網路資訊安全設計及防護策略總結

一月 5, 2024 by
Filed under: killtest 

原创 twt社区
【摘要】隨著網路+科技的快速發展,網路DDOS攻擊、勒索病毒、SQL注入、暴力破解、資料洩密等等網路安全事件經常發生,網路資訊安全面臨嚴重的挑戰,為保障客戶的資訊資產安全 ,保障客戶業務系統安全穩定運行,實現“高效預防、高效檢測,快速處理”,本文對網絡信息安全規劃及防護策略進行梳理、總結,希望對大家在實際工作起到借鑒與參考作用。

【作者】陳勇,從事IT產業10多年的老兵,熟悉各類系統,曾分別獲得IBM CATE、HP CSA、SUN SCSA、VMware VCP、HUAWEI HCNP等多項專業認證。

網路資訊安全的運作與防護不僅關係到整個資料中心業務系統穩定運行,同時,由於網路系統的多樣性、複雜性、開放性、終端分佈的不均勻性,致使網路極易遭到駭客、惡性軟體 或非法授權的入侵與攻擊。

鑑於資料資訊的嚴肅性和敏感性,為了保障和加強系統安全,防止偶然因素和惡意原因破壞、更改、洩密,保障工作正常持續進行,同時,提高系統應對威脅和抵禦攻擊的對抗能力和恢復能力 ,需要建置安全保障系統,滿足資訊安全等級保護的要求。 使系統具有抵禦和防範大規模、較強惡意攻擊、較為嚴重的自然災害、電腦病毒和惡意程式碼危害的能力;具有檢測、發現、警報、記錄入侵行為的能力;具有對安全事件進行回應處置, 並且能追蹤安全責任的能力;在系統遭到損害後具有能夠較快恢復正常運作狀態的能力,對於服務保障性要求高的系統,應能快速恢復正常運作狀態;具有對系統資源、使用者、安全 機制等進行集中控管的能力。

1.網路資訊安全範圍
網路資訊安全範圍主要包括:網路結構、網路邊界以及網路設備本身安全等,具體的控制點包括:結構安全、存取控制、安全稽核、邊界完整性檢查、入侵防範、惡意程式碼防範、網路設備防護等 ,透過網路安全的防護,為使用者資訊系統運作提供一個安全的環境。

1.1、結構安全
結構安全範圍包括:

1) 應確保主要網路設備的業務處理能力具備冗餘空間,滿足業務高峰期需求;

2) 應確保網路各部分的頻寬滿足業務高峰期需求;

3) 應在業務終端與業務伺服器之間進行路由控制,建立安全的存取路徑;

4) 應依各業務系統類型、重要性及所涉及資訊的重要程度等因素,劃分不同的子網或網段,並依方便管理及控制的原則為各子網、網段分配位址段;

5) 應避免將重要網段部署在網路邊界處且直接連接外部資訊系統,重要網段與其他網段之間採取可靠的技術隔離手段;

6) 應依照對業務服務的重要次序來指定頻寬分配優先級別,並保證在網路發生擁堵的時候優先保護重要主機。

1.2、門禁控制
存取控制範圍包括:

1)、應在網路邊界部署存取控制設備,啟用存取控制功能;

2)、應能根據會話狀態資訊為資料流提供明確的允許/拒絕存取的能力,控製粒度為連接埠級;

3)、 應對進出網路的資訊內容進行過濾,實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協定命令級的控制;

4)、 應在會話處於非活躍一定時間或會話結束後終止網路連線;

5)、 應限製網路最大流量數及網路連線數;

6)、 重要網段應採取技術手段防止地址欺騙;

7)、 應依使用者和系統之間的允許存取規則,決定允許或拒絕使用者對受控系統進行資源訪問,控製粒度為單一使用者;

8)、 應限制具有撥號存取權限的使用者數量。

1.3、安全審計
安全審計範圍包括:

1) 應對網路系統中的網路設備運作狀況、網路流量、使用者行為等進行日誌記錄;

2) 審計記錄應包括:事件的日期和時間、使用者、事件類型、事件是否成功及其他與審計相關的資訊;

3) 應能根據記錄資料進行分析,並產生審計報表;

4) 應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。

1.4、邊界完整性審計
邊界完整性檢查範圍包括:

1) 應能對非授權設備私自聯到內部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷;

2) 應能對內部網路使用者私自聯到外部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷。

1.5.入侵防範需求
入侵防範範圍包括:

1)、應在網路邊界監視以下攻擊行為:連接埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢位攻擊、IP 碎片攻擊和網路蠕蟲攻擊等;

2)、偵測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供警報。

1.6.惡意程式碼防範
惡意程式碼範圍包括:

a) 應在網路邊界處對惡意程式碼進行偵測和清除;

b) 應維護惡意程式碼庫的升級和偵測系統的更新。

1.7.網路設備防護
網路設備範圍包括:

1) 應對登入網路設備的使用者進行身分鑑別;

2) 應對網路設備的管理員登入位址進行限制;

3) 網路設備使用者的識別應唯一;

4) 主要網路設備應對同一用戶選擇兩種或兩種以上組合的鑑別技術來進行身份鑑別;

5) 身分鑑別資訊應具有不易被冒用的特點,口令應有複雜度要求並定期更換;

6) 應具備登入失敗處理功能,可採取結束會話、限制非法登入次數及當網路登入連線逾時自動登出等措施;

7) 當網路設備遠端管理時,應採取必要措施防止鑑別資訊在網路傳輸過程中被竊聽;

8) 應實現設備特權使用者的權限分離。

2.網路資訊安全設計
網路層安全主要設計的面向包括結構安全、存取控制、安全審計、邊界完整性檢查、入侵防範、惡意程式碼防範、網路設備防護幾大類安全控制,以下我們來結合資訊系統等級保護網路安全要求, 詳細聊聊網路安全設計。

2.1、網路安全區域劃分
為了實現資訊系統的等級化劃分與保護,依據等級保護的相關原則規劃、區分不同安全保障對象,並根據保障對象設定不同業務功能及安全級別的安全區域,以根據各區域的重要性進行分級 的安全管理。

依系統的業務功能、特性及各業務系統的安全需求,並依據網路的具體應用、功能需求及安全需求,規劃設計功能區。

具體功能說明及安全需求請見下表:
微信图片_20240105141736
2.2、網路結構設計
為了對資訊系統實現良好的安全保障,依據等級保護三級的要求對系統進行安全建設。 透過系統的安全區域劃分設計,並對主要區域進行冗餘建設,以保障關鍵業務系統的可用性與連續性。 建議採用以下方式建構網路架構:

在網路架構的建置過程中,要充分考慮到資訊系統的發展及後期建置的需求,在設備的採購及安全域的建置與劃分時,就要為後期的發展與建設做好準備,如產品的 功能、效能至少要符合未來3-5年的業務發展要求,產品的介面、規格要符合冗餘部署的需要,VLAN的劃分要為後製實現安全隔離提供預留VLAN等。

2.3、區域邊界門禁設計
區域邊界的存取控制防護可以透過利用各區域邊界區交換器設定ACL清單來實現,但此方法不便於維護管理,並且對於存取控制的粒度把控的效果較差。 從便於管理維護及安全性的角度考慮,可以透過在關鍵網路區域邊界部署專業的存取控制設備(如防火牆產品),實現對區域邊界的存取控制。 存取控制措施需滿足以下功能需求:

應能根據會話狀態資訊為資料流提供明確的允許/拒絕存取的能力,控製粒度為連接埠層級;

應在會話處於非活躍一定時間或會話結束後終止網路連線;

應按使用者和系統之間的允許存取規則,決定允許或拒絕使用者對受控系統進行資源訪問,控製粒度為單一使用者。

在網路結構中,需要對各區域的邊界進行存取控制,對於關鍵區域,應採用部署防火牆的方式實現網路區域邊界連接埠層級的存取控制,其它區域,應考慮透過交換器的VLAN劃分\\ACL以及防火牆 的存取控制等功能的方式實現存取控制。

透過部署防火牆設備,利用其虛擬防火牆功能,實現不同區域之間的安全隔離和存取控制。 同時,在資料中心內部區域與網路互聯區之間部署防火牆。 主要實現以下安全功能:

1)實現縱向專網與業務網的雙向存取控制;

2)實現核心網路與應用服務區、資料交換區之間連接埠層級存取控制,關閉不必要連接埠;

3)實現應用層協定命令級的存取控制;

4)實現長連結的管理與控制。

2.4、網路安全審計設計
安全審計設計時,在網路層做好網路設備運作狀況、網路流量、使用者行為等要素的審計工作。 審計系統需具備以下功能:

即時不間斷地將不同廠商的安全設備、網路設備、主機、作業系統、使用者業務系統的日誌、警報等資訊匯集到審計中心,實現全網綜合安全審計;

將收集到的審計資訊集中存儲,透過嚴格的權限控制,對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋;

審計記錄包括:事件的日期和時間、使用者、事件類型、事件是否成功及其他與審計相關的資訊;

能夠即時地對所採集到的不同類型的資訊進行歸併和即時分析,透過統一的控制台介面進行即時、視覺化的呈現。

依網路特性及業務重要性,建議部署相關網路安全審計設備。

網路安全審計涉及網路行為審計、資料庫審計、日誌審計和維運審計等。

網路行為審計:主要在核心業務區交換器旁路部署2台網路審計設備,可針對常見的網路協定進行內容和行為的審計,主要包括TCP五元組、應用協定識別結果、IP位址溯源結果等。 可依使用者審計等級配置,實現不同協定的不同粒度審計要求。 透過流量分析,分析NetFlow訊息,統計分析目前網路流量狀況,使用者可根據此功能分析網路中的應用分佈以及網路頻寬使用量等。

資料庫審計:需要在核心業務區交換器旁路部署2台資料庫審計設備,審計資料庫的操作過程變化,可以將資料庫的增刪改查等操作全部審計並提供即時查詢統計功能。 包括SQL語句的解析、SQL語句的操作類型、操作欄位和操作表名等的分析等。 透過對瀏覽器與網路伺服器、網路伺服器與資料庫伺服器之間所產生的HTTP事件、SQL事件進行業務關聯分析,管理者可以快速、方便的查詢到某個資料庫存取是由哪個HTTP存取觸發,定位追蹤 到真正的訪客,從而將存取Web的資源帳號和相關的資料庫操作關聯起來。 包括訪客使用者名稱、來源IP位址、SQL語句、業務使用者IP、業務使用者主機等資訊。 根據解析的SQL,對使用者資料庫伺服器進行安全判斷、攻擊偵測。

日誌稽核:需要在核心業務區交換器旁通部署2台日誌稽核設備,以全面擷取各種網路設備、安全設備、主機和應用系統日誌,將收集到的各種格式日誌進行解析、歸一化 處理,提供給後續模組進行分析存儲,以支援事後審計和定責取證。 幫助實現網絡日誌和資訊的有效管理及全面審計。

維運審計: 需在核心業務區交換器旁通部署2台運維審計設備(堡壘機),以實現資料中心內所有設備的統一運維與集中管理。 透過維運審計功能記錄所有維運會話,以充足的審計數據方便事後查詢和追溯,解決了數據中心內眾多伺服器、網絡設備在運維過程中所面臨的“越權使用、權限濫用、權限盜用” 等安全威脅。

2.5、邊界完整性設計
在區域邊界部署偵測設備實現探測非法外聯和入侵等行為,完成對區域邊界的完整性保護。 檢測需具備以下功能:

能夠對非授權設備私自聯到內部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷;

能夠對內部網路使用者私自聯到外部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷。

具體技術實現如下:

1)在邊界防火牆上實現基於業務的連接埠級存取控制,並嚴格限制接取IP及外聯IP,杜絕在網路層發生的非法外聯與內聯;

2)在伺服器上進行安全加固,防止因伺服器設備自身安全性而造成後邊界完整性損害。

2.6、入侵偵測與防禦設計
在網路區域的邊界處,透過部署入侵防禦設備來監測網路攻擊行為或阻斷,並及時產生警報和詳盡的報告,透過入侵防禦功能實現。

透過在網路中部署入侵防禦系統,可有效實現以下防禦手段:

1)滿足了重要網路邊界處對攻擊行為的監控需求,符合等級保護中對連接埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢位攻擊、IP碎片攻擊和網路蠕蟲攻擊等的監控要求 。

2)實現了對網路中攻擊行為的高效記錄:當偵測到攻擊行為時,記錄攻擊來源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時提供警報。

3)實現了對網路中的重要資訊的保護功能,可以按照等級保護要求對重要伺服器的入侵行為,記錄其入侵的來源IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵 事件時提供警報。

2.7.網路邊界惡意程式碼防範設計
區域邊界防惡意程式碼設備需具備以下功能:

應在網路邊界處對惡意程式碼進行偵測和清除;

應維護惡意程式碼庫的升級和檢測系統的更新。

透過部署防毒網關係統可以有效實現網路邊界的惡意程式碼的入侵行為。 網關防毒系統實現了在業務系統邊界網路攻擊、入侵行為的偵測與控制,能夠有效針對惡意程式碼進行識別並控制。

2.8、基礎網路設施防範設計
基礎網路設施安全防範設計,主要對交換器等設備需實現以下功能:

1)啟用遠端登入使用者的IP位址校驗功能,確保使用者只能從特定的IP設備遠端登入交換器進行操作;

2)啟用交換器對用戶口令的加密功能,使本地保存的用戶口令進行加密存放,防止用戶口令洩密;

3)對於使用SNMP進行網路管理的交換器必須使用SNMP V2以上版本,並啟用MD5等校驗功能;

4)在每次配置等操作完成或暫時離開配置終端時必須退出系統;

5)設定控制口和遠端登入口的idle timeout時間,讓控制口或遠端登入口在空閒一段時間後自動中斷;

6)一般情況下關閉交換器的Web設定服務,如果實在需要,應該臨時開放,並在做完設定後立刻關閉;

7)對於接取層交換機,應採用VLAN技術進行安全的隔離控制,並依照業務的需求將交換器的連接埠分割為不同的VLAN;

8)在接入層交換器中,對於不需要用來進行第三層連接的端口,應該設置使其屬於相應的VLAN,必要時可以將所有尚未使用的空閒交換機端口設置為“Disable”,防止空閒 的交換器連接埠被非法使用。

Tags: ,

Comments

Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!





CAPTCHA 驗證圖片
*