產(chǎn)品安全設(shè)計(jì)可分為以下幾個(gè)部分:安全管理、安全評(píng)價(jià)、安全方針等。，可以細(xì)分為很多部分。結(jié)合這幾個(gè)部分，作者給出了自己對(duì)安全概要設(shè)計(jì)的思考和分析，大家看看。

入侵防御系統(tǒng)的入侵檢測(cè)是監(jiān)測(cè)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件并分析是否有入侵的過(guò)程。

入侵防御系統(tǒng)根據(jù)檢測(cè)目標(biāo)環(huán)境可以分為兩種:基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，它們可以獨(dú)立應(yīng)用，也可以相互協(xié)作。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，就像建筑物中無(wú)處不在的電子監(jiān)控系統(tǒng)一樣。它采用旁路方式全面監(jiān)聽(tīng)網(wǎng)絡(luò)上的信息流，動(dòng)態(tài)監(jiān)控流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包，并進(jìn)行檢測(cè)和實(shí)時(shí)分析。因此，可以實(shí)時(shí)甚至提前發(fā)現(xiàn)非法或異常行為，并執(zhí)行報(bào)警和攔截等功能，從而為響應(yīng)事件提供在線幫助，以最快的方式防止入侵事件。并能全面記錄和管理日志，進(jìn)行離線分析，為特殊事件提供智能判斷和回放功能。

主機(jī)入侵檢測(cè)系統(tǒng)是基于監(jiān)控主機(jī)審計(jì)系統(tǒng)的信息，及時(shí)發(fā)現(xiàn)系統(tǒng)級(jí)用戶的非法操作行為。它可用于監(jiān)控可疑連接、系統(tǒng)日志檢查、非法訪問(wèn)入侵等。并為典型的應(yīng)用程序(如網(wǎng)絡(luò)服務(wù)器和電子郵件服務(wù)器)提供監(jiān)控。

3.網(wǎng)絡(luò)漏洞掃描系統(tǒng)

網(wǎng)絡(luò)漏洞掃描系統(tǒng)的連接方式如上圖所示(網(wǎng)絡(luò)安全設(shè)備連接圖)。該設(shè)備與核心交換機(jī)H3C 9500相連，其中網(wǎng)卡1端口用作掃描端口，網(wǎng)卡2端口用作網(wǎng)絡(luò)管理端口。

網(wǎng)絡(luò)漏洞掃描系統(tǒng)掃描整個(gè)網(wǎng)絡(luò)，尋找潛在的網(wǎng)絡(luò)安全漏洞和薄弱環(huán)節(jié)，對(duì)整體網(wǎng)絡(luò)安全進(jìn)行評(píng)估和測(cè)試。此外，當(dāng)網(wǎng)絡(luò)的配置發(fā)生變化或有其他升級(jí)操作時(shí)，應(yīng)進(jìn)行相同的操作，以防止網(wǎng)絡(luò)變化時(shí)出現(xiàn)安全漏洞和非法入侵者的機(jī)會(huì)。

網(wǎng)絡(luò)漏洞掃描系統(tǒng)通常包括三個(gè)功能相對(duì)獨(dú)立的部分:

(1)全面掃描每個(gè)網(wǎng)絡(luò)設(shè)備的安全漏洞，并自動(dòng)推薦適當(dāng)?shù)募m正措施，呈現(xiàn)所有網(wǎng)絡(luò)設(shè)備的安全漏洞的全面視圖；

(2)從操作系統(tǒng)的角度檢測(cè)特殊主機(jī)的整體安全性，允許管理員隨意自動(dòng)糾正分布式網(wǎng)絡(luò)上的安全漏洞；

(3)通過(guò)網(wǎng)絡(luò)快速方便地掃描數(shù)據(jù)庫(kù)，檢查數(shù)據(jù)庫(kù)特有的安全漏洞，全面評(píng)估所有安全漏洞以及在認(rèn)證、授權(quán)和完整性方面的問(wèn)題。

4.網(wǎng)絡(luò)殺毒系統(tǒng)

網(wǎng)絡(luò)防病毒系統(tǒng)部署在服務(wù)器(應(yīng)用服務(wù)器)上。

網(wǎng)絡(luò)反病毒系統(tǒng)可以實(shí)現(xiàn)以下主要功能:

(1)網(wǎng)絡(luò)殺毒的集中管理和部署

強(qiáng)大靈活的管理和任務(wù)調(diào)度手段允許管理員通過(guò)中央控制臺(tái)在整個(gè)網(wǎng)絡(luò)中定制、分發(fā)和執(zhí)行防病毒策略。

管理員可以通過(guò)控制臺(tái)集中監(jiān)控、配置和查詢所有節(jié)點(diǎn)上的防病毒軟件。

更新病毒掃描引擎和代碼庫(kù)，并自動(dòng)將此掃描引擎和代碼庫(kù)提供給各種服務(wù)器和工作站。

提供事件報(bào)警、匯總、統(tǒng)計(jì)等優(yōu)秀的輔助決策功能，可隨時(shí)查詢統(tǒng)計(jì)網(wǎng)絡(luò)中病毒發(fā)生情況，并可按時(shí)間(日、周或任意時(shí)間段)、IP地址、機(jī)器名稱、病毒名稱、病毒類型查詢統(tǒng)計(jì)；讓管理者隨時(shí)了解網(wǎng)絡(luò)和病毒的宏觀概況。

靈活的管理模式可以支持集中式和分布式管理，分布式管理可以跨廣域網(wǎng)，跨廣域網(wǎng)需要有效利用帶寬。

為離開(kāi)辦公室的移動(dòng)筆記本電腦用戶提供病毒預(yù)防和控制程序，包括升級(jí)病毒數(shù)據(jù)庫(kù)。

(2)網(wǎng)絡(luò)殺毒處理能力

發(fā)現(xiàn)病毒后，有很多處理方法，如清洗、刪除或隔離，以清洗為主；使用偽指令技術(shù)，不需要特殊的殺人工具。

支持郵件客戶端的防病毒，如Outlook、foxmail郵件客戶端；對(duì)SMTP和POP3傳入和傳出郵件過(guò)程的病毒監(jiān)控。

全面監(jiān)控所有病毒入口，全面實(shí)時(shí)監(jiān)控來(lái)自互聯(lián)網(wǎng)、電子郵件或CD、軟盤(pán)移動(dòng)存儲(chǔ)和網(wǎng)絡(luò)的病毒入口，無(wú)論是宏病毒、木馬、黑客程序還是有害程序。

支持查殺各種壓縮格式的文件，可以在不限制壓縮層數(shù)的情況下，消除常用格式壓縮文件中的病毒。

(3)及時(shí)更新和響應(yīng)

提供增量病毒定義碼和占用網(wǎng)絡(luò)通信流量最少的引擎更新升級(jí)方法；

提供多種更新和升級(jí)方式。

5.網(wǎng)頁(yè)防篡改及恢復(fù)系統(tǒng)

網(wǎng)頁(yè)防篡改和恢復(fù)軟件系統(tǒng)部署在服務(wù)器(應(yīng)用服務(wù)器)上。

網(wǎng)頁(yè)防篡改及恢復(fù)系統(tǒng)可以完全保護(hù)網(wǎng)站不發(fā)送被篡改的頁(yè)面，其主要功能目標(biāo)如下:

(1)動(dòng)態(tài)網(wǎng)頁(yè)腳本保護(hù)

采用核心嵌入式技術(shù)的系統(tǒng)可以直接從Web服務(wù)器獲取動(dòng)態(tài)網(wǎng)頁(yè)腳本，不受內(nèi)容變化的影響，因此可以像保護(hù)靜態(tài)網(wǎng)頁(yè)一樣保護(hù)動(dòng)態(tài)網(wǎng)頁(yè)腳本。

(2)連續(xù)篡改攻擊保護(hù)

打算進(jìn)行惡意攻擊的黑客可以利用插件輪詢技術(shù)的掃描間隔進(jìn)行連續(xù)篡改攻擊，即在網(wǎng)頁(yè)恢復(fù)后立即對(duì)其進(jìn)行篡改。但是，系統(tǒng)會(huì)在每次輸出網(wǎng)頁(yè)時(shí)檢查完整性，如果有任何變化，就會(huì)阻止傳輸。連續(xù)攻擊再快，也保證公眾不會(huì)看到被篡改的網(wǎng)頁(yè)。

另外，請(qǐng)支持路過(guò)的朋友。我想先在這里感謝你。以后會(huì)有更多高質(zhì)量的文章在這個(gè)平臺(tái)上發(fā)表。請(qǐng)期待！

本文最初由@睡枕江山發(fā)表，大家都是產(chǎn)品經(jīng)理。未經(jīng)允許，禁止復(fù)制

標(biāo)題圖來(lái)自Unsplash，基于CC0協(xié)議