如何架構網路安全體系

A. 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9

B. 如何構建安全的網路架構

建立完善的網路資源管理系統的意義1、是適應外部環境變化和加快市場反應速度的需要。如何盡快的響應市場和客戶的需求,提高對客戶的服務質量,並留住現有客戶和吸引新生客戶。這就需要利用網路資源系統將網路資源和客戶、業務相關聯起來,提供以客戶為中心的端到端應用,最終將電信運營商的網路資源優勢轉化為競爭優勢,並最大限度的提升客戶價值,為企業獲取最大的經濟效益。2、是實現企業資源優化配置的需要。為有效實現現代化企業的資源優化配置,企業迫切需要將原有的粗放式人工管理轉變以管理系統為核心的精確管理;迫切需要通過網路資源管理系統的優化與建設,以合理的利用有限的建設資金、盤活現有各項資源,實現資源的優化配置;迫切需要依靠完善的網路資源管理系統,來為企業可持續化發展提供准確的決策支持。

C. 怎樣為信息系統構建安全防護體系

1、結構化及縱深防禦保護框架
系統在框架設計時應從一個完整的安全體系結構出發，綜合考慮信息網路的各個環節，綜合使用不同層次的不同安全手段，為核心業務系統的安全提供全方位的管理和服務。
在信息系統建設初期，考慮系統框架設計的時候要基於結構化保護思想，覆蓋整體網路、區域邊界、計算環境的關鍵保護設備和保護部件本身，並在這些保護部件的基礎上系統性地建立安全框架。使得計算環境中的應用系統和數據不僅獲得外圍保護設備的防護，而且其計算環境內的操作系統、資料庫自身也具備相應的安全防護能力。同時要明確定義所有訪問路徑中各關鍵保護設備及安全部件間介面，以及各個介面的安全協議和參數，這將保證主體訪問客體時，經過網路和邊界訪問應用的路徑的關鍵環節，都受到框架中關鍵保護部件的有效控制。
在進行框架設計時可依據IATF（信息保護技術框架）深度防護戰略的思想進行設計，IATF模型從深度防護戰略出發，強調人、技術和操作三個要素，基於縱深防禦架構構建安全域及邊界保護設施，以實施外層保護內層、各層協同的保護策略。該框架使能夠攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。在攻擊者成功地破壞了某個保護機制的情況下，其它保護機制仍能夠提供附加的保護。
在安全保障體系的設計過程中，必須對核心業務系統的各層邊界進行全面分析和縱深防禦體系及策略設計，在邊界間採用安全強隔離措施，為核心業務系統建立一個在網路層和應用層同時具備較大縱深的防禦層次結構，從而有效抵禦外部通過網路層和應用層發動的入侵行為。
2、全生命周期的閉環安全設計
在進行信息系統的安全保障體系建設工作時，除設計完善的安全保障技術體系外，還必須設計建立完整的信息安全管理體系、常態化測評體系、集中運維服務體系以及應急和恢復體系，為核心信息系統提供全生命周期的安全服務。
在項目開展的全過程中，還應該遵循SSE-CMM（信息安全工程能力成熟度模型）所確定的評價安全工程實施綜合框架，它提供了度量與改善安全工程學科應用情況的方法，也就是說，對合格的安全工程實施者的可信性，是建立在對基於一個工程組的安全實施與過程的成熟性評估之上的。SSE-CMM將安全工程劃分為三個基本的過程域：風險、工程、保證。風險過程識別所開發的產品或系統的危險性，並對這些危險性進行優先順序排序。針對危險性所面臨的問題，工程過程要與其他工程一起來確定和實施解決方案。由安全保證過程來建立對最終實施的解決方案的信任，並向顧客轉達這種安全信任。因此，在安全工程實施過程中，嚴格按照SSE-CMM體系來指導實施流程，將有效地提高安全系統、安全產品和安全工程服務的質量和可用性。
3、信息系統的分域保護機制
對信息系統進行安全保護設計時，並不是對整個系統進行同一級別的保護，應針對業務的關鍵程度或安全級別進行重點的保護，而安全域劃分是進行按等級保護的重要步驟。
控制大型網路的安全的一種方法就是把網路劃分成單獨的邏輯網路域，如內部服務網路域、外部服務網路域及生產網路域，每一個網路域由所定義的安全邊界來保護，這種邊界的實施可通過在相連的兩個網路之間的安全網關來控制其間訪問和信息流。網關要經過配置，以過濾兩個區域之間的通信量，並根據訪問控制方針來堵塞未授權訪問。
根據信息系統實際情況劃分不同的區域邊界，重點關注從互聯網→外部網路→內部網路→生產網路，以及以應用系統為單元的從終端→伺服器→應用→中間件→資料庫→存儲的縱向各區域的安全邊界，綜合採用可信安全域設計，從而做到縱深的區域邊界安全防護措施。
實現結構化的網路管理控制要求的可行方法就是進行區域邊界的劃分和管理。在這種情況下，應考慮在網路邊界和內部引入控制措施，來隔離信息服務組、用戶和信息系統，並對不同安全保護需求的系統實施縱深保護。
一般來說核心業務系統必然要與其它信息系統進行交互。因此，應根據防護的關鍵保護部件的級別和業務特徵，對有相同的安全保護需求、相同的安全訪問控制和邊界控制策略的業務系統根據管理現狀劃分成不同的安全域，對不同等級的安全域採用對應級別的防護措施。根據域間的訪問關系和信任關系，設計域間訪問策略和邊界防護策略，對於進入高等級域的信息根據結構化保護要求進行數據規劃，對於進入低等級域的信息進行審計和轉換。
4、融入可信計算技術
可信計算技術是近幾年發展起來的一種基於硬體的計算機安全技術，其通過建立信任鏈傳遞機制，使得計算機系統一直在受保護的環境中運行，有效地保護了計算機中存儲數據的安全性，並防止了惡意軟體對計算機的攻擊。在信息系統安全保障體系設計時，可以考慮融入可信計算技術，除重視安全保障設備提供的安全防護能力外，核心業務系統安全保障體系的設計將強調安全保障設備的可靠性和關鍵保護部件自身安全性，為核心業務系統建立可信賴的運行環境。
以可信安全技術為主線，實現關鍵業務計算環境關鍵保護部件自身的安全性。依託縱深防禦架構應用可信與可信計算技術（含密碼技術）、可信操作系統、安全資料庫，確保系統本身安全機制和關鍵防護部件可信賴。在可信計算技術中，密碼技術是核心，採用我國自主研發的密碼演算法和引擎，通過TCM模塊，來構建可信計算的密碼支撐技術，最終形成有效的防禦惡意攻擊手段。通過系統硬體執行相對基礎和底層的安全功能，能保證一些軟體層的非法訪問和惡意操作無法完成，可信計算技術的應用可以為建設安全體系提供更加完善的底層基礎設施，並為核心業務系統提供更強有力的安全保障。
5、細化安全保護策略與保障措施
在核心業務系統不同區域邊界之間基本都以部署防火牆為鮮明特點，強化網路安全策略，根據策略控制進出網路的信息，防止內部信息外泄和抵禦外部攻擊。
在區域邊界處部署防火牆等邏輯隔離設備實施訪問控制，設置除因數據訪問而允許的規則外，其他全部默認拒絕，並根據會話狀態信息（如包括數據包的源地址、目的地址、源埠號、目的埠號、協議、出入的介面、會話序列號、發出信息的主機名等信息，並應支持地址通配符的使用）對數據流進行控制；對進出網路的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；自動終止非活躍會話連接；限制網路最大流量及網路連接數，防止DOS等攻擊行為；使用IP與MAC綁定技術，防範地址欺騙等攻擊行為；使用路由器、防火牆、認證網關等邊界設備，配置撥號訪問控制列表對系統資源實現單個用戶的允許或拒絕訪問，並限制撥號訪問許可權的用戶數量。
在核心業務系統內網的核心交換邊界部署網路入侵檢測系統，對網路邊界處入侵和攻擊行為進行檢測，並在最重要的區域和易於發生入侵行為的網路邊界進行網路行為監控，在核心交換機上部署雙路監聽埠IDS系統，IDS監聽埠類型需要和核心交換機對端的埠類型保持一致。在網路邊界處監視以下攻擊行為：埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網路蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。
在區域邊界處部署防病毒網關，對進出網路的數據進行掃描，可以把病毒攔截在外部，減少病毒滲入內網造成危害的可能。防病毒網關是軟硬體結合的設備，通常部署在防火牆和中心交換機之間，可以在病毒進入網路時對它進行掃描和查殺。防病毒網關可以採用全透明方式，適用於各種復雜的網路環境，通過多層過濾、深度內容分析、關聯等技術策略，對網路數據進行高效過濾處理，可以提升網路環境的安全狀況。防病毒網關需要具備以下特性：
（1）防病毒、防木馬以及針對操作系統、應用程序漏洞進行的攻擊。
（2）防蠕蟲攻擊，防病毒網關根據自有的安全策略可以攔截蠕蟲的動態攻擊，防止蠕蟲爆發後對網路造成的阻塞。
（3）過濾垃圾郵件功能，防病毒過濾網關通過檢查郵件伺服器的地址來過濾垃圾郵件。防病毒網關通過黑名單資料庫以及啟發式掃描的資料庫，對每封郵件進行判斷並且識別，提高了對垃圾郵件的檢測力度，實現了垃圾郵件網關的功能。
邊界設備等作為區域邊界的基礎平台，其安全性至關重要。由於邊界設備存在安全隱患（如：安裝、配置不符合安全需求；參數配置錯誤；賬戶/口令問題；許可權控制問題；安全漏洞沒有及時修補；應用服務和應用程序濫用等）被利用而導致的安全事件往往是最經常出現的安全問題，所以對這些基礎設施定期地進行安全評估、安全加固與安全審計，對增強區域邊界的安全性有著重要的意義。
6、常態化的安全運維
信息系統的安全不僅依賴於增加和完善相應的安全措施，而且在安全體系建設完成之後，需要通過相應的安全體系運行保障手段，諸如定期的評估、檢查加固、應急響應機制及持續改進措施，以確保安全體系的持續有效性。
（1）定期進行信息安全等級保護測評。根據國家要求，信息系統建設完成後，運營、使用單位或者其主管部門應當選擇具有信息安全測評資質的單位，依據相關標準定期對信息系統開展信息安全等級保護測評。通過測評可以判定信息系統的安全狀態是否符合等級保護相應等級的安全要求，是否達到了與其安全等級相適應的安全防護能力。通過對信息系統等級符合性檢驗，最終使系統達到等級保護的相關要求，降低信息安全風險事件的發生概率。
（2）定期進行安全檢查及整改。確定安全檢查對象，主要包括關鍵伺服器、操作系統、網路設備、安全設備、主要通信線路和客戶端等，通過全面的安全檢查，對影響系統、業務安全性的關鍵要素進行分析，發現存在的問題，並及時進行整改。
（3）對於互聯網系統或與互聯網連接的系統，定期進行滲透測試。滲透測試是一種信息系統進行安全檢測的方法，是從攻擊者的角度來對信息系統的安全防護能力進行安全檢測的手段，在對現有信息系統不造成任何損害的前提下，模擬入侵者對指定系統進行攻擊測試。滲透測試通常能以非常明顯、直觀的結果來反映出系統的安全現狀。
（4）定期進行安全教育培訓。技術培訓主要是提高員工的安全意識和安全技能，使之能夠符合相關信息安全工作崗位的能力要求，全面提高自身整體的信息安全水平。針對不同層次、不同職責、不同崗位的員工，進行有關信息安全管理的理論培訓、安全管理制度教育、安全防範意識宣傳和專門安全技術訓練，確保信息安全策略、規章制度和技術規范的順利執行，從而最大限度地降低和消除安全風險。

D. 如何構建網路安全戰略體系

網路安全是確保信息的完整性、保密性和可用性的實踐。它代表防禦安全事故和從安全事故中恢復的能力。這些安全事故包括硬碟故障或斷電，以及來自競爭對手的網路攻擊等。後者包括腳本小子、黑客、有能力執行高級持續性威脅（APT）的犯罪團伙，以及其他可對企業構成嚴重威脅的人。業務連續性和災難恢復能力對於網路安全（例如應用安全和狹義的網路安全）至關重要。

安全應該成為整個企業的首要考慮因素，且得到高級管理層的授權。我們如今生活的信息世界的脆弱性也需要強大的網路安全控制戰略。管理人員應該明白，所有的系統都是按照一定的安全標准建立起來的，且員工都需要經過適當的培訓。例如，所有代碼都可能存在漏洞，其中一些漏洞還是關鍵的安全缺陷。畢竟，開發者也只是普通人而已難免出錯。

安全培訓

人往往是網路安全規劃中最薄弱的環節。培訓開發人員進行安全編碼，培訓操作人員優先考慮強大的安全狀況，培訓最終用戶識別網路釣魚郵件和社會工程攻擊——總而言之，網路安全始於意識。

然而，即便是有強大的網路安全控制措施，所有企業還是難逃遭遇某種網路攻擊的威脅。攻擊者總是利用最薄弱的環節，但是其實只要通過執行一些基本的安全任務——有時被稱為「網路衛生」，很多攻擊都是可以輕松防護的。外科醫生不洗手決不允許進入手術室。同樣地，企業也有責任執行維護網路安全的基本要求，例如保持強大的身份驗證實踐，以及不將敏感數據存儲在可以公開訪問的地方。

然而，一個好的網路安全戰略需要的卻不僅僅是這些基本實踐。技術精湛的黑客可以規避大多數的防禦措施和攻擊面——對於大多數企業而言，攻擊者入侵系統的方式或「向量」數正在不斷擴張。例如，隨著信息和現實世界的日益融合，犯罪分子和國家間諜組織正在威脅物理網路系統的ICA，如汽車、發電廠、醫療設備，甚至你的物聯網冰箱。同樣地，雲計算的普及應用趨勢，自帶設備辦公（BYOD）以及物聯網（IoT）的蓬勃發展也帶來了新的安全挑戰。對於這些系統的安全防禦工作變得尤為重要。

網路安全進一步復雜化的另一個突出表現是圍繞消費者隱私的監管環境。遵守像歐盟《通用數據保護條例》（GDPR）這樣嚴格的監管框架還要求賦予新的角色，以確保組織能夠滿足GDPR和其他法規對於隱私和安全的合規要求。

如此一來，對於網路安全專業人才的需求開始進一步增長，招聘經理們正在努力挑選合適的候選人來填補職位空缺。但是，對於目前這種供求失衡的現狀就需要組織能夠把重點放在風險最大的領域中。

網路安全類型

網路安全的范圍非常廣，但其核心領域主要如下所述，對於這些核心領域任何企業都需要予以高度的重視，將其考慮到自身的網路安全戰略之中：

1.關鍵基礎設施

關鍵基礎設施包括社會所依賴的物理網路系統，包括電網、凈水系統、交通信號燈以及醫院系統等。例如，發電廠聯網後就會很容易遭受網路攻擊。負責關鍵基礎設施的組織的解決方案是執行盡職調查，以確保了解這些漏洞並對其進行防範。其他所有人也都應該對他們所依賴的關鍵基礎設施，在遭遇網路攻擊後會對他們自身造成的影響進行評估，然後制定應急計劃。

2.網路安全（狹義）

網路安全要求能夠防範未經授權的入侵行為以及惡意的內部人員。確保網路安全通常需要權衡利弊。例如，訪問控制（如額外登錄）對於安全而言可能是必要的，但它同時也會降低生產力。

用於監控網路安全的工具會生成大量的數據，但是由於生成的數據量太多導致經常會忽略有效的告警。為了更好地管理網路安全監控，安全團隊越來越多地使用機器學習來標記異常流量，並實時生成威脅警告。

3.雲安全

越來越多的企業將數據遷移到雲中也會帶來新的安全挑戰。例如，2017年幾乎每周都會報道由於雲實例配置不當而導致的數據泄露事件。雲服務提供商正在創建新的安全工具，以幫助企業用戶能夠更好地保護他們的數據，但是需要提醒大家的是：對於網路安全而言，遷移到雲端並不是執行盡職調查的靈丹妙葯。

4.應用安全

應用程序安全（AppSec），尤其是Web應用程序安全已經成為最薄弱的攻擊技術點，但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應用程序安全應該從安全編碼實踐開始，並通過模糊和滲透測試來增強。

應用程序的快速開發和部署到雲端使得DevOps作為一門新興學科應運而生。DevOps團隊通常將業務需求置於安全之上，考慮到威脅的擴散，這個關注點可能會發生變化。

5.物聯網（IoT）安全

物聯網指的是各種關鍵和非關鍵的物理網路系統，例如家用電器、感測器、列印機以及安全攝像頭等。物聯網設備經常處於不安全的狀態，且幾乎不提供安全補丁，這樣一來不僅會威脅到用戶，還會威脅到互聯網上的其他人，因為這些設備經常會被惡意行為者用來構建僵屍網路。這為家庭用戶和社會帶來了獨特的安全挑戰。

網路威脅類型

常見的網路威脅主要包括以下三類：

保密性攻擊

很多網路攻擊都是從竊取或復制目標的個人信息開始的，包括各種各樣的犯罪攻擊活動，如信用卡欺詐、身份盜竊、或盜取比特幣錢包。國家間諜也將保密性攻擊作為其工作的重要部分，試圖獲取政治、軍事或經濟利益方面的機密信息。

完整性攻擊

一般來說，完整性攻擊是為了破壞、損壞、摧毀信息或系統，以及依賴這些信息或系統的人。完整性攻擊可以是微妙的——小范圍的篡改和破壞，也可以是災難性的——大規模的對目標進行破壞。攻擊者的范圍可以從腳本小子到國家間諜組織。

可用性攻擊

阻止目標訪問數據是如今勒索軟體和拒絕服務（DoS）攻擊最常見的形式。勒索軟體一般會加密目標設備的數據，並索要贖金進行解密。拒絕服務（DoS）攻擊（通常以分布式拒絕服務攻擊的形式）向目標發送大量的請求佔用網路資源，使網路資源不可用。

這些攻擊的實現方式：

1.社會工程學

如果攻擊者能夠直接從人類身上找到入口，就不能大費周章地入侵計算機設備了。社會工程惡意軟體通常用於傳播勒索軟體，是排名第一的攻擊手段（而不是緩沖區溢出、配置錯誤或高級漏洞利用）。通過社會工程手段能夠誘騙最終用戶運行木馬程序，這些程序通常來自他們信任的和經常訪問的網站。持續的用戶安全意識培訓是對抗此類攻擊的最佳措施。

2.網路釣魚攻擊

有時候盜取別人密碼最好的方法就是誘騙他們自己提供，這主要取決於網路釣魚攻擊的成功實踐。即便是在安全方面訓練有素的聰明用戶也可能遭受網路釣魚攻擊。這就是雙因素身份認證（2FA）成為最佳防護措施的原因——如果沒有第二個因素（如硬體安全令牌或用戶手機上的軟體令牌認證程序），那麼盜取到的密碼對攻擊者而言將毫無意義。

3.未修復的軟體

如果攻擊者對你發起零日漏洞攻擊，你可能很難去責怪企業，但是，如果企業沒有安裝補丁就好比其沒有執行盡職調查。如果漏洞已經披露了幾個月甚至幾年的時間，而企業仍舊沒有安裝安全補丁程序，那麼就難免會被指控疏忽。所以，記得補丁、補丁、補丁，重要的事說三遍！

4.社交媒體威脅

「Catfishing」一詞一般指在網路環境中對自己的情況有所隱瞞，通過精心編造一個優質的網路身份，目的是為了給他人留下深刻印象，尤其是為了吸引某人與其發展戀愛關系。不過，Catfishing可不只適用於約會場景。可信的「馬甲」賬戶能夠通過你的LinkedIn網路傳播蠕蟲。如果有人非常了解你的職業聯系方式，並發起與你工作有關的談話，您會覺得奇怪嗎?正所謂「口風不嚴戰艦沉」，希望無論是企業還是國家都應該加強重視社會媒體間諜活動。

5.高級持續性威脅（APT）

其實國家間諜可不只存在於國家以及政府組織之間，企業中也存在此類攻擊者。所以，如果有多個APT攻擊在你的公司網路上玩起「捉迷藏」的游戲，請不要感到驚訝。如果貴公司從事的是對任何人或任何地區具有持久利益的業務，那麼您就需要考慮自己公司的安全狀況，以及如何應對復雜的APT攻擊了。在科技領域，這種情況尤為顯著，這個充斥著各種寶貴知識產權的行業一直令很多犯罪分子和國家間諜垂涎欲滴。

網路安全職業

執行強大的網路安全戰略還需要有合適的人選。對於專業網路安全人員的需求從未像現在這樣高過，包括C級管理人員和一線安全工程師。雖然公司對於數據保護意識的提升，安全部門領導人已經開始躋身C級管理層和董事會。現在，首席安全官（CSO）或首席信息安全官（CISO）已經成為任何正規組織都必須具備的核心管理職位。

此外，角色也變得更加專業化。通用安全分析師的時代正在走向衰落。如今，滲透測試人員可能會將重點放在應用程序安全、網路安全或是強化網路釣魚用戶的安全防範意識等方面。事件響應也開始普及全天制（724小時）。以下是安全團隊中的一些基本角色：

1.首席信息安全官／首席安全官

首席信息安全官是C級管理人員，負責監督一個組織的IT安全部門和其他相關人員的操作行為。此外，首席信息安全官還負責指導和管理戰略、運營以及預算，以確保組織的信息資產安全。

2.安全分析師

安全分析師也被稱為網路安全分析師、數據安全分析師、信息系統安全分析師或IT安全分析師。這一角色通常具有以下職責:

計劃、實施和升級安全措施和控制措施；

保護數字文件和信息系統免受未經授權的訪問、修改或破壞；

維護數據和監控安全訪問；

執行內／外部安全審計；

管理網路、入侵檢測和防護系統；分析安全違規行為以確定其實現原理及根本原因；

定義、實施和維護企業安全策略；

與外部廠商協調安全計劃；

3.安全架構師

一個好的信息安全架構師需要能夠跨越業務和技術領域。雖然該角色在行業細節上會有所不同，但它也是一位高級職位，主要負責計劃、分析、設計、配置、測試、實施、維護和支持組織的計算機和網路安全基礎設施。這就需要安全架構師能夠全面了解企業的業務，及其技術和信息需求。

4.安全工程師

安全工程師的工作是保護公司資產免受威脅的第一線。這項工作需要具備強大的技術、組織和溝通能力。IT安全工程師是一個相對較新的職位，其重點在於IT基礎設施中的質量控制。這包括設計、構建和防護可擴展的、安全和強大的系統；運營數據中心系統和網路；幫助組織了解先進的網路威脅；並幫助企業制定網路安全戰略來保護這些網路。

E. 如何構建安全的網路架構的方案

第一步：要安全的無線wifi覆蓋設備
第二步：要懂得構建安全無線wifi覆蓋的技術人員
第三步：要肯花錢的老闆

其實只要具備一樣就好了，最重要是要懂得構建安全無線wifi覆蓋的技術人員

F. 計算機網路安全體系結構包括什麼

計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的。

對於一個系統而言，首先要以硬體電路等物理設備為載體，然後才能運 行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備，用戶可以搭建自己所需要的通信網路，對於小范圍的無線區域網而言，人們可以使用這 些設備搭建用戶需要的通信網路，最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵，這種防護措施可以作為一種通信協議保護。

計算機網路安全廣泛採用WPA2加密協議實現協議加密，用戶只有通過使用密匙才能對路由器進行訪問，通常可以講驅動程序看作為操作系統的一部分，經過注冊表注冊後，相應的網路 通信驅動介面才能被通信應用程序所調用。網路安全通常是指網路系統中的硬體、軟體要受到保護，不能被更改、泄露和破壞，能夠使整個網路得到可持續的穩定運 行，信息能夠完整的傳送，並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。

(6)如何架構網路安全體系擴展閱讀

計算機安全的啟示：

1、按先進國家的經驗，考慮不安全因素，網路介面設備選用本國的，不使用外國貨。

2、網路安全設施使用國產品。

3、自行開發。

網路的拓撲結構：重要的是確定信息安全邊界

1、一般結構：外部區、公共服務區、內部區。

2、考慮國家利益的結構：外部區、公共服務區、內部區及稽查系統和代理伺服器定位。

3、重點考慮撥號上網的安全問題：遠程訪問伺服器，放置在什麼位置上，能滿足安全的需求。

G. 如何構建一個安全的網路信息安全體系

網路信息安全體系

計算機網路信息安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路信息安全體系如圖1所示。

圖1 網路信息安全體系

其中，網路信息系統安全風險評估是一個識別、控制、降低或消除可能影響系統安全風險的過程。是明確安全現狀、規劃安全工作、制訂安全策略，並形成安全解決方案的基礎，通過對網路系統的風險評估可以掌控各種潛在風險，並制定出相應的應對措施和應急預案。通過安全控制極大地降低風險，並對殘留風險進行及時監控和分析，應急預案及計劃可在突發事件發生時做出應急響應和災難恢復，以確保網路信息系統及業務數據的安全。

詳見 網路安全技術與實踐 高等教育出版社 賈鐵軍主編2014.8。

H. 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

I. 如何構建企業的網路安全體系

應重點加強對產品研發的信息安全保障，提升企業信息安全防護意識。信息安全保障如下：網路安全、終端安全、數據安全、文檔安全管理等幾個方面。上網行為管理網關、終端安全（列印機、U盤、上網行為管控、移動設備訪問）、數據安全（文件加密、U盤加密等加密類產品）、文檔安全管理（雲文檔存儲、文件外發安全），全方位保護企業信息安全……防患於未然
產品代表天銳綠盾、賽門鐵克，但鐵克做備份和殺毒，天銳綠盾做企業信息安全

J. 網路安全防護體系是如何架構的

還是B/S架構的應用，如何保證數據傳輸的安全是管理員要面對的問題，安全的關注點主要在三個方面：

用戶身份驗證的安全性：

用戶身份驗證的安全主要包括用戶身份密碼的安全和驗證安全兩個環節，傳統的應用體系中，用戶驗證通常有用戶名/密碼驗證、USB key驗證及智能卡驗證等方法。在EWEBS 2008 中，採用用戶帳號和Windows帳號關聯的方式，在EWEBS 2008中存儲用戶密碼，用戶訪問應用程序時不直接使用Windows 帳號密碼，而是使用EWEBS 2008中為用戶單獨創建的帳號。用戶帳號的身份驗證支持用戶名/密碼、USB Key驗證、智能卡、指紋或視網膜等生物學身份驗證方法。

伺服器的安全性：

在傳統的遠程接入模式中，因為用戶的應用直接在伺服器端運行，如何保證伺服器的安全性是管理員面臨的一個大問題，一般都採用Windows 組策略等手段來保護服務的安全，但是組策略配置的復雜性、效果都不盡如人意。

在EWEBS 2008中，直接內嵌了Windows Active Directory 組策略的配置設置，管理員無需熟悉組策略的具體配置，只需要進行簡單的選擇，就可以輕松的限制用戶對某個具體的硬碟、系統任務欄或IE等伺服器端資源的訪問。

數據傳輸的安全性：

在傳統的應用模式中，客戶端和伺服器端需要傳送應用程序相關的數據記錄，如資料庫的查詢結果集等，這就對數據在網路上的傳輸安全提出了較高的要求，通常採用VPN加密、SSL加密等技術來保證應用數據的安全。在EWEBS 2008中，由於所有的應用程序都在伺服器(集群)上運行，所以客戶端和伺服器端傳送的僅僅是應用程序的輸入輸出邏輯，在沒有特別授權的情況下，數據無法離開伺服器(集群)，保證了數據的安全。EWEBS 2008中還內嵌了SSL通信技術來保證客戶端和伺服器端網路通訊的安全。

除了上述的三個方面的安全之外，在EWEBS 2008中，管理員還可以輕松的對客戶端進行控制，可以根據用戶帳號、訪問時間、客戶端IP地址、客戶端MAC地址、客戶端機器特徵碼（從CPU、主板、硬碟等硬體計算而來）等來限制客戶端對應用程序的訪問，從而做到即使用戶帳號信息泄露，第三方也無法盜用應用程序，有效的保證了用戶關鍵應用和數據的安全。