網路資訊安全設計及防護策略總結

一月 5, 2024 by · Leave a Comment
Filed under: killtest 

原创 twt社区
【摘要】隨著網路+科技的快速發展,網路DDOS攻擊、勒索病毒、SQL注入、暴力破解、資料洩密等等網路安全事件經常發生,網路資訊安全面臨嚴重的挑戰,為保障客戶的資訊資產安全 ,保障客戶業務系統安全穩定運行,實現“高效預防、高效檢測,快速處理”,本文對網絡信息安全規劃及防護策略進行梳理、總結,希望對大家在實際工作起到借鑒與參考作用。

【作者】陳勇,從事IT產業10多年的老兵,熟悉各類系統,曾分別獲得IBM CATE、HP CSA、SUN SCSA、VMware VCP、HUAWEI HCNP等多項專業認證。

網路資訊安全的運作與防護不僅關係到整個資料中心業務系統穩定運行,同時,由於網路系統的多樣性、複雜性、開放性、終端分佈的不均勻性,致使網路極易遭到駭客、惡性軟體 或非法授權的入侵與攻擊。

鑑於資料資訊的嚴肅性和敏感性,為了保障和加強系統安全,防止偶然因素和惡意原因破壞、更改、洩密,保障工作正常持續進行,同時,提高系統應對威脅和抵禦攻擊的對抗能力和恢復能力 ,需要建置安全保障系統,滿足資訊安全等級保護的要求。 使系統具有抵禦和防範大規模、較強惡意攻擊、較為嚴重的自然災害、電腦病毒和惡意程式碼危害的能力;具有檢測、發現、警報、記錄入侵行為的能力;具有對安全事件進行回應處置, 並且能追蹤安全責任的能力;在系統遭到損害後具有能夠較快恢復正常運作狀態的能力,對於服務保障性要求高的系統,應能快速恢復正常運作狀態;具有對系統資源、使用者、安全 機制等進行集中控管的能力。

1.網路資訊安全範圍
網路資訊安全範圍主要包括:網路結構、網路邊界以及網路設備本身安全等,具體的控制點包括:結構安全、存取控制、安全稽核、邊界完整性檢查、入侵防範、惡意程式碼防範、網路設備防護等 ,透過網路安全的防護,為使用者資訊系統運作提供一個安全的環境。

1.1、結構安全
結構安全範圍包括:

1) 應確保主要網路設備的業務處理能力具備冗餘空間,滿足業務高峰期需求;

2) 應確保網路各部分的頻寬滿足業務高峰期需求;

3) 應在業務終端與業務伺服器之間進行路由控制,建立安全的存取路徑;

4) 應依各業務系統類型、重要性及所涉及資訊的重要程度等因素,劃分不同的子網或網段,並依方便管理及控制的原則為各子網、網段分配位址段;

5) 應避免將重要網段部署在網路邊界處且直接連接外部資訊系統,重要網段與其他網段之間採取可靠的技術隔離手段;

6) 應依照對業務服務的重要次序來指定頻寬分配優先級別,並保證在網路發生擁堵的時候優先保護重要主機。

1.2、門禁控制
存取控制範圍包括:

1)、應在網路邊界部署存取控制設備,啟用存取控制功能;

2)、應能根據會話狀態資訊為資料流提供明確的允許/拒絕存取的能力,控製粒度為連接埠級;

3)、 應對進出網路的資訊內容進行過濾,實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協定命令級的控制;

4)、 應在會話處於非活躍一定時間或會話結束後終止網路連線;

5)、 應限製網路最大流量數及網路連線數;

6)、 重要網段應採取技術手段防止地址欺騙;

7)、… Continue reading

Tags: ,

新聞丨思科發布《網絡安全就緒指數》報告,發現只有 13% 的中國企業完全準備好應對網絡安全威脅

五月 17, 2023 by · Leave a Comment
Filed under: killtest 

新聞丨思科發布《網絡安全就緒指數》報告,發現只有 13% 的中國企業完全準備好應對網絡安全威脅
思科聯天下
• “準備就緒”至關重要:87% 的受訪者預計,網絡安全事件將在未來 12 到 24 個月內對他們的業務造成乾擾
• “沒有做好準備”會讓企業付出巨大成本:57% 的受訪者表示他們在過去 12 個月內遭遇了網絡安全事件,59% 的受影響企業損失了至少 50 萬美元
• 企業正在著手做更充分的準備:96% 的受訪者表示,他們的企業計劃在未來 12 個月內至少增加 10% 的網絡安全預算

今日,思科發布了首份《網絡安全就緒指數》報告。報告顯示,僅有 13% 的中國企業為應對當今網絡安全風險完全做好了準備,達到 “成熟” 水平。該指數報告是以 “後疫情時代的混合辦公環境” 為背景開展的調研,混合環境下,無論在哪裡開展工作,都必須確保用戶和數據得到妥善保護。這份報告分析了企業在哪些方面表現良好,以及如果不採取行動,網絡安全就緒差距將在哪些方面持續擴大。

企業已經從相對靜態的運營模式轉向混合模式。在靜態模式中,人們通常在一個位置通過單個設備操作連接到一個靜態網絡;而在混合模式下,人們越來越多地從多個位置通過多台設備進行操作,連接到多個網絡,在移動狀態下訪問云中的應用程序,並生成大量數據。這給企業帶來了全新且獨特的網絡安全挑戰。

思科網絡安全就緒指數:混合環境中的安全彈性

這份名為《思科網絡安全就緒指數:混合環境中的安全彈性》的報告,針對企業應對當前網絡威脅時保持網絡安全彈性的就緒程度進行了評估。評估指標涵蓋了構成必要防禦的五大核心支柱:身份、設備、網絡、應用負載,以及數據,並包含了支柱中的 19 個不同的解決方案。

該報告是由獨立第三方進行的雙盲調查,調查了 27 個市場的 6700 名私營企業中的網絡安全管理者,了解他們所部署的解決方案以及所處的部署階段,進而將這些企業劃分為四個依次提升的就緒程度:初級、成形、已經取得進展、成熟。

•初級(總分低於 10 分):處於部署解決方案的初始階段
•成形(得分在 11-44 分之間):雖然有一定程度的部署,但在網絡安全就緒方面的表現低於平均水平
•已經取得進展(得分在 45-75 分之間):部署達到一定階段,在網絡安全就緒方面的表現高於平均水平
•成熟( 76 分及以上):部署達到高級階段,並已做好應對安全風險的充分準備

調查結果

調查發現,只有 13% 的中國企業處於成熟階段,超過一半的中國企業處於初級(佔比 8%… Continue reading

Tags: ,

使用 Cisco ISE 配置 BYOD 以實現 CCIE 安全

二月 24, 2023 by · Leave a Comment
Filed under: killtest 

在這些視頻中,首席系統架構師 Vivek Santuka 將與思科 ISE 討論自帶設備 (BYOD) 流程。現場網絡研討會錄音是CCIE 安全準備計劃的一部分,將回顧和演示在 ISE 上配置 BYOD 流程所需的步驟,以及在 CCIE 安全考試中需要注意的提示、技巧和注意事項。

通過這些 CCIE 安全視頻,您將了解

什麼、為什麼、BYOD 和 ISE BYOD 解決方案概述,包括 BYOD 的構建塊和 BYOD 選項的風險與收益。

規劃 ISE BYOD 調配。

ISE 配置步驟。

使用 Cisco ISE 配置 BYOD 的演示,包括簡化客戶端調配配置。

此處介紹的主題與實施和操作 Cisco 安全核心技術 (SCOR 350-701) 考試的 6.0 安全網絡訪問、可見性和執行部分相一致,特別是 6.1 描述身份管理和安全網絡訪問概念,例如來賓服務、分析、狀態評估和 BYOD 子主題。

视频地址:https://learningnetwork.cisco.com/s/article/Configuring-BYOD-with-Cisco-ISE-for-the-CCIE-Security… Continue reading

Tags:

思科 安全CCNP 350-701考試該如何準備

一月 10, 2023 by · Leave a Comment
Filed under: killtest 

思科 安全CCNP 350-701考試該如何準備
Cisco的安全CCNP 350-701考試是一項專業的資格考試,要想通過350-701考試,你需要具備較高的網絡安全技術能力和相關的知識儲備。在備考350-701考試時,你應該注意以下幾點:

了解考試的目標和要求:350-701考試的目標是考察你對網絡安全技術的深入理解和實際應用能力。你應該了解考試的各項要求,包括考試範圍、題型、考試時間等。

複習相關理論知識:350-701考試需要考生具備一定的網絡安全理論知識。你應該複習相關的書籍、視頻課程和在線資源,鞏固基礎知識。

練習實際應用:350-701考試需要考生能夠熟練運用所學的知識來解決實際的網絡安全問題。你應該多練習模擬題、實驗題和實踐題,培養解決實際問題的能力。

關注考試變化:Cisco會根據網絡技術的發展對350-701考試進行調整。你應該關注考試大綱的變化,及時更新自己的知識儲備。

希望這些建議能幫助你備考350-701考試。… Continue reading

Tags:

思享家丨思科安全上新,“牆” 化零售門店安全

九月 23, 2022 by · Leave a Comment
Filed under: killtest 

思享家丨思科安全上新,“牆” 化零售門店安全
思科聯天下 思科聯天下 2022-09-08 17:00 發表於北京
作者:思科大中华区安全事业部资深架构师 赵帆

反复的疫情讓已是微利運營的零售企業雪上加霜。原本就捉襟見肘的 IT 預算,都用來勉力維持系統運營,老舊安全設備更新和一些新安全項目只能暫時擱置。然而,網絡安全威脅並不會因疫情而止步,反而有愈演愈烈之勢。零售企業經營信息洩露、門店因中毒被迫停業等安全事件層出不窮。一方面是有限的資金和人力資源,一方面是複雜的網絡安全形勢,零售企業的 IT 部門陷入兩難境界,不知道如何又好又省地解決安全問題。

作為全球領先網絡安全方案供應商,思科結合服務海內外零售企業的經驗,建議零售用戶以防火牆為企業網絡安全系統的 “基本盤” ,門店安全圍繞防火牆破局。這會帶來以下幾個確定的優勢:

1.防火牆是成熟市場,廠商價格,功能體系相對完整,被 “殺豬盤” 的機率較低。

2.分支網點面臨的網絡攻擊,特點是雜而不專,多而不深。防火牆,尤其是下一代防火牆中的 IPS,反病毒,應用控制等技術,防範基礎網絡攻擊依然十分有效。

3.基礎的行業合規、等保等要求,通過防火牆能夠快速地滿足。

但是在這之外,我們還需討論防火牆在零售業的幾個實踐要點:

1.部署和管理簡易。目前零售瘦 IT 是主流趨勢,需要確保防火牆能夠多設備集中部署和管理,在偏遠或海外場景中,甚至需要雲上線,雲管理。

2.網絡和安全融合。邊界設備能夠具備安全防護能力,並在安全防護棧和網絡加解密,轉發等能力疊加後保持穩定的吞吐,同時應該具備基礎的網絡選路和流量調度功能,在一些沒有完整 SD-WAN 需求的門店可充當基礎的出口網關。

3.全面的合規能力。對於門店或分支員工或用戶私接設備,瀏覽非法內容,佔用帶寬等違規行為,可通過技術手段進行監控和乾預。

思科 Firepower 3100 系列的發布,和新系統的功能更新,為零售行業門店提供了很好的產品支持。
微信图片_20220923102106
▲圖一:安全分支整體架構

首先,針對零售企業 IT 人力有限的特點,思科強化了集中管理功能。 Firepower 全系列支持統一管理平台 Firepower Management Center(FMC),或 FMC 集中管理。零售門店可在管理界面統一配置安全策略並集中推送。 FMC 策略配置界面支持 IPS,AMP… Continue reading

Tags:

解決方案丨 IT 如何滿足業務定制化複雜需求,提供優質數字體驗?

二月 16, 2022 by · Leave a Comment
Filed under: killtest 

原创 思科联天下 思科联天下 2022-01-26 17:00
“94% 的受訪公司已計劃或實施 Wi-Fi 6, 5G 的網絡升級。”

——2021 年 NTT 與《經濟學人》的 CIO 調研

“到 2024 年,將網絡運營計劃與業務目標相結合的企業中,80% 將比其競爭對手增長更快 ”

——Gartner

IT 的工作成果在何時最能被業務端注意到?

當然是網絡出問題的時候,尤其是在以下這些情況:

Wi-Fi 網速慢,網絡卡頓;
同時上網的設備太多導致網絡崩潰;
企業數據發生丟失洩露;
訪客需要連 Wi-Fi 訪問外網;
在不同區域間行動會導致網絡中斷。

有時候或許是煩擾在耳邊的牢騷,

有時候或許是在領導那裡的投訴,

有時候甚至是讓你一走了之的解聘書。
微信图片_20220216102548
企業網絡升級迫在眉睫,

業務部門的網絡痛點是頭等大事,

而 IT 也不再滿足於受困在日復一日的枯燥運維工作中,

渴望藉助技術實現業務創新。

這樣的網絡升級應該如何實現?… Continue reading

Tags:

新聞丨思科《安全成果研究(第二卷)》報告顯示,中國企業應用的網絡安全技術中,35%被認為已經過時

十二月 31, 2021 by · Leave a Comment
Filed under: killtest 

原創 思科聯天下 思科聯天下
思科近日發布的《安全成果研究(第二卷)》報告表明,對中國公司來說,更新網絡安全基礎設施中的技術和解決方案比以往任何時候都更加重要。這份最新研究強調,中國企業使用的網絡安全技術中,有 35% 被本公司的安全和隱私專家認為已經過時。

這項研究調查了全球 27 個市場的 5100 多名安全和隱私專業人士,其中包括來自亞太地區 13 個市場的 2000 多名專業人士,旨在研究確定安全團隊可以採取哪些最有效的措施來防禦不斷變化的威脅。受訪者包括來自中國企業的安全專家,他們分享了更新和集成安全架構、檢測和應對威脅,以及在故障發生後保持業務彈性的方法。

和全球其他受訪市場一致,來自中國的受訪者也表示他們的網絡安全基礎設施很複雜,54% 的受訪者在調查中強調了這一點。

好消息在於,中國企業正在通過投資現代網絡安全技術和方法來解決這一問題,加強安全防護。 92% 的中國受訪者表示他們的企業正在投資 “ 零信任 ” 策略, 60% 表示他們的企業在採用該策略方面取得了穩步進展,31% 表示他們在實施 “ 零信任 ” 策略方面已步入成熟階段。此外,87% 的受訪者表示他們的企業正在投資於安全訪問服務邊緣(SASE)架構,56% 表示在採用該架構方面取得了良好的進展,31% 表示他們應用的該架構已達到成熟水平。

在 “ 雲優先 ” 和 “ 以應用為中心 ” 的當今世界,“ 零信任 ” 和 SASE 這兩種方式是為企業建立強大安全屏障的關鍵。企業在這種環境中運營時面臨著多重挑戰,例如:將用戶與多個雲平台上的應用和數據相連的複雜性、不同位置和網絡上的安全策略不一致、難以驗證用戶和設備的身份、缺乏對安全基礎設施的端到端可見性等等。

SASE 架構是公認的應對這些挑戰的有效方式。簡言之,SASE 在雲中整合了網絡和安全功能,讓用戶在任何地方工作時都能安全地訪問應用。與此同時,“ 零信任 ” 是一個顧名思義的簡單概念,即:用戶和設備每次訪問企業網絡時都要驗證身份,以降低安全風險。

基於雲的安全架構價值值得再三強調。本次調查顯示,已經步入成熟階段的企業擁有強大安全保護能力的可能性比那些剛開始實施 “ 零信任 ”… Continue reading

Tags:

CCNP Security Certification and Training

五月 3, 2021 by · Leave a Comment
Filed under: killtest 

CCNP Security Certification and Training
通過安全解決方案證明您的技能
獲得CCNP安全認證可以證明您使用安全解決方案的技能。 要獲得CCNP安全認證,您必須通過兩項考試:一項涵蓋核心安全技術,另一項則由您選擇,因此您可以根據自己的技術重點對認證進行自定義。
考試和推薦培訓
要獲得CCNP安全性,您必須通過兩項考試:核心考試和所選的安全性集中考試。 現在,CCNP安全計劃中的每項考試都獲得了個人專家認證,因此您在整個過程中所獲得的成就得到認可。

核心考試側重於您對安全基礎架構的了解。 核心考試也是CCIE安全認證的資格考試。 通過核心考試將使考生有資格在其核心考試的有效期內安排和參加CCIE實驗室。
集中考試側重於新興和特定於行業的主題。 您可以參加相應的思科培訓課程,為濃度考試做準備。

Required exam Recommended training
Core exam:
350-701 SCOR
Implementing and Operating Cisco Security Core Technologies (SCOR)
Concentration exams (choose one):
300-710 SNCF Securing Networks with Cisco Firepower Next Generation Firewall (SSNGFW)

Securing Networks with Cisco Firepower Next-Generation IPS (SSFIPS)
300-715 SISE
Implementing and Configuring Cisco Identity Services Engine… Continue reading

Tags: , ,