从当前的理论研究以及实践经验来看,面向企业安全的防范体系(架构)并未有一个成型的模型,各企业均按照自身的经验和组织管理体系来进行企业网络安全的防范工作。然而,在实践中急需一套具有指导性意义的方法和手段来对其工作进行指导,才能做到有备无患。我们看到,关于网络安全的相关标准及模型的研究已经日趋成熟和理论化,并在实践中广泛应用,因此,我们不妨借用这些模型和标准来构建一套较为有效和具有普遍意义的企业安全防范体系。ITU-T X.800 Security Architecture标准将我们常说的“网络安全”进行逻辑上的分别定义,即安全攻击是指损害机构所拥有信息的安全的任何行为;安全机制是指设计用于检测、预防安全攻击或者恢复系统的机制;安全服务是指采用一种或多种安全机制以抵御安全攻击,提高机构的数据处理系统安全性和信息传输安全性的服务。
为了能够有效了解用户的安全需求,帮助用户选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其顺利实施的保障。图1-7所示为DISSP安全框架三维模型。第一维是安全服务,其中给出了八种安全属性。第二维是系统单元,其中给出了信息网络系统的组成。第三维是协议层次,其中给出并扩展了国际标准化组织(ISO)的七层开放系统互联(OSI)模型。
图1-7 DISSP安全框架三维模型
框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务,才能保证该系统单元的安全。网络平台需要有网络节点之间的认证和访问控制,应用平台需要有针对用户的认证和访问控制,需要保证数据传输的完整性和保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。对于一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。
全方位的、整体的网络安全防范体系是分层次的,不同层次反映了不同的安全问题,同样的道理,根据企业网络的应用现状和网络的结构,我们可以将企业安全防范体系的层次划分为物理层安全、操作系统安全、网络层安全、应用层安全和管理层安全。由于防范体系层次的不同,我们也需要采用不同的安全技术来针对每层的安全问题进行应对和防护,因而也就产生了许多种安全技术,下面我们将根据每层的特点和安全技术进行概要性的讲述。
●物理层安全及安全技术
保证计算机信息系统中各种设备的物理安全是保障整个网络系统安全的前提,主要包含以下几个方面:电磁泄漏、恶意的物理破坏、电力中断、安全拓扑结构、安全旁路等。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软/硬件设备的安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障等。因此,该层的安全防护技术具体体现在围绕该层的设备和系统的管理层面与电气工程相关技术的层面上。
●操作系统安全及安全技术
该层次的安全问题来自网络内使用的操作系统的安全,当前的以Windows系列为主导的操作系统从根本上来说都存在相当大的安全性问题,非常容易因为自身漏洞而遭受黑客的攻击。这具体表现在两个大的方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题,主要包括密码问题、应用服务的配置问题等。就第一个问题来说,目前的企业大多采用优秀的网络操作系统Linux来替代Windows,这样可以极大地减少系统漏洞带来的网络威胁。同时由于其是开源软件,学术界和企业界都以其为蓝本进行安全操作系统的开发,相信不久将会有较为成型的安全操作系统进入企业和广大用户的家庭。第二个问题是所有操作系统都存在的问题,具体需要通过提高使用人员的自身素质和安全防范意识来解决,设置安全的密码和合理配置网络应用服务,关掉不必要的“后门”,使得企业安全在操作系统这一层能够稳固。
●网络层安全及安全技术
该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、DNS域名系统的安全、路由系统的安全、防火墙技术、入侵检测技术、网络设施防病毒等。该层的安全及安全技术问题是当前企业面临的最大问题,由于互联网的开放性和普遍性,企业为了获得经济效益及提升知名度,不得不通过网络来进行许多商业宣传和运作活动,那么不可避免地会为网络威胁所困扰,当前网络层面的DoS攻击、DDoS攻击等危害日益增大,且追踪和防范的难度也越来越大,他们针对TCP/IP协议栈在设计和实现上的一些漏洞进行攻击,从而使得被攻击目标出现故障或者瘫痪,该层的安全防护技术主要是针对各种类型的DoS和DDoS攻击进行防护和抑制。
●应用层安全及安全技术
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括HTTP服务、SMTP电子邮件系统等。面向该层的安全问题主要出现在大量的垃圾邮件的涌现、木马攻击、“网络钓鱼”、流氓软件、代码注入攻击、利用浏览器漏洞发动的攻击、僵尸网络等方面,这些问题有愈演愈烈之势。种种这些都说明了当前企业所面临的应用层威胁的严重性和紧迫性。相应的安全技术,包括防垃圾邮件技术、木马发现、防网络钓鱼等也在各科研院所和业界的研究当中,并形成了一些阶段性的成果,然后转化为相应的产品在应用当中。
●管理层安全及安全技术
管理层的安全其实是最重要而且最容易被大家忽视的一个问题。它直接关系到上述的安全问题和安全技术是否能够收到较好的成效,同时也是贯穿整个企业安全防范架构的一条主线。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色分配都可以在很大程度上降低其他层次的安全漏洞。当前很多大型企业的安全问题无不在管理层上有所体现,管理安全无力将导致员工没有安全概念,部署和贯彻安全技术和安全理念的观念淡薄,导致出现很多不应该出现的“马其诺防线”,结果经常是内部出现大的安全问题,外部的黑客也可以轻松地通过简单的黑客技术和社会工程学等手段来获取企业的敏感信息,或者入侵到重要的企业信息系统内部,从而给企业造成无法挽回的经济损失。
根据上述安全防范架构的多个层面的问题,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,企业网络安全防范体系在整体设计过程中需要遵循以下几项准则,以切实全面地做好企业安全防范工作。
1.做好整体规划
企业信息安全系统应该包括安全防护机制、安全检测机制、安全响应机制和安全策略,这主要来源于经典的信息安全领域的P2DR模型(见图1-8)。P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
图1-8 经典信息安全P2DR模型
● Policy:由于安全策略是安全管理的核心,所以要想实施动态网络安全循环过程,必须首先制定企业的安全策略,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供了管理方向和支持手段。一个策略体系的建立包括安全策略的制订、安全策略的评估、安全策略的执行等。
● Protection:保护通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。通过防火墙监视限制进/出网络的数据包,可以防范外对内及内对外的非法访问,从而提高了网络的防护能力。当然,需要根据安全策略制定合理的防火墙策略,也可以利用SecureID这种一次性口令的方法来提高系统的安全性等。
● Detection:在网络安全循环过程中,检测是非常重要的一个环节,检测是动态响应的依据,也是强制落实安全策略的有力工具。通过不断地检测和监控网络与系统,可以发现新的威胁和弱点,通过循环反馈来及时作出有效的响应。
● Response:紧急响应在安全系统中占有重要的地位,是解决安全潜在性最有效的办法。从某种意义上讲,安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题,就要制订好紧急响应的方案,做好紧急响应方案中的一切准备工作。
因此,应用到企业安全防范架构上来说,我们也要很好地考虑这些要点,不能光为了防范而防范,要整体规划和部署。也就是说,安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全响应机制是在安全防护机制失效的情况下进行应急处理,及时地恢复信息,降低攻击的破坏程度。
2.做好层次性防范
层次性防范是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
3.突出重点,合理平衡
网络信息安全的木桶原则是指对信息均衡全面地进行保护。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性和资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。除此之外,突出一些重点环节,设计安全机制和安全服务时首要考虑到防止最常用的攻击手段,根本目的是提高整个系统的“安全最低点”的安全性能,这样既做到了合理的平衡,又做到了重点突出。
4.技术与管理,两手都要硬
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。切忌只重视其中一种而忽视另一种情况的出现,要明白好的技术是管理的基础,而高效地管理则是技术强有力的保证。
5.模块化,可动态调整
当今网络时代的技术日新月异,网络攻与防的较量也在不断地升级,新的黑客技术和网络威胁的出现必然要求我们有新的手段和对策进行防御。所以我们的安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必需的安全性。今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。另外,各个网络防御手段和技术需要考虑到模块化的原则,尽量做到相互之间不要有太大的依赖性,否则很容易导致单点失效的问题。对它们进行合理的模块化既能保证较好的防护效果,又能达到可动态调整和扩展的目的。