[摘要] 随着互联网+技术的快速发展，网络DDOS攻击、勒索病毒、SQL注入、暴力破解、数据泄露等网络安全事件时有发生。网络信息安全面临严峻挑战。为保护客户信息资产安全，保障客户业务系统安全稳定运行，实现“高效预防、高效检测、快速处理”。本文对网络信息安全规划和防护策略进行了梳理和总结，希望能够为大家在实际工作中提供参考。

【作者简介】陈勇，从事IT行业10多年的资深人士，熟悉各种系统，获得IBM CATE、HP CSA、SUN SCSA、VCP、HCNP等多项专业认证。

网络信息安全的运行和保护不仅关系到整个数据中心业务系统的稳定运行，而且由于网络系统中终端的多样性、复杂性、开放性、分布不均匀性，网络极易受到攻击。黑客和恶意软件。或非法授权的入侵和攻击。

鉴于数据信息的严重性和敏感性，为保证和加强系统安全性，防止意外和恶意破坏、篡改和泄露，保证正常、连续工作，同时提高系统的响应能力威胁和抵御攻击，提高抵御和恢复能力。 ，需要构建满足信息安全等级保护要求的安全体系。系统具有抵御和防范大规模、强烈的恶意攻击、较严重的自然灾害、计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵的能力；具有安全事件响应能力，并具有安全责任追踪能力；具有系统损坏后快速恢复正常运行的能力。对于服务保障要求较高的系统，应能够快速恢复正常运行；具备对系统资源、用户、安全机制等进行集中控制的能力。

一、网络信息安全范围

网络信息安全的范围主要包括：网络结构、网络边界和网络设备自身安全等。具体控制点包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防御、恶意代码防御、网络设备保护等，通过网络安全防护，为用户信息系统的运行提供安全的环境。

1.1.结构安全

结构安全范围包括：

1）应保证主要网络设备的业务处理能力有冗余空间，以满足业务高峰期的需要；

2）应保证网络各部分的带宽满足业务高峰期的需要；

3）业务终端与业务服务器之间应进行路由控制，建立安全的访问路径；

4）根据各业务系统的类型、重要性以及涉及信息的重要性等因素划分不同的子网或网段，并按照方便的原则为各子网或网段分配地址段。管理和控制；

5）应避免将重要网段部署在网络边界并直接与外部信息系统相连，重要网段与其他网段之间应采用可靠的技术隔离方法；

6）按照业务服务的重要性顺序指定带宽分配优先级，保证网络拥塞时重要主机首先得到保护。

1.2.访问控制

访问控制范围包括：

1）网络边界应部署访问控制设备，并开启访问控制功能；

2）应能够根据会话状态信息对数据流提供明确的允许/拒绝访问能力，控制粒度为端口级别；

3）。对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、SMTP、POP3等协议的命令级控制；

4).会话闲置一段时间后或会话结束后应终止网络连接；

5）。应限制最大网络流量和网络连接数；

6）应采取技术措施防止重要网段的地址欺骗；

7).根据用户与系统之间允许的访问规则，决定是否允许或拒绝用户对受控系统的资源访问，控制粒度为单个用户；

8).应限制具有拨号访问权限的用户数量。

1.3.安全审计

安全审计范围包括：

1) 对网络系统中网络设备的运行状态、网络流量、用户行为等进行日志记录；

2) 审核记录应包括：事件的日期和时间、用户、事件类型、事件是否成功以及其他与审核相关的信息；

3）应能够根据记录的数据进行分析并生成审核报告；

4) 应保护审计记录不被意外删除、修改或覆盖。

1.4.边界完整性审核

边界完整性检查范围包括：

1）应能够检查未授权设备私自连接内网的行为，准确判断位置，并有效阻断；

2）应能够检查内网用户私自连接外网的行为，准确判断位置，并对其进行有效拦截。

1.5.入侵防御要求

入侵防御范围包括：

1）网络边界应监控以下攻击行为：端口扫描、暴力破解、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP分片攻击、网络蠕虫攻击等；

2）当检测到攻击时，记录攻击源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵时进行报警。

1.6.防止恶意代码

恶意代码的范围包括：

a) 应在网络边界检测并删除恶意代码；

b) 应保持恶意代码库的升级和检测系统的更新。

1.7.网络设备保护

网络设备范围包括：

1) 登录网络设备的用户应经过身份验证；

2）网络设备的管理员登录地址应受到限制；

3）网络设备用户的身份应唯一；

4）主网设备应对同一用户选择两种或两种以上认证技术的组合进行身份认证；

5）身份识别信息应不易被冒用，密码应有复杂度要求并定期更换；

6）应具有处理登录失败的功能，能够采取结束会话、限制非法登录次数、网络登录连接超时时自动注销等措施；

7）对网络设备进行远程管理时，应采取必要措施，防止标识信息在网络传输过程中被窃听；

8) 应实现设备特权用户的权限分离。

2.网络信息安全设计

网络层安全的主要设计方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防御、恶意代码防御、网络设备保护等。下面我们将结合信息系统级防护网络安全的要求。下面详细讲讲网络安全设计。

2.1.网络安全领域划分

为了实现信息系统的分级划分和保护，我们根据分级保护的相关原则规划和区分不同的安全保护对象，并根据保护对象设置不同业务功能和安全级别的安全区域，从而根据每个区域的重要性对它们进行分类。安全管理。

根据系统的业务功能和特点以及各业务系统的安全需求，根据网络的具体应用、功能需求和安全要求，规划和设计功能区。

具体功能说明及安全要求见下表：

2.2.网络结构设计

为了使信息系统达到良好的安全保障，系统按照三级防护要求进行安全建设。通过系统安全区域的划分和设计以及重点区域的冗余建设，保证关键业务系统的可用性和连续性。建议按照以下方式构建网络架构：

在构建网络架构的过程中，必须充分考虑信息系统的发展以及后期建设的需求。在采购设备、建设划分安全域时，要为后期的开发建设做好准备，比如产品的功能和性能至少要满足未来3-5年的业务发展要求。产品接口和规格必须满足冗余部署的需要。 VLAN划分必须为后期建设预留VLAN，以实现安全隔离。

2.3.区域边界出入控制设计

通过在各区域边界区域的交换机上设置ACL列表，可以实现区域边界的访问控制保护。但这种方法维护管理不方便，并且对访问控制的粒度控制效果较差。从便于管理、维护和安全的角度考虑，可以通过在关键网络区域边界部署专业的访问控制设备（如防火墙产品）来实现区域边界的访问控制。访问控制措施需要满足以下功能要求：

在网络结构中，需要在各个区域的边界进行访问控制。对于重点区域，应部署防火墙，实现网络区域边界端口级的访问控制。其他区域需要考虑交换机的VLAN划分、ACL、防火墙等。访问控制是通过访问控制等功能来实现的。

通过部署防火墙设备，利用其虚拟防火墙功能，可以实现不同区域之间的安全隔离和访问控制。同时，数据中心内部区域与网络互连区域之间部署防火墙。主要实现以下安全功能：

1）实现垂直专网与业务网络的双向访问控制；

2）对核心网、应用服务区、数据交换区之间实行端口级访问控制，关闭不必要的端口；

3）实现应用层协议命令级访问控制；

4）实现长链接的管理和控制。

2.4.网络安全审计设计

在设计安全审计时，对网络层的网络设备运行状态、网络流量、用户行为等因素进行审计。审计系统需要具备以下功能：

根据网络特点和业务重要性，建议部署相关网络安全审计设备。

网络安全审计涉及网络行为审计、数据库审计、日志审计、运维审计等。

网络行为审计：主要在核心业务区交换机旁路部署2台网络审计设备，可审计常用网络协议的内容和行为，主要包括TCP五元组、应用协议识别结果、IP地址溯源结果等。根据用户审计级别进行配置，实现不同协议不同粒度的审计要求。通过流量分析、信息分析以及对当前网络流量状况的统计分析，用户可以基于该功能分析网络中应用的分布情况以及网络带宽的使用情况。

数据库审计：需要在核心业务区交换机旁路部署两台数据库审计设备，对数据库运行过程中的变化进行审计。对数据库的所有增、删、改、查询等操作均可审计，并提供实时查询统计功能。包括SQL语句分析、SQL语句操作类型、操作字段、操作表名分析等。通过对浏览器与Web服务器、Web服务器与数据库服务器之间产生的HTTP事件、SQL事件进行业务关联分析，管理人员可以快速方便查询是哪个HTTP访问触发了某个数据库访问，并进行定位和追踪。识别真实的访问者，从而将访问 Web 的资源帐户与相关的数据库操作相关联。包括访客用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息。根据解析出的SQL，对用户数据库服务器进行安全判断和攻击检测。

日志审计：核心业务区交换机旁路需要部署两台日志审计设备，全面采集各种网络设备、安全设备、主机和应用系统日志，并对采集到的各种格式的日志进行解析和规范。进行处理并提供给后续模块进行分析和存储，以支持事后审计和责任认定和证据收集。帮助实现网络日志和信息的有效管理和全面审计。

运维审计：需要在核心业务区交换机旁路部署两台运维审计设备（堡垒机），实现数据中心所有设备的统一运维和集中管理。通过运维审计功能，记录所有运维会话，有充足的审计数据，方便后续查询和追溯，解决了很多服务器和网络设备面临的“越权使用、权限滥用、权限盗用”在数据中心的运维过程中。以及其他安全威胁。

2.5.边界完整性设计

在地区边境部署检测设备，及时发现非法越界和入侵行为，完成地区边境完整性保护。检测需要具备以下功能：

具体技术实现如下：

1）在边界防火墙上实施基于业务的端口级访问控制，严格限制访问IP和外部IP，防止网络层的非法外部和内联连接；

2）对服务器进行安全加固，防止服务器设备本身的安全对后边界的完整性造成破坏。

2.6。入侵检测与防御设计

在网络区域的边界，部署入侵防御设备来监控或拦截网络攻击，并通过入侵防御功能实现及时生成警报和详细报告。

通过在网络中部署入侵防御系统，可以有效地实现以下防御方法：

1）满足重要网络边界的攻击行为监控需求，分级满足端口扫描、暴力破解、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP分片攻击、网络蠕虫攻击等监控需求保护 。

2）实现网络中攻击行为的高效记录：当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵事件时进行报警。

3）实现网络中重要信息的保护功能。可根据防护要求级别记录重要服务器的入侵行为，记录入侵的源IP、攻击类型、攻击目的、攻击时间，当入侵严重时记录入侵行为发生。发生事件时提供警报。

2.7.网络边界恶意代码防范设计

区域边界防恶意代码设备必须具备以下功能：

通过部署反病毒网关系统，可以有效实现网络边界恶意代码的入侵行为。网关防病毒系统实现了对业务系统边界的网络攻击和入侵的检测和控制，能够有效识别和控制恶意代码。

2.8.网络基础设施防范设计

基础网络设施的安全设计主要需要对交换机等设备实现以下功能：

1）启用远程登录用户的IP地址验证功能，保证用户只能从特定的IP设备远程登录交换机进行操作；

2）启用交换机对用户密码的加密功能，对本地保存的用户密码进行加密存储，防止用户密码泄露；

3）使用SNMP进行网管的交换机必须使用SNMP V2或以上版本，并启用MD5等验证功能；

4) 每次完成配置等操作或暂时离开配置终端时，必须退出系统；

5）设置控制端口和远程登录端口的空闲时间，使控制端口或远程登录端口空闲一定时间后自动断开；

6) 一般情况下，交换机的Web配置服务应该关闭。如有必要，应暂时打开，配置完成后立即关闭；

7）对于接入层交换机，应采用VLAN技术进行安全隔离控制，根据业务需要将交换机端口划分为不同的VLAN；

8) 在接入层交换机中，不需要用于三层连接的端口应设置为属于相应的VLAN。如有必要，可以将所有未使用的空闲交换机端口设置为“”，以防止空闲交换机端口被非法使用。

原标题：浅谈网络信息安全设计与防护策略研究

# 网络信息安全规划与防护策略：保障业务系统稳定运行的关键措施  # 网络信息安全规划与防护策略  # 保障业务系统稳定运行的关键措施  # 访问控制  # 恶意代码  # 信息安全  # 信息系统  # 子网  # 过程中  # 两台  # 远程登录  # 如有  # 两种  # 后期  # 并在  # 可以实现  # 设置为  # 来实现  # 主要包括  # 以及其他  # 进行分析  # 正常运行  # 内网  # 铁西区推广网站搭建商家  # 微网站模板建设的选择  # 烧饼图文怎么做营销推广  # 聊城网络seo公司排名  # 濮阳营销推广排名  # 丹江口网站推广方案  # 佛山新网站建设建站  # 北京企业网站建设集团  # 陕西霸屏seo外包  # 张掖抖音seo搜索推广  # 公司网站优化优势  # 怎么做门户网站推广  # SEO入门单反参数手机  # 长春推广网店网站  # 寿光seo网络推广效果  # SEO目录书店图片  # 山东各县关键词排名优化  # 营销推广预算编制  # 宜昌抖音营销推广哪家好  # 专业门店营销推广方案 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 广州百度推广如何起量？精准策略助你成功,旅游推广营销题  滨州SEO优化，投入与产出的性价比之我见,株洲网络营销推广学校  11月19日深圳新版二手房交易网签系统上线，这些重点要注意   合肥SEO优化，提升网站排名的关键策略,seo快排费用知名乐云seo  深圳SEO生产工艺,打造高效搜索引擎优化解决方法,吴中企业网站优化找哪家  介绍燕郊SEO服务公司,助力企业腾飞的秘密武器,网站的优化策略怎么写  SEO爱站：提升网站排名，赢得流量的秘密武器,优化网站设计价格多少  探索SEO的奥秘，如何利用搜索引擎优化提升你的在线影响力,临沂seo  收到这类微信官方短信要小心！点开链接后果不堪设想？   百度SEO新手指南,掌握关键词布局，提升网站排名,西宁seo抖音优化招聘  广州百度推广客服，助力企业精准营销的强大支持,网上营销哪个好用点推广  湖南SEO外包公司助力企业高效提升搜索引擎排名,鹤岗seo公司找9火星  SEO优化五大步骤,助力网站提升排名，赢得流量与用户青睐,济源百度关键词搜索排名  手机相册爆满删又难恢复慢？简单万无一失备份方法快来看   广州百度推广开户指南，助力企业营销新突破,武义做推广网站  地主来了2019微信赢红包版，经典玩法与炫酷特效等你来   探索南丰SEO优化公司的奥秘,聊城网站建设工程管理  详细介绍罗湖区SEO价格,性价比之选，助力企业网络营销,滕州网站优化推荐公司  推广客服必看！百度搜索推广效果转化漏斗的五个量解析   洛阳网站SEO优化技术,助力企业互联网营销新篇章,肇庆seo公司便捷火星  揭秘自媒体营销，如何让你的品牌在信息海洋中脱颖而出,福州网站建设方案书实例  白帽SEO,耐心与坚持，见证网站排名的稳步提升,福建网站怎么优化  SEO组织：让您的网站流量倍增的秘密武器,seo 绩效标准  柳州提升SEO策略，如何让您的网站在竞争激烈的市场中脱颖而出,天津网站建站优化  深圳首批可售性人才住房项目公布，六个项目共4422套房源   广州百度推广收费标准解析,天津企业网站推广哪家强  广州百度推广系数解析及优化策略,各大营销推广的优势  扬州SEO推广前景,把握数字营销风口，助力企业腾飞,seo骨灰级  介绍营口抖音SEO价格,投资回报，你值得拥有！,seo十大关键词排名  揭秘成功的自媒体人，如何利用SEO技能打造你的品牌,如何优化网站店铺排名  刘雨峰SEO介绍,介绍高效搜索引擎优化之路,南平seo公司优选20火星  介绍滁州短视频SEO排名步骤,助力内容创作者抢占流量高地,河南seo软件服务商  外链SEO,提升网站排名的关键因素及优化步骤,如何优化网站问题  广州百度推广图文全攻略,淘宝联盟自有网站推广  SEO职位：数字营销的核心，开启职业新高峰,汕尾网站建设推广厂商  SEO导流：如何通过精准优化实现网站流量大爆发,网站优化优化怎么做  揭秘SEO行业黑幕，价格虚高背后的真相,网站安全建设目标  浅谈广州百度推广样式的多样化与优化策略,网站建设可以外包  百度关键词下拉框怎么刷？关键字指数与相关度你了解多少？   淘宝SEO优化介绍,掌握关键词布局，助力店铺流量提升,网站的页面布局优化  SEO未来：如何在变革中抢占先机，迎接数字营销的新纪元,台州网站建设分析和总结  SEO注意事项：助力网站流量提升的关键策略,济宁快速seo优化价格  探索未知，自媒体营销的奥秘与策略,济宁营销线上推广  SEO站内优化：提升网站排名的核心策略,厦门市网站优化企业  新手入门SEO外推,掌握方法，提升网站流量与排名,门窗网站seo优化托管  微信上线后悔药功能，误删聊天记录有救啦！网友纷纷点赞   什么是网站地图？如何制作网站地图及创新互联公司网站特点   探索未知，我的成长之旅与自媒体营销的融合,seo中标题写法  深圳SEO行业最新动态,关键词布局与搜索引擎优化步骤,阿文seo  SEO收费如何选择合适的SEO服务，提升网站排名并增加曝光度,做网站优化哪家实惠