《網(wǎng)絡(luò)安全法》的第二十一條明確規(guī)定，要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，履行相應(yīng)安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改?！毒W(wǎng)絡(luò)安全法》第三十一條規(guī)定，對(duì)于“關(guān)鍵信息基礎(chǔ)設(shè)施”，要在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)。

       依據(jù)等保的測(cè)評(píng)范圍和內(nèi)容，參考即將從由1.0時(shí)代轉(zhuǎn)變到2.0時(shí)代的等級(jí)保護(hù)，由被動(dòng)防御變成主動(dòng)防御，以前被動(dòng)防御的，要求防火墻、殺病毒、IDS，現(xiàn)在要上升到主動(dòng)防御。到底如何做好基礎(chǔ)安全防護(hù)建立一套完善規(guī)范的安全防御體系呢？下面讓我們逐一解析：

一、 基礎(chǔ)安全設(shè)備包含哪些？

       基礎(chǔ)安全設(shè)備包含構(gòu)造業(yè)務(wù)安全防御系統(tǒng)的常用安全設(shè)備，能夠搭建深度防御體系的各種安全設(shè)備、安全軟件。大型的互聯(lián)網(wǎng)結(jié)構(gòu)不太一樣，主要為數(shù)據(jù)流量很大，普通安全廠家的設(shè)備很難滿足需求，因此攻擊檢測(cè)和防護(hù)會(huì)自己開發(fā)。本文內(nèi)容還是圍繞以傳統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)為主，傳統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)包含的安全設(shè)備一般有以下幾種：

1.1 檢測(cè)告警類

       網(wǎng)絡(luò)入侵檢測(cè)——入侵防御設(shè)備

       用于檢測(cè)網(wǎng)絡(luò)入侵事件，常見部署在核心交換上，用于收集核心交換機(jī)的鏡像流量，通過檢測(cè)攻擊特征形成告警事件。

       網(wǎng)絡(luò)流量分析——上網(wǎng)行為管理

       鏡像流量分析，通常也是連接到核心交換，可以分析流量，可以回溯流量，遇到分析安全事件的時(shí)候可以通過回溯流量分析攻擊過程。

1.2 安全防護(hù)類

       安全防護(hù)類產(chǎn)品同樣有檢測(cè)攻擊的能力，檢測(cè)出攻擊才能進(jìn)行防護(hù)，也常見防護(hù)類的產(chǎn)品只做檢測(cè)用。

       抗拒絕服務(wù)產(chǎn)品

       部署在主鏈路上，內(nèi)部網(wǎng)絡(luò)的抗D設(shè)備可以處理低于出口帶寬的 DDoS 流量，超過的一般用云抗D服務(wù)。

防火墻——第二代防火墻

       用于做網(wǎng)絡(luò)邊界區(qū)分，雖然下一代防火墻有很多花哨的功能，但是在實(shí)際應(yīng)用中最有用的還是網(wǎng)絡(luò)訪問控制。常見部署在核心路由和核心交換機(jī)之間，或者在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間，或者不同的業(yè)務(wù)之間，有邊界隔離需求的都可以部署。   在此，對(duì)有些進(jìn)行等保建設(shè)急需要購(gòu)買防火墻的單位，提些建議:前些年的傳統(tǒng)防火墻已無(wú)法有效分辨和檢測(cè)出當(dāng)今網(wǎng)絡(luò)中出現(xiàn)的各種復(fù)雜應(yīng)用，更無(wú)法準(zhǔn)確識(shí)別和攔截各類應(yīng)用中的安全風(fēng)險(xiǎn)。因此防火墻的選擇上一定要格外注意?？梢赃x擇一款能精確分類與識(shí)別低、高風(fēng)險(xiǎn)應(yīng)用，并根據(jù)應(yīng)用不同風(fēng)險(xiǎn)等級(jí)分別進(jìn)行不同等級(jí)的安全掃描，具備及時(shí)準(zhǔn)確識(shí)別和攔截各種威脅攻擊功能的防火墻。盡可能選擇具備最新技術(shù)的，多看功能配置和產(chǎn)品參數(shù)，道理就跟我們買手機(jī)是一樣，都是手機(jī)，卻不是所有手機(jī)都跟蘋果，華為一樣那么好用耐用。

WAF（Web應(yīng)用防火墻）

       現(xiàn)在幾乎所有的應(yīng)用都使用Web的方式提供，相比較傳統(tǒng)防火墻設(shè)備，Web應(yīng)用防火墻提供了應(yīng)用層的防護(hù)能力，更專業(yè)一些。常見部署在應(yīng)用服務(wù)器與核心交換之間，或者核心交換與核心防火墻之間。

       也有的業(yè)務(wù)系統(tǒng)比較復(fù)雜，WAF已旁路鏡像流量的方式作為Web的入侵檢測(cè)設(shè)備存在，只檢測(cè)Web攻擊事件。

       網(wǎng)絡(luò)入侵防御——入侵防御設(shè)備

       入侵檢測(cè)防護(hù)系統(tǒng)(簡(jiǎn)稱：IPS)能夠?qū)W(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，進(jìn)而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性，并能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)層的攻擊和入侵行為，使用戶能夠及時(shí)發(fā)現(xiàn)攻擊與入侵事件，制定相關(guān)防御措施。對(duì)內(nèi)外網(wǎng)的入侵行為進(jìn)行檢測(cè)和報(bào)警，防止入侵，保證整個(gè)服務(wù)器區(qū)的安全。

企業(yè)版殺毒軟件

       目前普遍部署在企業(yè)網(wǎng)絡(luò)的殺毒軟件都是基于 Windows 版的，使用統(tǒng)一管理，可以從整體查看病毒在組織網(wǎng)絡(luò)中的感染情況。企業(yè)網(wǎng)策略比較保守，發(fā)現(xiàn)病毒只是告警，不直接刪除或清除，有可能導(dǎo)致系統(tǒng)文件出錯(cuò)。越來越多的組織使用 Linux 作為主要操作系統(tǒng)，很少有合適的殺毒軟件部署。還有種 APT 的產(chǎn)品，殺毒是其中的一個(gè)組件或模塊。眾所周知國(guó)產(chǎn)殺毒軟件排行第一的就是360了，該產(chǎn)品的全稱:360天擎終端安全管理系統(tǒng)。據(jù)市場(chǎng)調(diào)查反饋，去年爆發(fā)的勒索病毒，幾乎凡是安裝過360天擎的單位都安好無(wú)事。

1.3 監(jiān)管評(píng)估類

配置核查工具

       實(shí)現(xiàn)統(tǒng)一的安全配置標(biāo)準(zhǔn)以便規(guī)范日常的安全配置操作，快速有效地對(duì)網(wǎng)絡(luò)中種類、數(shù)量繁多的設(shè)備和軟件進(jìn)行安全配置檢測(cè)，集中收集核查結(jié)果，快速出報(bào)告。

網(wǎng)站安全監(jiān)控

       可以對(duì)網(wǎng)站漏洞、網(wǎng)站內(nèi)容、網(wǎng)站可用性監(jiān)控的設(shè)備，屬于主動(dòng)掃描類的工具。

漏掃、配置檢查、網(wǎng)站監(jiān)控都是屬于主動(dòng)掃描的設(shè)備。

堡壘機(jī)——IT運(yùn)維安全審計(jì)

       有時(shí)候也叫運(yùn)維審計(jì)系統(tǒng)，可以配合 Windows 域或其他認(rèn)證系統(tǒng)，對(duì)運(yùn)維人員的操作進(jìn)行審計(jì)。網(wǎng)絡(luò)的訪問控制做的好的話，個(gè)人認(rèn)為堡壘機(jī)是安全運(yùn)維里面最有用的設(shè)備之一。很多廠家都有，這里不做推薦。還是那句話，從安全產(chǎn)品穩(wěn)定性和后期維保角度考慮，盡量選擇知名的廠家是沒錯(cuò)的。

日志審計(jì)——上網(wǎng)行為管理

       傳統(tǒng)日志審計(jì)，后臺(tái)使用關(guān)系型數(shù)據(jù)庫(kù)的，局限性很大，相當(dāng)于各種日志數(shù)據(jù)處理后放到一個(gè)數(shù)據(jù)庫(kù)中，安全事件發(fā)生后可以用作做事件回溯查詢。數(shù)據(jù)量大了后表現(xiàn)就是查詢速度很慢。另外一般設(shè)備是一個(gè)盒子，保存的數(shù)據(jù)量也有限?！毒W(wǎng)絡(luò)安全法》第二十一條規(guī)定中明確指出采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不得少于六個(gè)月。因此日志審計(jì)是各單位在等保建設(shè)方案中，必須考慮要配備的。即便眼下沒買，過后公安網(wǎng)警在進(jìn)行相關(guān)的檢查時(shí)，也會(huì)在責(zé)令整改通知書中提出來。

數(shù)據(jù)庫(kù)審計(jì)

       鏡像應(yīng)用到數(shù)據(jù)庫(kù)的流量，可以獲得所有的數(shù)據(jù)庫(kù)操作請(qǐng)求，通過設(shè)定一定的規(guī)則也能檢測(cè)針對(duì)數(shù)據(jù)庫(kù)的攻擊。

       有些適合企業(yè)辦公網(wǎng)使用的安全設(shè)備，如上網(wǎng)行為管理、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)等都是常規(guī)必買的基礎(chǔ)產(chǎn)品，不在這里介紹了。