1、安全解决方案设计相关知识 安全解决方案设计相关知识网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系 统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、 安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。 网络安全解决方案主要针对一些普遍性问题和所应采用的相应安全技术及相关安 全产品,主要内容包括: 应用防病毒技术,建立全面的网络防病毒体系; 应用防火墙技术,控制访问权限,实现网络安全集中管理; 应用入侵检测技术保护主机资源,防止内外网攻击; 应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;
2、应用网站实时监控与恢复系统,实现网站安全可靠的运行; 应用网络安全紧急响应体系,防范安全突发事件。 防病毒方面:应用防病毒技术,建立全面的网络防病毒体系 随着 Internet 的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力: 当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。 不管是存储在工作站中、服务器里还是流通于 Internet 上的信息都已转变成为一个关系事 业成败关键的策略点,这就使保证信息的安全变得格外重要。而2001 年却是不平凡的一年, 是计算机病毒疯狂肆虐的一年,红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆 弱的安全神经,更使
3、部分信息网络用户一度陷入通讯瘫痪的尴尬局面 基于以上情况,我们认为系统可能会受到来自于多方面的病毒威胁,为了免受病毒所 造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台 PC 机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基 于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的 台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建 网络防病毒系统时,应利用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、 防杀结合的策略。具体
4、而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件, 通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 应用防火墙技术,控制访问权限,实现网络安全集中管理 防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网 络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。 在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部 网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。防火墙可以完 成以下具体任务: 通过源地址过滤,拒绝外部非法 IP 地址,有效的避免了外部网络上与业务无关的主 机的
5、越权访问; 防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻 击的可能性降低到最小限度,使黑客无机可乘; 同样,防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限 IP 地址,保证外部网络只能访问内部网络中的必要资源,与业务无关的操作将被拒绝; 由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外 部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为; 另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法 通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙 几乎是
6、不可能的。 防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客 攻击失去目标。 应用入侵检测技术保护网络与主机资源,防止内外网攻击 应用防火墙技术,经过细致的系统配置,通常能够在内外网之间提供安全的网络保护, 降低网络的安全风险。但是,仅仅使用防火墙、网络安全还远远不够。因为: (1)入侵者可能寻找到防火墙背后敞开的后门; (2)入侵者可能就在防火墙内; (3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。 入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相 应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以
7、重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短黑客入侵的时间。 应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估与安全加固 安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统 互相配合,能够有效提高网络的安全性。 通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发 现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞 和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防 御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患 于未然。 安全扫描工具源于
8、黑客在入侵网络系统时所采用的工具,商品化的安全扫描工具为网 络安全漏洞的发现提供了强大的支持。 应用网站实时监控与恢复系统,实现网站安全可靠的运行; Web 服务系统是个让外界了解您的窗口,它的正常运行将关系到您的形象。由于网站 服务器系统在安全检测中存在严重的安全漏洞,也是黑客入侵的极大目标,所以需要采用 网站监控与自动恢复系统,保护网站服务器的安全。 应用网络安全紧急响应体系,防范安全突发事件 网络安全作为一项动态工程,意味着她的安全程度会随着时间的变化而发生改变。在 信息技术日新月异的今天,昔日固若金汤的网络安全策略,总难免会随着时间的推进和环 境的变化,而变得不堪一击。因此,我们需要随
9、着时间和网络环境的变化或技术的发展而 不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发 事件。 紧急响应的目标 (1)故障定位及排除 目前依靠广域网的响应时间过长,而一般的网络系统涉及到系统、设备、应用等多个 层面,因此如何将性能或故障等方面的问题准确定位在涉及到(线路、设备、服务器、操 作系统、电子邮件)的具体位置,是本响应体系提供的基本功能。 (2)预防问题 通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统 出现性能抖动时,就能及时发现,并建议系统管理员采用及时的处理。 (3)优化性能 通过对线路和其他系统进行透视化管理,利用管理系统
10、提供的专家功能对系统的性能 进行优化。 (4)提供整体网络运行的健康以及趋势分析。 对网络系统整体的运行情况作出长期的健康和趋势报告,分析系统的使用情况,对新 系统的规划作出精确的基础。 2、 安全技术体系分析模型介绍 安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计 和分析的基础。 为了系统、科学地分析网络安全系统涉及的各种安全问题,网络安全技术专家们提出 了三维安全体系结构,并在其基础上抽象地总结了能够指导安全系统总体设计的三维安全 体系(见图1) ,它反映了信息系统安全需求和体系结构的共性。具体说明如下: 图1 安全框架示意图 安全服务维 安全服务维(第一维,X
11、 轴)定义了7 种主要完全属性。具体如下: 身份认证,用于确认所声明的身份的有效性; 访问控制,防止非授权使用资源或以非授权的方式使用资源; 数据保密,数据存储和传输时加密,防止数据窃取、窃听; 数据完整,防止数据篡改; 不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和 用以防止接收者对所收到数据或内容的抗否认; 审计管理,设置审计记录措施,分析审计记录; 可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的 条件下尽可能少地受到侵害者的破坏。 协议层次维 协议层次维(Y 轴)由 ISO/OSI 参考模型的七层构成。与 TCP/IP 层次对应,可
12、以把 会话层、表示、应用层统一为“应用层” 。 系统单元维 系统单元维(Z 轴)描述了信息网络基础构件的各个成分。 通信平台,信息网络的通信平台; 网络平台,信息网络的网络系统; 系统平台,信息网络的操作系统平台; 应用平台,信息网络各种应用的开发、运行平台; 物理环境,信息网络运行的物理环境及人员管理。 安全技术体系的理解及实践 贯穿于安全体系的三个方面,各个层次的是安全管理。通过技术手段和行政管理手段, 安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。 安全体系的理解 在图1 的安全体系分析模型中,完整地将网络安全系统的全部内容进行了科学和系统 的归纳,详尽地描述了网络安全系统
13、所使用的技术、服务的对象和涉及的范围(即网络层 次) 。对于上图的理解,不妨简单说明如下: 安全服务维是网络安全系统所提供可实现的全部技术手段; 网络协议维是网络安全系统应该将所采纳之安全技术手段实施的范围; 系统单元维是网络安全系统应该提供安全保护的对象。 作为一个现实的网络安全系统,首先要考虑的是安全建议书所涉及的有哪些系统单元, 然后根据这些系统单元的不同,确定该单元所需要的安全服务,再根据所需要的安全服务, 确定这些安全服务在哪些 OSI 层次实现。 构建安全系统的基本目标 在上述的三维结构的安全体系中,安全服务维是向网络系统的各个部分和每一个层次,提 供安全保证的各种技术手段和措施。
14、虽然并不是每一个应用网络都需要安全服务维提出的 所有手段,但是对于一个包含各种应用和具有一定规模的企业网络,这些安全措施应该都 基本具备,因此安全服务维所涉及的所有安全服务措施,是网络安全系统的基本建设目标。 根据我们对企业网络系统应用现状的认识,以及未来将要实现的各种应用目标了解,我们 认为企业网络安全系统,最终需要全部实现图1 中安全服务维所提出的基本技术手段。 网络安全系统的技术实施 构筑网络安全系统的最终目的是对网络资源或者说是保护对象,实施最有效的安全保护。 从网络的系统和应用平台对网络协议层次的依赖关系不难看出,只有对网络协议结构层次 的所有层实施相应有效的技术措施,才能实现对网络
15、资源的安全保护。 针对一般网络系统的结构和应用要求,为了达到保护网络资源的目的,必须在网络协 议层实施相应的安全措施,如下表1。 表1 ( * 表示需要实施) 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 认证 * * * * 访问控制 * * * * 数据保密 * * * * * * 数据完整性 * * * 不可抵赖性 * 审计 * * * * 可用性 * * * * 参考资料: 1、ISO/IEC17799: INFORMATION TECHNIQUES SECURITY TECHNIQUES CODE OF PRACTICE FOR INFORMATION SECURITY
16、 MANAGEMENT (2ND EDITION) 2、 ISO/IEC15408-1999“信息技术 安全技术 信息技术安全性评估准则 ”(简称 CC)相应 国标 GB/T18336 3、 ISO/IEC13335IT 安全管理指南 (GMITS )系列: ISO/IEC13335-1:2004信息和通讯技术安全管理的概念和模型 ISO/IEC13335-2:1997IT 安全管理和计划制定 ISO/IEC13335-3:1998IT 安全管理技术 ISO/IEC13335-4:2000安全措施的选择 ISO/IEC13335-5网络安全管理方针 4、 GB17859-99计算机信息系统安全
17、保护等级划分准则 5、 CISCO 网络核心技术内幕网络安全解决方案:美CISCO SYSTEMS 公司 著 希望图书创作室 译,2002。 6、 CISCO 企业网安全设计准则(I) (II) 7、 NETSCREEN 企业网网络安全系统设计建议书3 安全方案设计方法 安全方案设计与其他方案设计一样,都分为需求分析和方案设计两个大的阶段,不同 的是各阶段需要分析和设计的内容不同。在安全需求分析阶段,主要需要进行资产分析、 漏洞分析、威胁分析和需要遵照的标准和政策分析;而在方案设计阶段要考察能满足需求 的技术、产品及相应的工程规划,最后形成可实施的方案。如图下图。 3、1 需求分析 3、1、1
18、 资产分析 安全方案总是以保护一定价值的资产为目的。因此资产的价值决定了方案设计时考虑 的投入强度。一般情况下,不可能用大于资产价值的保护代价去保护资产。目前普遍接受 的看法认为,安全投入占资产价值的10-20%是比较合理的。问题是,资产的价值如何确定, 尤其是信息资产的价值量化就更模糊。 目前,资产价值的分析有两种指标,一种价格指标,一种是价值指标。前者可以量 化,后者可以分级。在信息网络中,网络资源(硬件、软件)的投入是有价格的,但信息 资源却很难用价格来衡量,如,很难说一份绝密文件值多少钱。因此,在资产分析阶段, 应该将网络资源和信息资源分别估算。网络资源的价格可以初略地认为等同于合同价
19、格, 容易确定。关键是信息资源的价值需要探讨。 在美国的信息安全保障框架( IATF )中,将信息资产分为 V1-V5 五个级别,起分级 的依据是信息遭受破坏后的影响程度。V1-V5 定义如表1 所示。 2、 方案设计阶段 信息资产:文件、数据 网络资产:设备、结构 资产分析漏洞分析 威胁分析 标准、政 策析 技术选择 产品选择 分析工程规划 实施方案 分析 1、需求分析阶段 表2 IATF 信息资产分级 信息级别 分级依据 V1 对信息保护策略的违反造成的负面影响和结果可以忽略。V2 对信息保护策略的违反会对安全、保险、金融状况、组织的基础设施 造成 不良影响/或小的破坏 V3 :对信息保护
20、策略的违反回造成一定的破坏 V4 对信息保护策略的违反会严重破坏安全、保险、金融状况、组织的基 础设施 V5 :对信息保护策略的违反回造成异常严重的破坏 我国将涉密信息分为绝密、机密、秘密、内部和公开五个级别,对各级别的重要程 度和扩散范围做出了详细规定。 虽然对商业信息没有明确的分级依据,但资产拥有者可以根据信息的重要程度和信 息被攻击后可能引发的损失程度将信息进行分级。基于这样的认识,我们可以将信息价值 划分为五级(其他分级数也可以,但太细的分级可操作性较差) ,不凡称之为分别成为不重 要、一般重要、重要、很重要、特别重要。并分别赋值1-5。这样可以将资产价值分析总 结为 表2。 表3 资
21、产价值分析表 资产类别 资产价值 价值评估依据 网络资产 价格 建设合同价(采购、开发、实施、服务、维护等)1 不重要2 一般重要3 重要4 很重要 信息资产5 特别重要 根据以上资产分析依据,就可以给资产赋值。从而成为方案设计的一个量化依据。 3、1、2 漏洞分析 在分析了资产价值之后,就要对信息网络的脆弱性进行分析评估。如果信息网络没 有漏洞可供攻击者利用,则认为信息网络是安全的。然而,实际的信息网络总有脆弱点存 在。而且有些脆弱点是是无法避免的,如,很多服务端口必须开通,为合法访问者提供服 务的同时也为攻击者提供了通路。漏洞扫描的目的就是确认信息系统具体存在什么漏洞。 这种,通过制定信息
22、系统存在的漏洞的类别和风险级别来指导采取的防范措施。漏洞扫描 的有关内容在“脆弱性分析”一章一做了介绍。但在具体应用时,应制定相应的脆弱性分 析结果表,如表3 所示。 表4 漏洞分析结果样表 被评估对 象 扫描工具 漏洞名称/ 编号 漏洞描述 漏洞风 险级别* 应对措施 WWW 服 务器 ISS Scnaner 安装补丁包 Email 服 务器 数据库服 务器 路由器 * 表中漏洞风险级别分3 级:1-低2-中3-高 该表的条目可根据需要自行增减,样表 16、3 只是描述了主要的要素,其中,被评估 对象可以是网络设备(如路由器) ,也可以是主机设备(如服务器) ,可以是操作系统,也 可以是具体
23、应用;扫描工具有多种,根据实际情况选用;漏洞名称和编号常采用 CVE 公布 的规范,有些尚未列入 CVE 的漏洞可暂给一个临时编号;漏洞描述部分是对响应漏洞的情 况简单的说明,如,存在什么版本的系统中等;风险级别是反映漏洞可能导致的危险的评 价,初略地分为高、中、低三个级别;应对措施是指已供认的措施(如安装补丁程序)和 本方案中必须自行提出的防范措施等。 漏洞评估要定期进行。 3、1、3 威胁分析 安全方案的最终是为了阻止威胁,保护信息安全,因此,在方案设计中,必须先分 析被保护系统面临的威胁种类和来源,提出相应的技术措施。 有关威胁分析的一般知识在“安全脆弱性分析”一章中已介绍。这里从实际应
24、用的 角度进行方法分析。针对具体的应用系统,必须先划定保护的边界,然后分析来自保护边 界内外的威胁,做出相应的威胁分析和对策表,如表4 所示。 表5 威胁分析和对策表 被保护边界 可能面临的威胁 可能造成的损失 应对措施 Internet 接口 对外服务接口 PSTN 拨号接口 Extranet 接口 WAN 接口 子网接口 重要服务器 在表中,可以根据被保护网络的具体状况,分析保护边界和威胁,然后采取保护措 施。 3、1、4 标准和政策分析 信息安全既是技术问题,也是管理问题。作为技术问题,必须遵照相应的技术标准, 而作为管理问题,则要符合国家的相关政策。 因此在方案设计时进行标准和政策分析
25、,制定相应的表格,如表5 和6。 表6 标准分析表 标准名称 标准类别 标准主要要求 方案采纳条款 GB17859 评估标准 将信息系统安全分为5 级 采用第3 级要求 CC 评估标准 安全功能和保障 方案设计采用 PP/ST 模式 ISO17799 安全管理 对具体的系统管理提出 了技术要求 参照技术要点 表7 政策要求分析表 政策名称 政策类别 政策主要要求 方案采纳条款 安全产品 管理办法 产品资质 安全产品必须有销售许 可证 遵照 商用密码 产品管理 条例 密码政策 采用国产算法、硬件实 现 遵照 ISO17799 安全管理 对具体的系统管理提出 了技术要求 参照技术要点4 方案设计
26、4、1 设计原则 信息安全方案设计除了遵循一般信息系统方案设计的原则(如先进性、可扩展性等) 外,结合信息安全系统自身的特点,还应该遵循以下原则、 逻辑透明分层原则:安全体系的设计应从具体的物理网和业务网中独立出来,安 全网是保护物理网和业务网的一个逻辑网。因此安全网自身应该是完备的。安全 网的建设应结合物理网和业务网的具体结构,但又不能拘泥于物理设备和业务类 别的限制。 最小安全实体保护原则:安全方案设计中,最重要的是确认威胁产生的根源。针 对受保护系统的结构和功能状况,根据重要性的不同,将其划分为不同的安全域。 对不同安全域采取不同的安全策略和措施,把内部不再有安全隐患存在的区域称 为最小
27、安全实体,并认为在最小安全实体内部是安全的。最小安全实体可能是一 个网络、一个子网、一台主机,也可能只是一个目录、一个文件。总之,在最小 安全实体内部的所有访问都是安全的,而来自最小安全实体之外的访问就可能存 在危险。因此对来自最小安全实体外部的访问应受到安全措施的控制。 产品与技术分离原则:安全方案的设计不是安全产品的简单应用,更不能局限于现 有产品的功能,也不能将不必要的产品堆砌到方案中去。安全方案应该根据实际需 求,确定技术总目标,然后,为了实现这一目标,选取所需的安全产品。在现有安 全产品无法满足需求时,考虑开发必要的设备的可能性。如果没有可用产品,也无 法在现有条件下完成开发,则必须
28、做出规划,或调整方案,或限制应用范围。总之, 不能因产品的限制设计出不安全的方案,又不能为了产品而增加投入。而必须以客 观需求和技术可行性为依据。 4、2 设计内容 安全方案设计的技术和产品部分主要是功能设计和性能设计两个方面。而方案实施设 计则包括项目管理、进度规划、技术培训、工程验收、维护升级等。 4、2、1 功能设计 安全功能的设计是安全方案设计的核心。安全功能设计应从安全功能的技术要求、安 全功能支撑产品、安全功能实现层次和单元等方面来考虑。常见的技术和产品功能设计如 表7。在具体设计时,根据系统的结构选择相应的安全目标,然后选择安全功能及其实现 技术、实现位置、所用协议,最后选择可用
29、的支撑产品。 表8 常见安全技术和产品功能设计表 安全目标 安全功能 实现位置 协议或原理 安全产品 链路层 L2TP 链路加密机 网络层 IPSEC 网络加密机、VPN 保密性 完整性 抗否认性 加密 数字签名 消息验证 传输层 SSL 系统支持 应用层 PGP, SMIME, SET,专用协议等 加密机,加密卡, 加密软件 网络层 包过滤,地址转换 防火墙、VPN 访问代理 防火墙 访问控制 应用层、 支撑系统 应用系统访问控制 操作系统、数据库、 专用开发 网络层 IPSec VPN 传输层 信息认证 系统 认证 应用层、 支撑系统 PKI、Kerberos、 CHAP、 RADIUS
30、等 CA 证书系统、专 用开发、操作系统、 数据库等 网络层 IP、时间、通断 防火墙 系统安全 审计 应用层、 支撑系统 登录、访问、连接 审计 操作系统日志、数 据库日志、专用审 计日志 防病毒 应用层 病毒查杀 防病毒软件 病毒网关 入侵检测 网络、系 统、应用 入侵监测 日志分析 入侵检测系统 系统可用 性 漏洞扫描 网络、系 统、应用 漏洞扫描系统 4、2、2 性能设计 性能设计是安全方案的重要环节,不合理的安全方案经常导致系统性能明显下降甚 至瘫痪。一般的安全方案性能设计主要考虑的要素和指标如表8 所示。 表9 安全性能设计 应用环 境 指 标 允许范围 主要影响因 素 主要影响产
31、 品 吞吐率 下降不超过10% 延时 小于50ms 网络 最大允许并 发连接数20 万 加密、过滤、 代理 防火墙、 VPN 等 运行速度 下降不超过10% 应用 系统资源占 用 要留有足够的 资源空间给应 用系统使用 驻留软件 访问控制 防病毒软件、 基于主机的 入侵检测等 4、2、3 方案实施设计 方案实施设计应该考虑项目管理、实施内容、进度计划、培训计划、测试方案、验收 和交付、维护和升级等内容,并考虑业主和施工方的责任和义务,以确保项目顺利进行。 项目管理:应设立明确的双方责任人,包括项目管理人员、项目协调人员、项目施工 人员、项目责任和质量保障人员等,一人可以承担多个角色,但一定要明
32、确其工作内容和 责任。 实施内容:明确列出项目实施中需要完成的工作内容,包括产品购置与验收、开发、 安装、调试、测试、文档管理、质量控制、项目协调等,制定详细表格。 进度计划:明确列出每一项子任务的其止时间,尤其是当某些子受其他子任务制约时, 要列出制约因素和进度。子任务是实施内容中规定的任务的分解。 培训计划:通常在项目移交给用户前,都要对用户进行培训,培训内容可以是知识和 原理培训、也可能是技能培训、使用培训等,根据实际情况确定。 测试方案:项目实施过程中或投入运行前,都需要进行测试,以确保项目与设计目标 符合,确保运行稳定。测试包括功能测试和性能测试,必须列出详细的测试大纲和测试方 案,并做测试记录。测试方案要考虑测试目标、测试内容、测试手段和方法、测试人员、 测试时间等。 验收与交付:项目实施和测试后,就要考虑验收并交付业主。验收方案要考虑验收方 式(如鉴定、运行观察等) 、验收内容、验收时间、验收人员、验收结论等。验收后,就要 交付用户使用,应考虑交付责任人、交付时间、交付方式、交付签收等。 维护和升级:良好的维护和升级服务是确保项目正常运行的必
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 