國聯易安：搭建主動防御體系 保障網絡安全免疫

　　正如沈昌祥院士所言，網絡安全風險源于圖靈機原理少攻防理念、馮·諾依曼結構缺防護部件和工程應用無安全服務的先天性脆弱缺陷。另外，設計IT系統不能窮盡所有邏輯組合，必定存在邏輯不全的缺陷。由此可見，搭建主動防御體系，保障網絡安全免疫非常重要，國聯易安專家給出如下五點建議：

漏洞：及時發現并修補

　　利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。漏洞可能是編程中的大意，也可能是設計者預留的后門，總之是系統邏輯設計上的一個缺陷或者編寫錯誤，任何系統都會存在很多的漏洞。

　　對此，國聯易安網絡安全專家認為，組織要建立漏洞修復庫，這樣既可以為運維人員提供全面、權威的漏洞修復指導；又可以保證漏洞修復能更有效進行，增加漏洞修復的成功率。

　　漏洞庫建立重點考慮三方面：一是依據漏掃產品的標準參數為基礎；二是參考威脅情報數據，整理更多的方案參數為補充；三是合并人工定期驗證過的漏洞方案作為權威標準。

　　另外，漏洞修補與響應人員要進行協同，網絡運維或網絡安全人員要提高漏洞修補響應的效率。為了系統網絡安全，同時需要通過漏掃產品定期對網絡和系統進行掃描，及時發現漏洞并進行修補。

身份識別：明確接入系統的人員身份

　　據前瞻產業研究院發布的《中國身份認證信息安全行業與前景預測分析報告》統計，2018年中國網絡身份認證信息安全行業市場規模達到132億元，到2022年將接近300億元。

　　身份識別目前的技術手段主要有指紋身份認證、語音身份認證、虹膜認證、口令身份認證方式等。身份認證是網絡應用的基礎，并貫穿于所有網絡應用的全過程?？梢灾v，沒有身份識別就沒有網絡應用。

　　從數據安全監管的角度，中國信息安全研究院副院長左曉棟表示，目前的監管還停留在表面上，技術分析能力不足，還不能有效地發現非法緩存等違規行為，但并不意味著將來也做不到。監管的下一步應該深入到企業具體內部行為、后臺行為上去。

　　由此，在等保2.0時代，必須要部署安全準入、堡壘機及雙因素認證等產品，確保接入到網絡的人員身份可信、網絡出口唯一。

響應：主動阻斷攻擊

　　很多關鍵的信息系統不可以在遭到攻擊損失后再來補救，而是需要檢測到攻擊時就能及時阻斷以避免造成損失。由此，在網絡入侵防護方面，要求在發現攻擊時要能夠立即主動響應并實時阻隔入侵。

　　入侵防御系統是前瞻性的主動防御系統，可以對網絡流量中的惡意數據包進行檢測并阻止，預先對攻擊性流量進行攔截，而不是在傳送惡意流量的同時或之后發出報警。

　　傳統的網絡安全設備如防火墻、網絡版殺毒軟件固然不能少，網關層的防毒墻也是有必要的。但是國聯易安網絡安全專家還是建議將入侵檢測系統更換為入侵防御系統，因為入侵防御系統不僅要能發現網絡攻擊，而且能阻斷網絡攻擊，同時可以結合用戶的實際情況合理地配置網絡安全策略。

數據庫：實現主動防護

　　國內外公司每年都會發生不少由于數據泄露致使信息丟失、勒索攻擊等安全事件。

　　數據是如何泄露的？有關數據顯示，數據泄露事件的主要根源中，47%的事件涉及惡意或犯罪行為，25%是由于員工人為因素，28%涉及系統故障，包括IT和業務流程故障。

　　通過數據庫防護技術，可以提升數據庫防黑客、防高危操作、防數據泄漏。通過數據庫脫敏和數據加密技術，可以提升數據防守能力，敏感數據以密文的形式存儲，能保證即使在存儲介質被竊取或數據文件被非法復制的情況下，敏感數據仍具有安全性。數據庫脫敏既保護敏感數據，又滿足監管合規的要求，可謂兩全其美；通過數據庫審計技術，可以幫助用戶滿足數據安全治理合規要求，快速通過監管部門評測，實現核心數據訪問狀態的可視化、可控化并提供智能化報告，實現數據庫的訪問行為監控、危險操作告警、可疑行為審計。

專業服務：定期服務巡檢

　　主動防御體系的建設除了部署主動防御的安全產品以外，一些定期的安全服務巡檢也必不可少，主要是以下三項：

　　滲透測試。模仿黑客并利用黑客攻擊網絡可能使用到的攻擊技術和漏洞發現技術，深入探測目標系統各方面的安全防護能力，以便找出目標系統防護脆弱的環節，發現網絡安全防御體系中存在的漏洞;

　　安全測試。對新的信息系統進行全方位的安全測試。能夠在系統正式開展業務前及時發現系統開發和程序設計中沒有考慮到的安全隱患和問題，有效降低系統帶來的安全風險;

　　安全運維。安全運維服務通過對目標網絡及信息系統定期進行漏洞掃描、脆弱性檢查、代碼安全審計、安全巡檢、安全加固等巡檢措施，不斷優化安全策略并及時采取相應網絡安全技術防護，以提高信息系統安全防御能力。

結束語

　　近年來，隨著云計算、移動互聯、大數據、物聯網、人工智能等技術的迅猛發展，網絡安全形勢愈來愈嚴峻，網絡環境愈來愈復雜。

　　隨著《網絡安全法》的實施、網絡安全等級保護標準的出臺，各行各業及監管部門迅速響應，建立、健全了信息安全管理制度，尤其是信息系統按照等保2.0定級、測評、整改，積極落實監管求和各項安全保護措施，行業內信息系統安全等級保護工作受到前所未有的重視。

　　“網絡安全為人民,網絡安全靠大家”，只有我們都有了網絡安全意識，才能搭建起主動防御體系，保障網絡安全免疫真正地實現。

　　關于國聯易安

　　北京國聯易安信息技術有限公司(原北京智恒聯盟科技有限公司)簡稱“國聯易安”，成立于2006年，擁有“國聯易安”和“智恒聯盟”兩個品牌，是國內專注于保密與非密領域的分級保護、等級保護、業務連續性安全和大數據安全產品解決方案與相關技術研究開發的領軍企業。公司多項安全技術補了國內技術空白，并且在政府、金融、保密、電信運營商、軍隊軍工、大中型企業、能源、教育、醫療電商等領域得到廣泛應用。

　　國聯易安除研發生產專業安全產品外，還為客戶提供全面的檢測與防護方案專家咨詢、源代碼安全評估、安全運維值守、智能終端安全評估、安全滲透測試、專業安全培訓等專業安全服務。

　　有關國聯易安詳情，敬請瀏覽公司官網：http://www.glya.com.cn