網絡安全部署步驟

頂層設計概念
考慮項目各層次和各要素，追根溯源，統攬全局，在最高層次上尋求問題的解決之道
頂層設計”不是自下而上的“摸著石頭過河”，而是自上而下的“系統謀劃”

網絡安全分為

物理、網絡、主機、應用、管理制度

邊界最強 接入層最薄弱

安全特性總綱

一、有效的訪問控制
二、有效識別合法的和非法的用戶
三、有效的防偽手段，重要的數據重點保護
四、內部網絡的隱蔽性
五、外網***的防護
六、內外網病毒防范
七、行之有效的安全管理手段（三分技術，七分管理）

單純***是沒意義的 ***網絡沒意義 竊取信息是有意義的
真正的安全是 產品安全 協議安全
截獲(interception)——中斷(interruption)——篡改(modification)——偽造(fabrication)

***的步驟
信息收集——》漏洞掃描——》***——》***——》提權——》后門——》日志清除
網絡***的目的：
1：獲取保密信息
2：破壞網咯信息的網整性
3：***網絡的可用性
4：改變網絡運行的可控性
5：逃避責任

安全防護控制點:
訪問控制、安全審計、結構安全、網絡設備防護、通信機密性（數據被攔截）、通信完整性(數據不被篡改)、數據備份與恢復

一、訪問控制
1、基于數據流的訪問控制（路由器、交換機、防火墻ACL）
2、根據數據包信息進行數據分類（QoS）
3、不同的數據流采用不同的策略*（擴展ACL）
4、基于用戶的訪問控制（telnet、密碼復雜、密文形式、登錄次數、SNMP、堡壘主機）
5、對于接入服務用戶，設定特定的過濾屬性（劃分區域、防止中間人***）
二、用戶識別
1、對接入用戶的認證（NTP、802.1X、portal、MAC認證、AAA）
2、內網接入用戶的認證和授權（AAA、MAC認證）
3、遠程接入用戶的認證和授權（AAA、本地認證）

三、保護數據安全
1、網絡設備本身的認證（console、系統補丁、關閉服務CDP）
2、訪問設備時的身份認證授權（堡壘主機、審計系統）
3、路由信息的認證（協議認證、VRRP認證、IP綁定、端口綁定）
4、數據加密和防偽（×××）
5、數據加密（對稱式加密）
6、利用公網傳輸數據不可避免地面臨數據竊聽的問題（MD5、SHA認證）
7、傳輸之前進行數據加密，保證只有與之通信的對端能夠解密（非對稱式加密）
8、數據防偽
9、報文在傳輸過程中，有可能被***者截獲、篡改
10、接收端需要進行數據完整性鑒別
四、內部網絡的隱蔽性
1、隱藏私網內部地址，有效的保護內部主機（NAT）
2、允許內網用戶向外發起連接，禁止外網用戶對內網發起連接（關閉不必要的服務端口）

五、***防護
1、對外網各類***的有效防護（FW、IPS攔截、WAF、設備冗余、協議冗余、鏈路冗余，75%的***是針對web應用）

IPS缺點:對每一個數據包進行分析，語音數據包要求低延遲

六、病毒防范
1、對于外網病毒傳入的防范（防毒墻、周期更新病毒庫）
2、對于內網病毒發作的抑止（IDS、EAD、周期更新病毒庫）

七、完善制度
1、保證重要的網絡設備處于安全的運行環境，防止人為破壞
2、保護好訪問口令、密碼等重要的安全信息
3、在網絡上實現報文審計和過濾，提供網絡運行的必要信息
4、制定完善的管理制度，并確保制度得到良好的執行

存在安全的問題：

事前（缺乏風險預知能力）（有哪些資產？有哪些漏洞？是否有策略？）
事中（聯動，調用其它機制）
事后（缺乏檢測和響應）（是否有新漏洞？繞過能否檢測？能否快速響應？（缺乏持續性））

解決方式：

事前不能預知風險，導致安全事件:信息泄露,漏洞被通報（要有預知）
事中無法有效防御，數據庫密碼被修改，網絡故障定位困難（***日志的關聯，調用聯動的機制防御）
事后無法及時發現被黑，出現端口，漏洞（缺乏檢測），網頁被篡改，無法及時發現（快速響應）(持續檢測/響應)

(態勢感知系統、態勢感知平臺)最早提出于軍事領域（全網安全態勢感知，行為態勢感知）
態勢感知是一種基于環境的、動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地

防御措施
1、不要關閉掉默認的防火墻功能，如果有特殊的需要，可以選擇性開放安全端口
2、在服務器端安裝監控系統或部署蜜罐系統，隨時監控服務器的 異常行為
3、及時更新系統補丁，隨時關注微軟系統的補丁更新公告
4、養成定期檢查服務器日志的習慣，及時發現異常的操作或異常用戶

安全事件管理關注的內容
網絡上發生的安全事件
網絡上發生的系統事件
網絡上發生的應用事件
安全管理要對網絡上發生的各類事件進行綜合分析

統一網管:拓撲發現、設備管理、日志管理、Trap告警
優選標準協議
集群、堆疊應用，化繁就簡
實時監控，防范***，避免擁塞
NTP服務同一時間，日志，Trap有序管理

***測試有黑盒和白盒兩種測試方法
黑盒測試是指在對基礎設施不知情的情況下進行測試
白盒測試是指在完全了解結構的情況下進行測試。不論測試方法是否相同，***測試通常具有兩個顯著

特點：
***測試是一個漸進的且逐步深入的過程
***測試是選擇不影響業務系統正常運行的***方法進行的測試
    ***測試是一個漸進的且逐步深入的過程
    ***測試是選擇不影響業務系統正常運行的***方法進行的測試

https：//github.com/evilcos/ ***者神器
http://www.securityxploded.com/安全工具
http://bbs.cfanclub.net/forum-3-1.html課件博客
http://download.cnet.com/Toolwiz-Care/3000-2086_4-75610754.html?part=dl-&subj=dl&tag=buttonToolwiz Care下載系統軟件鏈接

http://www.ntester.cn