下载掌阅APP,畅读海量书库
立即打开
通常局域网整体安全设计应从以下几个方面进行考虑:从物理安全性方面,包括摄像头、物理访问控制(如签名徽章阅读器、虹膜扫描仪和指纹扫描仪)和门禁锁;从周边安全性方面,如工作场地周围要了解清楚,是否有可被非法分子利用的场地和设备;从网络架构方面,要规划好网络结构,做好网络分区,配置好网络边界策略;从安全设备安全配置方面,包括防火墙、入侵防御、入侵检测、网络分段和虚拟局域网(Virtual Local Area Network,VLAN);从网络安全最佳实践方面,例如路由协议身份验证、控制平面监管、网络设备强化等;从主机安全解决方案方面,例如端点检测与响应系统、防病毒软件等的高级恶意行为和软件防护;从应用程序安全性最佳实践方面,例如应用程序健壮性测试、模糊测试、防范跨站脚本、跨站点请求伪造攻击、SQL注入攻击等;从遍历网络的实际数据方面,例如在存储和传输中使用加密手段来保护数据;从终端安全性方面,例如显示屏防护、打印机防护、接口防护;从管理活动方面,例如适当的安全策略和程序、风险管理及最终用户和员工培训等,从各个方面来全方位地解决局域网的安全问题。
除了系统安全性,网络系统设计还应全面考虑系统的规范性、实时性、先进性、易用性、准确性、可靠性、容灾性、可维护性、可扩展性、兼容性等。
下面我们从网络级安全、系统级安全、传输级安全、应用级安全等几个方面来进行研究。
OSI七层网络模型,全称为开放系统互连(Open System Interconnect,OSI)参考模型,是国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的,为开放式互连信息系统提供了一种功能结构的框架,从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。我们研究网络系统安全设计主要是以OSI七层网络模型为依据的。
OSI七层网络模型如图2-1所示。
图2-1 OSI七层网络模型
1.OSI模型各层的作用及特性
1)第一层:物理层
(1)作用:定义物理链路的电气、机械、通信规程、功能要求等,包括电压、数据速率、最大传输距离等;将比特流转换成电压。
(2)典型物理层设备:光纤、双绞线、中继器、集线器等。
(3)常见物理层标准:100BaseT、OC-3、OC-12、DS1、DS3、E1、E3等。
2)第二层:数据链路层
(1)作用:物理寻址、网络拓扑、线路规划等;错误检测和通告,但不纠错;将比特聚成帧进行传输;流量控制。
(2)寻址机制:使用数据接收设备的硬件地址即物理地址寻址,如MAC地址寻址。
(3)典型数据链路层设备:网卡、网桥、交换机等。
(4)数据链路层协议:PPP、HDLC、FR、Ethernet、Token Ring、FDDI等。
3)第三层:网络层
(1)作用:逻辑寻址,路径选择。
(2)寻址机制:使用网络层地址进行寻址,如IP地址寻址。
(3)网络层典型设备:路由器、三层交换机等。
4)第四层:传输层
(1)作用:提供端到端的数据传输服务,建立逻辑连接。
(2)寻址机制:使用应用程序的界面端口,如端口号进行寻址。
(3)传输层协议:TCP、UDP、SPX等。
5)第五层:会话层
作用:不同应用程序的数据隔离,会话建立、维持、终止,同步服务,单向或双向会话控制。
6)第六层:表示层
(1)作用:数据格式表示、协议转换、字符转换、数据加密和解密、数据压缩等。
(2)表示层数据格式:ASCII、MPEG、TIFF、GIF、JPEG等。
7)第七层:应用层
(1)作用:应用接口、网络访问流处理、错误恢复等。
(2)应用层协议:FTP、Telnet、HTTP、SNMP、SMTP、DNS等。
2.OSI模型分层结构的优点
(1)降低网络的复杂性。
(2)促进网络的标准化工作。
(3)各层间相互独立,某一层的变化不会影响其他层。
(4)网络协议开发可以模块化。
(5)便于理解和学习。
3.OSI模型数据封装
OSI七层网络模型数据流的物理传输过程如图2-2所示。
图2-2 OSI七层网络模型数据流的物理传输过程
数据封装过程:应用数据发送时从高层向低层逐层加工后传递。
数据解封装过程:数据接收时从低层向高层逐层传递。
4.OSI安全体系
OSI安全体系如图2-3所示。
图2-3 OSI安全体系
OSI安全体系结构定义了系统提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服务可以通过一种或多种安全机制提供,某种安全机制可用于提供一种或多种安全服务。
(1)五类安全服务:鉴别服务、访问控制服务、数据保密性服务、数据完整性服务、抗抵赖服务。
(2)八类安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证。
5.OSI模型与TCP/IP协议层对应关系
OSI模型与TCP/IP协议层对应关系如图2-4所示。
图2-4 OSI模型与TCP/IP协议层对应关系
对系统进行网络级安全设计,也就是系统整体安全设计或系统架构安全设计,应考虑遵循如下原则。
1.网络系统设计原则
总的来讲,我们应分级分层次地对网络系统进行设计:第一,要做好顶层设计、应用牵引和科学规划;第二,要分级实施;第三,要根据不同网络级别、不同网络区域采取相应的网络安全防护措施;第四,对网络系统要划分好工作域;第五,要做好工作域的边界防护。此外,对保密要求较高的系统,还要有更严格的保密措施,该内容不在本书的讨论范围之内。总之,我们要重视战略谋划,更要强调具体措施的狠抓落实,这样才能做好网络系统安全工作。
2.网络系统结构设计原则
网络系统结构设计一般采用功能区域性分区,要划分好安全域,如将区域分为系统运行服务区/网、系统维护区/网、安全管理区/网、核心业务区/网、办公区/网等。
从结构上讲,所谓安全域,是一个抽象的概念,可以包含普通物理接口和逻辑接口,也可以包括二层物理Trunk接口和VLAN,一般来讲,划分到同一个安全域中的接口通常在安全策略控制中具有一致的安全需求。网络系统总体架构如图2-5所示。
图2-5 网络系统总体架构
各安全域设置应合理,安全防护要得当。网络系统结构设计应满足“三可”标准,确保系统安全、稳定运行。“三可”指在系统和网络层面实现可伸缩、可重组、可替代。可伸缩是指系统的规模可根据需求进行调整,确保满足网络安全要求。可重组是指网络安全需求变化时,结构和功能便于重组。可替代是指某安全防护功能受损或有故障时,其他安全设备可替代其工作。
要使网络系统的运行稳定可靠,就要综合运用各种策略和技术手段,提高网络系统的可靠性和抗毁性,增强网络系统的安全防护能力和重组灾备能力,要使网络系统的架构是开放的,具有随时可扩充性,使网络系统的安全技术始终保持先进性和可持续性。
对网络系统要实行整体设计、规范体制、明确标准,根据用户需求制定总体规划、统一技术标准和信息处理平台,再由各具体部门分级实施。
此外,对网络系统还可以分区域进行安全等级保护,如在单向光闸(参见5.2节)之前,可以采用“信息系统安全等级保护”中的某一等级安全防护;在单向光闸之后,可以采用“信息系统安全分级保护”的某一等级安全防护。
3.网络系统架构安全设计还应着重考虑的内容
(1)要合理划分网络安全区域。
(2)要尽量采用异构网络架构、异构操作系统(有利于防御黑客攻击)。
(3)要合理规划网络IP地址、VLAN设计。
(4)要做好设备自身安全配置。
(5)要做好网络边界访问控制策略。
(6)要做好网络冗余配置。
(7)要做好系统的安全审计与监控。
为了系统的安全,日志审计系统最好使用独立的接口单独组网。单独组网能有效防止黑客从网络系统的运行网络入侵。黑客一旦进入网络系统,就可能修改安全设备、服务器、计算机主机及日志系统等的日志信息,并销毁入侵痕迹。
为了网络系统安全设备的安全,安全设备的管理口不应(不允许)连接系统运行网,最好通过串口或管理口接入自建的独立审计网络进行控制,安全设备应通过串口或管理口接入日志审计系统。
系统日常运行维护管理可以与系统运行网同网,但要用VLAN对其进行管理;有条件的也可单独组网,与系统运行网分开。
要全面考虑物理网络结构、逻辑网络结构及网络的关键设备的安全性、合理性、使用效率等方面的问题。结合业务体系、系统体系结构来检查逻辑网络结构、物理网络组成及网络关键设备等设计是否合理,这对于保持网络安全是非常重要的。确定关键网络拓扑,对于成功地实施基于网络的风险管理是非常重要的。
4.网络系统的方案设计原则
(1)保密性原则:网络系统的技术方案、实施过程和结果都应严格保密,在未经授权的情况下不应泄露给任何单位和个人,不应利用此数据进行任何侵害客户权益的事情。
(2)标准性原则:网络系统设计和实施均应依据国内或国际的相关标准进行;根据用户的保护要求,或者等级保护或分级保护基本要求,按分级安全域进行安全设计和安全建设。
(3)规范性原则:系统设计、实施的过程和文档,都应具有很好的规范性,这样便于项目的跟踪、控制、运维、升级等。
(4)可控性原则:系统所使用的设备、工具、方法和过程都应在可控制的范围之内,保证系统的可控性。
(5)整体性原则:系统的范围和内容应完整全面,避免遗漏,造成未来的安全隐患。
(6)最小影响原则:系统的安全设备应尽可能不影响信息系统的正常运行,应不会对现有业务造成显著影响。
(7)体系化原则:在网络系统的体系设计、建设中,应充分考虑各个层面的安全风险,构建完整的立体安全防护体系。
(8)先进性原则:为满足后续不断增长的业务需求,对安全产品、安全技术都应充分考虑前瞻性要求,要采用先进的、成熟的网络安全技术和安全产品及先进的管理方法。
(9)坚持独立自主原则:要吸收和引进国内外的先进技术,也要始终坚持独立自主、不断创新,夯实“稳”的基础,积蓄“进”的力量。
虽然我国科技发展十分快速,目前已经成为世界上的一流科技大国,但是在电子行业有两个问题一直伴随着我们:一是国内一直缺少芯片;二是没有国产的操作系统。
首先是芯片制造业。国内各大厂商的芯片一直依赖进口,芯片短缺造成的后果,使我们树立起“芯片观”,也让我们意识到芯片的重要性以及当前中国芯片的现状。
其次在系统层面。在计算机操作系统领域,美国微软公司推出的Windows操作系统,在全球桌面操作系统市场处于绝对的垄断地位。而在全球桌面操作系统中排名第二的是美国苹果公司推出的Mac OS。可以说,美国的微软和苹果这两家公司,几乎垄断了全球桌面操作系统市场。
在智能机操作系统领域,美国同样处于绝对的垄断地位。目前全球手机操作系统排名前两位的分别是谷歌公司推出的安卓操作系统和苹果公司推出的iOS系统。
由此可见,芯片和操作系统的问题是多么的严峻!我国已开始认识到这点。在芯片方面,国内开始在半导体领域发力,国家将大量资金和人才投入国产半导体芯片领域。
在桌面操作系统上,国产系统软件生态不断完善。目前,国产统信UOS操作系统,已经从“能用”过渡到“好用”阶段,可以满足大多数用户对于系统的需求。
除了计算机操作系统取得巨大突破,在手机操作系统层面,2021年6月,华为鸿蒙HarmonyOS 2正式发布!鸿蒙Harmony OS无论设备大小,只需要一个系统就可以覆盖内存小到128KB,大到4GB以上的智能终端设备,其微内核架构是轻量级的,它是一个能提供广泛支持的物联网操作系统,能为消费者带来极致的全场景交互体验,是面向未来的分布式操作系统。这意味着它旨在用于从物联网和智能家居产品到可穿戴设备、车载信息娱乐系统和移动设备(包括智能手机)等。鸿蒙物联网系统可以做到一次性开发,自动适配多种设备,让设备能够在系统层飞速流转,而不是在应用层流转。它的软件功能和开源代码,具有较大的灵活性。它在构建时就考虑到如此广泛的应用。这个开源平台的目标是智能手机、智能电视、智能手表等。
据此,以龙芯完全自主指令集架构loong Arch、银河麒麟、统信UOS、鸿蒙系统、欧拉系统为代表的国产操作系统堡垒就此建成。
系统级安全主要体现在物理设备的安全措施、系统软件平台即操作系统的选择及安全管理,以及用户授权和安全访问控制等方面。
1.物理设备的安全措施
在物理设备的部署上,应当采取如下措施:
(1)业务服务器上配备防泄漏设备,防止电磁泄漏。
(2)对系统硬件网络进行改造,把综合布线系统产品更换为电磁屏蔽类产品,以避免系统电信号辐射泄漏、受电磁干扰。
在物理设备的选用上,应对物理设备提供容错功能:
(1)配备冗余电源;
(2)配备冗余风扇;
(3)设计冗余信息通道;
(4)设备支持热插拔,或提供可热插拔驱动器等;
(5)各种物理设备应首选国产的产品。
此外,应对设备进行实时监控和管理。在物理设备部署上线后采用指定网络管理软件、系统监测软件或硬件,实时监控物理设备、网络设备的性能及故障。对发生的故障,要及时进行排除。另外,物理设备在允许的情况下,最好支持远程维护功能,以便在物理设备出现故障时管理员远程登录维护。需要注意的是,系统开启了远程服务功能,给工作带来了便利,也带来了安全隐患,要做好远程服务的防护,做好防护策略。比如在管理人员配合下才能进行远程服务,使用后即关闭。
2.操作系统安全管理
为了提高系统的安全性,在允许的情况下操作系统首选国产的产品。必须用引进的操作系统时,要对操作系统进行严格的检测,并对其采取必要的防护、监控措施。
在操作系统上,应采取如下必要的安全措施。
1)系统的管理员应指定专人负责,密码应该定期更换
系统的用户应分为账号管理员、数据管理员、权限管理员、安全审计员、普通分级用户,应杜绝设置超级管理员。重要的用户或管理员需要二次认证,即采取双人管理方式,增加生物特征识别、动态验证码,要定期提示用户更换密码。
2)建立特定功能的专用用户
比如数据库用户,当对数据库进行操作时,应使用数据库专用用户的身份,避免使用超级用户身份。
3)应设置好系统中用户的权限
系统在设置用户的权限时,应注意用户的权限设置要恰当,应保证普通用户对用户文件不能有可写、可删除的权限,各账户之间相互独立。
4)操作系统的选择,应与系统的安全性要求相匹配
应选用能满足用户安全要求的操作系统,且管理员要时刻了解操作系统及其他系统软件发布的动态及漏洞更新,及时安装补丁程序。
3.用户授权和安全访问控制
为了确保用户授权和安全访问控制,利用系统的基本定制功能实现对用户属性的配置。
(1)新建用户及用户组、新建角色可为多层嵌套结构,按不同用户级别和组级别进行权限分配。
(2)系统中不应存在超级用户,角色的权限应遵循最小权限分配原则,管理员级用户应相互制约。
通常情况下,传输级安全包括两个方面的内容,即传输的数据安全和传输的线路安全。
1.传输的数据安全
对于传输的数据安全,根据用户的需要,可采取特种防护设备,比如,使用端到端加密技术对数据进行防护,即需要在有一定距离的两个安全域之间传递信息时,在这两个安全域的边界分别加上数据加解密设备对传输的数据进行安全防护,以此来达到在两个安全域之间安全传输数据的目的。
在数据安全传输的安全措施中,会用到数据的加密算法和密码,要选用符合安全要求的加密算法。要依照《中华人民共和国密码法》,使用核心密码、普通密码和商用密码来保护网络和信息安全。
在网络系统的整个传输链路中,应采用安全的网络传输协议,避免明文传输,如采用HTTPS,实现传输加密。
2.传输的线路安全
在传输线路上要做好安全保护措施,对线路进行安全防护,是数据安全传输的重要内容之一。必要的时候,对传输的线路应采取物理保护措施,比如采取屏蔽措施,防止线路电磁信号泄漏;防止线路被搭载,等等。
在数据传输过程中,应尽量采用数据直传的方式,即在中转服务器上数据不落地,不进行临时存储,防止数据在中转服务器上留痕。
对于传输的线路,可以采用专用的线路,如VPDN;也可采用虚拟私有网络,如VPN等实现链路加密。
应用级安全主要是指系统的应用软件产品的安全。选国产的产品,从主观上讲,其安全性是能够驾驭的、能够溯源的,不存在“黑盒”技术,因此自主研发、自主创新应该是始终坚持的、最有效的技术措施。
通常,应用软件的安全设计主要针对如下几个方面。
1.用户授权及访问控制
不同的应用程序应创建不同的独立用户,对各个用户可授予不同的系统权限。各应用程序中的账户管理员、权限管理员、安全审计员、数据库管理员、密钥管理员的权限要相互独立,要采用双因子认证体系进行系统认证。可以将生物特征识别系统、动态码认证技术引入该系统管理中,如人脸识别、指纹识别、虹膜识别、声音识别、笔迹识别、步态识别、手机获取动态码以及与用户互动等。
(1)系统应采用双因子认证体系登录认证。
(2)每一个用户都要与用户专有的UKey、专有终端、生物特征等捆绑。
(3)要细化“系统管理员”的权力,设计多重管理机制,使系统管理员的权力最小化。
(4)要建立独立的系统管理员的专用数据库,并且要进行加密存储,最好使用用户自定义的加密算法。
(5)要分配好每个用户的权限,包括系统运维用户。普通用户没有真正删除系统数据的权限,只有标识删除数据的权限,即使是对用户自己生成的数据。
由于现代科学技术发展非常迅猛,技术变化和技术更新非常快,因此无论应用哪种身份识别认证技术,在实施前,都要对应其安全等级要求进行安全性风险评估。
2.完善日志管理机制
系统日志需要对用户登录、访问行为和实际操作等进行记录。系统日志是网络系统中数据等级最高的,通常是不允许被访问的,只有必要的时候,安全审计员才能调阅、查看。应用程序日志可以针对不同类别的问题自定义日志等级。记录程序报错,能方便管理员维护程序。
3.数据的安全管理
网络系统中每一名用户都会产生自己的专有数据,应对自己的专有敏感数据进行安全加密、权限设置,可以针对每一部分设定使用范围,以此来保障专有敏感数据的安全。
4.应用软件的加密处理
(1)通信协议加密。应采用加密的传输协议,如HTTPS、SFTP协议。
(2)可执行程序代码加密。应防止对用户授权和安全访问控制程序进行解密。
(3)密码管理员负责对系统的加密算法和密钥进行管理,从而保证系统数据库中的核心数据的安全。
5.输入参数安全认证
对应用软件输入的参数要采取严格的检验措施,避免成为网络系统的薄弱点。
无论什么数据信息都需要载体,通常服务器就是数据信息的载体,服务器就是存储机密信息的基础平台。为了保证数据安全,需要在信息泄露事件发生之前能够得到预警、提前防范;在信息泄露事件发生时能够主动实时防护;在信息泄露事件发生之后做到及时报警、快速响应、恢复及溯源,即在预警、防护和响应三个层次上进行主动防护。
数据安全的威胁主要来源于接入网络系统的(合法的、非法的)终端用户,因此要严格地管理和约束终端用户的行为。采用准入控制技术,使用技术手段进行控制,对于违反安全策略的终端用户,应限制其访问网络资源,从而保证所有接入网络内部的终端符合用户安全策略要求和特别信息防泄露的要求。
1.数据防泄露措施
1)建立敏感信息样本库
针对不同类型的数据,可以采用不同的方式定义敏感信息来进行检测:针对结构化格式数据,采取精确数据匹配的方式;针对非结构化数据,采取索引文件匹配的方式,且对敏感样本数据库进行定期更新,保证敏感样本数据库始终是最新的。
2)制定监视和防护策略
用户可以自定义数据访问策略,每种策略都是检测规则和响应规则的组合。当违反一种或多种检测规则时,将发生安全事故。在异常事故中将会通过特定数据和发送人/接收人的“白名单”进行过滤。策略中的每个检测规则都被指定一个严重性等级,事故的总体严重性由所引发的最高严重性级别确定。用户还可以定义消息组件,如正文、标题或附件,针对这些组件可以给出检测规则。
3)部署监视防护策略,检测敏感数据
当用户创建监控策略后,它们被立即推送到所有适用的服务器上。服务器对扫描入库、检索、出库的消息或文件、破解的内容进行检测后,将散列数据与扫描服务器中包含的检测规则进行比较,完成对敏感数据的检测。
服务器中可以采用分布式检测,以提高检测效率、节省检测时间。
4)网络数据泄露防护
网络数据泄露防护(Data Leakage prevention,DLP)系统,又称数据丢失防护(Data Loss prevention,DLP)系统,是指通过一定的技术手段,防止网络的指定数据或信息资产,以违反安全策略规定的形式流出的一种系统。
DLP系统有提供专门的数据访问接口的服务器。该服务器可以位于隔离区(也称“非军事化区”,Demilitarized Zone,DMZ)的网络出口,以查看其是否包含敏感信息。DMZ网络中需添加加密、隔离和拦截包含敏感数据的Web和FTP通信协议,可以检查最有可能丢失保密数据的流量,如可以用敏感信息样本库,对网络上传输的数据进行实时监测,以此来保证网络传输的内容没有敏感信息。
5)存储数据泄露防护
通过安全策略识别文件服务器、数据库服务器、数据存储库中泄露或驻留的保密数据,来检查数据是否存在违反安全策略的情况。通过检测网络出口的传输流量,分析离开网络的数据流,实现对读取的文件及其包含的其他数据的扫描。如果发现违反预先制定的数据丢失策略的敏感数据,则会激活自动响应规则,并向管理员发送事故通知,采取事故补救措施,并最终形成报告。
2.数据备份管理
系统数据备份是非常重要的一项内容。在系统运行过程中,经常会由于设备故障以及其他因素,导致系统崩溃、数据库的毁坏,因此为了系统数据安全,必须进行数据备份。
一般系统中应有备份、先备份后恢复、导出数据、恢复等工作模式,具体内容如下。
(1)可采用完全备份与增量备份相结合的方式进行数据备份。
(2)数据备份时间频度应结合系统的数据增量来确定,如每天一次、每周一次。
(3)除对系统数据进行定期备份之外,当系统数据有变化时,必须当天进行备份。
(4)备份介质可为磁带、可移动存储设备、硬盘柜、备用存储服务器等,应避免使用本机硬盘进行备份。
(5)对备份设备及介质必须进行定期检查和维护,要保证不能由于设备及介质的原因而耽误数据备份。
(6)应定期对备份的正确性和完整性进行检验。
(7)备份工作必须由专人负责,备份介质由专人保管,要确保备份数据的安全。
(8)可使用专业热备份软件做灾难备份。
(9)当系统发生故障时,应及时利用备份文件将系统恢复至最近的正常状态,并通知用户及时补充故障期间丢失的数据,直至恢复到系统发生故障前正确的数据状态。
数据安全技术保障措施如图2-6所示。
图2-6 数据安全技术保障措施
数据链路安全技术保障措施如图2-7所示。
图2-7 数据链路安全技术保障措施
从基本特性上讲,安全域是指同一环境内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的网络或系统。每个安全域具有基本相同的安全特性,如安全级别、安全威胁、安全风险等。一个系统应依据这些特性,将资产归入不同的安全域中,来实施不同的安全保护。
一般来讲,为了网络安全管理的需要,需要将网络划分安全域或局部内部网络,每个安全域都需要进行安全防护,在每个安全域的边界也要做好边界防护,实现安全域的访问能够被控制,即安全设备能够对安全域进行访问控制,通过合理配置安全网关来管理安全域是一种行之有效的办法,还应使管理员能够随时对安全域进行阻断、脱网等操作。重要的网络设施和区域需要加强防护,系统内部安全域之间也要采取安全防护措施。这是建设网络时应重点关注的一个方面,也是网络安全防护重点关注的内容。
通常,网络安全边界防护有专门的边界防护系统(Border Protection System,BPS),该系统应具有如下的功能。
(1)该系统能够保护内部网络不受外网的攻击,内部网络只有通过专用的接入服务器才能通过BPS访问外部网络中的转发服务器。
(2)外部网络中只有转发服务器上的转发程序才能通过BPS访问系统内部网络。
(3)该系统支持VPN,能实现端到端高强度加密。
(4)为增强网络系统的安全性,对网络访问控制应采取如下措施。
①依靠在安全网关或交换机上划分VLAN及设置访问控制列表来防止病毒或黑客在服务器与终端之间传播或访问,而且对于每个端口要与连接设备IP地址、MAC地址绑定,以确保网络系统访问设备的唯一性。
②在重要服务器之前要增加主机防护系统(Host Protection System,HPS),来保证终端访问数据库服务器的合法性。
网络系统中为保证其安全性,一般会部署满足各种安全要求的安全设备。
为更好地发挥安全设备的作用,最好选用单一功能的安全设备,而多功能的、一体化的安全设备一般较适合低保密要求的小型网络。
应尽快实现网络信息设备本土化,尽可能选用国产设备,要选用通过国家相关主管部门安全认证的安全设备。有行业特殊要求的,按特殊要求选用。
下面推荐几种安全设备配置方案。
1.最低配置
安全设备最低配置方案如图2-8所示,包括防火墙、入侵防御系统(IPS)、网络版杀毒软件等。
图2-8 安全设备最低配置方案
2.基本配置
安全设备基本配置方案如图2-9所示,包括防火墙、入侵防御系统(IPS)、防毒墙、入侵检测系统(IDS)、网络版杀毒软件、双向网闸、Web应用防火墙(WAF)、日志审计系统(含数据库审计功能)、漏洞扫描设备等。
图2-9 安全设备基本配置方案
3.中级配置
安全设备中级配置方案如图2-10所示,包括防火墙、入侵防御系统(IPS)、防毒墙、入侵检测系统(IDS)、网络版杀毒软件、双向网闸、Web应用防火墙(WAF)、日志审计系统、漏洞扫描设备、堡垒机、抗DDoS攻击设备,双因素认证设备(令牌)、IP地址管理设备、运维管理设备、数据备份系统等。
图2-10 安全设备中级配置方案
4.较高级配置
安全设备较高级配置方案如图2-11所示,包括链路负载均衡设备、防火墙、入侵防御系统(IPS)、防毒墙、入侵检测系统(IDS)、网络版杀毒软件、安全管理中心(Security Operations Center,SOC)、双向网闸、Web应用防火墙、日志审计系统、漏洞扫描设备、堡垒机、抗DDoS攻击设备、双因素认证设备、IP地址管理设备、运维管理设备、数据备份系统、服务器负载均衡设备等。
安全管理中心是一个管理、控制中心,其他的设备信息都是它的前端数据信息,因此其连接的位置和配置需要仔细斟酌。
5.高级配置
安全设备高级配置方案如图2-12所示,包括链路负载均衡设备、防火墙、入侵防御系统、防毒墙、入侵检测系统、网络版杀毒软件、安全管理中心、双向网闸、Web应用防火墙、日志审计系统、漏洞扫描设备、堡垒机、抗DDoS攻击设备、双因素认证设备、IP地址管理设备、运维管理设备、数据备份系统、服务器负载均衡设备、异地应用容灾设备、本地应用容灾设备、防高级持续性威胁(APT)攻击设备、态势感知平台等。
图2-11 安全设备较高级配置方案
图2-12 安全设备高级配置方案
对于安全设备内部的配置、安全策略设置,可以根据选用的具体安全设备的性能进行配置,具体参考相应的产品手册即可。
机房是存储服务器和网络设备的重要场所,需要对其进行严格管理。
1.机房安全要求
(1)电梯和楼梯不能直接进入机房。
(2)建筑物周围应有足够亮度的照明设施,能很清晰地观察周围的情况。
(3)进出口应有监视报警系统。
(4)机房进出口须设置应急电话。
(5)机房供电系统应与照明用电分开,供电系统最好采用双路供电。
(6)机房及疏散通道应配备应急照明装置。
(7)机房周围100m内不应有危险建筑物。
(8)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。
(9)机房内照明应达到规定标准。
2.环境监控
监控系统是一种有效的防护措施,能对系统运行的周围环境、操作环境实施监控或监视,如机房内采用视频监控系统、人像报警系统和红外入侵报警设备,要做到安全监控无死角。对重要的机房和场所,还应采取特别的防盗措施,如值班守卫、出入口安装金属防护装置、安装双因子门禁系统等。
特别注意,视频监控系统不要摄录到应用系统显示屏、键盘等敏感部位。
3.三度控制
机房要做好对温度、湿度及洁净度的控制,要安装空调、加湿去湿设备、新风设备、空气清洁设备。
4.防静电
静电会使计算机运行时出现随机故障、误动作或运算错误,而且大规模集成电路对静电极其敏感,很容易因静电而损坏,这种损坏是不可逆的。静电引起的问题有时很难查出来,有时还会被误认为是软件故障,从而造成工作混乱。所以防静电是非常重要的,一定要做好对静电的防护。
静电防护和去除措施如下:
(1)要严格控制静电源,尽可能抑制或减少机房内静电荷的产生,从根源上消除静电。
(2)要使用泄漏法使机房内静电导电材料和静电耗散材料上的静电荷通过一定的路径泄漏到地下,在一定的时间内将产生的静电荷及时地泄放掉,从而及时地安全可靠地消除机房内产生的静电荷,避免静电荷积累。
要保证机房内的金属机柜外壳、金属设备外壳、线缆屏蔽层、金属桥架、金属屏蔽网(包括静电底板)等均与局部等电位接地端子板电气导通良好。
(3)机房内一般应采用乙烯材料装修,避免使用挂毯和地毯等吸尘、容易产生静电的材料。
(4)要保持机房有适当的湿度,主要用于释放机房空气中游离的电荷,降低空气中电荷的浓度。机房的湿度应适当,以不结露为宜,以免因湿度过大损坏设备。
(5)要定期对防静电设施进行维护和检验,确保防静电设施完好无损,防止计算机出现故障。
(6)对绝缘材料,要使用离子静电消除器(中和法),使物体上积累的静电荷通过吸引空气中的异性电荷而被中和掉。
5.电源措施
(1)对电源线干扰,如中断、异常中断、电压瞬变、冲击、噪声、突然失效事件等,应有针对性地采取相应的有效措施对其进行处置。
(2)应对电源采取必要的保护措施,目前其保护装置有:金属氧化物可变电阻(MOV)、硅雪崩二极管、气体放电管(GDT)、滤波器、电压调整变压器(VRT)及不间断稳压电源(UPS)等。
(3)机房应配置预防电压不足或电压下跌的设备,如配置UPS电源、应急发电机组等。
(4)当电源电压波动超过允许波动的范围时,需要进行电压调整,允许波动的范围通常在±5%内,应增加自动电压调节器或滤波稳压器,以及紧急开关设施等。
6.机房布线
(1)预留电源、信号线缆要适当,应割掉多余的部分,让线缆尽量平铺放置。
(2)应分开敷设强电线路与弱电线路,要防止强电干扰;在布置信号线缆的路由走向时,应尽量减小由线缆自身形成的感应环路面积,以免产生感应干扰。
防静电地板下面的强电线缆与弱电线缆应当分开敷设,并保持合理间距,以免产生电磁信号泄漏和干扰。
(3)对进入机房的线缆屏蔽层、金属桥架、光缆的金属接头等,在进入机房前应做一次接地处理,即与机房内汇流排可靠连接,并接地。
(4)机房的接地主干线应采用铜或银质材料,截面积应不小于16mm2,并与机房内设置的局部等电位接地端子板可靠连接,机房内的其他接地线路,也应与该接地端子板可靠连接,可消除不同接地之间的电位差。
(5)机房应配备防雷设施。
7.防火、防水、防虫咬
为避免机房发生火灾、水灾、虫咬等,应采取如下措施。
(1)要安装火灾报警系统,要配备灭火设施,如气体灭火设备等。
(2)要修建火灾隔离装置,安装防火隔离门。
(3)要安装水位报警系统,防止水灾的发生。
(4)要部署防虫设施。
8.做好电磁防护
要做好机房的电磁屏蔽以防止电磁干扰。防电磁信息泄露技术包括对泄露信息的分析、预测、接收、识别、复原、防护、测试、安全评估等技术。电磁信息泄露有两种途径:一是以电磁波的形式辐射出去,主要是指计算机内部产生的电磁辐射;二是通过各种线路和金属管道(如计算机系统的电源线、机房内的电话线、上下水管道和暖气管道及地线等)传导出去的传导辐射。
目前主要的电磁防护措施有两类:一类是对传导发射的防护,主要通过对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,为提高电子设备的抗干扰能力,除提高芯片、部件的抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法,如安装防辐射设备,使用屏蔽网线、屏蔽水晶头、机房屏蔽、机柜屏蔽等,必要的时候可以采用电磁干扰措施,来防止机房发生电磁泄漏。
9.完善安全管理
(1)硬件安全管理。
①要加强硬件资源的安全管理。
②要加强硬件设备的使用管理。
③要加强常用硬件设备的维护和保养。
(2)要完善系统运行维护管理制度。
(3)要完善计算机管理制度。
(4)要完善文档资料管理制度。
(5)要完善操作人员及管理人员的管理制度。
(6)要完善计算机机房的安全管理规章制度。
(7)要做好详细的工作记录。
我们先来了解一下网络系统建设的一般过程:第一,要明确网络建设的安全要求;第二,依据相关的标准,制定网络系统的建设方案;第三,对制定的网络系统的建设方案进行安全评审;第四,根据通过的安全评审方案,对网络系统进行建设;第五,依据通过的安全评审方案,对建设完成的网络系统进行验收;第六,通过验收的网络系统,按照相关的管理规定要求,上线运行;第七,运行的网络系统要进行定期的安全检测。根据用户需求,选择国家信息系统等级保护安全测评、涉密信息系统分级保护安全测评、信息系统安全测试、信息系统安全风险评估、信息系统安全产品的测评认证等方法进行安全检测即可。
由此可见,信息系统安全检测是网络系统建设、运行的需要。
1.信息系统等级保护安全测评
信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。
根据信息系统应用业务的重要程度及其实际安全需求,分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行。
等级保护的核心是对信息系统特别是对业务应用系统分等级、按标准进行建设、管理和监督。信息系统等级保护安全测评以是否符合信息系统等级保护基本要求为目的。
信息系统等级保护安全测评,国家有相应的标准,按照《信息安全等级保护管理办法》规定,信息系统安全保护等级分为五级,根据用户的安全需求,只需要严格执行即可。
等级保护安全测评流程如图2-13所示。
图2-13 等级保护(简称等保)安全测评流程
2.涉密信息系统分级保护安全测评
涉密信息系统分级保护的对象是所有涉及国家秘密的信息系统。各级保密工作部门根据涉密信息系统的保护等级实施监督管理,对不同密级的信息实行分级保护,确保系统和信息安全,确保国家秘密不被泄露。
对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,要合理平衡安全风险与成本,采取不同强度的保护措施。
涉密信息系统保护,根据涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级。
涉密信息系统分级保护安全测评,国家有相应的标准,根据确定的安全等级,只需要严格执行即可。
3.信息系统安全测试
信息系统安全测试是被委托的专业安全检测部门,根据用户的要求,对信息系统的特定项目进行的安全测试。
4.信息系统安全风险评估
安全风险评估是指以安全建设为出发点,对用户关心的重要资产的价值,潜在威胁发生的可能性及严重性进行的安全性评价,即对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等薄弱环节进行分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的安全风险,并根据风险的严重级别制订风险处置计划,确定下一步的安全需求方向,进一步确定要采取的安全措施。
(1)信息系统安全风险评估的主要内容。
①弱点评估。
弱点评估的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所谓威胁源,是指能够通过系统缺陷或弱点对系统安全策略造成危害的主体。
弱点评估的信息是通过控制台评估、咨询系统管理员、网络脆弱性扫描等手段收集和获取的。
弱点评估的内容包括:技术漏洞的评估和非技术漏洞的评估。
技术漏洞主要是指操作系统和业务应用系统中存在的设计和实际缺陷。
非技术漏洞主要是指系统的安全策略、物理和环境安全、账号安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理等方面的不足或者缺陷。
弱点评估采取的手段有漏洞网络扫描、主机审计、网络安全审计、渗透测试。
②威胁评估。
从宏观上讲,威胁按照产生的来源可以分为非授权蓄意或故意行为、不可抗力、人为错误,以及设施、设备、线路、软件错误等。
威胁评估的信息获取方法有渗透测试、安全策略文档审阅、人员访谈、由入侵检测系统收集和由人工分析得到等。
威胁评估采取的手段:历史事件审计、网络威胁评估、系统威胁评估、业务威胁评估。
③安全风险评估。
安全风险评估是组织确定信息安全需求的一个重要途径,是等级保护安全测评的一种手段。
安全风险评估以PDCA循环持续推进安全风险管理为目的。
PDCA循环是全面质量管理所应遵循的科学程序,是质量计划的制定和组织实现过程,这个过程就是按照PDCA循环,不停顿地周而复始地运转的。其中,P(plan)——计划,是指方针和目标的确定以及活动计划的制订;D(do)——执行,是指具体运作,实现计划中的内容;C(check)——检查,是指总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;A(action)——处理,是指对检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训也要总结,以免重现,对于没有解决的问题,应提交到下一个PDCA循环中去解决。
(2)安全风险评估的过程,如图2-14所示。
图2-14 安全风险评估的过程
(3)安全风险要素关系图解,如图2-15所示。
(4)安全风险分析原理,如图2-16所示。
图2-15 安全风险要素关系图解
图2-16 安全风险分析原理
(5)安全风险评估流程,如图2-17所示。
图2-17 安全风险评估流程
安全风险评估流程:确定评估范围→资产的识别和影响分析→威胁识别→脆弱性评估→威胁分析→风险分析→风险管理。
(6)安全检测(测试)流程图解,如图2-18所示。
安全检测(测试)的目的是在技术上进行安全隐患排查。
图2-18 安全检测(测试)流程图解
(7)安全风险评估的形式。
信息安全风险评估分为自评估和检查评估两种形式;以自评估为主,自评估和检查评估相结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。
自评估是指自己主动组织开展的风险评估。
检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。
(8)安全风险评估的常用方法有:①检查列表;②文件评估;③现场观察;④人员访谈;⑤技术评估等。
5.信息系统安全产品的测评认证
根据相关规定,由具有测评资质的、权威的信息系统安全测评部门,按相应的国家标准、相应的程序、流程对信息系统安全产品进行测评认证。
6.使用“开源安全信息管理系统”对网络系统进行安全评估、防护、检测、响应
开源安全信息管理系统(Open Source Security Information Management,OSSIM),是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品集成,提供一个能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织、能够更好地进行监测和显示的框架式系统。OSSIM是一个集成解决方案,其目标并不是开发一个新的功能,而是利用丰富的、强大的各种应用程序,包括Snort IDS、NMAP、Nessus及Ntop等开源系统安全软件。在一个保留它们原有功能和作用的开放式架构体系中,将它们集成起来。而OSSIM的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。由于开源项目的优点,这些工具已经是久经考验的、经过全方位测试的、可靠的工具,因此我们可以使用OSSIM对信息系统进行安全检测,但是在进行安全检测时,要保证被检测系统的安全。