网络信息安全设计及防护策略总结 | 周末送资料
【摘要】随着互联网+技术的快速发展,网络DDOS攻击、勒索病毒、SQL注入、暴力破解、数据泄密等等网络安全事件经常发生,网络信息安全面临严重的挑战,为保障客户的信息资产安全,保障客户业务系统安全稳定运行,实现“高效预防、高效检测,快速处理”,本文对网络信息安全规划及防护策略进行梳理、总结,希望对大家在实际工作起到借鉴与参考作用。
【作者】陈勇,一名从事IT行业10多年的老兵,熟悉各类系统,曾分别获得IBM CATE、HP CSA、SUN SCSA、VMware VCP、HUAWEI HCNP等多项专业认证。
网络信息安全的运行和防护不仅关系到整个数据中心业务系统稳定运行,同时,由于网络系统的多样性、复杂性、开放性、终端分布的不均匀性,致使网络极易遭到黑客、恶性软件或非法授权的入侵与攻击。
鉴于数据信息的严肃性和敏感性,为了保障和加强系统安全,防止偶然因素和恶意原因破坏、更改、泄密,保障工作正常持续进行,同时,提高系统应对威胁和抵御攻击的对抗能力和恢复能力,需要建设安全保障系统,满足信息安全等级保护的要求。使系统具有抵御和防范大规模、较强恶意攻击、较为严重的自然灾害、计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后具有能够较快恢复正常运行状态的能力,对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
1、网络信息安全范围
网络信息安全范围主要包括:网络结构、网络边界以及网络设备自身安全等,具体的控制点包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等,通过网络安全的防护,为用户信息系统运行提供一个安全的环境。
1.1、结构安全
结构安全范围包括:
1) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
2) 应保证网络各个部分的带宽满足业务高峰期需要;
3) 应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
4) 应根据各业务系统类型、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
5) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
6) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
1.2、访问控制
访问控制范围包括:
1)、应在网络边界部署访问控制设备,启用访问控制功能;
2)、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
3)、 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
4)、 应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)、 应限制网络最大流量数及网络连接数;
6)、 重要网段应采取技术手段防止地址欺骗;
7)、 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
8)、 应限制具有拨号访问权限的用户数量。
1.3、安全审计
安全审计范围包括:
1) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
2) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3) 应能够根据记录数据进行分析,并生成审计报表;
4) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
1.4、边界完整性审计
边界完整性检查范围包括:
1) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
2) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.5、入侵防范需求
入侵防范范围包括:
1)、应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;
2)、当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1.6、恶意代码防范
恶意代码范围包括:
a) 应在网络边界处对恶意代码进行检测和清除;
b) 应维护恶意代码库的升级和检测系统的更新。
1.7、网络设备防护
网络设备范围包括:
1) 应对登录网络设备的用户进行身份鉴别;
2) 应对网络设备的管理员登录地址进行限制;
3) 网络设备用户的标识应唯一;
4) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
5) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
6) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
7) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
8) 应实现设备特权用户的权限分离。
2、网络信息安全设计
网络层安全主要设计的方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几大类安全控制,下面我们来结合信息系统等级保护网络安全要求,详细聊聊网络安全设计。
2.1、网络安全区域划分
为了实现信息系统的等级化划分与保护,依据等级保护的相关原则规划、区分不同安全保障对象,并根据保障对象设定不同业务功能及安全级别的安全区域,以根据各区域的重要性进行分级的安全管理。
根据系统的业务功能、特点及各业务系统的安全需求,并根据网络的具体应用、功能需求及安全需求,规划设计功能区域。
具体功能说明及安全需求见下表:
2.2、网络结构设计
为了对信息系统实现良好的安全保障,依据等级保护三级的要求对系统进行安全建设。通过对系统的安全区域划分设计,并对主要区域进行冗余建设,用以保障关键业务系统的可用性与连续性。建议采用如下方式构建网络架构:
在网络架构的建设过程中,要充分考虑到信息系统的发展及后期建设的需求,在设备的采购及安全域的构建与划分时,就要为后期的发展与建设做好准备,如产品的功能、性能至少要满足未来3-5年的业务发展要求,产品的接口、规格要满足冗余部署的需要,VLAN的划分要为后期建设实现安全隔离提供预留VLAN等。
2.3、区域边界访问控制设计
区域边界的访问控制防护可以通过利用各区域边界区交换机设置ACL列表实现,但该方法不便于维护管理,并且对于访问控制的粒度把控的效果较差。从便于管理维护及安全性的角度考虑,可以通过在关键网络区域边界部署专业的访问控制设备(如防火墙产品),实现对区域边界的访问控制。访问控制措施需满足以下功能需求:
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
应在会话处于非活跃一定时间或会话结束后终止网络连接;
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
在网络结构中,需要对各区域的边界进行访问控制,对于关键区域,应采用部署防火墙的方式实现网络区域边界端口级的访问控制,其它区域,应考虑通过交换机的VLAN划分\\ACL以及防火墙的访问控制等功能的方式实现访问控制。
通过部署防火墙设备,利用其虚拟防火墙功能,实现不同区域之间的安全隔离和访问控制。同时,在数据中心内部区域与网络互联区之间部署防火墙。主要实现以下安全功能:
1)实现纵向专网与业务网的双向访问控制;
2)实现核心网与应用服务区、数据交换区之间端口级访问控制,关闭不必要端口;
3)实现应用层协议命令级的访问控制;
4)实现长链接的管理与控制。
2.4、网络安全审计设计
安全审计设计时,在网络层做好对网络设备运行状况、网络流量、用户行为等要素的审计工作。审计系统需具备以下功能:
实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计;
将收集到的审计信息集中存储,通过严格的权限控制,对审计记录进行保护,避免受到未预期的删除、修改或覆盖;
审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
能够实时地对采集到的不同类型的信息进行归并和实时分析,通过统一的控制台界面进行实时、可视化的呈现。
根据网络特点及业务重要性,建议部署相关网络安全审计设备。
网络安全审计涉及网络行为审计、数据库审计、日志审计和运维审计等。
网络行为审计:主要在核心业务区交换机旁路部署2台网络审计设备,可针对常见的网络协议进行内容和行为的审计,主要包括TCP五元组、应用协议识别结果、IP地址溯源结果等。可根据用户审计级别配置,实现不同协议的不同粒度审计要求。通过流量分析,分析NetFlow信息,统计分析当前网络流量状况,用户可根据此功能分析网络中的应用分布以及网络带宽使用情况等。
数据库审计:需要在核心业务区交换机旁路部署2台数据库审计设备,审计数据库的操作过程变化,可以将数据库的增删改查等操作全部审计并提供实时查询统计功能。包括SQL语句的解析、SQL语句的操作类型、操作字段和操作表名等的分析等。通过对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行业务关联分析,管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发,定位追查到真正的访问者,从而将访问Web的资源账号和相关的数据库操作关联起来。包括访问者用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息。根据解析的SQL,对用户数据库服务器进行安全判断、攻击检测。
日志审计:需要在在核心业务区交换机旁路部署2台日志审计设备,以全面采集各种网络设备、安全设备、主机和应用系统日志,将收集到的各种格式日志进行解析、归一化处理,提供给后续模块进行分析存储,以支持事后审计和定责取证。帮助实现网络日志和信息的有效管理及全面审计。
运维审计: 需要在在核心业务区交换机旁路部署2台运维审计设备(堡垒机),实现数据中心内所有设备的统一运维和集中管理。通过运维审计功能记录所有运维会话,以充足的审计数据方便事后查询和追溯,解决了数据中心内众多服务器、网络设备在运维过程中所面临的“越权使用、权限滥用、权限盗用”等安全威胁。
2.5、边界完整性设计
在区域边界部署检测设备实现探测非法外联和入侵等行为,完成对区域边界的完整性保护。检测需具备以下功能:
能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
具体技术实现如下:
1)在边界防火墙上实现基于业务的端口级访问控制,并严格限制接入IP及外联IP,杜绝在网络层发生的非法外联与内联;
2)在服务器上进行安全加固,防止因服务器设备自身安全性而造成后边界完整性损害。
2.6、入侵检测与防御设计
在网络区域的边界处,通过部署入侵防御设备对网络攻击行为进行监测或者阻断,并及时产生报警和详尽的报告,通过入侵防御功能实现。
通过在网络中部署入侵防御系统,可有效实现以下防御手段:
1)满足了重要网络边界处对攻击行为的监控需求,符合等级保护中对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等的监控要求。
2)实现了对网络中攻击行为的高效记录:当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时提供报警。
3)实现了对网络中的重要信息的保护功能,可以按照等级保护要求对重要服务器的入侵行为,记录其入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
2.7、网络边界恶意代码防范设计
区域边界防恶意代码设备需具备以下功能:
应在网络边界处对恶意代码进行检测和清除;
应维护恶意代码库的升级和检测系统的更新。
通过部署防病毒网关系统可以有效实现网络边界的恶意代码的入侵行为。网关防病毒系统实现了在业务系统边界网络攻击、入侵行为的检测与控制,能够有效针对恶意代码进行识别并控制。
2.8、基础网络设施防范设计
基础网络设施安全防范设计,主要对交换机等设备需要实现如下功能:
1)启用对远程登录用户的IP地址校验功能,保证用户只能从特定的IP设备上远程登录交换机进行操作;
2)启用交换机对用户口令的加密功能,使本地保存的用户口令进行加密存放,防止用户口令泄密;
3)对于使用SNMP进行网络管理的交换机必须使用SNMP V2以上版本,并启用MD5等校验功能;
4)在每次配置等操作完成或者临时离开配置终端时必须退出系统;
5)设置控制口和远程登录口的idle timeout时间,让控制口或远程登录口在空闲一定时间后自动断开;
6)一般情况下关闭交换机的Web配置服务,如果实在需要,应该临时开放,并在做完配置后立刻关闭;
7)对于接入层交换机,应该采用VLAN技术进行安全的隔离控制,根据业务的需求将交换机的端口划分为不同的VLAN;
8)在接入层交换机中,对于不需要用来进行第三层连接的端口,应该设置使其属于相应的VLAN,必要时可以将所有尚未使用的空闲交换机端口设置为“Disable”,防止空闲的交换机端口被非法使用。