有哪些网络安全建议和措施分享？

安全工程师教程

已于 2023-10-20 18:00:12 修改

阅读量105

点赞数

分类专栏：学习网络安全计算机技术文章标签：网络信息安全安全网络

于 2023-08-31 11:15:00 首次发布

本文链接：https://blog.csdn.net/weixin_46428928/article/details/132578815

版权

网络安全同时被 3 个专栏收录

488 篇文章 15 订阅

订阅专栏

计算机技术

290 篇文章 2 订阅

订阅专栏

学习

235 篇文章 1 订阅

订阅专栏

前言

可能大家认为网络安全一般就是装上防火墙、网闸、IPS/IDS？

在这里插入图片描述

看看国家标准的反入侵设备误报率15%和漏漏报率15%，显然这产品难以胜任反入侵。【国家标准】GBT26268-2010网络入侵检测系统测试方法标准

在这里插入图片描述

所谓的网络安全技防方案几乎让大家都不明白了！

什么是网络信息安全技术？

网络安全技术来源于UNIX用户组技术：强制访问控制和自主访问控制

网络信息安全的核心技术内容也就一条：同数据安全等级的用户或相同访问权限的用户组网

假设一个企业需要保护其核心的三类数据，人事、财务、生产。

我们可以按三类数据组成网络信道安全区或按照可以访问这三类数据的用户权限（共七类组合）组网。这样就可以确保网络信息安全了。

在这里插入图片描述

这就是所有全球网络安全技防标准所表达的确切含义，若按数据安全等级组网，显然需要考虑不同访问权限的用户间可能未经IT系统授权自主访问导致泄密，所以需要在用户计算机内为访问进程和数据文件设置安全标记，由系统判断用户间的访问是否合法！

在这里插入图片描述

美国把UNIX用户组技术拆分成七级，中国把其拆分成五级。如上图所示

显然，若假设物理网络已经按人事、财务、生产分类组网，为了匹配用户可能的七种访问授权需要跨界读写访问。防火墙（身份审计）、网闸（保密性）、IPS/IDS（非授权侦听）就是上述模拟强制访问控制的“代用技术”。而这些代用技术难以严谨符合强制访问控制的要求，也就难以形成完整的网络安全防护体系。

•防火墙：仅具有物理信道设备IP身份跨界身份审计，不具有全面管理基于网络信道的网络设备入网IP身份审计（信道内用户和系统全部设备IP），难以进行全网的信道成员IP身份统一信道入网审计和记录，只能单向隔离，无法隔离广播，需路由或加固软件配合

•网闸：虽然在跨物理信道边界时的进行保密性处理，但无法通过增加信道数量来实现按通讯访问授权分类组网方式来消除用户计算机内部数据的系统安全标记保护，满足保密性要求，难以代替主客体强制访问控制安全标记对用户计算机信息的约束（安全等级信道和访问授权信道的保密性和完整性）

•IPS/IDS：在没有网络信道通讯访问授权的合法性判别依据，既无全面侦听，又受访问授权信道隔离的限制和影响，即使合规产品，漏报误报率奇高!，难以跟上网络病毒重编译的演化速度，即使有限样本测试条件，仍15%漏报和15%误报

特别是不同访问授权用户的信道内，在没有安全标记保护下，可能存在网络攻击。几乎所有的网络攻击都是对针对套接字会话链路，因此无法确认IP套接字是否可以在每个数据帧中代表用户身份。

在这里插入图片描述

跨界访问显然意味着网络信道内存在着不同访问权限的用户，需要系统为访问进程和数据文件设置强制的安全标记，以检测用户的访问权限是否符合授权。所以防火墙和网闸本身就是证明安全等级达不到安全标记级保护的证据！

若采用用户访问权限设计来保障网络信息安全，则，就不需要防火墙、网闸、IPS/IDS设备了。

举例：采用VLAN用户组方案

在这里插入图片描述

提醒一下，现实中几乎发生网络安全攻击事件的企业都安装了防火墙之类的防护设备。但没有产生预期的防护效果。

比较一下两者的区别，一个有完整的信道架构，一个不同用户访问权限仍未隔离

在这里插入图片描述

高安全等级网络设计的技术要求：网络信道标记（安全标记）约束越少越好！

在这里插入图片描述

希望能在国内见到一些值得让人惊喜的网络安全防护设计方案

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）