<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基網 首頁 安全 安全學院 查看內容

              大咖話安全丨陳勇:網絡信息安全設計及防護策略總結

              2019-2-26 15:22| 投稿: xiaotiger |來自: 互聯網


              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

              摘要: 隨著互聯網+技術的快速發展,網絡DDOS攻擊、勒索病毒、SQL注入、暴力破解、數據泄密等等網絡安全事件經常發生,網絡信息安全面臨嚴重的挑戰,為保障客戶的信息資產安全,保障客戶業務系統安全穩定運行,實現“高效預 ...

              隨著互聯網+技術的快速發展,網絡DDOS攻擊、勒索病毒、SQL注入、暴力破解、數據泄密等等網絡安全事件經常發生,網絡信息安全面臨嚴重的挑戰,為保障客戶的信息資產安全,保障客戶業務系統安全穩定運行,實現“高效預防、高效檢測,快速處理”,對網絡信息安全規劃及防護策略進行梳理、總結,希望對大家在實際工作起到借鑒與參考作用。

              前言

              網絡信息安全的運行和防護不僅關系到整個數據中心業務系統穩定運行,同時,由于網絡系統的多樣性、復雜性、開放性、終端分布的不均勻性,致使網絡極易遭到黑客、惡性軟件或非法授權的入侵與攻擊。

              鑒于數據信息的嚴肅性和敏感性,為了保障和加強系統安全,防止偶然因素和惡意原因破壞、更改、泄密,保障工作正常持續進行,同時,提高系統應對威脅和抵御攻擊的對抗能力和恢復能力,需要建設安全保障系統,滿足信息安全等級保護的要求。使系統具有抵御和防范大規模、較強惡意攻擊、較為嚴重的自然災害、計算機病毒和惡意代碼危害的能力;具有檢測、發現、報警、記錄入侵行為的能力;具有對安全事件進行響應處置,并能夠追蹤安全責任的能力;在系統遭到損害后具有能夠較快恢復正常運行狀態的能力,對于服務保障性要求高的系統,應能快速恢復正常運行狀態;具有對系統資源、用戶、安全機制等進行集中控管的能力。

              1、網絡信息安全范圍

              網絡信息安全范圍主要包括: 網絡結構、網絡邊界以及網絡設備自身安全等,具體的控制點包括:結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等,通過網絡安全的防護,為用戶信息系統運行提供一個安全的環境。

              1.1、結構安全

              結構安全范圍包括:

              1) 應保證主要網絡設備的業務處理能力具備冗余空間,滿足業務高峰期需要;

              2) 應保證網絡各個部分的帶寬滿足業務高峰期需要;

              3) 應在業務終端與業務服務器之間進行路由控制,建立安全的訪問路徑;

              4) 應根據各業務系統類型、重要性和所涉及信息的重要程度等因素,劃分不同的子網或網段,并按照方便管理和控制的原則為各子網、網段分配地址段;

              5) 應避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取可靠的技術隔離手段;

              6) 應按照對業務服務的重要次序來指定帶寬分配優先級別,保證在網絡發生擁堵的時候優先保護重要主機。

              1.2、訪問控制

              訪問控制范圍包括:

              1)、應在網絡邊界部署訪問控制設備,啟用訪問控制功能;

              2)、應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;

              3)、 應對進出網絡的信息內容進行過濾,實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制;

              4)、 應在會話處于非活躍一定時間或會話結束后終止網絡連接;

              5)、 應限制網絡最大流量數及網絡連接數;

              6)、 重要網段應采取技術手段防止地址欺騙;

              7)、 應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶;

              8)、 應限制具有撥號訪問權限的用戶數量。

              1.3、安全審計

              安全審計范圍包括:

              1) 應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;

              2) 審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

              3) 應能夠根據記錄數據進行分析,并生成審計報表;

              4) 應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。

              1.4、邊界完整性審計

              邊界完整性檢查范圍包括:

              1) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷;

              2) 應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。

              1.5、入侵防范需求

              入侵防范范圍包括:

              1)、應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP 碎片攻擊和網絡蠕蟲攻擊等;

              2)、當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。

              1.6、惡意代碼防范

              惡意代碼范圍包括:

              a) 應在網絡邊界處對惡意代碼進行檢測和清除;

              b) 應維護惡意代碼庫的升級和檢測系統的更新。

              1.7、網絡設備防護

              網絡設備范圍包括:

              1) 應對登錄網絡設備的用戶進行身份鑒別;

              2) 應對網絡設備的管理員登錄地址進行限制;

              3) 網絡設備用戶的標識應唯一;

              4) 主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;

              5) 身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換;

              6) 應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施;

              7) 當對網絡設備進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽;

              8) 應實現設備特權用戶的權限分離。

              2、網絡信息安全設計

              網絡層安全主要設計的方面包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護幾大類安全控制,下面我們來結合信息系統等級保護網絡安全要求,詳細聊聊網絡安全設計。

              2.1、網絡安全區域劃分

              為了實現信息系統的等級化劃分與保護,依據等級保護的相關原則規劃、區分不同安全保障對象,并根據保障對象設定不同業務功能及安全級別的安全區域,以根據各區域的重要性進行分級的安全管理。

              根據系統的業務功能、特點及各業務系統的安全需求,并根據網絡的具體應用、功能需求及安全需求,規劃設計功能區域。

              具體功能說明及安全需求見下表:

              2.2、網絡結構設計

              為了對信息系統實現良好的安全保障,依據等級保護三級的要求對系統進行安全建設。通過對系統的安全區域劃分設計,并對主要區域進行冗余建設,用以保障關鍵業務系統的可用性與連續性。建議采用如下方式構建網絡架構:

              在網絡架構的建設過程中,要充分考慮到信息系統的發展及后期建設的需求,在設備的采購及安全域的構建與劃分時,就要為后期的發展與建設做好準備,如產品的功能、性能至少要滿足未來3-5年的業務發展要求,產品的接口、規格要滿足冗余部署的需要,VLAN的劃分要為后期建設實現安全隔離提供預留VLAN等。

              2.3、區域邊界訪問控制設計

              區域邊界的訪問控制防護可以通過利用各區域邊界區交換機設置ACL列表實現,但該方法不便于維護管理,并且對于訪問控制的粒度把控的效果較差。從便于管理維護及安全性的角度考慮,可以通過在關鍵網絡區域邊界部署專業的訪問控制設備(如防火墻產品),實現對區域邊界的訪問控制。訪問控制措施需滿足以下功能需求:

              ● 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;

              ● 應在會話處于非活躍一定時間或會話結束后終止網絡連接;

              ● 應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶。

              在網絡結構中,需要對各區域的邊界進行訪問控制,對于關鍵區域,應采用部署防火墻的方式實現網絡區域邊界端口級的訪問控制,其它區域,應考慮通過交換機的VLAN劃分\\ACL以及防火墻的訪問控制等功能的方式實現訪問控制。

              通過部署防火墻設備,利用其虛擬防火墻功能,實現不同區域之間的安全隔離和訪問控制。同時,在數據中心內部區域與網絡互聯區之間部署防火墻。主要實現以下安全功能:

              1)實現縱向專網與業務網的雙向訪問控制;

              2)實現核心網與應用服務區、數據交換區之間端口級訪問控制,關閉不必要端口;

              3)實現應用層協議命令級的訪問控制;

              4)實現長鏈接的管理與控制。

              2.4、網絡安全審計設計

              安全審計設計時,在網絡層做好對網絡設備運行狀況、網絡流量、用戶行為等要素的審計工作。審計系統需具備以下功能:

              ● 實時不間斷地將來自不同廠商的安全設備、網絡設備、主機、操作系統、用戶業務系統的日志、警報等信息匯集到審計中心,實現全網綜合安全審計;

              ● 將收集到的審計信息集中存儲,通過嚴格的權限控制,對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋;

              ● 審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

              ● 能夠實時地對采集到的不同類型的信息進行歸并和實時分析,通過統一的控制臺界面進行實時、可視化的呈現。

              根據網絡特點及業務重要性,建議部署相關網絡安全審計設備。

              網絡安全審計涉及網絡行為審計、數據庫審計、日志審計和運維審計等。

              網絡行為審計:主要在核心業務區交換機旁路部署2臺網絡審計設備,可針對常見的網絡協議進行內容和行為的審計,主要包括TCP五元組、應用協議識別結果、IP地址溯源結果等。可根據用戶審計級別配置,實現不同協議的不同粒度審計要求。通過流量分析,分析NetFlow信息,統計分析當前網絡流量狀況,用戶可根據此功能分析網絡中的應用分布以及網絡帶寬使用情況等。

              數據庫審計:需要在核心業務區交換機旁路部署2臺數據庫審計設備,審計數據庫的操作過程變化,可以將數據庫的增刪改查等操作全部審計并提供實時查詢統計功能。包括SQL語句的解析、SQL語句的操作類型、操作字段和操作表名等的分析等。通過對瀏覽器與Web服務器、Web服務器與數據庫服務器之間所產生的HTTP事件、SQL事件進行業務關聯分析,管理者可以快速、方便的查詢到某個數據庫訪問是由哪個HTTP訪問觸發,定位追查到真正的訪問者,從而將訪問Web的資源賬號和相關的數據庫操作關聯起來。包括訪問者用戶名、源IP地址、SQL語句、業務用戶IP、業務用戶主機等信息。根據解析的SQL,對用戶數據庫服務器進行安全判斷、攻擊檢測。

              日志審計:需要在在核心業務區交換機旁路部署2臺日志審計設備,以全面采集各種網絡設備、安全設備、主機和應用系統日志,將收集到的各種格式日志進行解析、歸一化處理,提供給后續模塊進行分析存儲,以支持事后審計和定責取證。幫助實現網絡日志和信息的有效管理及全面審計。

              運維審計: 需要在在核心業務區交換機旁路部署2臺運維審計設備(堡壘機),實現數據中心內所有設備的統一運維和集中管理。通過運維審計功能記錄所有運維會話,以充足的審計數據方便事后查詢和追溯,解決了數據中心內眾多服務器、網絡設備在運維過程中所面臨的“越權使用、權限濫用、權限盜用”等安全威脅。

              2.5、邊界完整性設計

              在區域邊界部署檢測設備實現探測非法外聯和入侵等行為,完成對區域邊界的完整性保護。檢測需具備以下功能:

              ● 能夠對非授權設備私自聯到內部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷;

              ● 能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。

              具體技術實現如下:

              1)在邊界防火墻上實現基于業務的端口級訪問控制,并嚴格限制接入IP及外聯IP,杜絕在網絡層發生的非法外聯與內聯;

              2)在服務器上進行安全加固,防止因服務器設備自身安全性而造成后邊界完整性損害。

              2.6、入侵檢測與防御設計

              在網絡區域的邊界處,通過部署入侵防御設備對網絡攻擊行為進行監測或者阻斷,并及時產生報警和詳盡的報告,通過入侵防御功能實現。

              通過在網絡中部署入侵防御系統,可有效實現以下防御手段:

              1)滿足了重要網絡邊界處對攻擊行為的監控需求,符合等級保護中對端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等的監控要求。

              2)實現了對網絡中攻擊行為的高效記錄:當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時提供報警。

              3)實現了對網絡中的重要信息的保護功能,可以按照等級保護要求對重要服務器的入侵行為,記錄其入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發生嚴重入侵事件時提供報警。

              2.7、網絡邊界惡意代碼防范設計

              區域邊界防惡意代碼設備需具備以下功能:

              ● 應在網絡邊界處對惡意代碼進行檢測和清除;

              ● 應維護惡意代碼庫的升級和檢測系統的更新。

              通過部署防病毒網關系統可以有效實現網絡邊界的惡意代碼的入侵行為。網關防病毒系統實現了在業務系統邊界網絡攻擊、入侵行為的檢測與控制,能夠有效針對惡意代碼進行識別并控制。

              2.8、基礎網絡設施防范設計

              基礎網絡設施安全防范設計,主要對交換機等設備需要實現如下功能:

              1)啟用對遠程登錄用戶的IP地址校驗功能,保證用戶只能從特定的IP設備上遠程登錄交換機進行操作;

              2)啟用交換機對用戶口令的加密功能,使本地保存的用戶口令進行加密存放,防止用戶口令泄密;

              3)對于使用SNMP進行網絡管理的交換機必須使用SNMP V2以上版本,并啟用MD5等校驗功能;

              4)在每次配置等操作完成或者臨時離開配置終端時必須退出系統;

              5)設置控制口和遠程登錄口的idle timeout時間,讓控制口或遠程登錄口在空閑一定時間后自動斷開;

              6)一般情況下關閉交換機的Web配置服務,如果實在需要,應該臨時開放,并在做完配置后立刻關閉;

              7)對于接入層交換機,應該采用VLAN技術進行安全的隔離控制,根據業務的需求將交換機的端口劃分為不同的VLAN;

              8)在接入層交換機中,對于不需要用來進行第三層連接的端口,應該設置使其屬于相應的VLAN,必要時可以將所有尚未使用的空閑交換機端口設置為“Disable”,防止空閑的交換機端口被非法使用;

              結束語

              綜上所述,在網絡技術日新月異的高速發展下,互聯網已成為人們日常生活、學習的重要組成部分,對人們的學習、生活以及社會生產發展產生了深刻的影響。基于網絡信息應用過程中存在的安全問題,需要我們用戶不斷提升安全防范意識,合理進行網絡信息安全規、設計,才能為業務系統的穩定運行提供保障支撐。

              本文來源: talkwithtrend



              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6662196071139115534/

              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

               最新
              返回頂部
              十一选五奖金对照表