本书从实际应用角度，围绕网络攻击和威胁逐步展开对网络安全问题的讨论，从网络系统和应用系统方面，论述企业网络安全建设的要点，探讨网络安全防护的技术与措施，最终呈现出完整的企业网络安全建设解决方案。本书详细阐述了具有不同安全级别要求、满足实际需要的安全网络建设过程和指导思路，对具体的技术实施细节不过多地关注，从一般的互联网访问用户开始，逐步提出用户的工作需求、网络安全需求，围绕用户的需求，提出各种安全解决方案，逐步完善企业网络的安全建设。

前言 当前是世界多极化、经济全球化、文化多样化深入发展的时代，是科学技术飞速发展的时代，是信息化、物联网、移动网络的时代，是从物联网（Internet of??Things，IoT）走入“万物互联”（Internet of Everything，IoE）的时代。 随着信息技术和网络技术的快速发展，国家、行业及企业的运行模式发生了翻天覆地的变化。国家、行业及企业总有需要保守的秘密，为了保护国家、行业及企业的核心秘密，采用集中式、传统的企业网络（局域网）组网模式是非常必要的。 创新发展需要与世界接轨，要认识世界、了解世界，同时要很好地保护自己不受伤害，就需要创建一个既能很好地展示自己，又能很好地保护自己的平台。 当前网络信息安全面临的外部环境极其严峻，需要我们重视网络安全工作。 什么是网络安全？网络安全是指网络系统中的硬件、系统软件、应用软件及数据受到保护，不因偶然的或者恶意的原因而被破坏、更改、泄露，保证系统连续可靠正常地运行，网络服务不中断。 网络安全防护的总体要求是“防外部入侵、防恶意代码、防内部违规”。我们拟采用全方位、多层次、立体空间防御的思路，即利用各种安全设备进行边界防护，如防火墙、防毒墙、入侵防御系统、高级持续性威胁（Advanced Persistent Threat，APT）检测系统、网闸、可疑链接检测系统；使用各种检测系统进行系统智能防御，如夹带敏感信息检查系统、防病毒软件、VPN认证系统（用两种以上方法，含硬件，进行用户验证登录）、入侵检测系统、漏洞扫描系统；采取各种系统安全加固措施，对系统进行全方位防护，如取消可写存储设备、系统最小化处理、加强运维管理、日志审计、数据库审计；采取立体空间防护措施，如加装防电磁干扰器，防范来自空中的触发信号，防止系统信号辐射外泄；采用安全协议和加解密技术，对数据存储、传输进行安全防护；加强网络制度建设，加强网络日常管理，定期对网络系统进行安全测评或复评、专门监督、检查；等等。随着攻击者能力的不断提高，用户正面临大量漏洞威胁和攻击，因此必须加强保护访问和防范攻击的能力，必须评估并了解最新的网络安全技术，以防范高级攻击，更好地实现数字业务转型。 本书从战略角度、全局角度研究在建设企业网络时要注意或关注的网络安全要点。在技术层面上，从顶层设计开始，用创新的思维来探讨、研究企业网络的安全要点，分级分层次地对企业网络进行网络系统设计，根据不同网络安全级别、不同网络安全区域，提出一系列有效解决问题的方法和措施，对于具体实施细节不做详细探讨，留待具体项目实施时仔细研究。 本书以介绍企业网络安全防护技术措施为主线，叙述在建设企业网络时，要重点关注的技术要点。本书共有12章，内容简介如下： 第1章主要阐述网络安全的重要性，讨论企业网络的安全需求和建设目标、建设原则、建设标准，以及企业网络面临的安全风险。 第2章主要介绍局域网安全设计原则、局域网的种类、局域网的典型网络架构。 第3章首先介绍几种基本的网络设备，接着介绍如何搭建能访问互联网的网络，然后介绍无线网络，最后简单介绍如何进行网络规划。 第4章主要介绍为保障与互联网相连的网络安全可采取的网络安全防护技术，重点介绍局域网安全防护技术，这是本书的一个重点内容。 第5章主要介绍如何组建隔离网络，需要采用哪些必要的防护技术，并简要介绍突破物理隔离网络的途径。 第6章主要介绍为保障内网安全可采取的安全防护措施，详细地介绍了应用系统安全防护技术，这也是本书的一个重点内容。 第7章主要讨论为满足有特殊需求的网络而采取的特殊手段，以及不同安全等级的网络系统相互连接时采取的技术措施。 第8章主要介绍企业上云后，云端数据将面临的安全风险，以及应采取的安全防范措施。 第9章主要介绍为保障网络系统的总体安全而采取的安全防护措施，具体有网络系统如何选型、区域空间防护的要点、主机安全加固、数据库安全加固，同时简要介绍了制定应急处置预案的必要性及方法，以及要加强应急处置预案的演练和培训，以提高处置突发事件的能力。 第10章通过几个示例来介绍如何组建满足不同需求的网络。 第11章主要介绍面对出现的网络新形态、新应用、新技术、新业态，我们如何做好准备，积极迎接网络安全防护的新挑战。 第12章为结束语，希望通过本书抛砖引玉，能为网络安全技术的发展贡献自己的微薄之力。 由于笔者水平及精力有限，本书不足之处在所难免，恳请读者提出宝贵的意见和建议，以便进一步完善。 笔者电子邮件地址： 13998366810@139.com 编著者

第1章 企业网络安全概述 1 1.1 网络安全的重要性 1 1.2 企业网络安全的总体要求 3 1.2.1 局域网的网络安全需求 3 1.2.2 连接外网的网络安全需求 4 1.2.3 网络安全需求分析 4 1.2.4 网络安全建设目标 7 1.2.5 网络安全建设原则 7 1.2.6 网络安全建设标准 8 1.3 局域网面临的安全风险 10 1.3.1 从内容上进行风险分析 10 1.3.2 从安全角度进行风险分析 13 1.3.3 从设备角度进行风险分析 16 第2章 局域网框架 21 2.1 局域网安全设计 21 2.1.1 OSI七层网络模型 22 2.1.2 网络级安全设计 25 2.1.3 系统级安全设计 28 2.1.4 传输级安全设计 29 2.1.5 应用级安全设计 29 2.1.6 数据安全设计 30 2.1.7 边界防护设计 33 2.1.8 安全设备配置 33 2.1.9 机房安全设计 36 2.1.10 信息系统安全检测 39 2.2 局域网的种类 44 2.2.1 普通网络 44 2.2.2 内部级网络 45 2.2.3 等级保护网络 46 2.2.4 分级保护网络 46 2.2.5 增强的分级保护网络 46 2.3 局域网典型网络架构 46 2.3.1 连通互联网的局域网 46 2.3.2 互联互通的局域网 49 2.3.3 隔离的局域网 50 第3章 组建访问互联网的网络 51 3.1 基本的网络设备 51 3.1.1 路由器 51 3.1.2 交换机 54 3.1.3 集线器 57 3.2 组网方案设计 57 3.2.1 选择入网方式 58 3.2.2 选择合适的网络结构 58 3.2.3 选择通信方式 59 3.2.4 选择上网模式 60 3.3 无线网络 61 3.3.1 无线网络已被广泛应用 61 3.3.2 5G意味着什么 62 3.3.3 移动网络的安全防护 65 3.4 网络规划设计 66 3.4.1 系统设计原则 66 3.4.2 网络安全架构设计 67 第4章 局域网安全防护技术 71 4.1 网络安全防护总体要求 71 4.1.1 网络安全的范围 71 4.1.2 网络安全防护需求 74 4.1.3 安全设备部署示例 76 4.2 常见的网络攻击与防范 78 4.2.1 互联网面临的主要威胁 78 4.2.2 常见的系统入侵方法 79 4.2.3 常见的网络攻击形式 80 4.2.4 网络攻击的防范措施 85 4.3 常见的网络安全防护技术 90 4.3.1 防火墙 90 4.3.2 防毒墙 98 4.3.3 入侵防御系统 99 4.3.4 安全网关 104 4.3.5 入侵检测系统 109 4.3.6 双向网闸 117 4.3.7 Web应用防火墙 120 4.3.8 服务器防护 123 4.3.9 杀毒软件 124 4.3.10 上网行为管理 125 4.3.11 网络通信安全 131 4.3.12 电子数据安全 132 4.3.13 终端安全防护 135 4.3.14 堡垒机 142 4.3.15 日志审计系统 146 4.4 备选的网络安全防护技术 153 4.4.1 负载均衡技术 153 4.4.2 欺骗防御技术 157 4.4.3 端点检测与响应系统 162 4.4.4 智能安全防御系统 167 4.4.5 漏洞扫描 170 4.4.6 防离线防篡改监控系统 173 4.4.7 系统后台行为监控 174 4.4.8 移动终端安全防护技术 175 4.4.9 缓冲区防数据泄露技术 177 4.4.10 容灾防护 177 4.4.11 网络流量分析 180 4.4.12 供电系统防护 183 4.4.13 防电磁辐射措施 184 4.5 安全管理平台 185 4.5.1 采集器部署 185 4.5.2 平台技术应用 186 4.5.3 平台的安全策略 187 4.6 网络系统的安全升级 191 4.6.1 网络系统的硬件升级 192 4.6.2 网络系统的软件升级 192 4.6.3 提高网络的管理水平 192 4.7 信息系统安全风险评估 193 4.7.1 安全风险评估的必要性 193 4.7.2 如何进行安全风险评估 193 4.8 互联网的管理和使用 194 4.8.1 培养良好的个人习惯 194 4.8.2 管理检测与响应 196 4.8.3 完善管理使用规章制度 197 第5章 组建隔离网络 200 5.1 分区域搭建局域网 201 5.1.1 按硬件种类分区域管理 201 5.1.2 按系统功能分区域管理 201 5.1.3 按文件数据的重要性分区域 管理 202 5.2 单向隔离技术 202 5.2.1 产生的原因 202 5.2.2 安全功能 203 5.2.3 类型和应用场景 204 5.2.4 目的和用途 205 5.2.5 技术思路和硬件结构 206 5.2.6 产品形式 206 5.2.7 安全部署 207 5.3 突破物理隔离网络 207 第6章 应用系统安全防护技术 210 6.1 应用系统整体设计原则 210 6.2 系统级安全防护 213 6.2.1 系统驱动最小化处理 213 6.2.2 及时修补内网操作系统 213 6.2.3 外部接口防护 214 6.2.4 输出信息设备管理 215 6.3 应用级安全防护 220 6.3.1 应用软件防护 220 6.3.2 防病毒检查系统 221 6.3.3 数据加解密系统 222 6.3.4 数据防护技术 222 6.3.5 安全管理模块 223 6.3.6 文件安全检查预警系统 225 6.3.7 系统监控 226 6.4 内网使用管理制度 228 6.4.1 必要性 228 6.4.2 完善安全管理制度 228 第7章 特殊需求的网络设计 229 7.1 独立专线方案 229 7.2 无线加专线的通信方案 230 7.3 混合网络方案 230 7.4 移动终端防护处理技术 231 7.5 无信息互通的网络接口 231 7.6 有信息互通的网络接口 232 7.6.1 基于单片机的单向传输设备 232 7.6.2 双向网闸方式 235 7.6.3 传输链路加密 235 7.7 联系紧密的网络连接 236 7.8 与总部网络连接 236 7.9 与高保密性网络连接 236 第8章 云数据安全 238 8.1 关于云 238 8.1.1 云的本质 239 8.1.2 为什么上云 243 8.1.3 怎么上云 244 8.2 云存储、云计算与其他存储、 计算方式的区别 246 8.3 云面临的安全风险 248 8.4 云安全防范措施 251 8.4.1 云安全的内涵 251 8.4.2 云安全服务的方式 252 8.4.3 安全资源池解决方案 253 8.4.4 云安全防护技术 254 8.4.5 云安全解决方案示例 256 8.4.6 提升云安全的有效措施 263 第9章 系统加固与应急处置 266 9.1 系统选型的基本原则 266 9.2 系统工作区域空间防护 266 9.3 主机安全加固 267 9.3.1 服务器安全加固 267 9.3.2 系统终端安全加固 271 9.4 数据库安全加固 276 9.4.1 加固的必要性 276 9.4.2 面临的安全风险 276 9.4.3 安全加固措施 277 9.4.4 数据库保险箱 280 9.5 应急处置预案及措施 280 9.5.1 制定应急处置预案的必要性 281 9.5.2 编制应急处置预案 281 9.5.3 应急处置预案演练 285 第10章 组网示例 287 10.1 不对外提供服务的网络 287 10.2 对外提供特定服务的网络 289 10.3 对外提供公共服务的网络 290 10.4 信息安全检测中心 291 10.5 数据采集系统 295 第11章 新形态、新技术、新挑战 296 11.1 网络的发展变化 296 11.1.1 中国互联网的发展 296 11.1.2 无边界网络 298 11.1.3 暗网 298 11.1.4 “互联网+”计划 299 11.1.5 工业互联网和物联网 300 11.1.6 卫星网络 301 11.2 新技术 303 11.2.1 区块链技术 303 11.2.2 拟态安全防御 304 11.2.3 量子技术 305 11.2.4 新系统助力数字化转型 306 11.2.5 6G网络 308 第12章 结束语 309 参考文献 312