网络防火墙安全建设论文

1引言随着电子政务的飞速发展，其承载的政府管理和服务系统日趋庞杂，这就对电子政务网络系统的安全性提出了更高的要求。因此，建立与网络信息安全相适应的安全策略和安全设施，构筑完整的网络安全体系，是电子政务发展的一个重要内容。2电子政务网络面临的安全问题（1）网络的规划缺乏合理性。下面小编整理了一些《网络防火墙安全建设论文(精选3篇)》，供大家参考借鉴，希望可以帮助到有需要的朋友。

网络防火墙安全建设论文 篇1：

工业控制网络安全防御体系的关键技术研究

[摘 要] 从工业控制網络特殊的安全防护要求出发，分析了工控网络安全防护存在的问题以及危害，针对目前亟待解决的工控网络通信的协议安全性、工控网络的风险评估与预测以及工控网络的态势分析的关键技术进行了详尽分析，对于丰富工业控制网络的安全防护理论体系，指导工业控制网络的安全防护建设工作有着重要的现实意义。

[关键词] 工业控制；网络安全；风险评估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 01. 080

1 工业控制网络的安全防御体系的概述

近期针对工业控制网络的有组织、有目的的攻击事件的频繁出现，如 “震网”及乌克兰电网攻击事件等[1-2]，工业控制网络正面临着日趋严重的安全威胁。由于流程工业控制网络（OT）的专业性较强、运行可靠性要求高，使得工业控制网络的安全防御技术较传统的IT信息安全保护技术有较大不同[3-4]。另外，目前超过80%的关键信息基础设施依靠工业控制网络来实现自动化作业，工业控制网络已经成为国家信息关键基础设施的重要组成部分，其安全已关系到国家的战略安全。随着信息化与工业化深度融合以及物联网的快速发展，工业控制网络产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，导致病毒、木马等威胁正在向工业控制网络扩散，其网络安全问题日益突出。由于工业控制系统厂家对其通信协议是封闭的，其安全性直接威胁我国的“中国制造2025”国家计划的安全性，因此，针对工业控制网络安全防御的一些关键技术研究显得更加迫切。

2 工业控制网络的安全防御体系的现状与亟待解决的问题讨论

我国的工业化与信息化现在正处在深度融合阶段，工业控制网络在保护需求、响应时间与更新周期等方面的要求较之信息网络存在较大的不同，使得目前面向信息网络的安全防御理论与技术不能直接应用到工业控制网络的安全防御之中。目前在工业控制网络的安全防御建设工作中，以下几方面的问题亟待解决：

（1）与工业控制网络相关的安全防御理论体系有待进一步的完善。国家层面对工业控制网络的安全防御的相关标准、解决的理论与体系亟待完善。

（2）缺乏针对工业控制网络安全防御的相关技术手段。由于工业控制网络对于运行的连续性与响应时间等方面的要求较高，有别于信息网络的要求，研究针对工业控制网络的安全防御理论及技术非常必要。

（3）对于来自工业控制网络内部的各类攻击行为的防范能力仍显不足。现有的工业控制网络安全防御防范主要针对来自网络外部的攻击行为，对于来自网络内部的威胁缺乏安全保护机制。

（4）对于工业控制网络设备资产的管理与监控能力不足。目前绝大多数的工业控制网络中并没有对于其设备资产的管理与监控机制，容易受到攻击。

（5）缺乏对于工业控制网络运行状态的实时感知：无法发现正在发生的攻击行为，贻误制止攻击者的最佳时机。

（6）缺乏对于工业控制网络攻击事件做出及时响应与反制的能力。尽管相关部门针对国家关键基础设施的安全事故制定了应急指南，一些危害需要用户判断，耽误了工业控制网络恢复正常运行所需要的时间，造成损失扩大。

在我国，构建一个工控网络环境可信、网络状态可知、网络运行可控的工业控制网络作为防御体系，对于工业控制网络的安全保护建设工作来说具有至关重要的理论与现实意义。

3 安全防御体系的关键技术研究

根据工信部发布的《工业控制网络安全防护指南》的建议，在工控安全体系建设中，需要建设一个完整的工控系统安全防护体系，包括：工控信息安全管理、工控安全风险评估、工控网络安全防护以及相应的管理制度等，确保工业控制网络信息的安全。其中，有几项关键技术亟待研究并实践。

3.1 工业控制网络协议安全性研究

目前工业控制网络一直使用着较为复杂的专有封闭通信协议，如Modbus/TCP、Profinet、DNP3、OPC等可能存在漏洞，攻击者可利用漏洞发送非法控制命令，又由于通信过程不具备加密、认证功能和完成情况保证，存在被窃听、伪装、篡改、抵赖和重放的风险[5]，可见工业控制网络及其专有通信协议及规约的安全性问题亟待解决。在我国关键基础设施的大型DCS中，普遍采用OPC通信服务，而大量的OPC Server往往使用弱安全认证机制，以及过时的认证授权服务，因此，对OPC安全研究具有一定的意义。

按照工信部338号文件《工业控制网络安全防护指南》的指导建议，工业现场应该采用指令级工业防火墙，其要求不仅可以深度解析OPC协议到指令级别，而且可以跟踪OPC服务器和OPC客户端之间协商的动态端口，最小化开放生产控制网的端口，同时对OPC客户端与OPC服务器之间传输的指令请求进行实时检测，对于不符合安全要求的操作指令进行拦截和报警，并对OPC进行写入控制，实现 OPC 单向只读控制，这些安全措施可以极大提升了基于OPC协议的工业控制网络的网络安全。

指令级工业防火墙针对OPC协议的安全性，采取的关键技术：

（1）监控OPC网络和服务器：在通信时，动态实时跟踪OPC服务器分配的通信所需要的TCP端口号，尽可能少地打开防火墙的端口，允许数据连接通过的同时尽可能关闭所有未使用的端口。

（2）对OPC客户端与OPC服务器之间传输的指令请求进行实时检测，同时对OPC可进行写入控制，实现 OPC 单向只读控制。

（3）使用OPC-UA：OPC-UA传递的数据是可加密的，并对通信连接和数据本身都可实现安全控制。这种新的安全变种可以保证从原始设备到MES、ERP系统的各种数据的可靠传递。

（4）采取增强安全措施：可将OPC服务器隔离到只包含授权设备的唯一分区中，并采用“分区加固、身份认证”技术，达到纵深防御的目的。

（5）通信内容加密技术：所有通信的内容都被加密后传输，工业防火墙对收到的信息进行解密后再进行通信协议过滤和内容的深度检查。

3.2 工业控制网络的风险评估技术

目前“工业控制网络安全是一项系统工程”的观点已得到了工控界的广泛的认可和接受，作为该工程的基础和前提的风险评估也越来越受到大家的重视，但在该领域的研究、发展过程中还需要纠正和解决一些模糊概念和问题：

（1）目前国内还缺乏具有自主知识产权、比较系统地针对工业控制网络系统安全评估标准和体系。

（2）工控网络风险评估过程的主观性是影响评估结果的一个相当重要而又是最难解决的方面，目前缺乏系统性的指南。

（3）针对工控网络风险评估工具比较缺乏，市场上关于信息安全风险评估比较成熟的产品很少，工控网络风险评估相关的工具更是匮乏。

针对工业控制网络的风险评估目前尽管有GB/T33009-2016《工业自动化和控制系统网络安全》系列标准，但是工控网络系统的敏感性和时效性都要求比较高，因此技术性的评估设备在使用过程中，需要做好充分的风险识别和处置预案，如漏洞扫描原则上不能直接应用于工控系统，而是通过在备用系统或者停产系统上漏扫的方式进行。对工控系统进行在线漏洞扫描很可能造成生产异常，在这方面是有很多真实案例：某一安全厂商受邀对国内某著名火电集团的工控系统做风险评估，由于使用在线的漏洞扫描方式，导致数据采集服务器宕机，从而造成关键生产数据丢失。

渗透测试作为风险评估的有效工具方法，其直观性显而易见，但是正所谓凡事有利就有弊，渗透测试的过程控制在工控系统风险评估中尤其重要。如果渗透人员对工控系统了解不足，在渗透过程中有误操作行为产生，那么很可能带来直接的安全问题生产灾难，将测试变成了攻击。

针对工业控制网络风险评估的特殊性，比较实用的流程模型见图1所示。

3.3 工控网络安全事件关联分析与态势评测技术研究

随着工控网络规模的迅速增大，网络的异构性和复杂性日益增强，黑客技术的快速發展，使得工控网络的安全问题面临着巨大的挑战，为了保障工控网络的安全，就需要对已有的工控网络状态信息进行分析，对将来的网络状态趋势进行预测，根据预测结果作出应对的策略，减少因网络安全问题而造成的损失[6]。

为了保证工业控制网络系统的安全运行，在工业控制网络中广泛使用了工业防火墙、IDS、漏洞扫描系统、安全审计系统等安全设备。每种网络安全设备在使用中都能产生很多的安全事件信息，由于这些设备存在功能单一，各自为政，不能协同工作的特点，所以产生的这些安全事件信息中含有大量的重复报警和误报警。同时由于工控网络的异构性和复杂性，网络安全事件多种多样，产生的网络安全数据由于来源不同、采集方式不同，具有不确定性、不完整性、变异性和模糊性的特点。为了更好地对网络安全事件进行分析和处理，就需要对网络安全数据进行预处理，综合考虑网络安全事件的关联性，对相同的和相近的网络事件进行合并，去掉冗余，减少误报警和漏报警概率，有利于提高网络安全状态评估和预测的准确性和高效性。常见的关联方法有告警关联、因果关联、属性关联等。

工控网络安全态势分析技术首先要对各种对网络安全性有影响的网络要素进行检测和获得。影响网络安全的要素非常广泛，既有时间上的，也有空间上的。对要素进行采集和获得之后，要对这些安全信息均采用分类、合并、关联等信息分析手段进行信息融合，然后对融合后的安全信息进行综合分析与评估，获得当前网络的整体安全状态信息，最后根据已有的网络安全态势信息对网络未来的安全态势进行预测。

对网络安全态势分析工作，主要由以下关键部分构成：

（1）态势要素的获取：采集和获取相关环境中的重要信息和线索，获得原始态势数据，这是进行态势评估和预测的前提和基础。

（2）态势理解：整合采集到的原始的态势数据和信息，分析它们之间的相关性。

（3）态势评估：根据已经确定的指标体系，定性定量的分析网络当前的安全状态，寻找薄弱环节，并给出相应的解决方案。

（4）态势预测：根据对环境相关原始信息的理解和分析，预测事物的未来发展状态和趋势，这是网络态势研究的终极目标。

在如图2所示的动态分析体系中，由网络传感器收集网络环境信息，网络安全态势分析进行觉察、理解和预测，然后根据分析的结果进行网络威胁评估，最后将评估结果提供给决策层进行决策的执行。因此，网络安全态势分析在动态网络安全防护体系中起着非常重要的作用。只有通过实时、准确的态势分析，才能有效地进行危险评估，才能在危险评估基础上采取有效的策略应对网络安全，否则将不能对网络实施“深度防御”，保护网络的安全。

4 结 语

工业控制网络作为关系到国计民生的关键基础设施的重要支柱，其控制网络安全问题一直备受关注。本文从工业控制网络的安全问题出发，重点讨论了工业控制网络安全的通信协议的安全性、风险评估以及态势分析等关键技术，为进一步保障工业控制网络安全的研究扩展了思路。

主要参考文献

[1]王玉敏.工业控制系统信息安全防护能力介绍[J].自动化博览，2015（11）：58-60.

[2]伊胜伟，戴中华，彭勇，等.炼化行业工业控制系统信息安全分析[J].工业控制计算机，2014，27（10）：1-3.

[3]魏可承，李斌，易伟文，等.工业控制系统信息安全防护体系规划研究[J].自动化及仪表，2015，36（2）：49-52.

[4]邸丽清，高洋，谢丰.国内外工业控制系统信息安全标准研究[J].信息安全研究，2016，2（5）：435-441.

[5]杨晨，潘衡尧，蒋帅.OPC实现APROS与DCS半实物仿真系统的实时通信[J].化工自动化及仪表，2017，44（4）：392-396.

[6]杨乐.分散控制系统信息安全方案探讨[J].石油化工自动化，2017，53（3）：1-4.

作者：李平 李程程

网络防火墙安全建设论文 篇2：

浅谈电子政务网络安全体系的建设

1 引言

随着电子政务的飞速发展，其承载的政府管理和服务系统日趋庞杂，这就对电子政务网络系统的安全性提出了更高的要求。因此，建立与网络信息安全相适应的安全策略和安全设施，构筑完整的网络安全体系，是电子政务发展的一个重要内容。

2 电子政务网络面临的安全问题

（1）网络的规划缺乏合理性。由于技术和资金投入方面的原因，电子政务网络在规划建设时往往会在一些方面缺少前瞻性的考虑，而随着电子政务应用需求的与日俱增，这些问题直接表现为网络在功能上和性能上的相对滞后。

（2）网络病毒问题比较突出。病毒问题对电子政务网络的安全应用造成了很大的威胁，在实际中往往会忽视全网防毒的重要性，并且对未知病毒的防范上缺乏必要的措施。

（3）网络攻击事件日益增多。随着网络攻击技术的发展，对电子政务网络的攻击行为日益增多，包括物理通路窃听、链路数据被截获、非法用户入侵、政府网页被恶意篡改等等，都对电子政务网络的安全性提出了更高的要求。

（4）灾难恢复机制不够完善。在电子政务网络建设中，存在着单点故障的隐患，这些都是电子政务网络在安全防范和恢复能力方面存在的薄弱环节。

（5）网络安全管理相对滞后。电子政务网络的安全三分靠建设、七分靠管理，而在目前的电子政务网络建设中，与网络安全相关的规范、措施、预案相对较少，安全管理的意识还很淡薄。

3安全体系的设计

电子政务网络安全是个复杂的综合性问题，不能简单地理解成为一些安全产品的集合，而是要形成体系化的建设，可以从安全技术和安全管理两个方面实现：

（1）安全技术

安全技术是实现电子政务网络安全最直接、最普遍的方法，因而在电子政务网络安全保障上应考虑以下安全技术的应用：应用防火墙技术，隔离内外网络、控制访问权限，防止非法访问和恶意攻击；应用主动入侵防御技术保护核心服务器和内部网络，进行深层防御、精确阻断；应用安全扫描技术主动探测网络安全漏洞，进行网络安全评估，保持网络系统安全的一致性和连续性；应用审计技术对业务数据流和人员上网行为进行审计，防止网络滥用情况的发生，进一步规范上网行为；应用流量分析技术，优化网络带宽，实现网络资源和网络应用的可控制性；应用网络负载均衡技术，提高不同网络之间访问速度；应用统一管理技术，实现对网络设备、服务器和基础设施的统一监测管理。

（2）安全管理

网络安全的核心是安全管理，安全管理是确保安全技术得以有效实施的保障，可以考虑两方面的措施：一是制定本地区、本部门的电子政务网络安全管理规范，充分发挥网络在信息化建设中的基础性作用，促进信息化建设健康、快速、协调发展；二是制定电子政务网络突发事件应急预案，建立起完善的电子政务网络系统保障和恢复应急工作机制，有效预防、及时控制和最大限度地消除突发网络事件的危害和影响，确保电子政务网络系统的安全、稳定运行。

4安全体系的建设原则

（1）完整性。单一的技术手段或管理手段对安全问题的发现、处理、控制等能力各有优劣，所以应该从整体安全性的角度考虑需要不同安全策略和安全设施之间的安全互补，提高对安全事件响应的准确性和全面性。

（2）经济性。安全体系建设要因地制宜，从本地区、本部门电子政务网络建设发展的实际出发，根据对安全方面的需求，制定合理的保护策略，使安全和投资达到均衡，做到低投入、高产出。

（3）动态性。网络的安全是一个全动态的过程，无论是安全产品的选用，还是安全策略的制定，都必须具有延续性和前瞻性，能够针对新的安全需求，不断地进行技术和设备的升级换代，进行安全策略的调整，以适应新的发展需要。

（4）标准性。在电子政务网络安全体系建设中，要遵守国家标准、行业标准以及国际相关的安全标准，这是构建系统安全的保障和基础。

（5）可操作性。安全体系的任何一个环节都应该有很好的可控性，包括安全产品的易用性、安全技术手段的针对性、安全管理制度规范的可实施性，确保安全体系建设能收到良好的实际效果。

5 结束语

网络安全是相对的，安全体系的建设也并非一劳永逸。随着电子政务的进一步发展，必然会对网络安全提出更高的要求，这就需要用动态的、前进的、创新的眼光来认识安全，定期进行安全评估、合理运用安全技术、加强安全管理措施，建立起更加完善的电子政务网络安全体系。

参考文献

[1]陈兵,钱兵燕,冯爱民,谢维杲,王立松.电子政务安全技术.北京大学出版社,2005.7.

[2]Sean Convery.王迎春,谢琳 译.网络安全体系结构.人民邮电出版社,2005.6.

作者：梁明君

网络防火墙安全建设论文 篇3：

如何评估网络系统的安全

网络系统的安全程度同样符合木桶原理，即最终的安全性取决于网络中最弱的一个环节。本文系统地对网络架构的各个安全点进行了分析，同时针对性地介绍了降低这些安全点风险的方案和措施。

各种网络安全事故频发使得各个组织对信息安全的重视程度逐渐提高，同时各种专门提供网络安全服务的企业也应运而生。然而，目前大多安全服务都是以主机的安全评估、系统加固、应急响应、应用安全防护、管理层面的安全策略体系制订、应用安全防护、安全产品集成等为主，对于网络架构的安全评估却很少。综观近几年来互连网上不断出现的病毒蠕虫感染等安全事件，不少是由于对网络架构安全的忽视导致了大范围的传播和影响。2003年的27号文件——《国家信息化领导小组关于加强信息安全保障的文件》下发后，对信息系统安全域划分、等级保护、信息安全风险评估、等级保障等需求愈来愈迫切，而做好安全域划分的关键就是对网络架构安全的正确分析。

信息系统的网络架构安全分析是通过对整个组织的网络体系进行深入调研，以国际安全标准和技术框架为指导，全面地对网络架构、网络边界、网络协议、网络流量、网络QoS、网络建设的规范性、网络设备安全、网络管理等多个方面进行深入分析。

网络架构分析

网络架构分析的主要内容包括根据IATF技术框架分析网络设计是否层次分明，是否采用了核心层、汇聚层、接入层等划分原则的网络架构（划分不规范不利于网络优化和调整）; 网络边界是否清晰，是否符合IATF的网络基础设施、边界/外部连接、计算环境、支撑基础设施的深度防御原则（边界不清晰不便于安全控制）。应考虑的安全点主要有:

1. 网络架构设计应符合层次分明、分级管理、统一规划的原则，应便于以后网络整体规划和改造。

2. 根据组织实际情况进行区间划分，Internet、Intranet和Extranet之间以及它们内部各区域之间结构必须使网络应有的性能得到充分发挥。

3. 根据各部门的工作职能、重要性、所涉及信息等级等因素划分不同的子网或网段。

4. 网络规划应考虑把核心网络设备的处理任务分散到边缘设备，使其能将主要的处理能力放在对数据的转发或处理上。

5. 实体的访问权限通常与其真实身份相关，身份不同，工作的内容、性质、所在的部门就不同，因此所应关注的网络操作也不同，授予的权限也就不同。

6. 网络前期建设方案、网络拓扑结构图应和实际的网络结构一致; 所有网络设备（包括交换机、路由器、防火墙、IDS以及其他网络设备）应由组织统一规划部署，并应符合实际需求。

7. 应充分考虑Internet接入的问题，防止出现多Internet接入点，同时限制接入用户的访问数量。

8. 备份也是需要考虑的重要因素，对广域网设备、局域网设备、广域网链路、局域网链路采用物理上的备份和采取冗余协议，防止出现单点故障。

网络边界分析

边界保护不仅存在于组织内部网络与外部网络之间，而且也存在于同一组织内部网络中，特别是不同级别的子网之间边界。有效的边界防护技术措施主要包括网络访问控制、入侵防范、网关防病毒、信息过滤、网络隔离部件、边界完整性检查，以及对于远程用户的标识与鉴别/访问控制。边界划分还应考虑关键业务系统和非关键业务系统之间是否进行了分离，分离后各业务区域之间的逻辑控制是否合理，业务系统之间的交叠不但影响网络的性能还会给网络带来安全上的隐患。应考虑的安全点主要有:

1. Internet、Intranet和Extranet之间及它们内部各VLAN或区域之间边界划分是否合理; 在网络节点（如路由器、交换机、防火墙等设备）互连互通应根据实际需求进行严格控制; 验证设备当前配置的有效策略是否符合组织确定的安全策略。

2. 内网中的安全区域划分和访问控制要合理，各VLAN之间的访问控制要严格，不严格就会越权访问。

3. 可检查网络系统现有的身份鉴别、路由器的访问控制、防火墙的访问控制、NAT等策略配置的安全性; 防止非法数据的流入; 对内防止敏感数据（涉密或重要网段数据）的流出。

4. 防火墙是否划分DMZ区域; 是否配置登录配置的安全参数。例如: 最大鉴别失败次数、最大审计存储容量等数据。

5. 网络隔离部件上的访问通道应该遵循“默认全部关闭，按需求开通的原则”; 拒绝访问除明确许可以外的任何一种服务，也就是拒绝一切未经特许的服务。

6. 实现基于源和目的的IP地址、源和目的端口号、传输层协议的出入接口的访问控制。对外服务采用用户名、IP、MAC 等绑定，并限制变换的MAC地址数量，用以防止会话劫持、中间人攻击。

7. 对于应用层过滤，应设置禁止访问 Java Applet、ActiveX等以降低威胁。

8. 采用业界先进的安全技术对关键业务系统和非关键业务系统进行逻辑隔离，保证各个业务系统间的安全性和高效性，例如: 采用MPLS-VPN对各业务系统间逻辑进行划分并进行互访控制。

9. 必要时对涉密网络系统进行物理隔离; 实现VPN传输系统; 对重要网络和服务器实施动态口令认证; 进行安全域的划分，针对不同的区域的重要程度，有重点、分期进行安全防护，逐步从核心网络向网络边缘延伸。例如，网络可以分成三个区域: 信任域、非信任域和隔离区域。信任域和隔离区域进行重点保护，对于非信任域，可根据不同业务系统的重要程度进行重点保护。

10. 整体网络系统统一策略、统一升级、统一控制。

网络协议分析

深入分析组织整个网络系统的协议设计是否合理，是否存在协议设计混乱、不规范的情况，是否采用安全协议，协议的区域之间是否采用安全防护措施。协议是网络系统运行的神经，协议规划不合理就会影响整个网络系统的运行效率，甚至带来高度隐患和风险。应考虑的安全点主要有:

1. 路由协议、路由相关的协议及交换协议应以安全的、对网络规划和设计方便为原则，应充分考虑局域网络的规划、建设、扩充、性能、故障排除、安全隐患、被攻击可能性，并应启用加密和验证功能。

2. 应合理设计网络路由协议和路由策略，保证网络的连通性、可达性，以及网络业务流向分布的均衡性。

3. 启用动态路由协议的认证功能，并设置具有一定强度的密钥,相互之间交换路由信息的路由器必须具有相同的密钥。默认的认证密码是明文传输的，建议启用加密认证。

4. 对使用动态路由协议的路由设备设置稳定的逻辑地址，如Loopback地址，以减少路由振荡的可能性。

5. 应禁止路由器上 IP 直接广播、ICMP重定向、Loopback数据包和多目地址数据包，保证网络路径的正确性，防止IP源地址欺骗。如禁止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络，同时禁止非内部网络中的地址访问外部网络。

6. 重要网段应采取IP地址与MAC地址绑定措施，防止ARP欺骗。

7. 如果不需要ARP代理（ARP Proxy）服务则禁止它。

8. 应限制 SYN 包流量带宽，控制 ICMP、TCP、UDP 的连接数。

9. ICMP协议的安全配置。对于流入的ICMP数据包，只允许Echo Reply、Destination Unreachable、Time Out及其他需要的类型。对于流出的ICMP数据包，只允许Echo及其他必需的类型。

10. SNMP协议的Community String字串长度应大于12位，并由数字、大小写字母和特殊字符共同组成。

11. 禁用HTTP服务，不允许通过HTTP方式访问路由器。如果不得不启用HTTP访问方式，则需要对其进行安全配置。

12. 对于交换机，应防止VLAN穿越攻击。例如，所有连接用户终端的接口都应从VLAN1中排除，将Trunk接口划分到一个单独的VLAN中; 为防止STP攻击，对用户侧端口，禁止发送BPDU; 为防止VTP攻击，应设置口令认证，口令强度应大于12位，并由数字、大小写字母和特殊字符共同组成;尽量将交换机VTP设置为透明(Transparent)模式。

13.采用安全性较高的网络管理协议，如SNMP v3、RMON v2。

网络流量分析

流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。应考虑的安全点主要有:

1. 带宽的网络流量分析。复杂的网络系统中不同的应用需占用不同的带宽，重要的应用是否得到了最佳的带宽？所占比例是多少？队列设置和网络优化是否生效？通过基于带宽的网络流量分析会使其更加明确。采用监控网络链路流量负载的工具软件，通过SNMP协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户，以非常直观的形式显示流量负载。

2. 网络协议流量分析。对网络流量进行协议划分，针对不同的协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常流量暴涨，就有可能是攻击流量或有蠕虫病毒出现。例如: Cisco NetFlow V5可以根据不同的协议对网络流量进行划分，对不同协议流量进行分别汇总。

3. 基于网段的业务流量分析。流量分析系统可以针对不同的VLAN来进行网络流量监控，大多数组织都是基于不同的业务系统通过VLAN来进行逻辑隔离的，所以可以通过流量分析系统针对不同的VLAN 来对不同的业务系统的业务流量进行监控。例如: Cisco NetFlow V5可以针对不同的VLAN进行流量监控。

4. 网络异常流量分析。异常流量分析系统支持异常流量发现和报警，能够通过对一个时间窗内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量异常监测的基础。通过积极主动鉴定和防止针对网络的安全威胁，保证了服务水平协议(SLA)并且改进顾客服务, 从而为组织节约成本。

抗击异常流量系统必须完备，网络系统数据流比较大，而且复杂，如果抗异常流量系统不完备，当网络流量异常时或遭大规模DDOS攻击时，就很难有应对措施。

5. 应用服务异常流量分析。当应用层出现异常流量时，通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析，并通过IPS的安全防护技术进行反击。

网络QoS

合理的QoS配置会增加网络的可用性，保证数据的完整性和安全性，因此应对网络系统的带宽、时延、时延抖动和分组丢失率等方面进行深入分析，进行QoS配置来优化网络系统。应考虑的安全点主要有:

1. 采用RSVP协议。RSVP使IP网络为应用提供所要求的端到端的QoS保证。

2. 采用路由汇聚。路由器把QoS需求相近的业务流看成一个大类进行汇聚，减少流量交叠，保证QoS。

3. 采用MPLSVPN技术。多协议标签交换(MPLS)将灵活的3层IP选路和高速的2层交换技术完美地结合起来，从而弥补了传统IP网络的许多缺陷。

4. 采用队列技术和流量工程。队列技术主要有队列管理机制、队列调度机制、CAR和流量工程。

5. QoS路由。QoS路由的主要目标是为接入的业务选择满足其服务质量要求的传输路径，同时保证网络资源的有效利用路由选择。

6. 应保证正常应用的连通性。保证网络和应用系统的性能不因网络设备上的策略配置而有明显下降，特别是一些重要应用系统。

7. 通过对不同服务类型数据流的带宽管理，保证正常服务有充足的带宽，有效抵御各种拒绝服务类型的攻击。

网络的规范性

应考虑的安全点主要有:

1. IP地址规划是否合理，IP地址规划是否连续，在不同的业务系统采用不同的网段，便于以后网络IP调整。

2. 网络设备命名是否规范，是否有统一的命名原则，并且很容易区分各个设备的。

3. 应合理设计网络地址，应充分考虑地址的连续性管理以及业务流量分布的均衡性。

4. 网络系统建设是否规范，包括机房、线缆、配电等物理安全方面，是否采用标准材料和进行规范设计，设备和线缆是否贴有标签。

5. 网络设备名称应具有合理的命名体系和名称标识，便于网管人员迅速准确识别，所有网络端口应进行充分描述和標记。

6. 应对所有网络设备进行资产登记，登记记录上应该标明硬件型号、厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容。

7. 所有网络设备旁都必须以清晰可见的形式张贴类似声明: “严格禁止未经授权使用此网络设备。

8. 应制定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。对于重要网络设备应使用Radius或者TACACS+的方式实现对用户的集中管理。

网络设备安全

对设备本身安全进行配置，并建设完备的安全保障体系，包括: 使用访问控制、身份验证配置; 关闭不必要的端口、服务、协议; 用户名口令安全、权限控制、验证; 部署安全产品等。应考虑的安全点主要有:

1. 安全配置是否合理，路由、交换、防火、IDS等网络设备及网络安全产品的不必要的服务、端口、协议是否关闭，网络设备的安全漏洞及其脆弱的安全配置方面的优化，如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。

2. 在网络建设完成、测试通过、投入使用前，应删除测试用户和口令，最小化合法用户的权限，最优化系统配置。

3. 在接入层交换机中，对于不需要用来进行第三层连接的端口，通过设置使其属于相应的 VLAN，应将所有空闲交换机端口设置为 Disable，防止空闲的交换机端口被非法使用。

4. 应尽量保持防火墙规则的清晰与简洁，并遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”的原则，通过调整规则的次序进行优化。

5. 应为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制，严格遵循“不同权限的人执行不同等级的命令集”。同时对网络设备中所有用户账号进行登记备案

6. 应制订网络设备用户账号口令的管理策略，对口令的选取、组成、长度、保存、修改周期以及存储做出规定。

7. 使用强口令认证，对于不宜定期更新的口令，如SNMP字串、VTP认证密码、动态路由协议认证口令等，其口令强度应大于12位，并由数字、大小写字母和特殊字符共同组成。

8. 设置网络登录连接超时，例如，超过60秒无操作应自动退出。

9. 采用带加密保护的远程访问方式，如用SSH代替Telnet。

10. 严格禁止非本系统管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由本系统管理员登录，并对操作全过程进行记录备案。

11. 对设备进行安全配置和变更管理，并且对设备配置和变更的每一步更改，都必须进行详细的记录备案。

12. 安全存放路由器的配置文件，保护配置文件的备份和不被非法获取。

13. 应立即更改相关网络设备默认的配置和策略。

14. 应充分考虑网络建设时对原有网络的影响，并制定详细的应急计划，避免因网络建设出现意外情况造成原有网络的瘫痪。

15. 关键业务数据在传输时应采用加密手段，以防止被监听或数据泄漏。

16. 对网络设备本身的扩展性、性能和功能、网络负载、网络延迟、网络背板等方面应充分考虑。设备功能的有效性与部署、配置及管理密切相关，倘若功能具备却没有正确配置及管理，就不能发挥其应有的作用。

17. 网络安全技术体系建设主要包括安全评估、安全防护、入侵检测、应急恢复四部分内容，要对其流程完备性进行深入分析。

18. 安全防护体系是否坚固，要分析整个网络系统中是否部署了防火墙及VPN系统、抗拒绝服务系统、漏洞扫描系统、IDS&IPS系统、流量负载均衡系统部署、防病毒网关、网络层验证系统、动态口令认证系统，各个安全系统之间的集成是否合理。

19. 应安全存放防火墙的配置文件，专人保管，保护配置文件不被非法获取。

20. 及时检查入侵检测系统厂商的规则库升级信息，离线下载或使用厂商提供的定期升级包对规则库进行升级。具体包括:

● 查看硬件和软件系统的运行情况是否正常、稳定;

● 查看OS版本和补丁是否最新;

● OS是否存在已知的系统漏洞或者其他安全缺陷。

网络管理

网络管理和监控系统是整个网络安全防护手段中的重要部分，网络管理应该遵循SDLC(生命周期)的原则，从网络架构前期规划、网络架构开发建设到网络架构运行维护、网络架构系统废弃都应全面考虑安全问题，这样才能够全面分析网络系统存在的风险。应考虑的安全点主要有:

1. 网络设备网管软件的部署和网络安全网管软件的部署; 部署监控软件对内部网络的状态、网络行为和通信内容进行实时有效的监控，既包括对网络内部的计算机违规操作、恶意攻击行为、恶意代码传播等现象进行有效地发现和阻断，又包括对网络进行的安全漏洞评估。

2. 确认网络安全技术人员是否定期通过强加密通道进行远程登录监控网络状况。

3. 应尽可能加强网络设备的安全管理方式，例如应使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定远程登录的超时时间、远程管理的用户数量、远程管理的终端IP地址，同时进行严格的身份认证和访问权限的授予，并在配置完后，立刻关闭此类远程连接; 应尽可能避免使用SNMP协议进行管理。如果的确需要，应使用V3版本替代V1、V2版本，并启用MD5等验证功能。进行远程管理时，应设置控制口和远程登录口的超时时间，让控制口和远程登录口在空闲一定时间后自动断开。

4. 及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新，要求下载补丁程序的站点必须是相应的官方站点，并对更新软件或补丁进行评测，在获得信息安全工作组的批准下，对生产环境实施软件更新或者补丁安装。

5. 应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞，并及时评测对漏洞采取的对策，在获得信息安全工作组的批准的情况下，对生产环境实施评测过的对策，并将整个过程记录备案。

6. 应充分考虑设备认证、用户认证等认证机制，以便在网络建设时采取相应的安全措施。

7. 应定期提交安全事件和相关问题的管理报告，以备管理层检查，以及方便安全策略、预警信息的顺利下发。检测和告警信息的及时上报，保证响应流程的快速、准确而有效。

8. 系统开发建设人员在网络建设时应严格按照网络规划中的设计进行实施，需要变更部分，应在专业人士的配合下，经过严格的变更设计方案论证方可进行。

9. 网络建设的过程中，应严格按照实施计划进行，并对每一步实施，都进行详细记录，最终形成实施报告。

10. 网络建设完成投入使用前，应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试，并做详细记录，最终形成测试报告。测试机构应由专业的信息安全测试机构或第三方安全咨询机构进行。

11. 应对日常运维、监控、配置管理和变更管理在职责上进行分离，由不同的人员负责。

12. 应制订网络设备日志的管理制定，对于日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做明确的规定。对于重要网络设备，应建立集中的日志管理服务器，实现对重要网络设备日志的统一管理，以利于对网络设备日志的审查分析。

13. 应保证各设备的系统日志处于运行状态，每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时应及时向信息安全工作组报告。

14. 对防火墙管理必须经过安全认证，所有的认证过程都应记录。认证机制应综合使用多种认证方式，如密码认证、令牌认证、会话认证、特定IP地址认证等。

15. 应设置可以管理防火墙的IP范围，对登录防火墙管理界面的权限进行严格限制。

16. 在防火墙和入侵检测系统联动的情况下，最好是手工方式启用联动策略，以避免因入侵检测系统误报造成正常访问被阻断。

17. 部署安全日志审计系统。安全日志审计是指对网络系统中的网络设备、网络流量、运行状况等进行全面的监测、分析、评估，通过这些记录来检查、发现系统或用户行为中的入侵或异常。目前的审计系统可以实现安全审计数据的输入、查询、统计等功能。

18. 安全审计内容包括操作系统的审计、应用系统的审计、设备审计、网络应用的审计等。操作系统的审计、应用系统的审计以及网络应用的审计等内容本文不再赘述。在此仅介绍网络设备中路由器的审计内容：操作系统软件版本、路由器负载、登录密码有无遗漏，enable 密码、telnet 地址限制、HTTP安全限制、SNMP有无安全隐患; 是否关闭无用服务; 必要的端口设置、Cisco发现协议（CDP协议）; 是否已修改了缺省旗标（BANNER）、日志是否开启、是否符合设置RPF的条件、设置防SYN攻击、使用CAR（Control Access Rate）限制ICMP包流量; 设置SYN数据包流量控制（非核心节点）。

19. 通过检查性审计和攻击性审计两种方式分别对网络系统进行全面审计。

20. 应对网络设备物理端口、CPU、内存等硬件方面的性能和功能进行监控和管理。

● 系统维护中心批准后，根据实际应用情况提出接入需求和方案，向信息安全工作组提交接入申请;

● 由申请人进行非上线实施测试，并配置其安全策略;

● 信息安全員对安全配置进行确认，检查安全配置是否安全，若安全则进入下一步，否则重新进行配置。

21. 网络设备废弃的安全考虑应有一套完整的流程，防止废弃影响到网络运行的稳定。任何网络设备的废弃都应进行记录备案，记录内容应包括废弃人、废弃时间、废弃原因等。

作者：冯朝明