安全解决方案设计相关知识.docx
《安全解决方案设计相关知识.docx》由会员分享,可在线阅读,更多相关《安全解决方案设计相关知识.docx(14页珍藏版)》请在冰点文库上搜索。
安全解决方案设计相关知识
安全解决方案设计相关知识
网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。
网络安全解决方案主要针对一些普遍性问题和所应采用的相应安全技术及相关安全产品,主要内容包括:
应用防病毒技术,建立全面的网络防病毒体系;应用防火墙技术,控制访问权限,实现网络安全集中管理;应用入侵检测技术保护主机资源,防止内外网攻击;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网站实时监控与恢复系统,实现网站安全可靠的运行;应用网络安全紧急响应体系,防范安全突发事件。
防病毒方面:
应用防病毒技术,建立全面的网络防病毒体系随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力:
当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。
不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。
而2001年却是不平凡的一年,是计算机病毒疯狂肆虐的一年,红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆弱的安全神经,更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面基于以上情况,我们认为系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。
所谓的多层病毒防卫体系,是指在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。
因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。
考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。
具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。
应用防火墙技术,控制访问权限,实现网络安全集中管理防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。
在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。
防火墙可以完成以下具体任务:
通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘;同样,防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限IP地址,保证外部网络只能访问内部网络中的必要资源,与业务无关的操作将被拒绝;由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为;另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。
防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客攻击失去目标。
应用入侵检测技术保护网络与主机资源,防止内外网攻击应用防火墙技术,经过细致的系统配置,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。
但是,仅仅使用防火墙、网络安全还远远不够。
因为:
(1)入侵者可能寻找到防火墙背后敞开的后门;
(2)入侵者可能就在防火墙内;(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短黑客入侵的时间。
应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估与安全加固安全扫描技术是又一类重要的网络安全技术。
安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。
通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。
网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。
如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
安全扫描工具源于黑客在入侵网络系统时所采用的工具,商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
应用网站实时监控与恢复系统,实现网站安全可靠的运行;Web服务系统是个让外界了解您的窗口,它的正常运行将关系到您的形象。
由于网站服务器系统在安全检测中存在严重的安全漏洞,也是黑客入侵的极大目标,所以需要采用网站监控与自动恢复系统,保护网站服务器的安全。
应用网络安全紧急响应体系,防范安全突发事件网络安全作为一项动态工程,意味着她的安全程度会随着时间的变化而发生改变。
在信息技术日新月异的今天,昔日固若金汤的网络安全策略,总难免会随着时间的推进和环境的变化,而变得不堪一击。
因此,我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
紧急响应的目标
(1)故障定位及排除目前依靠广域网的响应时间过长,而一般的网络系统涉及到系统、设备、应用等多个层面,因此如何将性能或故障等方面的问题准确定位在涉及到(线路、设备、服务器、操作系统、电子邮件)的具体位置,是本响应体系提供的基本功能。
(2)预防问题通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统出现性能抖动时,就能及时发现,并建议系统管理员采用及时的处理。
(3)优化性能通过对线路和其他系统进行透视化管理,利用管理系统提供的专家功能对系统的性能进行优化。
(4)提供整体网络运行的健康以及趋势分析。
对网络系统整体的运行情况作出长期的健康和趋势报告,分析系统的使用情况,对新系统的规划作出精确的基础。
2、安全技术体系分析模型介绍安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计和分析的基础。
为了系统、科学地分析网络安全系统涉及的各种安全问题,网络安全技术专家们提出了三维安全体系结构,并在其基础上抽象地总结了能够指导安全系统总体设计的三维安全体系(见图1),它反映了信息系统安全需求和体系结构的共性。
具体说明如下:
图1安全框架示意图安全服务维安全服务维(第一维,X轴)定义了7种主要完全属性。
具体如下:
身份认证,用于确认所声明的身份的有效性;访问控制,防止非授权使用资源或以非授权的方式使用资源;数据保密,数据存储和传输时加密,防止数据窃取、窃听;数据完整,防止数据篡改;不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认;审计管理,设置审计记录措施,分析审计记录;可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏。
协议层次维协议层次维(Y轴)由ISO/OSI参考模型的七层构成。
与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层”。
系统单元维系统单元维(Z轴)描述了信息网络基础构件的各个成分。
通信平台,信息网络的通信平台;网络平台,信息网络的网络系统;系统平台,信息网络的操作系统平台;应用平台,信息网络各种应用的开发、运行平台;物理环境,信息网络运行的物理环境及人员管理。
安全技术体系的理解及实践贯穿于安全体系的三个方面,各个层次的是安全管理。
通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。
安全体系的理解在图1的安全体系分析模型中,完整地将网络安全系统的全部内容进行了科学和系统的归纳,详尽地描述了网络安全系统所使用的技术、服务的对象和涉及的范围(即网络层次)。
对于上图的理解,不妨简单说明如下:
安全服务维是网络安全系统所提供可实现的全部技术手段;网络协议维是网络安全系统应该将所采纳之安全技术手段实施的范围;系统单元维是网络安全系统应该提供安全保护的对象。
作为一个现实的网络安全系统,首先要考虑的是安全建议书所涉及的有哪些系统单元,然后根据这些系统单元的不同,确定该单元所需要的安全服务,再根据所需要的安全服务,确定这些安全服务在哪些OSI层次实现。
构建安全系统的基本目标在上述的三维结构的安全体系中,安全服务维是向网络系统的各个部分和每一个层次,提供安全保证的各种技术手段和措施。
虽然并不是每一个应用网络都需要安全服务维提出的所有手段,但是对于一个包含各种应用和具有一定规模的企业网络,这些安全措施应该都基本具备,因此安全服务维所涉及的所有安全服务措施,是网络安全系统的基本建设目标。
根据我们对企业网络系统应用现状的认识,以及未来将要实现的各种应用目标了解,我们认为企业网络安全系统,最终需要全部实现图1中安全服务维所提出的基本技术手段。
网络安全系统的技术实施构筑网络安全系统的最终目的是对网络资源或者说是保护对象,实施最有效的安全保护。
从网络的系统和应用平台对网络协议层次的依赖关系不难看出,只有对网络协议结构层次的所有层实施相应有效的技术措施,才能实现对网络资源的安全保护。
针对一般网络系统的结构和应用要求,为了达到保护网络资源的目的,必须在网络协议层实施相应的安全措施,如下表1。
表1(*表示需要实施)物理层数据链路层网络层传输层会话层表示层应用层认证****访问控制****数据保密******数据完整性***不可抵赖性*审计****可用性****参考资料:
1、ISO/IEC17799:
INFORMATIONTECHNIQUESSECURITYTECHNIQUESCODEOFPRACTICEFORINFORMATIONSECURITYMANAGEMENT(2NDEDITION)
2、ISO/IEC15408-1999“信息技术安全技术信息技术安全性评估准则”(简称CC)相应国标GB/T18336
3、ISO/IEC13335IT安全管理指南(GMITS)系列:
ISO/IEC13335-1:
2004信息和通讯技术安全管理的概念和模型ISO/IEC13335-2:
1997IT安全管理和计划制定ISO/IEC13335-3:
1998IT安全管理技术ISO/IEC13335-4:
2000安全措施的选择ISO/IEC13335-5网络安全管理方针
4、GB17859-99计算机信息系统安全保护等级划分准则
5、CISCO网络核心技术内幕网络安全解决方案:
美CISCOSYSTEMS公司著希望图书创作室译,2002。
6、CISCO企业网安全设计准则(I)
(II)
7、NETSCREEN企业网网络安全系统设计建议书3安全方案设计方法安全方案设计与其他方案设计一样,都分为需求分析和方案设计两个大的阶段,不同的是各阶段需要分析和设计的内容不同。
在安全需求分析阶段,主要需要进行资产分析、漏洞分析、威胁分析和需要遵照的标准和政策分析;而在方案设计阶段要考察能满足需求的技术、产品及相应的工程规划,最后形成可实施的方案。
如图下图。
3、1需求分析
3、1、1资产分析安全方案总是以保护一定价值的资产为目的。
因此资产的价值决定了方案设计时考虑的投入强度。
一般情况下,不可能用大于资产价值的保护代价去保护资产。
目前普遍接受的看法认为,安全投入占资产价值的10-20%是比较合理的。
问题是,资产的价值如何确定,尤其是信息资产的价值量化就更模糊。
目前,资产价值的分析有两种指标,一种价格指标,一种是价值指标。
前者可以量化,后者可以分级。
在信息网络中,网络资源(硬件、软件)的投入是有价格的,但信息资源却很难用价格来衡量,如,很难说一份绝密文件值多少钱。
因此,在资产分析阶段,应该将网络资源和信息资源分别估算。
网络资源的价格可以初略地认为等同于合同价格,容易确定。
关键是信息资源的价值需要探讨。
在美国的信息安全保障框架(IATF)中,将信息资产分为V1-V5五个级别,起分级的依据是信息遭受破坏后的影响程度。
V1-V5定义如表1所示。
2、方案设计阶段信息资产:
文件、数据网络资产:
设备、结构资产分析漏洞分析威胁分析标准、政策析技术选择产品选择分析工程规划实施方案分析
1、需求分析阶段表2IATF信息资产分级信息级别分级依据V1对信息保护策略的违反造成的负面影响和结果可以忽略。
V2对信息保护策略的违反会对安全、保险、金融状况、组织的基础设施造成不良影响/或小的破坏V3:
对信息保护策略的违反回造成一定的破坏V4对信息保护策略的违反会严重破坏安全、保险、金融状况、组织的基础设施V5:
对信息保护策略的违反回造成异常严重的破坏我国将涉密信息分为绝密、机密、秘密、内部和公开五个级别,对各级别的重要程度和扩散范围做出了详细规定。
虽然对商业信息没有明确的分级依据,但资产拥有者可以根据信息的重要程度和信息被攻击后可能引发的损失程度将信息进行分级。
基于这样的认识,我们可以将信息价值划分为五级(其他分级数也可以,但太细的分级可操作性较差),不凡称之为分别成为不重要、一般重要、重要、很重要、特别重要。
并分别赋值1-5。
这样可以将资产价值分析总结为表2。
表3资产价值分析表资产类别资产价值价值评估依据网络资产价格建设合同价(采购、开发、实施、服务、维护等)1不重要2一般重要3重要4很重要信息资产5特别重要根据以上资产分析依据,就可以给资产赋值。
从而成为方案设计的一个量化依据。
3、1、2漏洞分析在分析了资产价值之后,就要对信息网络的脆弱性进行分析评估。
如果信息网络没有漏洞可供攻击者利用,则认为信息网络是安全的。
然而,实际的信息网络总有脆弱点存在。
而且有些脆弱点是是无法避免的,如,很多服务端口必须开通,为合法访问者提供服务的同时也为攻击者提供了通路。
漏洞扫描的目的就是确认信息系统具体存在什么漏洞。
这种,通过制定信息系统存在的漏洞的类别和风险级别来指导采取的防范措施。
漏洞扫描的有关内容在“脆弱性分析”一章一做了介绍。
但在具体应用时,应制定相应的脆弱性分析结果表,如表3所示。
表4漏洞分析结果样表被评估对象扫描工具漏洞名称/编号漏洞描述漏洞风险级别*应对措施WWW服务器ISSScnaner安装补丁包Email服务器数据库服务器路由器*表中漏洞风险级别分3级:
1-低2-中3-高该表的条目可根据需要自行增减,样表
16、3只是描述了主要的要素,其中,被评估对象可以是网络设备(如路由器),也可以是主机设备(如服务器),可以是操作系统,也可以是具体应用;扫描工具有多种,根据实际情况选用;漏洞名称和编号常采用CVE公布的规范,有些尚未列入CVE的漏洞可暂给一个临时编号;漏洞描述部分是对响应漏洞的情况简单的说明,如,存在什么版本的系统中等;风险级别是反映漏洞可能导致的危险的评价,初略地分为高、中、低三个级别;应对措施是指已供认的措施(如安装补丁程序)和本方案中必须自行提出的防范措施等。
漏洞评估要定期进行。
3、1、3威胁分析安全方案的最终是为了阻止威胁,保护信息安全,因此,在方案设计中,必须先分析被保护系统面临的威胁种类和来源,提出相应的技术措施。
有关威胁分析的一般知识在“安全脆弱性分析”一章中已介绍。
这里从实际应用的角度进行方法分析。
针对具体的应用系统,必须先划定保护的边界,然后分析来自保护边界内外的威胁,做出相应的威胁分析和对策表,如表4所示。
表5威胁分析和对策表被保护边界可能面临的威胁可能造成的损失应对措施Internet接口对外服务接口PSTN拨号接口Extranet接口WAN接口子网接口重要服务器在表中,可以根据被保护网络的具体状况,分析保护边界和威胁,然后采取保护措施。
3、1、4标准和政策分析信息安全既是技术问题,也是管理问题。
作为技术问题,必须遵照相应的技术标准,而作为管理问题,则要符合国家的相关政策。
因此在方案设计时进行标准和政策分析,制定相应的表格,如表5和6。
表6标准分析表标准名称标准类别标准主要要求方案采纳条款GB17859评估标准将信息系统安全分为5级采用第3级要求CC评估标准安全功能和保障方案设计采用PP/ST模式ISO17799安全管理对具体的系统管理提出了技术要求参照技术要点表7政策要求分析表政策名称政策类别政策主要要求方案采纳条款安全产品管理办法产品资质安全产品必须有销售许可证遵照商用密码产品管理条例密码政策采用国产算法、硬件实现遵照ISO17799安全管理对具体的系统管理提出了技术要求参照技术要点4方案设计
4、1设计原则信息安全方案设计除了遵循一般信息系统方案设计的原则(如先进性、可扩展性等)外,结合信息安全系统自身的特点,还应该遵循以下原则、逻辑透明分层原则:
安全体系的设计应从具体的物理网和业务网中独立出来,安全网是保护物理网和业务网的一个逻辑网。
因此安全网自身应该是完备的。
安全网的建设应结合物理网和业务网的具体结构,但又不能拘泥于物理设备和业务类别的限制。
最小安全实体保护原则:
安全方案设计中,最重要的是确认威胁产生的根源。
针对受保护系统的结构和功能状况,根据重要性的不同,将其划分为不同的安全域。
对不同安全域采取不同的安全策略和措施,把内部不再有安全隐患存在的区域称为最小安全实体,并认为在最小安全实体内部是安全的。
最小安全实体可能是一个网络、一个子网、一台主机,也可能只是一个目录、一个文件。
总之,在最小安全实体内部的所有访问都是安全的,而来自最小安全实体之外的访问就可能存在危险。
因此对来自最小安全实体外部的访问应受到安全措施的控制。
产品与技术分离原则:
安全方案的设计不是安全产品的简单应用,更不能局限于现有产品的功能,也不能将不必要的产品堆砌到方案中去。
安全方案应该根据实际需求,确定技术总目标,然后,为了实现这一目标,选取所需的安全产品。
在现有安全产品无法满足需求时,考虑开发必要的设备的可能性。
如果没有可用产品,也无法在现有条件下完成开发,则必须做出规划,或调整方案,或限制应用范围。
总之,不能因产品的限制设计出不安全的方案,又不能为了产品而增加投入。
而必须以客观需求和技术可行性为依据。
4、2设计内容安全方案设计的技术和产品部分主要是功能设计和性能设计两个方面。
而方案实施设计则包括项目管理、进度规划、技术培训、工程验收、维护升级等。
4、2、1功能设计安全功能的设计是安全方案设计的核心。
安全功能设计应从安全功能的技术要求、安全功能支撑产品、安全功能实现层次和单元等方面来考虑。
常见的技术和产品功能设计如表7。
在具体设计时,根据系统的结构选择相应的安全目标,然后选择安全功能及其实现技术、实现位置、所用协议,最后选择可用的支撑产品。
表8常见安全技术和产品功能设计表安全目标安全功能实现位置协议或原理安全产品链路层L2TP链路加密机网络层IPSEC网络加密机、VPN保密性完整性抗否认性加密数字签名消息验证传输层SSL系统支持应用层PGP,SMIME,SET,专用协议等加密机,加密卡,加密软件网络层包过滤,地址转换防火墙、VPN访问代理防火墙访问控制应用层、支撑系统应用系统访问控制操作系统、数据库、专用开发网络层IPSecVPN传输层信息认证系统认证应用层、支撑系统PKI、Kerberos、CHAP、RADIUS等CA证书系统、专用开发、操作系统、数据库等网络层IP、时间、通断防火墙系统安全审计应用层、支撑系统登录、访问、连接审计操作系统日志、数据库日志、专用审计日志防病毒应用层病毒查杀防病毒软件病毒网关入侵检测网络、系统、应用入侵监测日志分析入侵检测系统系统可用性漏洞扫描网络、系统、应用漏洞扫描系统
4、2、2性能设计性能设计是安全方案的重要环节,不合理的安全方案经常导致系统性能明显下降甚至瘫痪。
一般的安全方案性能设计主要考虑的要素和指标如表8所示。
表9安全性能设计应用环境指标允许范围主要影响因素主要影响产品吞吐率下降不超过10%延时小于50ms网络最大允许并发连接数20万加密、过滤、代理防火墙、VPN等运行速度下降不超过10%应用系统资源占用要留有足够的资源空间给应用系统使用驻留软件访问控制防病毒软件、基于主机的入侵检测等
4、2、3方案实施设计方案实施设计应该考虑项目管理、实施内容、进度计划、培训计划、测试方案、验收和交付、维护和升级等内容,并考虑业主和施工方的责任和义务,以确保项目顺利进行。
项目管理:
应设立明确的双方责任人,包括项目管理人员、项目协调人员、项目施工人员、项目责任和质量保障人员等,一人可以承担多个角色,但一定要明确其工作内容和责任。
实施内容:
明确列出项目实施中需要完成的工作内容,包括产品购置与验收、开发、安装、调试、测试、文档管理、质量控制、项目协调等,制定详细表格。
进度计划:
明确列出每一项子任务的其止时间,尤其是当某些子受其他子任务制约时,要列出制约因素和进度。
子任务是实施内容中规定的任务的分解。
培训计划:
通常在项目移交给用户前,都要对用户进行培训,培训内容可以是知识和原理培训、也可能是技能培训、使用培训等,根据实际情况确定。
测试方案:
项目实施过程中或投入运行前,都需要进行测试,以确保项目与设计目标符合,确保运行稳定。
测试包括功能测试和性能测试,必须列出详细的测试大纲和测试方案,并做测试记录。
测试方案要考虑测试目标、测试内容、测试手段和方法、测试人员、测试时间等。
验收与交付:
项目实施和测试后,就要考虑验收并交付业主。
验收方案要考虑验收方式(如鉴定、运行观察等)、验收内容、验收时间、验收人员、验收结论等。
验收后,就要交付用户使用,应考虑交付责任人、交付时间、交付方式、交付签收等。
维护和升级:
良好的维护和升级服务是确保项目正常运行的必
升级会员 