隨著信息技術(shù)的高速發(fā)展，人類的生活跟網(wǎng)絡(luò)緊密地聯(lián)系在了一塊兒。在電子商務(wù)，網(wǎng)絡(luò)支付極其發(fā)展的今天，各種安全問題也隨之而來。網(wǎng)絡(luò)安全，已成為當(dāng)今世界越來越關(guān)心的話題之一。近年來，APT高級持續(xù)性威脅便成為信息安全圈子人人皆知的"時髦名詞"。對于像Google、Facebook、Twitter、Comodo等深受其害的公司而言，APT無疑是一場噩夢。于是，引發(fā)了行業(yè)以及安全從業(yè)者對現(xiàn)有安全防御體系的深入思考。

在APT攻擊中，攻擊者會花幾個月甚至更長的時間對"目標(biāo)"網(wǎng)絡(luò)進(jìn)行踩點，針對性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點分析，了解業(yè)務(wù)狀況，員工信息等等。當(dāng)攻擊者收集到足夠的信息時，就會對目標(biāo)網(wǎng)絡(luò)發(fā)起攻擊，我們需要了解的是，這種攻擊具有明確的目的性與針對性。發(fā)起攻擊前，攻擊者通常會精心設(shè)計攻擊計劃，與此同時，攻擊者會根據(jù)收集到的信息對目標(biāo)網(wǎng)絡(luò)進(jìn)行深入的分析與研究，所以，這種攻擊的成功率很高。當(dāng)然，它的危害也不言而喻。要預(yù)防這種新型的，攻擊手法極其靈活的網(wǎng)絡(luò)攻擊，首先，應(yīng)該對這種攻擊進(jìn)行深入的探討、研究，分析APT攻擊可能會發(fā)生的網(wǎng)絡(luò)環(huán)節(jié)或者業(yè)務(wù)環(huán)節(jié)等；其次要對我們自己的網(wǎng)絡(luò)進(jìn)行深入的分析，了解網(wǎng)絡(luò)環(huán)境中存在的安全隱患，從而具有針對性地進(jìn)行防護(hù)。

下圖是個比較典型的網(wǎng)絡(luò)拓?fù)浜唸D：

（圖一）

參照這個網(wǎng)絡(luò)拓?fù)?，結(jié)合近幾年發(fā)生的APT攻擊，我們來分析下APT攻擊。

1）2010年，Google被攻擊事件：

攻擊者收集了Google員工的信息，偽造了一封帶有惡意鏈接的郵件，以信任人的身份發(fā)給了Google員工，致使該員工的瀏覽器被溢出，接著，攻擊者獲取了該員工主機的權(quán)限，并持續(xù)監(jiān)聽該員工與Google服務(wù)器建立的連接，最終導(dǎo)致服務(wù)器淪陷。前不久發(fā)生的Facebook被攻擊事件，與這個極為相似。

2）2011年美國《華爾街日報》報道的一個安全事件：

攻擊者通過SQL注入漏洞，入侵了外網(wǎng)邊緣的WEB服務(wù)器，然后以WEB服務(wù)器為跳板，對內(nèi)外進(jìn)行嗅探、掃描，進(jìn)而入侵了內(nèi)外AD服務(wù)器。攻擊者在已拿到權(quán)限的主機里種了自己的木馬，以公司領(lǐng)導(dǎo)的名義給員工發(fā)送了一封帶有惡意附件的郵件，最終導(dǎo)致大量公司內(nèi)網(wǎng)主機權(quán)限被攻擊者所擁有。

3）RSA SecurID被竊取事件：

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司受到攻擊，重要資料被竊取。

通過以往的APT攻擊實例，我們可以總結(jié)出，通常，典型的APT攻擊會通過如下途徑入侵到您的網(wǎng)絡(luò)當(dāng)中：

1.通過WEB漏洞突破面向外網(wǎng)的Web Server。

2.通過被入侵的Web Server做為跳板，對內(nèi)網(wǎng)的其他服務(wù)器或桌面終端進(jìn)行嗅探、掃描，并為進(jìn)一步入侵做準(zhǔn)備。

3.通過密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳號，并最終突破AD服務(wù)器或核心開發(fā)環(huán)境，被攻擊者的郵箱自動發(fā)送郵件副本給攻擊者。

4.通過植入惡意軟件，如木馬、后門、Downloader等，回傳大量的敏感文件（WORD、PPT、PDF、CAD文件等）。

5.通過高層主管郵件，發(fā)送帶有惡意程序的附件，誘騙員工點擊，入侵內(nèi)網(wǎng)終端。

6.利用0day。例如：在郵件中添加惡意URL，被攻擊者一點擊URL，瀏覽器被溢出，主機權(quán)限丟失。

7.夾雜著社會工程學(xué)的攻擊。

結(jié)合圖一，我們可以清楚地看到網(wǎng)絡(luò)中最有可能被攻擊的環(huán)節(jié)。很顯然，圖一中的網(wǎng)絡(luò)有很多問題。所以，我們應(yīng)該對現(xiàn)有的網(wǎng)絡(luò)進(jìn)行調(diào)整（網(wǎng)絡(luò)結(jié)構(gòu)/制度等）,下面的網(wǎng)絡(luò)拓?fù)鋱D是圖一的改進(jìn)版。如下圖所示：

（圖二）

網(wǎng)絡(luò)拓?fù)湔f明：

1.在外部路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部黑客對外部路由進(jìn)行DDoS攻擊，又可以做訪問控制策略，實現(xiàn)初步的安全訪問。

2.拓?fù)涞膶徲嬒到y(tǒng)（堡壘機），是為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部或者內(nèi)部惡意攻擊者的入侵和破壞，它可以收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中的每個節(jié)點的系統(tǒng)狀態(tài)，網(wǎng)絡(luò)活動等。這樣就可以方便管理人員集中監(jiān)控、記錄、分析、處理網(wǎng)絡(luò)中的異常情況，對整個網(wǎng)絡(luò)的安全，起到了不可忽視的作用。

3.核心層連的兩臺IDS設(shè)備，可以有效地監(jiān)測、預(yù)警網(wǎng)絡(luò)攻擊。當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常時，IDS會報警，并記錄異常狀況?？梢詭椭W(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)攻擊，做出相應(yīng)的防護(hù)措施。

4.上圖的網(wǎng)絡(luò)拓?fù)渲?，我們在核?匯聚層與接入層之間部署了兩臺iptables防火墻，是為了進(jìn)一步控制網(wǎng)絡(luò)的訪問策略，以保證接入層的安全控制。隔離區(qū)的各種服務(wù)器是我們要重點防護(hù)的對象，所以,對接入層的訪問控制策略，顯得尤為重要。

5.在文件/存儲服務(wù)器區(qū)，部署堡壘機、數(shù)據(jù)庫審計系統(tǒng)。以保證數(shù)據(jù)/機密文件的安全。

6.也可以按照需求，在內(nèi)網(wǎng)部署上網(wǎng)行為管理系統(tǒng)。

7.核心區(qū)域可以多加幾個防火墻，按照安全等級的不同，實行分層防護(hù)的策略，做 1級安全區(qū)域，2級安全區(qū)域。

當(dāng)然，也并不是說，我們組建這樣一個堡壘層層的網(wǎng)絡(luò)就可以阻擋一切來自外部/內(nèi)部的惡意攻擊，這只是防御攻擊的一個必要條件。其實，網(wǎng)絡(luò)攻防跟現(xiàn)實生活中的戰(zhàn)爭有很多相似之處，如果X國王建造了一個極其堅固的城墻，很寬很深的護(hù)城河，而不派兵把守各個要塞，也不站崗放哨，那么他的城池被敵軍攻破，只是時間長短的問題！我們的網(wǎng)絡(luò)攻防也是如此！#p#

針對圖二中我們改進(jìn)的網(wǎng)絡(luò)，要預(yù)防APT攻擊，筆者認(rèn)為，主要有以下十個方面：

一. WEB應(yīng)用程序的安全防護(hù)

WEB應(yīng)用程序，是整個網(wǎng)絡(luò)的第一道防線，也是整個網(wǎng)絡(luò)中最容易被外部攻擊者攻擊的一個環(huán)節(jié)，所以，WEB應(yīng)用程序的安全顯得尤為重要。圖二拓?fù)渲校诜?wù)器外部安裝了防火墻跟IDS設(shè)備，以確保服務(wù)器區(qū)（WEB程序/Mail程序etc.）的安全控制和監(jiān)測。WEB應(yīng)用程序的安全，需要注意以下幾點：

1）WEB應(yīng)用程序開發(fā)環(huán)節(jié)

我們都知道，WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。所以，在開發(fā)WEB應(yīng)用程序時，要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)（JAVA/PHP/asp.net/asp/perl/python…）應(yīng)盡量避免可能會產(chǎn)生的安全問題，如：注入、上傳、文件包含、遠(yuǎn)程/本地代碼執(zhí)行、XSS等漏洞的產(chǎn)生。在應(yīng)用上線之前，應(yīng)嚴(yán)格地進(jìn)行各種安全測試/加固。

2）WEB框架，以及web服務(wù)器軟件

按照具體的業(yè)務(wù)需求，應(yīng)合理地選擇相對穩(wěn)定、安全的WEB框架，以及web服務(wù)器軟件（Apache/ Nginx/tomcat/IBM_http_Server.etc.）。選擇好WEB運行程序之后，也需要制定安全的配置方案、加固方案，以及維護(hù)方案，以確保系統(tǒng)能夠安全、穩(wěn)定地運行。

3）WEB應(yīng)用防火墻（WAF）

一個WAF是非常有必要的，雖然它不可能解決所有的安全問題。但是，在一定程度上也可以提高WEB的安全系數(shù)！

4）WEB應(yīng)用后臺的安全管理

WEB應(yīng)用后臺，也是不可忽視的一個方面。我們需要制定一個統(tǒng)一的賬戶、密碼管理體系，同時，也要對后臺的訪問做一些控制，以免惡意攻擊者進(jìn)行暴力猜解等。

5）掛馬/Webshell檢查

定期對WEB系統(tǒng)進(jìn)行Webshell檢查（掃描）。

6）WEB漏洞監(jiān)測系統(tǒng)

WEB漏洞監(jiān)測（掃描）系統(tǒng)，定期對WEB應(yīng)用程序進(jìn)行漏洞掃描，或者弱點分析。同時，也要進(jìn)行人工的漏洞挖掘。從而發(fā)現(xiàn)系統(tǒng)存在/可能存在的漏洞（弱點）。

7）安全評估與滲透測試

定期對WEB系統(tǒng)進(jìn)行安全評估，以及滲透測試。

8）流量監(jiān)測與DDoS

流量監(jiān)測系統(tǒng)可以清晰地看出進(jìn)/出口的流量情況，有助于管理員分析WEB的運行情況，以及進(jìn)/出流量是否有異常。此外，也需要有一個防DDoS、CC系統(tǒng)，以防備外部黑客的流量攻擊。

9）日志管理

日志管理方面，需要部署一個統(tǒng)一的日志管理系統(tǒng)，這樣能夠方便管理人員對各種日志進(jìn)行管理、分析。并安排專人對每天的日志進(jìn)行分析。若發(fā)現(xiàn)異常情況，應(yīng)立即向上級領(lǐng)導(dǎo)報告，分析被攻擊因素，并及時修復(fù)漏洞，此外，也要根據(jù)異常日志，追蹤攻擊源。

10)蜜罐

部署蜜罐系統(tǒng)，誘捕惡意攻擊者。同時，也可以通過蜜罐來了解對手，追蹤攻擊源等。#p#

二、WEB服務(wù)器、網(wǎng)絡(luò)設(shè)備安全

1）服務(wù)器與網(wǎng)絡(luò)設(shè)備賬戶、密碼管理

對服務(wù)器與網(wǎng)絡(luò)設(shè)備賬戶、密碼要進(jìn)行嚴(yán)格管理，例如：密碼修改策略，賬戶添加/刪除審批，以及用戶賬戶的權(quán)限管理/審批等。并定期對服務(wù)器和網(wǎng)絡(luò)設(shè)備的賬戶、密碼進(jìn)行檢查是否存在異常情況等。

2）服務(wù)器與網(wǎng)絡(luò)設(shè)備的安全策略

部署服務(wù)器與網(wǎng)絡(luò)設(shè)備的時候，要制定相應(yīng)的安全部署策略、安全加固策略、以及訪問策略（ACL）等，并及時安裝漏洞補丁等。定期對安全策略、補丁等情況進(jìn)行檢查。

3）日志管理

對服務(wù)器日志進(jìn)行統(tǒng)一管理，并安排專人定期進(jìn)行日志分析。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析、追蹤攻擊行為！

4）服務(wù)器、網(wǎng)絡(luò)設(shè)備漏洞掃描（弱點分析）系統(tǒng)

為服務(wù)器和網(wǎng)絡(luò)設(shè)備部署漏洞掃描（弱點分析）系統(tǒng)，定期進(jìn)行漏洞掃描（弱點分析），同時，安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘（分析）工作。并定期對服務(wù)器、網(wǎng)絡(luò)設(shè)備的安全情況進(jìn)行評估，審計。

三、運維中心的安全問題

運維中心是整個網(wǎng)絡(luò)的權(quán)限"集中地"，所以，它的安全關(guān)乎整個網(wǎng)絡(luò)的安全。

1）運維中心員工制度

運維中心是整個網(wǎng)絡(luò)的權(quán)限"集中地"，所以，必須有一個完善的制度來控制（約束）該部門所掌握的網(wǎng)絡(luò)權(quán)限。其中主要有：部門員工的保密問題；管理規(guī)范問題；核心設(shè)備、賬號密碼、權(quán)限、操作的管理問題；部門員工的安全意識問題等。這些，都需要制定相關(guān)制度進(jìn)行約束，實行責(zé)任到人制度！

2）員工的上網(wǎng)行為約束

在職/離職員工，不能在網(wǎng)絡(luò)上隨意公布影響公司網(wǎng)絡(luò)安全的信息。如：泄露內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，泄露內(nèi)部員工郵箱等。

3) 訪問控制策略#p#

四、內(nèi)部文件服務(wù)器/存儲服務(wù)器的安全

此網(wǎng)絡(luò)區(qū)域為DMZ區(qū)，主要有公司內(nèi)部的文件服務(wù)器、內(nèi)部存儲服務(wù)器等。本區(qū)域與外網(wǎng)隔離。

1）對此部門的網(wǎng)絡(luò)進(jìn)行嚴(yán)格的訪問控制。尤其是高度機密的文件/數(shù)據(jù)存儲服務(wù)器。

2）服務(wù)器的配置、加固、補丁安裝等。必須要嚴(yán)格公司服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。

3）嚴(yán)格管理該區(qū)服務(wù)器的賬戶密碼、權(quán)限、操作等。

4）服務(wù)器漏洞掃描（弱點分析）

為該區(qū)服務(wù)器定期進(jìn)行漏洞掃描（弱點分析），同時，安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘（分析）工作。并定期對服務(wù)器的安全情況進(jìn)行評估，審計。

5）日志管理

對服務(wù)器日志進(jìn)行統(tǒng)一管理，并安排專人定期進(jìn)行日志分析。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析、追蹤攻擊行為！

五、辦公網(wǎng)絡(luò)的安全

1）網(wǎng)絡(luò)訪問控制

辦公網(wǎng)絡(luò)訪問控制，可以按照各個部門對信息安全等級要求，來做相應(yīng)訪問控制策略，如，A部門對信息安全等級的要求特別高，那么，網(wǎng)絡(luò)管理人員應(yīng)該對該部門的訪問策略嚴(yán)格控制。

2）入侵檢測系統(tǒng)

可以依靠IDS等入侵檢測系統(tǒng)來監(jiān)測網(wǎng)絡(luò)的安全情況，網(wǎng)絡(luò)安全部門工作人員定期對網(wǎng)絡(luò)進(jìn)行模擬滲透，并做相應(yīng)的安全評估。

3）流量監(jiān)測系統(tǒng)

在辦公網(wǎng)絡(luò)部署一個流量檢測系統(tǒng)，有助于網(wǎng)絡(luò)管理人員了解網(wǎng)絡(luò)進(jìn)/出口流量的異常情況，等等。所以，流量檢測系統(tǒng)是非常有必要的，

4）PC統(tǒng)一補丁管理服務(wù)器（WSUS）

WSUS是微軟公司推出的網(wǎng)絡(luò)化的補丁分發(fā)方案，支持微軟的全部產(chǎn)品的更新，以及補丁程序。通過部署WSUS服務(wù)器，內(nèi)部網(wǎng)絡(luò)的客戶機可以及時、快速地更新/升級windows，這樣就能防止網(wǎng)內(nèi)用戶不打漏洞補丁的問題，從而提高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。

5）病毒/木馬防御系統(tǒng)

統(tǒng)一為網(wǎng)內(nèi)所有主機（包括服務(wù)器）安裝殺毒軟件，選擇殺軟的時候，最好選擇國際上比較知名的殺軟，如：諾頓，賽門鐵克，安全部隊等…

6）無線網(wǎng)絡(luò)安全

辦公網(wǎng)絡(luò)中，應(yīng)盡可能地避免使用無線網(wǎng)絡(luò)。眾所周知，無線網(wǎng)絡(luò)目前存在諸多安全隱患，再加上不方便集中管理上網(wǎng)用戶，為了避免外部人員通過無線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機密資料被竊取，筆者建議，應(yīng)謹(jǐn)慎在辦公網(wǎng)絡(luò)部署無線。

7）Mail安全

在前面我們提到的APT攻擊事件中，我們不止一次看到了因mail所引發(fā)的攻擊事件。信息技術(shù)高度發(fā)展的今天，E-mail是我們生活、工作中必不可少的東西，而我們的普通員工，很難想象一封E-mail中所隱藏的安全隱患，所以，一個郵件過濾系統(tǒng)，是非常有必要的。當(dāng)然，郵件過濾系統(tǒng)很難完全消除郵件中的安全隱患。這方面，需要制定一些制度，如：規(guī)定員工發(fā)郵件時不能帶鏈接、附件等（如果遇到迫不得已的情況，可由安全研究檢測/分析之后再進(jìn)行瀏覽）。

8）日志管理

日志進(jìn)行統(tǒng)一管理，并安排專人定期進(jìn)行日志分析。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析、追蹤攻擊行為！

9）終端安全

制定終端加固、管理方案。確保每個終端都安全地運行。（市面上，有許多內(nèi)網(wǎng)管理軟件，可以有選擇性地采用）

10）子公司間的策略控制#p#

六、內(nèi)網(wǎng)安全

1)員工上網(wǎng)行為準(zhǔn)則

規(guī)范員工的上網(wǎng)，可以引導(dǎo)員工去安全地上網(wǎng)，必要的時候，可以用制度去約束。以確保內(nèi)網(wǎng)環(huán)境安全、穩(wěn)定。

2)員工的安全意識培養(yǎng)

安全加固、防御做的再好，如果，員工沒有良好的安全意識，也不行。所以，應(yīng)定期對員工進(jìn)行網(wǎng)絡(luò)安全方面知識的普及、培訓(xùn)等。

3)便攜設(shè)備帶來的安全問題

便攜設(shè)備，如U盤，移動硬盤，手機等，很有可能會把病毒帶到我們精心建造的網(wǎng)絡(luò)中，或者其他一些問題，如："泄密"等…

4)劃分VLAN

為了網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運行，為各個部門劃分VLAN是很有必要的。

5)預(yù)防ARP攻擊

ARP曾經(jīng)讓眾多網(wǎng)絡(luò)管理員苦不堪言，ARP是內(nèi)網(wǎng)極其常見的攻擊手段，預(yù)防ARP攻擊比較有效的方法，mac綁定（mac雙向綁定）。

6）內(nèi)網(wǎng)文件傳輸

內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時候，按照文件/資料的安全等級要求，進(jìn)行加密傳輸。

7）打印機、掃描儀等設(shè)備的安全。

七、0day

0day，被譽為網(wǎng)絡(luò)中的殺器，它的危害更具殺傷力（如：瀏覽器0day、office 0day、操作系統(tǒng)0day等）。對于0day漏洞的攻擊，一直以來都讓人頭疼的問題。為了0day危害減到最小，應(yīng)該研究\開發(fā)一個監(jiān)測系統(tǒng)，如沙盒行為分析，特征分析等…用于對惡意代碼的監(jiān)測/攔截。若截獲到惡意代碼片，研究人員應(yīng)立即進(jìn)行深入的分析。此外，也應(yīng)該關(guān)注國內(nèi)外安全動向（包括民間組織/個人），以及類似國外的一些0day交易網(wǎng)站等…

#p#

八、社會工程學(xué)

社會工程學(xué)，已不再是一個多么新鮮的話題了。但，我們不得不承認(rèn)的是，不管是在普通的網(wǎng)絡(luò)攻擊，還是我們今天所談的APT攻擊中，它都扮演著非常重要的角色。了解社會工程學(xué)的人都知道，社會工程學(xué)的攻擊，是從"人"開始的。然而，我們的網(wǎng)絡(luò)防御，其中很重要的一環(huán)也是人。這正符合社會工程學(xué)的攻擊思想。0day漏洞可怕，但出現(xiàn)在網(wǎng)絡(luò)攻擊中的社會工程學(xué)同樣很可怕！所以，我們應(yīng)該對社工有個比較全面的認(rèn)識，從而，去理智地分辨我們身邊存在/可能存在的"社工"行為以及"社工"因素，進(jìn)而避免我們自己被"社工"。社會工程學(xué)是一個很泛的東西，跟技術(shù)性的防范不同，它有很多不確定的因素在里邊，這就使得防范社會工程學(xué)攻擊的難度增加。對于社會工程學(xué)的防范，我有這么幾點建議：

1）防范來自企業(yè)內(nèi)部的主動/被動的社會工程學(xué)攻擊

來自企業(yè)內(nèi)部"主動"的社會工程學(xué)攻擊，指來自企業(yè)內(nèi)部"不安分"員工的攻擊。"被動"社會工程學(xué)攻擊，內(nèi)部員工因為信息泄露等因素，被外部攻擊者所利用而引發(fā)的攻擊。

2）防范郵件/IM中的社會工程學(xué)

在之前的APT攻擊實例中，我們不止一次看到了因為郵件所帶來的攻擊。所以，對這方面，應(yīng)該要特別注意。

3）來自下屬公司以及合作伙伴的攻擊

下屬公司、合作伙伴等…都是企業(yè)比較"信任"的一些對象。由于"信任"，所以，在展開業(yè)務(wù)合作的時候，由于各方面原因所導(dǎo)致的泄密事件等…就像我們看過的港片那樣，或許另一種《無間道》就會在你身邊上演。

4）由第三方公司引發(fā)的攻擊事件

由第三方公司引發(fā)的攻擊事件，如：DNS提供商、域名提供商、服務(wù)器托管商等。國內(nèi)也常有此類攻擊事件發(fā)生。

5）管理方面的疏漏

6）業(yè)務(wù)層方面的疏漏

九、信息安全防御體系的建設(shè)

信息安全體系的建設(shè)是整個企業(yè)網(wǎng)絡(luò)安全工作中的重中之重，有完整、規(guī)范、科學(xué)的安全防御體系，才能保證各項信息安全防御工作順利、有序地進(jìn)行。信息安全防御體系的建設(shè)主要有：

1）信息安全監(jiān)測系統(tǒng)

2）信息安全防御系統(tǒng)

3）安全評估體系

4）安全審計體系

5）安全預(yù)警體系

6）規(guī)范、嚴(yán)謹(jǐn)、科學(xué)的制度/流程

7）安全研究團(tuán)隊的建設(shè)

十、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

企業(yè)內(nèi)部網(wǎng)絡(luò)安全研究團(tuán)隊?wèi)?yīng)積極響應(yīng)安全事件，攻擊事件。同時，要密切關(guān)注國內(nèi)外網(wǎng)絡(luò)安全動向，通過外部報道的攻擊事件，從中吸取吸取經(jīng)驗教訓(xùn)，不斷完善、改進(jìn)工作中的不足。

總結(jié)：網(wǎng)絡(luò)攻防將長期存在，我們都知道，沒有絕對安全的系統(tǒng)。所以，網(wǎng)絡(luò)防御，是一項持久、繁瑣的工作，當(dāng)然，APT防御也是如此。