企業網絡安全建設

本書從實際應用角度，圍繞網絡攻擊和威脅逐步展開對網絡安全問題的討論，從網絡系統和應用系統方面，論述企業網絡安全建設的要點，探討網絡安全防護的技術與措施，最終呈現出完整的企業網絡安全建設解決方案。本書詳細闡述了具有不同安全級別要求、滿足實際需要的安全網絡建設過程和指導思路，對具體的技術實施細節不過多地關註，從一般的互聯網訪問用戶開始，逐步提出用戶的工作需求、網絡安全需求，圍繞用戶的需求，提出各種安全解決方案，逐步完善企業網絡的安全建設。

黃硯夫
畢業於吉林大學無線電電子學專業，獲理學學士學位。長期從事網絡空間安全的研究工作，支持並完成省部級科研項目十多項。

第1章企業網絡安全概述 1
1.1 網絡安全的重要性 1
1.2 企業網絡安全的總體要求 3
1.2.1 局域網的網絡安全需求 3
1.2.2 連接外網的網絡安全需求 4
1.2.3 網絡安全需求分析 4
1.2.4 網絡安全建設目標 7
1.2.5 網絡安全建設原則 7
1.2.6 網絡安全建設標準 8
1.3 局域網面臨的安全風險 10
1.3.1 從內容上進行風險分析 10
1.3.2 從安全角度進行風險分析 13
1.3.3 從設備角度進行風險分析 16

第2章局域網框架 21
2.1 局域網安全設計 21
2.1.1 OSI七層網絡模型 22
2.1.2 網絡級安全設計 25
2.1.3 系統級安全設計 28
2.1.4 傳輸級安全設計 29
2.1.5 應用級安全設計 29
2.1.6 數據安全設計 30
2.1.7 邊界防護設計 33
2.1.8 安全設備配置 33
2.1.9 機房安全設計 36
2.1.10 信息系統安全檢測 39
2.2 局域網的種類 44
2.2.1 普通網絡 44
2.2.2 內部級網絡 45
2.2.3 等級保護網絡 46
2.2.4 分級保護網絡 46
2.2.5 增強的分級保護網絡 46
2.3 局域網典型網絡架構 46
2.3.1 連通互聯網的局域網 46
2.3.2 互聯互通的局域網 49
2.3.3 隔離的局域網 50

第3章組建訪問互聯網的網絡 51
3.1 基本的網絡設備 51
3.1.1 路由器 51
3.1.2 交換機 54
3.1.3 集線器 57
3.2 組網方案設計 57
3.2.1 選擇入網方式 58
3.2.2 選擇合適的網絡結構 58
3.2.3 選擇通信方式 59
3.2.4 選擇上網模式 60
3.3 無線網絡 61
3.3.1 無線網絡已被廣泛應用 61
3.3.2 5G意味著什麼 62
3.3.3 移動網絡的安全防護 65
3.4 網絡規劃設計 66
3.4.1 系統設計原則 66
3.4.2 網絡安全架構設計 67

第4章局域網安全防護技術 71
4.1 網絡安全防護總體要求 71
4.1.1 網絡安全的範圍 71
4.1.2 網絡安全防護需求 74
4.1.3 安全設備部署示例 76
4.2 常見的網絡攻擊與防範 78
4.2.1 互聯網面臨的主要威脅 78
4.2.2 常見的系統入侵方法 79
4.2.3 常見的網絡攻擊形式 80
4.2.4 網絡攻擊的防範措施 85
4.3 常見的網絡安全防護技術 90
4.3.1 防火牆 90
4.3.2 防毒牆 98
4.3.3 入侵防禦系統 99
4.3.4 安全網關 104
4.3.5 入侵檢測系統 109
4.3.6 雙向網閘 117
4.3.7 Web應用防火牆 120
4.3.8 服務器防護 123
4.3.9 殺毒軟件 124
4.3.10 上網行為管理 125
4.3.11 網絡通信安全 131
4.3.12 電子數據安全 132
4.3.13 終端安全防護 135
4.3.14 堡壘機 142
4.3.15 日誌審計系統 146
4.4 備選的網絡安全防護技術 153
4.4.1 負載均衡技術 153
4.4.2 欺騙防禦技術 157
4.4.3 端點檢測與響應系統 162
4.4.4 智能安全防禦系統 167
4.4.5 漏洞掃描 170
4.4.6 防離線防篡改監控系統 173
4.4.7 系統後台行為監控 174
4.4.8 移動終端安全防護技術 175
4.4.9 緩衝區防數據洩露技術 177
4.4.10 容災防護 177
4.4.11 網絡流量分析 180
4.4.12 供電系統防護 183
4.4.13 防電磁輻射措施 184
4.5 安全管理平台 185
4.5.1 採集器部署 185
4.5.2 平台技術應用 186
4.5.3 平台的安全策略 187
4.6 網絡系統的安全升級 191
4.6.1 網絡系統的硬件升級 192
4.6.2 網絡系統的軟件升級 192
4.6.3 提高網絡的管理水平 192
4.7 信息系統安全風險評估 193
4.7.1 安全風險評估的必要性 193
4.7.2 如何進行安全風險評估 193
4.8 互聯網的管理和使用 194
4.8.1 培養良好的個人習慣 194
4.8.2 管理檢測與響應 196
4.8.3 完善管理使用規章制度 197

第5章組建隔離網絡 200
5.1 分區域搭建局域網 201
5.1.1 按硬件種類分區域管理 201
5.1.2 按系統功能分區域管理 201
5.1.3 按文件數據的重要性分區域
管理 202
5.2 單向隔離技術 202
5.2.1 產生的原因 202
5.2.2 安全功能 203
5.2.3 類型和應用場景 204
5.2.4 目的和用途 205
5.2.5 技術思路和硬件結構 206
5.2.6 產品形式 206
5.2.7 安全部署 207
5.3 突破物理隔離網絡 207

第6章應用系統安全防護技術 210
6.1 應用系統整體設計原則 210
6.2 系統級安全防護 213
6.2.1 系統驅動最小化處理 213
6.2.2 及時修補內網操作系統 213
6.2.3 外部接口防護 214
6.2.4 輸出信息設備管理 215
6.3 應用級安全防護 220
6.3.1 應用軟件防護 220
6.3.2 防病毒檢查系統 221
6.3.3 數據加解密系統 222
6.3.4 數據防護技術 222
6.3.5 安全管理模塊 223
6.3.6 文件安全檢查預警系統 225
6.3.7 系統監控 226
6.4 內網使用管理制度 228
6.4.1 必要性 228
6.4.2 完善安全管理制度 228

第7章特殊需求的網絡設計 229
7.1 獨立專線方案 229
7.2 無線加專線的通信方案 230
7.3 混合網絡方案 230
7.4 移動終端防護處理技術 231
7.5 無信息互通的網絡接口 231
7.6 有信息互通的網絡接口 232
7.6.1 基於單片機的單向傳輸設備 232
7.6.2 雙向網閘方式 235
7.6.3 傳輸鏈路加密 235
7.7 聯繫緊密的網絡連接 236
7.8 與總部網絡連接 236
7.9 與高保密性網絡連接 236

第8章云數據安全 238
8.1 關於雲 238
8.1.1 雲的本質 239
8.1.2 為什麼上雲 243
8.1.3 怎麼上雲 244
8.2 雲存儲、雲計算與其他存儲、
計算方式的區別 246
8.3 雲面臨的安全風險 248
8.4 雲安全防範措施 251
8.4.1 雲安全的內涵 251
8.4.2 雲安全服務的方式 252
8.4.3 安全資源池解決方案 253
8.4.4 雲安全防護技術 254
8.4.5 雲安全解決方案示例 256
8.4.6 提升雲安全的有效措施 263

第9章系統加固與應急處置 266
9.1 系統選型的基本原則 266
9.2 系統工作區域空間防護 266
9.3 主機安全加固 267
9.3.1 服務器安全加固 267
9.3.2 系統終端安全加固 271
9.4 數據庫安全加固 276
9.4.1 加固的必要性 276
9.4.2 面臨的安全風險 276
9.4.3 安全加固措施 277
9.4.4 數據庫保險箱 280
9.5 應急處置預案及措施 280
9.5.1 制定應急處置預案的必要性 281
9.5.2 編制應急處置預案 281
9.5.3 應急處置預案演練 285

第10章組網示例 287
10.1 不對外提供服務的網絡 287
10.2 對外提供特定服務的網絡 289
10.3 對外提供公共服務的網絡 290
10.4 信息安全檢測中心 291
10.5 數據採集系統 295

第11章新形態、新技術、新挑戰 296
11.1 網絡的發展變化 296
11.1.1 中國互聯網的發展 296
11.1.2 無邊界網絡 298
11.1.3 暗網 298
11.1.4 “互聯網+”計劃 299
11.1.5 工業互聯網和物聯網 300
11.1.6 衛星網絡 301
11.2 新技術 303
11.2.1 區塊鏈技術 303
11.2.2 擬態安全防禦 304
11.2.3 量子技術 305
11.2.4 新系統助力數字化轉型 306
11.2.5 6G網絡 308
第12章結束語 309
參考文獻 312