屬性（劃分區域、防止中間人***）
二、用戶識別
1、對接入用戶的認證（NTP、802.1X、portal、MAC認證、AAA）
2、內網接入用戶的認證和授權（AAA、MAC認證）
3、遠程接入用戶的認證和授權（AAA、本地認證）

三、保護數據安全
1、網絡設備本身的認證（console、系統補丁、關閉服務CDP）
2、訪問設備時的身份認證授權（堡壘主機、審計系統）
3、路由信息的認證（協議認證、VRRP認證、IP綁定、端口綁定）
4、數據加密和防僞（***）
5、數據加密（對稱式加密）
6、利用公網傳輸數據不可避免地面臨數據竊聽的問題（MD5、SHA認證）
7、傳輸之前進行數據加密，保證只有與之通信的對端能夠解密（非對稱式加密）
8、數據防僞
9、報文在傳輸過程中，有可能被***者截獲、篡改
10、接收端需要進行數據完整性鑑別
四、內部網絡的隱蔽性
1、隱藏私網內部地址，有效的保護內部主機（NAT）
2、允許內網用戶向外發起連接，禁止外網用戶對內網發起連接（關閉不必要的服務端口）

五、***防護
1、對外網各類***的有效防護（FW、IPS攔截、WAF、設備冗餘、協議冗餘、鏈路冗餘，75%的***是針對web應用）

IPS缺點:對每一個數據包進行分析，語音數據包要求低延遲

六、病毒防範
1、對於外網病毒傳入的防範（防毒牆、週期更新病毒庫）
2、對於內網病毒發作的抑止（IDS、EAD、週期更新病毒庫）

七、完善制度
1、保證重要的網絡設備處於安全的運行環境，防止人爲破壞
2、保護好訪問口令、密碼等重要的安全信息
3、在網絡上實現報文審計和過濾，提供網絡運行的必要信息
4、制定完善的管理制度，並確保制度得到良好的執行

存在安全的問題：

事前（缺乏風險預知能力）（有哪些資產？有哪些漏洞？是否有策略？）
事中（聯動，調用其它機制）
事後（缺乏檢測和響應）（是否有新漏洞？繞過能否檢測？能否快速響應？（缺乏持續性））

解決方式：

事前不能預知風險，導致安全事件:信息泄露,漏洞被通報（要有預知）
事中無法有效防禦，數據庫密碼被修改，網絡故障定位困難（***日誌的關聯，調用聯動的機制防禦）
事後無法及時發現被黑，出現端口，漏洞（缺乏檢測），網頁被篡改，無法及時發現（快速響應）(持續檢測/響應)

(態勢感知系統、態勢感知平臺)最早提出于軍事領域（全網安全態勢感知，行爲態勢感知）
態勢感知是一種基於環境的、動態、整體地洞悉安全風險的能力，是以安全大數據爲基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是爲了決策與行動，是安全能力的落地

防禦措施
1、不要關閉掉默認的防火牆功能，如果有特殊的需要，可以選擇性開放安全端口
2、在服務器端安裝監控系統或部署蜜罐系統，隨時監控服務器的 異常行爲
3、及時更新系統補丁，隨時關注微軟系統的補丁更新公告
4、養成定期檢查服務器日誌的習慣，及時發現異常的操作或異常用戶

安全事件管理關注的內容
網絡上發生的安全事件
網絡上發生的系統事件
網絡上發生的應用事件
安全管理要對網絡上發生的各類事件進行綜合分析

統一網管:拓撲發現、設備管理、日誌管理、Trap告警
優選標準協議
集羣、堆疊應用，化繁就簡
實時監控，防範***，避免擁塞
NTP服務同一時間，日誌，Trap有序管理

***測試有黑盒和白盒兩種測試方法
黑盒測試是指在對基礎設施不知情的情況下進行測試
白盒測試是指在完全瞭解結構的情況下進行測試。不論測試方法是否相同，***測試通常具有兩個顯著

特點：
***測試是一個漸進的且逐步深入的過程
***測試是選擇不影響業務系統正常運行的***方法進行的測試
    ***測試是一個漸進的且逐步深入的過程
    ***測試是選擇不影響業務系統正常運行的***方法進行的測試

https：//github.com/evilcos/ ***者神器
http://www.securityxploded.com/安全工具
http://bbs.cfanclub.net/forum-3-1.html課件博客
http://download.cnet.com/Toolwiz-Care/3000-2086_4-75610754.html?part=dl-&subj=dl&tag=buttonToolwiz Care下載系統軟件鏈接

http://www.ntester.cn