网络安全与防护操作手册.docxVIP

网络安全与防护操作手册

第1章网络安全基础与风险评估

1.1网络架构与安全模型概述

网络架构是网络安全运行的物理与逻辑骨架，通常采用“核心-汇聚-接入”三层或混合云架构。在核心层部署高性能防火墙和下一代防火墙（NGFW）以阻断恶意流量；汇聚层通过负载均衡器分发流量并实施ACL策略；接入层则部署无线接入点（AP）和边缘安全设备。安全模型基于“纵深防御”理念，强调多层级、多阶段的防御体系。典型模型包括零信任架构（ZeroTrust），即对任何网络内外部用户、设备和服务都默认不信任，必须通过持续的身份验证和授权才能访问资源。

在数据流向分析中，需识别横向移动路径。例如，当检测到内部员工A访问外部服务器C时，系统应自动标记该行为为“横向移动”，并立即触发告警，防止攻击者利用横向移动窃取敏感数据。网络拓扑图应清晰标注VLAN划分、子网掩码及路由协议（如OSPF或BGP）。例如，将办公网与访客网物理隔离，通过交换机端口安全功能限制未授权MAC地址接入，确保攻击者无法跨越VLAN边界。安全模型需包含“最小权限原则”，即用户仅拥有完成工作所需的最小资源权限。例如，开发测试人员仅拥有服务器A的只读访问权限，无法修改任何配置文件或访问数据库，防止权限提升攻击。

定期审查安全模型的有效性，确保其随业务变化而动态调整。例如，当企业上线新的物联