1.3 網絡防護

網絡攻擊與網絡防護是緊密聯系在一起的，此消彼長，不斷變化。新型網絡攻擊技術手段層出不窮，越來越高明。為了應對攻擊，網絡安全防護技術也在不斷提升，從而保護網絡信息系統的安全。近年來，我國有關部門相繼出臺了《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》等一系列法律法規，為網絡安全營造良好的政策環境。我國的網絡安全工作被提高到國家戰略高度，有力促進了網絡安全的全面、快速發展。

1.3.1 網絡架構

網絡通常是指由計算機或者其他信息終端及相關設備組成的，按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，主要包括基礎信息網絡、云計算平臺或系統、大數據應用、平臺或資源、物聯網（Internet of Things，IoT）、工業控制系統和采用移動互聯技術的系統等。典型網絡架構如圖1-6所示。

網絡中典型的實體與軟件包括服務器、安全設備、網絡設備、數據庫系統和應用系統等。

（1）服務器

服務器是計算機的一種，它比普通計算機運行更快、負載更高、價格更貴。服務器在網絡中為其他客戶機提供計算或者應用服務。服務器具有高速的CPU運算能力、長時間的可靠運行、強大的I/O外部數據吞吐能力以及更好的擴展性。

（2）安全設備

安全設備指防火墻、入侵檢測、入侵防御、漏洞掃描、抗DDoS攻擊設備、VPN網關、Web應用防火墻（Web Application Firewall，WAF），以及上網行為管理等提供網絡安全防護功能的相關設備。

（3）網絡設備

網絡設備指網絡建設所使用的關鍵設備或擴展設備和線路，如路由器、交換機、無線控制器等。

（4）數據庫系統

數據庫系統指負責存儲網絡中重要信息的應用系統，如Oracle、SQL Server、MySQL等。

（5）應用系統

應用系統指各業務流程運行的支撐系統或專用系統，如OA系統、門戶網站、財務管理系統、客戶關系管理（Customer Relationship Management，CRM）系統等。

1.3.2 網絡安全防御體系

隨著網絡攻擊技術的多樣化和高級化，信息系統面臨著多種安全威脅，構建網絡安全防御體系，為企業網絡架構中的網絡設備、安全設備、服務器、數據庫系統、應用系統提供全面的安全防護，是保護信息系統和網絡數據完整性、可用性、保密性的必要手段。常見的防御體系有邊界防御體系和縱深防御體系。

1.邊界防御體系

邊界防御是最常見的防御體系。由圖1-6所示的典型網絡架構可以發現，在設計網絡架構時，會根據不同的安全需求進行分區、分域，形成“服務域”“接入域”等安全域，不同安全域間網絡相連接產生了網絡邊界。在網絡邊界，針對業務和網絡出/入口實施的防御措施都叫邊界防御。例如，在企業網絡架構中，核心業務系統入口就是邊界，入侵檢測系統、防火墻和WAF都屬于常見的邊界防御安全設備。邊界防御是流量進入內網的第一道防線，安全防護設備部署在網絡邊界，能夠捕捉和分析所有的流量，有條件的還可執行全局主動控制。

邊界防御適用于安全防護體系中的初級階段，處于初級階段防護的信息系統在安全防護中屬于無感知、無管控、無系統化的梳理和整改措施的情況。

2.縱深防御體系

網絡安全的本質就是攻擊者與防護者之間的攻防戰，因此，網絡安全領域的“縱深防御”與戰爭學中的“縱深防御”思想有著強烈的共通之處?？v深防御的核心是多點布防、以點帶面、多面成體，形成一個立體化、多層次、全方位的防御體系，保障信息系統的安全。

縱深防御體系是對邊界防御的提升，其本質是設置多層防御，降低攻擊者突破防御措施的概率，提高攻擊者突破多層防御的難度和攻擊成本，阻礙其接觸核心數據資產和內部設施。大型安全廠商一般都會提供縱深防御體系的解決方案。例如，在Web安全防護領域，縱深防御體系一般包含數據庫端、服務器端、網絡層、網絡邊界四層，對應的安全產品如下。

1）數據庫端：主要包括數據庫審計、數據庫防火墻等。

2）服務器端：主要包括主機入侵檢測系統、服務器殺毒軟件、內核加固類產品、主機WAF等。

3）網絡層：主要包括入侵檢測系統、Web威脅感知、Web審計等。

4）網絡邊界：主要包括WAF、防火墻、入侵防御系統、流量清洗設備等。

縱深防御安全產品的優點是定位清晰，不同類型產品可以結合使用，安全防護效果較好；其缺點是產品間缺乏協同機制，檢測手段大多基于黑白名單、特征庫等，較為單一，無法長期應對使用零日漏洞及具有經濟利益或者政治目的的攻擊。

1.3.3 常見網絡防護技術

網絡攻擊的手段多種多樣，不同單位的網絡架構和信息系統也不盡相同，有些攻擊利用的是技術手段，有些攻擊利用的是人性的弱點。為了應對網絡攻擊，需要構建完備的技術體系和管理體系，同時必須建立安全運營團隊，形成完善的預警、監測、分析、應急處置機制。目前，成熟的網絡安全防護措施有防火墻技術、防病毒技術、數據加密技術、入侵檢測技術和流量分析技術等。

1.防火墻技術

防火墻技術是目前網絡安全運行中較為常用的防護措施。防火墻技術不僅可以阻擋外部網絡對被保護網絡的非正常訪問，還可以阻止系統內部對外部網絡的不安全訪問。在一定程度上，防火墻相當于在被保護網絡與外部網絡之間，搭建了一層不可輕易逾越的保護層。任何訪問操作都要經過保護層的驗證、過濾、許可才能進行，只有被防火墻驗證授權的信息流才能允許通過。

2.防病毒技術

防病毒技術是另一種常見的網絡安全防護措施。防病毒技術主要是針對計算機病毒的入侵，采用單機防病毒軟件或者網絡防病毒軟件等形式進行計算機病毒的有效防護。一旦病毒入侵網絡或通過網絡侵染其他資源終端，防病毒軟件會立刻進行檢測并阻止操作，防止其行為的進行，然后刪除病毒文件，減少侵染區域，保護信息資源安全。

3.數據加密技術

數據加密技術又稱為密碼學，是通過加密算法和加密密鑰將明文轉換成密文的技術。數據加密技術可以將重要的信息進行加密處理，使信息隱藏或屏蔽，以達到保護信息安全的目的。

4.入侵檢測技術

入侵檢測是指通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行檢測，檢測到對系統的闖入或闖入的企圖。對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。入侵檢測技術可分為主機型和網絡型。主機型入侵檢測技術往往以系統日志、應用程序日志等作為數據源，保護的一般是所在的主機系統。網絡型入侵檢測技術的數據源則是網絡上的數據包，通常將主機的網卡設置為混雜模式，監聽所有本網段內的數據包并進行判斷，擔負著保護整個網段的任務。

5.流量分析技術

流量分析技術是近幾年流行的網絡安全防護技術。其基本原理是從網絡流量中發現攻擊特征，因為網絡流量包含整個網絡通信的信息，任何攻擊都會在網絡流量中留下線索，且正常的流量與攻擊流量一般存在明顯的差異。流量分析技術結合日志和威脅情報的綜合分析，在目前安全防護工作中凸顯的價值越來越高。