网络安全防护部署所需要注意的几点

顶层设计概念
考虑项目各层次和各要素,追根溯源,统揽全局,在最高层次上寻求问题的解决之道
顶层设计”不是自下而上的“摸着石头过河”,而是自上而下的“系统谋划”

网络安全分为

物理、网络、主机、应用、管理制度

边界最强 接入层最薄弱


安全特性总纲

一、有效的访问控制
二、有效识别合法的和非法的用户
三、有效的防伪手段,重要的数据重点保护
四、内部网络的隐蔽性
五、外网攻击的防护
六、内外网病毒防范
七、行之有效的安全管理手段(三分技术,七分管理)
真正的安全是 产品安全 协议安全
截获(interception)——中断(interruption)——篡改(modification)——伪造(fabrication)

安全防护控制点:
访问控制、安全审计、结构安全、网络设备防护、通信机密性(数据被拦截)、通信完整性(数据不被篡改)、数据备份与恢复

一、访问控制
1、基于数据流的访问控制(路由器、交换机、防火墙ACL)
2、根据数据包信息进行数据分类(QoS)
3、不同的数据流采用不同的策略*(扩展ACL)
4、基于用户的访问控制(telnet、密码复杂、密文形式、登录次数、SNMP、堡垒主机)
5、对于接入服务用户,设定特定的过滤属性(划分区域、防止中间人攻击)
二、用户识别
1、对接入用户的认证(NTP、802.1X、portal、MAC认证、AAA)
2、内网接入用户的认证和授权(AAA、MAC认证)
3、远程接入用户的认证和授权(AAA、本地认证)

三、保护数据安全
1、网络设备本身的认证(console、系统补丁、关闭服务CDP)
2、访问设备时的身份认证授权(堡垒主机、审计系统)
3、路由信息的认证(协议认证、VRRP认证、IP绑定、端口绑定)
4、数据加密和防伪(×××)
5、数据加密(对称式加密)
6、利用公网传输数据不可避免地面临数据窃听的问题(MD5、SHA认证)
7、传输之前进行数据加密,保证只有与之通信的对端能够解密(非对称式加密)
8、数据防伪
9、报文在传输过程中,有可能被攻击者截获、篡改
10、接收端需要进行数据完整性鉴别
四、内部网络的隐蔽性
1、隐藏私网内部地址,有效的保护内部主机(NAT)
2、允许内网用户向外发起连接,禁止外网用户对内网发起连接(关闭不必要的服务端口)

五、攻击防护
1、对外网各类攻击的有效防护(FW、IPS拦截、WAF、设备冗余、协议冗余、链路冗余,75%的攻击是针对web应用)

六、病毒防范
1、对于外网病毒传入的防范(防毒墙、周期更新病毒库)
2、对于内网病毒发作的抑止(IDS、EAD、周期更新病毒库)

七、完善制度
1、保证重要的网络设备处于安全的运行环境,防止人为破坏
2、保护好访问口令、密码等重要的安全信息
3、在网络上实现报文审计和过滤,提供网络运行的必要信息
4、制定完善的管理制度,并确保制度得到良好的执行


安全事件管理关注的内容
网络上发生的安全事件
网络上发生的系统事件
网络上发生的应用事件
安全管理要对网络上发生的各类事件进行综合分析

统一网管:拓扑发现、设备管理、日志管理、Trap告警
优选标准协议
集群、堆叠应用,化繁就简
实时监控,防范攻击,避免拥塞
NTP服务同一时间,日志,Trap有序管理

以上均是网络安全方面部署的一些建议,当然选择专业的服务商也能提供全方面的安全部署也会更加便捷。
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/638136.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【C++】List模拟实现过程中值得注意的点

👀樊梓慕:个人主页 🎥个人专栏:《C语言》《数据结构》《蓝桥杯试题》《LeetCode刷题笔记》《实训项目》《C》《Linux》《算法》 🌝每一个不曾起舞的日子,都是对生命的辜负 目录 前言 1.List迭代器 2.适…

格密码基础:详解LWE问题(2)

目录 一. LWE问题的标准式 二. LWE单向函数与SIS单向函数 2.1 SIS问题的标准型 2.2 SIS与LWE标准型之间的关系 三. LWE问题有多难? 3.1 结论 3.2 归约过程 四. LWE归约性质 五. LWE问题的两个版本 一. LWE问题的标准式 系列文章: 格密码基础&…

Java SE入门及基础(25)

目录 方法带参(续第24篇) 6.方法参数传递规则 方法传参来自官方的说明 基本数据类型传值案例 基本数据类型传值时传递的是值的拷贝 引用数据类型传值案例 引用数据类型传值时传递的是对象在堆内存上的空间地址 Java SE文章参考:Java SE入门及基础知…

文件操作和IO(1)

认识文件 先来认识狭义上的文件(存储在硬盘(磁盘)上).针对硬盘这种持久化的I/O设备,当我们想要进行数据保存时,往往不是保存成一个整体,而是独立成一个个的单位进行保存,这个独立的单位就被抽象成文件的概念,就类似办公桌上的一份份真实的文件一般. 注意:硬盘 ! 磁盘 磁盘属于…

基于C++11的数据库连接池【C++/数据库/多线程/MySQL】

一、概述 概述:数据库连接池可提前把多个数据库连接建立起来,然后把它放到一个池子里边,就是放到一个容器里边进行维护。这样的话就能够避免数据库连接的频繁的创建和销毁,从而提高程序的效率。线程池其实也是同样的思路&#xf…

Java-NIO篇章(4)——Selector选择器详解

Selector介绍 选择器(Selector)是什么呢?选择器和通道的关系又是什么?这里详细说明,假设不用选择器,那么一个客户端请求数据传输那就需要建立一个连接,为了避免线程阻塞,那么每个客…

【Linux】进程间通信——system V 共享内存、消息队列、信号量

需要云服务器等云产品来学习Linux的同学可以移步/–>腾讯云<–/官网&#xff0c;轻量型云服务器低至112元/年&#xff0c;优惠多多。&#xff08;联系我有折扣哦&#xff09; 文章目录 写在前面1. 共享内存1.1 共享内存的概念1.2 共享内存的原理1.3 共享内存的使用1.3.1 …

磁盘分区机制

lsblk查看分区 Linux分区 挂载的经典案例 1. 虚拟机增加磁盘 点击这里&#xff0c;看我的这篇文章操作 添加之后&#xff0c;需要重启系统&#xff0c;不重启在系统里看不到新硬盘哦 出来了&#xff0c;但还没有分区 2. 分区 还没有格式化 3. 格式化磁盘 4. 挂载 5. 卸载…

国标GB28181安防视频监控EasyCVR级联后上级平台视频加载慢的原因排查

国标GB28181协议安防视频监控系统EasyCVR视频综合管理平台&#xff0c;采用了开放式的网络结构&#xff0c;可以提供实时远程视频监控、视频录像、录像回放与存储、告警、语音对讲、云台控制、平台级联、磁盘阵列存储、视频集中存储、云存储等丰富的视频能力&#xff0c;同时还…

一、用户管理中心——前端初始化

一、Ant Design Pro初始化 1.创建空文件夹 2.打开Ant Design Pro官网 3.打开终端进行初始化 在终端输入npm i ant-design/pro-cli -g 在终端输入pro create myapp 选择umi3 选择simple 项目创建成功后&#xff0c;在文件夹中出现myapp 4.安装依赖 使用vscode打开项目 …

STL中的stack、queue以及deque

目录 一、关于deque容器&#xff08;双端队列&#xff09; 1、deque的底层实现 2、deque的缺点 3、关于stack与squeue默认使用deque容器 二、stack简介 1、stack的成员函数&#xff08;接口&#xff09; 2、stack的模拟实现 三、queue简介 1、queue的成员函数&#xff08…

安全防御-基础认知

目录 安全风险能见度不足&#xff1a; 常见的网络安全术语 &#xff1a; 常见安全风险 网络的基本攻击模式&#xff1a; 病毒分类&#xff1a; 病毒的特征&#xff1a; 常见病毒&#xff1a; 信息安全的五要素&#xff1a; 信息安全的五要素案例 网络空间&#xff1a…

docker配置阿里云镜像加速器

1、阿里云镜像加速器地址获取&#xff1a; 2、配置ECS镜像加速器&#xff0c;重启docker mkdir -p /etc/docker tee /etc/docker/daemon.json <<-EOF {"registry-mirrors": ["https://2lg9kp55.mirror.aliyuncs.com"] } EOF sudo systemctl daemon-…

谈判(贪心算法)

题目 import java.util.ArrayList; import java.util.Collections; import java.util.List; import java.util.Scanner;public class Main {public static void main(String[] args) { Scanner sc new Scanner(System.in);int n sc.nextInt();sc.nextLine();List<Integ…

H3C交换机S6850配置M-LAG三层转发

正文共&#xff1a;1999 字 30 图&#xff0c;预估阅读时间&#xff1a;3 分钟 前面提到M-LAG是一种跨设备链路聚合技术&#xff0c;将两台物理设备在聚合层面虚拟成一台设备来实现跨设备链路聚合&#xff0c;从而提供设备级冗余保护和流量负载分担。 之前已经做了DRNI的三层转…

微前端小记

步骤 将普通的项目改造成 qiankun 主应用基座&#xff0c;需要进行三步操作&#xff1a; 1. 创建微应用容器 - 用于承载微应用&#xff0c;渲染显示微应用&#xff1b; a. 设置路由routeb.主应用的布局包括&#xff1a; 主应用菜单&#xff0c;用于渲染菜单主应用渲染区域&a…

ubuntu安装vm和Linux

1、下载Ubuntu Index of /releaseshttps://old-releases.ubuntu.com/releases/ 2、下载VMware 官方正版VMware下载&#xff08;16 pro&#xff09;&#xff1a;https://www.aliyundrive.com/s/wF66w8kW9ac 下载Linux系统镜像&#xff08;阿里云盘不限速&#xff09;&#xff…

webpack 核心武器:loader 和 plugin 的使用指南(上)

&#x1f90d; 前端开发工程师、技术日更博主、已过CET6 &#x1f368; 阿珊和她的猫_CSDN博客专家、23年度博客之星前端领域TOP1 &#x1f560; 牛客高级专题作者、打造专栏《前端面试必备》 、《2024面试高频手撕题》 &#x1f35a; 蓝桥云课签约作者、上架课程《Vue.js 和 E…

Twisted Circuit洛谷绿题题解

Twisted Circuit 题面翻译 读入四个整数 0 0 0 或者 1 1 1&#xff0c;作为如图所示的电路图的输入。请输出按照电路图运算后的结果。 感谢PC_DOS 提供的翻译 题目描述 输入格式 The input consists of four lines, each line containing a single digit 0 or 1. 输出格…

读书笔记之《万物起源》:宇宙与人类的极简史

《万物起源&#xff1a;从宇宙大爆炸到文明的兴起》讲述了从大爆炸直到今日&#xff0c;约140亿年间所有重大事物的起源&#xff0c;依次覆盖了量子力学&#xff0c;天体物理学&#xff0c;化学&#xff0c;行星科学&#xff0c;地质学&#xff0c;生物学和人类历史等等学科。 …