互联网是一个浩瀚的知识海洋,蕴含着无穷的力量,也暗藏着各种危险,那么与其相连的网络就会受到来自他方的威胁,因此做好网络的安全防护是必要的。建立全面的网络安全解决方案不仅需要打造外围的网络安全环境,还需要做好主动的网内安全防御措施。要想做好网络的安全防护,先要搞清楚要防范什么,再想怎么防范。
先来看一下一般信息系统的基本架构,如图4-1所示。
由图4-1可知,信息系统很复杂,涉及的安全内容也很多、很广,而局域网、广域网、互联网、物联网就是由各种信息系统组成的。归纳起来,网络安全主要包括网络协议安全、网络设备安全、网络架构安全三个方面,如图4-2所示。
图4-1 信息系统的基本架构
图4-2 网络安全的范围
1.网络协议安全问题
网络协议对应的网络接口层协议如图4-3所示。下面从网络协议对应的网络层来逐一叙述。
图4-3 网络协议对应的网络接口层协议
1)网络接口层
(1)主要协议有ARP(地址解析协议)、RARP(反向地址解析协议)。
(2)存在的安全问题:
①损坏:自然灾害、动物破坏、老化、误操作。
②干扰:大功率电器、电源线路、电磁辐射。
③电磁泄漏:传输线路的电磁泄漏。
④欺骗:ARP欺骗。
⑤嗅探:常见二层协议是明文通信的,如ARP等。
⑥拒绝服务攻击:MAC Flood攻击、ARP Flood攻击等。
2)网络互联层
(1)网络互联层核心协议是IP协议。
①IP协议是TCP/IP协议族中最为核心的协议。
②IP协议的特点:IP协议是一种无连接(是指通信双方都不会长期维护对方的信息)、不可靠(是指不保证数据报文能准确地到达接收端)、无状态(是指通信双方不同步传输数据的状态信息,数据报文的发送、传输、接收都是互相独立的)的分组传输服务协议。
(2)网络互联层存在的安全问题。
①拒绝服务攻击:Teardrop攻击。
②欺骗:IP源地址欺骗。
③窃听:嗅探。
④伪造:IP数据包伪造。
3)传输层
(1)传输层协议:TCP协议。
①传输控制协议:提供面向连接的、可靠的字节流服务。
②提供可靠性服务:数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量。
(2)传输层协议:UDP协议。
①用户数据报协议:提供面向事务的简单不可靠信息传送服务。
②特点:无连接、不可靠;协议简单,占用资源少,效率高。
(3)传输层存在的安全问题。
①拒绝服务攻击:SYN Flood攻击、UDP Flood攻击、Smurf攻击。
②欺骗:会话劫持。
③窃听:嗅探。
④伪造:数据包伪造。
(4)TCP/IP协议栈——IPv4安全隐患:
①缺乏数据源验证机制;
②缺乏完整性验证机制;
③缺乏机密性保障机制。
4)应用层
(1)应用层协议:定义了运行在不同端系统上的应用程序、进程如何相互传递报文。
(2)典型的应用层协议。
①域名解析协议:DNS。
②电子邮件协议:SMTP、POP、IMAP。
③文件传输协议:FTP、SFTP、SSH。
④网页浏览协议:HTTP、HTTPS。
(3)应用层协议存在的安全问题。
①拒绝服务:超长URL链接。
②欺骗:跨站脚本、钓鱼式攻击、Cookie欺骗。
③窃听:数据泄露。
④伪造:应用数据被篡改。
⑤暴力破解:应用认证口令被暴力破解等。
综上所述,得到基于TCP/IP协议族的安全架构,如图4-4所示。
图4-4 基于TCP/IP协议族的安全架构
2.网络安全设备的安全问题
关于网络安全设备的安全问题,下面将逐一进行叙述。
3.网络架构的安全问题
关于网络系统架构的安全问题,请参看第2章。
一般来讲,局域网防御的重点在服务器区域和系统终端区,以及如何及时发现网络中的攻击行为,并及时处置,安全事件发生后能及时追踪、溯源,以此来体现整体网络的安全防护能力。
网络安全防护的需求主要有如下几点。
1.恶意代码防范需求
防火墙等安全系统可以静态地实施访问控制策略,防止一些非法的访问。但对利用合法的访问手段,比如,利用系统内部漏洞,对系统入侵和内部用户的入侵是没有办法控制的。防火墙往往是攻击的重点,一旦防火墙遭到攻击后,将很有可能造成网络中断。防火墙仅具有四层封包解析功能,对于针对七层网络模型的黑客攻击手法或利用合法手段掩护的非法的网络行为便无法有效管控,故需要一种能对七层网络模型数据包实现完全检测的技术,来有效地防御应用层的网络攻击,如木马病毒、缓存区溢出攻击等。
2.未知威胁监测需求
目前网络中大多部署了入侵检测设备,主要对已知的攻击样本进行分析,以提炼出各种签名文件来进行检测;它只能对已知或者公开的攻击进行预警和防御;对未知的威胁和零日(0day)攻击无法进行检测防御。而随着目前业务系统的复杂多变,未知的威胁日益增加,因此在网络中部署一台对未知的安全威胁能够有效检测的设备是非常必要的,这可以综合提升整体网络的安全防护能力。
3.物理隔离需求
服务器区是重点防护区域,如果服务器区与其他各区域处在同一个网络中,而且相互之间通信采用TCP/IP协议(TCP/IP协议存在很多可以利用的安全漏洞,不是绝对安全的协议),则综合考虑最好将服务器区单独划分为独立的网络区域,但要保证服务器区域与其他各区域之间能够进行业务交互。
4.安全审计需求
日志审计需求主要源自两个方面:一方面是从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及追查来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息;另一方面是从国家法律法规、行业标准和规范的角度出发,日志审计已经成为满足合规与内控需求的必备功能。
在规划、设计网络系统时,为增强日志审计系统的安全性,最好将日志审计系统与正常运行的信息网络系统分开组网,或采用单向传输设备将采集的日志传输到系统后端的日志审计系统,使黑客或不法分子没有机会修改、消除其入侵而留下的痕迹,便于企业和组织对不法分子的违法行为进行分析、追踪、取证。
5.数据库审计需求
随着计算机和网络技术的发展,信息系统的应用越来越广泛,数据库作为信息系统的核心和基础,承载着越来越多的关键业务数据信息,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。由于在国防、电信、金融、能源等诸多领域基础设施的广泛应用,数据库中往往储存着诸如军事秘密、国家重要信息、金融信息、社保信息、通信信息、产品交易明细、个人信息等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成国家、企业或者社会的经济损失,重则影响企业形象甚至社会安全及国家安全,可见数据库安全是何等的重要,因此需要对数据库进行日志审计。
6.漏洞扫描需求
“漏洞”已经越来越为信息技术行业的人们所熟悉,这不仅仅因为它本身的丑陋面目,而且它的存在使得各种威胁从四面八方蜂拥而至,致使信息系统遭受前所未有的灾难。不提时间较远些的“冲击波”“震荡波”,就说最近的“勒索病毒”,深受其害的人没有一个不对它们印象深刻。无一例外,这些恶意代码都是利用系统漏洞广泛传播的,进而对信息系统造成严重危害。没有及时识别并修补这些被利用的漏洞,是信息系统最终遭受危害的根本原因。信息系统的安全漏洞是各种安全事件发生的主要根源之一,在安全事件层出不穷的今天,漏洞问题更需要被特别关注。做好安全漏洞管理工作,是计算机用户在构建信息安全体系时,需要重点考虑甚至优先考虑的问题。
7.服务器安全需求
服务器作为存储数据的重要载体,对服务器操作系统的完整性破坏是当前服务器面临的主要安全威胁。现有服务器操作系统,从开机启动到运行服务过程中,对执行代码不做任何完整性检查,导致木马病毒可以嵌入执行代码程序或者直接替换原有程序,实现木马病毒等恶意代码的传播。
另外,执行程序运行过程中不满足最小权限原则,使得非法操作者和恶意代码能够拥有至高无上的权限,从而给破坏服务器操作系统完整性的行为预留了空间。为了保障服务器的安全,必须防范各种已知及未知的破坏系统完整性的攻击,从根本上保证系统的完整可信。
同时,服务器上运行着的各种应用系统会保存企业的重要信息,但是服务器对重要信息的访问没有进行严格的控制,一旦这些重要的信息泄露,对政府、企业、机构等都会造成极其严重的影响,甚至威胁国家安全和企业利益。
概括起来,互联网发展到今天,攻击者的攻击对象主要是智能设备、各种操作系统、物理隔离网络(以声、光、电、热等作为媒介)、新兴技术(如云、人工智能、工业互联网、物联网、车联网、区块链、5G设备等),因此要保证网络上的智能设备、应用系统、信息系统能安全稳定的运行,数据信息不泄露,一定要提高网络整体安全防护能力,做好网络安全防护工作。
网络安全防护有很多技术手段,相应地,也有很多技术产品,先来看一个技术方案,如图4-5所示。
本方案采用的安全措施有:防火墙、防毒墙、入侵防御、VPN网关、入侵检测、APT检测、Web防火墙、双向网闸、日志审计、数据库审计、漏洞扫描、运维管理等。这样的安全防护体系,能满足大部分的安全防护需求,其对整个网络有较好的防护效果,能提升网络的整体安全性能。
防火墙:主要对网络层进行访问控制。
防毒墙:对主链路上的病毒进行检测、阻断,弥补防火墙的不足。
图4-5 安全设备部署方案
入侵防御:对主链路上的木马病毒、蠕虫病毒、恶意行为等进行检测、防护,弥补防火墙和防毒墙的不足。
VPN网关:主要建立虚拟通道,对数据进行加密传输,对入网用户进行登录安全认证。
入侵检测:是网络的安全策略,对网络及系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,找到网络的弱点,为下一步采取安全措施做准备。
APT检测:动态检测未知威胁,不再基于特征库形式,而是基于沙箱形式,弥补入侵检测(静态检测)的不足。
双向网闸:能有效物理隔离内外网,杜绝TCP协议传输,能更加有效地保证重点服务器区的安全。
Web防火墙:对网站或者App的业务流量进行恶意特征识别及防护。
日志审计:对网络的现有设备和系统的日志进行统一收集及分析,发生问题后能及时溯源。
数据库审计:对数据库操作进行审计,记录对数据库的所有操作行为,并对高危操作进行异常报警。
漏洞扫描:主动探测网络的漏洞,及时发现漏洞并进行修补,提升网络整体的安全性能。
运维管理:能实时监控网络的状况,及时发现问题,处置故障,排除隐患。
通常路由器是第一个与互联网直连的设备,即直接暴露在互联网上,极易受到攻击,因此对它要加强监控和防护。有些防火墙带有路由功能,可以不必设置路由器。
上述这个方案采用了许多的安全防护措施和产品,乍看起来很不错,但实际上存在许多问题。比如,串接安全产品较多,会使主通信链路存在隐患,一旦某个设备出现故障,就会造成网络断网,而且会影响网络传输速度,即发生木桶效应;采用的安全产品太多,则用户的装备成本高,系统维护费用大,网络部署难度大。因此,应该花大气力,做充分的安全需求调研,在深入研究用户需求的基础上,本着“整体规划、分步实施”的原则,采用适当的身份鉴别、访问控制、入侵检测、内部监管、信息加密、恶意代码查杀、安全审计、灾难备份及运维管理与物理安全等技术措施,对应用系统和专用网络进行安全防护,做到精准施策,要防止弱化——不重视、虚化——不切实际、边缘化——谁都不负责等有关问题,全面、系统、详细地制定周密的网络安全防护方案。