提升網(wǎng)絡(luò)安防 實現(xiàn)等保三級的 12 個難點分析
企業(yè)的安全等級防護建設(shè)可以提升信息系統(tǒng)的信息安全防護能力,為企業(yè)的業(yè)務(wù)發(fā)展提供安全保障。那么,企業(yè)如何做好網(wǎng)絡(luò)安全工作,達到等保三級要求?以下12個難點需要了解。
1、安全區(qū)域如何劃分?劃分的原則是什么?
為了實現(xiàn)信息系統(tǒng)的等級劃分與保護,需要依據(jù)等級保護的相關(guān)原則規(guī)劃與區(qū)分不同安全保障對象,并根據(jù)保障對象設(shè)定不同業(yè)務(wù)功能及安全級別的安全區(qū)域,以根據(jù)各區(qū)域的重要性進行分等級的安全管理。
某局網(wǎng)絡(luò)承載信息系統(tǒng),信息系統(tǒng)是進行等級保護管理的最終對象,為體現(xiàn)重點保護重要信息系統(tǒng)安全,有效控制信息安全建設(shè)成本,優(yōu)化信息安全資源配置的等級保護原則,在進行信息系統(tǒng)的劃分時應(yīng)考慮以下幾個方面:
1.相同的管理機構(gòu)
信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)在同一個管理機構(gòu)的管理控制之下,可以保證遵循相同的安全管理策略;
2.相似的業(yè)務(wù)類型
信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的業(yè)務(wù)類型,安全需求相近,可以保證遵循相同的安全策略;
3.相同的物理位置或相似的運行環(huán)境
信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境意味著系統(tǒng)所面臨的威脅相似,有利于采取統(tǒng)一的安全保護;
4.相似安全控制措施
信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)因面臨相似的安全威脅,因此需采用相似的安全控制措施來保證業(yè)務(wù)子系統(tǒng)的安全。
2、怎樣實現(xiàn)區(qū)域邊界訪問控制?
區(qū)域邊界的訪問控制防護可以通過利用各區(qū)域邊界交換機設(shè)置ACL(訪問控制列表)實現(xiàn),但該方法不便于維護管理,并且對于訪問控制的粒度把控的效果較差。從便于管理維護及安全性的角度考慮,通過在關(guān)鍵網(wǎng)絡(luò)區(qū)域邊界部署防火墻,實現(xiàn)對區(qū)域邊界的訪問控制。訪問控制措施滿足以下功能需求:
a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;
b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;
c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制;
d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接;
e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);
f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;
各安全區(qū)域針對自身業(yè)務(wù)特點設(shè)定訪問控制策略。
3、等保三級對網(wǎng)絡(luò)安全審計系統(tǒng)有哪些功能上的要求?
安全審計是等級保護第三級要求建設(shè)的重要內(nèi)容,有必要在網(wǎng)絡(luò)層做好對網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等要素的審計工作。審計系統(tǒng)需具備以下功能:
a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄;
b)審計記錄應(yīng)包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;
c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
d)應(yīng)對審計記錄進行保護,避免受到未預(yù)期的刪除、修改或覆蓋等。
綜合日志審計系統(tǒng)是運維管理的重要組成部分,通過部署日志審計系統(tǒng),能夠?qū)崿F(xiàn)等級保護第三級要求的網(wǎng)絡(luò)安全審計標準,保護日志記錄,并對日志進行分析以生成審計報表,能夠?qū)υO(shè)備的運行情況和用戶行為進行全面記錄,有效提高對安全運行和事件的監(jiān)控能力和追溯能力。
4、如何做好邊界完整性檢查?
第三級信息系統(tǒng)應(yīng)在區(qū)域邊界部署檢測設(shè)備實現(xiàn)探測非法外聯(lián)和非法內(nèi)聯(lián)的行為,完成對區(qū)域邊界的完整性保護。檢測需具備以下功能:
a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查,準確定出位置,并對其進行有效阻斷;
b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查,準確定出位置,并對其進行有效阻斷。
通過部署桌面終端安全管理系統(tǒng)和安全準入網(wǎng)關(guān),可有效實現(xiàn)以下邊界完整性檢查功能:
1.終端設(shè)備接入管理
-
對網(wǎng)絡(luò)中的終端的進行注冊管理,根據(jù)設(shè)定的安全策略允許/禁止終端接入網(wǎng)絡(luò),采集硬件設(shè)備信息、位置信息;
-
支持對客戶端MAC和IP地址的綁定管理,IP和主機名綁定,任意其中一個發(fā)生改變,系統(tǒng)將自動報警,報警后自動恢復(fù)原有IP配置;
-
支持對合法計算機IP地址使用的保護機制,對新接入設(shè)備占用他人IP地址的行為進行自動斷網(wǎng),不影響合法計算機在網(wǎng)絡(luò)中的正常使用;
-
支持內(nèi)網(wǎng)完整性管理,對網(wǎng)絡(luò)中計算機的接入、帶出行為進行報警,并能夠自動阻斷違規(guī)行為。
2.非法外聯(lián)管理
-
支持監(jiān)控網(wǎng)絡(luò)中客戶端的非法外聯(lián)行為,實時檢測內(nèi)部網(wǎng)絡(luò)(包括物理隔離和邏輯隔離網(wǎng)絡(luò))用戶通過調(diào)制解調(diào)器、ADSL、雙網(wǎng)卡等設(shè)備非法外聯(lián)互聯(lián)網(wǎng)行為,并遠程告警或斷網(wǎng);
-
支持監(jiān)控已注冊的設(shè)備網(wǎng)絡(luò)連接行為,如改變網(wǎng)絡(luò)地址接入其它網(wǎng)絡(luò),根據(jù)接入網(wǎng)絡(luò)環(huán)境因素判定其是否非法接入其它網(wǎng)絡(luò);
-
客戶端非法外聯(lián)支持詳細記錄非法上網(wǎng)計算機的名稱、單位、上網(wǎng)方式,可以在報警平臺和報警查詢中獲知信息,并且可以對客戶端進行提示信息,自動關(guān)機,斷網(wǎng)等處理;
-
支持是否允許使用代理服務(wù)器上網(wǎng)的控制。
5、如何做好網(wǎng)絡(luò)設(shè)備的防護?
第三級信息系統(tǒng)要求對設(shè)備的遠程登錄使用雙因子認證方式,需要符合如下管理要求:
a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別;
b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制;
c)網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一;
d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別;
e)身份鑒別信息應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換;
f)應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施;
g)當對網(wǎng)絡(luò)設(shè)備進行遠程管理時,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;
h)應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。
6、面對入侵和不可預(yù)測的侵入,該如何防范?
防護入侵主要有兩種:入侵防御設(shè)備和入侵檢測設(shè)備,他們根據(jù)自身的特征庫對入侵行為進行判斷并連動防火墻做出相應(yīng)的阻斷或禁止的動作,從而起到網(wǎng)絡(luò)防護入侵的目的。
7、多個子公司的網(wǎng)絡(luò)安全如何管理?
多個子公司的網(wǎng)絡(luò)安全通常采用帶vpn功能的防火墻做邊界防護,實現(xiàn)總公司與分公司之間的vpn專線點對點互聯(lián),并且數(shù)據(jù)采用加密方式傳輸,密文傳輸?shù)臄?shù)據(jù)即使被非法獲取也是無法查看內(nèi)容的。
8、企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)如何打通,邊界需要布署什么安全防護設(shè)備?
首先從企業(yè)內(nèi)部來看互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)庫最好保存在內(nèi)網(wǎng)上通過網(wǎng)閘供外網(wǎng)應(yīng)用服務(wù)器訪問,這樣可以提高數(shù)據(jù)的安全性,對于企業(yè)外部的用戶通過互聯(lián)網(wǎng)訪問這些應(yīng)用需要通過usbkey和密碼的雙重驗證,驗證通過后才允許訪問。
9、針對服務(wù)器區(qū)域如何做好安全防護網(wǎng)絡(luò)策略?
服務(wù)器托管在IDC機房,采購了入侵檢測硬件設(shè)備但是沒有完全利用起來,操作系統(tǒng)有windows,linux系統(tǒng)。請問:不只是在入侵檢測設(shè)備做策略,包括服務(wù)器操作系統(tǒng),軟件怎么做安全策略?
服務(wù)器區(qū)需要劃到安全區(qū)域中來,通過防火墻做訪問控制,web墻保護網(wǎng)站,同時啟動網(wǎng)頁防篡改功能,服務(wù)器操作系統(tǒng)要定期更新補釘,安裝殺毒軟件,服務(wù)器通過專用的運維主機訪問,訪問方式采用雙因子認證,同時服務(wù)器要加入日志審計功能和數(shù)據(jù)庫審計。
10、對于中小型企業(yè)來說,沒有專職的搞安全的維護人員,如何做好網(wǎng)絡(luò)安全維護工作?
隨著云計算、大數(shù)據(jù)的高速發(fā)展,數(shù)據(jù)中心在規(guī)模、密度和復(fù)雜性上都有所增長,企業(yè)都在尋找更有效的工具來降低成本,同時希望提高工作效率,減少能耗。傳統(tǒng)功能單一的數(shù)據(jù)中心基礎(chǔ)設(shè)施管理系統(tǒng)(DCIM)已難以應(yīng)付紛繁多變的網(wǎng)絡(luò)環(huán)境,動力環(huán)境,成本壓力,企業(yè)內(nèi)部管理和運維效率的優(yōu)化。因此,我們除了要有一款ODCC,CDCC和DCA所定義的 DCIM應(yīng)該有的功能外,我們還需要有一款能夠幫助數(shù)據(jù)中心或其他大型信息中心的管理者、經(jīng)營者和運維人員提高管理效率、資源利用率和工作流程,以及業(yè)務(wù)狀況的綜合管理系統(tǒng)。
11、網(wǎng)絡(luò)區(qū)域是否需要劃分DMZ區(qū),如果去掉會有哪些影響?
劃分DMZ區(qū)以后,一般只允許內(nèi)網(wǎng)或者外網(wǎng)訪問DMZ區(qū),一旦DMZ區(qū)的服務(wù)器被攻擊,不會通過DMZ攻擊到內(nèi)網(wǎng)。
還有就是內(nèi)網(wǎng)的防護,放到DMZ區(qū)以后,內(nèi)網(wǎng)訪問DMZ區(qū)的服務(wù)器時可以做相應(yīng)的安全策略,比如只允許普通用戶訪問正常業(yè)務(wù)端口,而管理員可以訪問遠程桌面、ssh、telnet等服務(wù)。
傳統(tǒng)的防火墻很大的一個意義就在于DMZ區(qū),用來為網(wǎng)站設(shè)置一個安全區(qū)域來保證內(nèi)外網(wǎng)的訪問問題。
但是現(xiàn)在的情況又了一些變化,傳統(tǒng)防火墻的訪問列表只能限制到IP .端口以及協(xié)議,無法限制訪問行為。而現(xiàn)在更多的黑客攻擊都是針對80,25等這些業(yè)務(wù)端口實現(xiàn)的,所以傳統(tǒng)防火墻的規(guī)則很難應(yīng)對這些攻擊。一般都是建議針對WEB服務(wù)來添加WEB防火墻。或者下一代防火墻來進行行為防護。
另外,DMZ區(qū)域在現(xiàn)在的這種情況,個人覺得還是保留的好。作為網(wǎng)站服務(wù)的一個獨立區(qū)域。避免從內(nèi)網(wǎng)直接開通映射到外網(wǎng) 。還是會減少一些安全的風險和管理上的麻煩的。
總結(jié)起來說。DMZ并不能完全解決現(xiàn)有的針對WEB的攻擊問題。但DMZ區(qū)有助于網(wǎng)絡(luò)的管理和規(guī)劃,也可以避免一些基礎(chǔ)的安全問題。比如病毒爆發(fā)等。
12、等保三級的安全怎樣做到安全與成本的兼顧?
等保三級要求的很多。不單單是設(shè)備的投入,還有整個管理流程。操作規(guī)范等等。而且對硬件的要求也比較明確。確實不太容易降低成本。
不過這種所謂的成本投入其實是相對的。很多企業(yè)之前欠缺了太多的安全設(shè)備、審計、歸檔、備份,因為之前沒有,所以才覺得到了等保三級要投入很高。其實這些東西對于系統(tǒng)安全本就應(yīng)該有的。
等保三級測評合格是60分,這時成本是最低的,如果要做到100分成本一定是最高的,即使是60分也要做好以下的工作:
1、安全區(qū)域劃分
2、網(wǎng)絡(luò)架構(gòu)設(shè)計方案
3、區(qū)域邊界訪問控制
4、網(wǎng)絡(luò)安全審計
5、邊界完整性檢查
6、入侵防范
7、網(wǎng)絡(luò)設(shè)備防護
8、系統(tǒng)運維管理