当前课程知识点:网络空间安全技术 > 第5章 网络空间安全防御系统与网络安全技术 > 5.3 网络安全防护架构 > 5.3 网络安全防护架构
同学们,大家好
这节课我们来一起讨论
《网络空间安全技术》这门课程第三篇
网络空间安全防御技术体系
第5章网络空间安全防御系统与网络安全技术
当中的第三节内容
网络安全防护架构
在这一讲里面
我们主要分以下几点
来跟大家一起讨论
包括网络架构
通信传输
边界防护
访问控制
入侵防范
恶意代码防范
安全审计
以及集中管控
这也就是
网络安全防护架构的主要内容
最后我们还要进行一下思考和拓展
首先我们来看
第一小点的内容
网络架构
在网络架构方面
它的具体要求
是保证网络设备的业务处理能力
具备冗余空间
满足业务高峰期的需要
保证网络各个部分带宽
满足业务高峰期需要
划分不同的网络区域
并按照方便管理
和控制的原则
为各个网络区域分配地址
避免将重要的
网络区域
部署在网络边界处
而且没有边界防护的措施
此外还需要提供通信线路
关键网络设备的
硬件冗余
来保证系统的可用性
第二点是通信传输
它的具体要求
是采用校验码技术
或者是密码技术
来保证通信过程当中
数据的完整性
此外还需要采用密码技术
来保证
通信过程当中
敏感数字信息字段
或者是整个报文的保密性
在边界防护方面的具体要求是
保证跨越边界的访问
和数据流
通过边界防护设备提供的受控接口
进行通信
能够对非授权设备
私自联到内部网络的行为
进行限制
或者是检查
能够对内部用户非授权联到
外部网络行为进行限制或者检查
此外
还应限制无线网络的使用
确保无线网络
通过受控的
边界防护设备
进入内部网络
接下来我们来看一下
访问控制方面的具体要求
首先
要在网络边界或者是区域之间
根据访问控制策略
设置访问控制规则
默认情况下
除允许通信以外
受控接口
拒绝所有通信
第二是要删除多余
或者是无效的访问控制规则
优化访问控制列表
并保证访问控制规则数量最小化
第三是对源地址
目的地址
源端口
目的端口
和协议等进行检查
以允许或者是拒绝数据包的进出
第四是要在关键网络节点处
应能够根据会话状态信息
为数据流提供明确的
允许或者是拒绝访问的能力
来控制访问粒度
当然这个
访问粒度是端口级的
最后一点
要求对进出网络的信息内容
进行过滤
以实现
对内容的访问控制
接下来我们来看一下
入侵防范的具体要求
首先是要在
关键网络节点处
检测
防止或限制
从外部发起的网络攻击行为
在关键网络节点处
检测
防止或者限制
从内部发起的网络攻击行为
第三
要求采用技术措施
对网络行为进行分析
实现对网络攻击
特别是新型网络攻击行为的分析
当检测到这种攻击行为时
要记录攻击源IP
攻击类型
攻击目的
攻击时间
在发生严重入侵事件时应提供报警
接下来我们来看一下
恶意代码防范的具体要求
在关键网络节点处
对恶意代码进行检测和清除
并维护恶意代码防护机制的升级和更新
在关键网络节点处
对垃圾邮件进行检测和防护
并维护垃圾邮件防护机制的升级和更新
这个就是恶意代码防范的要求
在安全审计的具体研究方面
第一点
是要在网络边界
重要网络节点
进行安全审计
审计应该覆盖到每个用户
对重要的用户行为和重要的安全事件
要进行审计
审计记录
还应该包括
事件的日期和时间
用户、事件类型
事件是否成功
及其他与审计相关的信息
此外还应对
审计记录进行保护
避免受到未预期的删除
修改或覆盖等等
应确保审计记录的留存时间
符合法律法规的要求
最后
还应能够对
远程访问的用户行为
访问互联网的用户行为
等单独进行
行为审计和数据分析
最后一点
是集中管控的具体要求
在集中管控方面
要求划分出
特定的管理区域
对分布在
网络当中的安全设备
或安全组件进行管控
能够建立一条安全的信息传输路径
对网络中的
安全设备
或安全组件进行管理
对网络链路
安全设备
网络设备和服务器等相关的运行情况
进行集中的监测
对分散在各个设备上的审计数据
进行收集汇总
和集中分析
对安全策略
恶意代码
补丁升级等安全相关事项
进行集中的管理
最后还应能够对
网络当中发生的各类安全事件
进行识别
报警和分析等等
这个就是集中管控的具体要求
同学们
这一节我们请同学们
思考三个问题
首先第一个
我们刚才讲述的
网络空间安全防护架构的八个方面
那么其中哪些
是偏重技术措施
而哪些又是偏重管理措施呢
第二个问题
网络安全防护架构的八个方面
可以采用哪些技术
或者是产品来实现
第三个问题
请同学们考虑
本节所讲的“网络安全”
同网络空间安全的简称“网络安全”
这二者
在文字上相同
但是它们是同一个概念吗
这些问题
请同学们在学习了本节知识之后
进行独立的思考
同学们
我们这节课就讲到这里
感谢观看
下次再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题
