网络安全部署步骤

顶层设计概念
考虑项目各层次和各要素，追根溯源，统揽全局，在最高层次上寻求问题的解决之道
顶层设计”不是自下而上的“摸着石头过河”，而是自上而下的“系统谋划”

网络安全分为

物理、网络、主机、应用、管理制度

边界最强 接入层最薄弱

安全特性总纲

一、有效的访问控制
二、有效识别合法的和非法的用户
三、有效的防伪手段，重要的数据重点保护
四、内部网络的隐蔽性
五、外网***的防护
六、内外网病毒防范
七、行之有效的安全管理手段（三分技术，七分管理）

单纯***是没意义的 ***网络没意义 窃取信息是有意义的
真正的安全是 产品安全 协议安全
截获(interception)——中断(interruption)——篡改(modification)——伪造(fabrication)

***的步骤
信息收集——》漏洞扫描——》***——》***——》提权——》后门——》日志清除
网络***的目的：
1：获取保密信息
2：破坏网咯信息的网整性
3：***网络的可用性
4：改变网络运行的可控性
5：逃避责任

安全防护控制点:
访问控制、安全审计、结构安全、网络设备防护、通信机密性（数据被拦截）、通信完整性(数据不被篡改)、数据备份与恢复

一、访问控制
1、基于数据流的访问控制（路由器、交换机、防火墙ACL）
2、根据数据包信息进行数据分类（QoS）
3、不同的数据流采用不同的策略*（扩展ACL）
4、基于用户的访问控制（telnet、密码复杂、密文形式、登录次数、SNMP、堡垒主机）
5、对于接入服务用户，设定特定的过滤属性（划分区域、防止中间人***）
二、用户识别
1、对接入用户的认证（NTP、802.1X、portal、MAC认证、AAA）
2、内网接入用户的认证和授权（AAA、MAC认证）
3、远程接入用户的认证和授权（AAA、本地认证）

三、保护数据安全
1、网络设备本身的认证（console、系统补丁、关闭服务CDP）
2、访问设备时的身份认证授权（堡垒主机、审计系统）
3、路由信息的认证（协议认证、VRRP认证、IP绑定、端口绑定）
4、数据加密和防伪（×××）
5、数据加密（对称式加密）
6、利用公网传输数据不可避免地面临数据窃听的问题（MD5、SHA认证）
7、传输之前进行数据加密，保证只有与之通信的对端能够解密（非对称式加密）
8、数据防伪
9、报文在传输过程中，有可能被***者截获、篡改
10、接收端需要进行数据完整性鉴别
四、内部网络的隐蔽性
1、隐藏私网内部地址，有效的保护内部主机（NAT）
2、允许内网用户向外发起连接，禁止外网用户对内网发起连接（关闭不必要的服务端口）

五、***防护
1、对外网各类***的有效防护（FW、IPS拦截、WAF、设备冗余、协议冗余、链路冗余，75%的***是针对web应用）

IPS缺点:对每一个数据包进行分析，语音数据包要求低延迟

六、病毒防范
1、对于外网病毒传入的防范（防毒墙、周期更新病毒库）
2、对于内网病毒发作的抑止（IDS、EAD、周期更新病毒库）

七、完善制度
1、保证重要的网络设备处于安全的运行环境，防止人为破坏
2、保护好访问口令、密码等重要的安全信息
3、在网络上实现报文审计和过滤，提供网络运行的必要信息
4、制定完善的管理制度，并确保制度得到良好的执行

存在安全的问题：

事前（缺乏风险预知能力）（有哪些资产？有哪些漏洞？是否有策略？）
事中（联动，调用其它机制）
事后（缺乏检测和响应）（是否有新漏洞？绕过能否检测？能否快速响应？（缺乏持续性））

解决方式：

事前不能预知风险，导致安全事件:信息泄露,漏洞被通报（要有预知）
事中无法有效防御，数据库密码被修改，网络故障定位困难（***日志的关联，调用联动的机制防御）
事后无法及时发现被黑，出现端口，漏洞（缺乏检测），网页被篡改，无法及时发现（快速响应）(持续检测/响应)

(态势感知系统、态势感知平台)最早提出于军事领域（全网安全态势感知，行为态势感知）
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地

防御措施
1、不要关闭掉默认的防火墙功能，如果有特殊的需要，可以选择性开放安全端口
2、在服务器端安装监控系统或部署蜜罐系统，随时监控服务器的 异常行为
3、及时更新系统补丁，随时关注微软系统的补丁更新公告
4、养成定期检查服务器日志的习惯，及时发现异常的操作或异常用户

安全事件管理关注的内容
网络上发生的安全事件
网络上发生的系统事件
网络上发生的应用事件
安全管理要对网络上发生的各类事件进行综合分析

统一网管:拓扑发现、设备管理、日志管理、Trap告警
优选标准协议
集群、堆叠应用，化繁就简
实时监控，防范***，避免拥塞
NTP服务同一时间，日志，Trap有序管理

***测试有黑盒和白盒两种测试方法
黑盒测试是指在对基础设施不知情的情况下进行测试
白盒测试是指在完全了解结构的情况下进行测试。不论测试方法是否相同，***测试通常具有两个显著

特点：
***测试是一个渐进的且逐步深入的过程
***测试是选择不影响业务系统正常运行的***方法进行的测试
    ***测试是一个渐进的且逐步深入的过程
    ***测试是选择不影响业务系统正常运行的***方法进行的测试

https：//github.com/evilcos/ ***者神器
http://www.securityxploded.com/安全工具
http://bbs.cfanclub.net/forum-3-1.html课件博客
http://download.cnet.com/Toolwiz-Care/3000-2086_4-75610754.html?part=dl-&subj=dl&tag=buttonToolwiz Care下载系统软件链接

http://www.ntester.cn