纵深防御原理与架构

[TOC]

1.基础知识

描述:深度防御含义我们可以从以下的几个方面进行了解: 1.军事学上概念:空间与时间纵深防御; 2.网络安全概念:多层屏障、安全技术整合;

深度防御手段的必要性和优点: 1.单一防御手段的局限性信息安全的马奇诺防线; 2.单一防御的困境是一处疏漏则导致功亏一篑; 3.最大限度发挥现有防御技术的优势,全方位抵御已知及未知攻击,阻挡进攻到纵深防御以及运动歼敌; 4.而纵深防御的优势正是攻击者困境一环失败则功亏一篑;

深度防御架构设计：

• 1.常规为五层从外围到核心、从下层到上层;
• 2.物理环境防御:讲解主要在机房建设那章;
  • 机房大楼周围的防非法进入;
  • 机房动环系统以及进出人员身份审计门禁系统,防止非法进入机房以及保证机房服务器正常运转(UPS不间断电源,并机空调,气体灭火器,状态告警以及远程监控);
• 3.网络环境防御:
  • 网络边界:防火墙Firewall、V**、无线有线接入控制、抗DDos;
  • 网络隔离:区域划分(核心区|办公区|DMZ区)、访问控制(VLAN)
  • 网络检测:IPS / IDS 网络审计系统;
• 4.主机环境防御:
  • 身份鉴别:生物特征验证、二次身份验证;
  • 权限控制:最小权限,统一化域管理、堡垒机访问;
  • 操作系统安全:正版系统、补丁及时升级、安装病毒防护软件;
  • 系统加固:配置安全基线(控制参数的安全设置);
  • 系统安全性评估:漏洞扫描、系统加固验证;
• 5.应用系统防御:
  • 安全开发:安全设计规范阶段启动并且与开发同步(简单的说在开发同时带入安全漏洞的防御)，遵循安全编码规则;
  • 安全认证:合适得身份认证方式;
  • 访问控制:特殊权限访问特定的功能,敏感信息的保护;
  • 安全日志:完整的操作日志(要素齐全以及不可篡改);
  • 环境分离:开发测试与运行环境分离,关键性口令参数配置一定要不同;
  • 测评合规:在应用正式上线前需要进行测评或者合规性确认;
• 6.数据安全防御:是纵深防御的重中之重，需要引入安全 三要素;
  • 保密性:加密、隐藏、隔离;
  • 完整性:效验、数字签名;
  • 可用性:备份、接管、冗余、分布式;

深度防御的实施指南

• 整体规划（根据系统、应用、网络环境等威胁）、进行分步实施;
• 业务决定安全需求而非技术引领，简单的说就是并非什么技术新采用什么而是其前提是安全的;
• 进行风险评估先行，从最大的风险入手;
• 投资回报原则:收益>投资;
• 采用PDDR模型:防护时间>检测时间+响应时间;

2.网络安全防御

边界防护 描述:在构建公司网络时候需要对接入进行控制,对接入网络的终端进行合规性检查，当满足要求的时候才可以访问网络，这在大规模的网络结构中是非常重要的;

(1) 防火墙:基本的安全设备、检查过滤进出网络的数据,主要有包过滤和应用代理(网关转发-软路由透明代理)两种类型; 常规的下一代防火墙可以实现六元组的控制即`源地址|端口、目的地址|端口、协议(protocol)、拒绝或者允许，作用于ISO模型中的下四层传输层、网络层、数据链路层、物理层;

• 选型参考:基础功能、扩展功能、吞吐量、接口数量、冗余异常直通情况;

(2) VPN(虚拟专用网络):使用隧道加密技术，在公共互联网上架设虚拟专用的网络设备。主要类型有IPsec和SSLV**两种类型;

• IPsec一般适用于网络之间互联,大型的公司一般在全国有多个部门的;
• SSLV**后者适用于终端远程接入;
• 选型参考:基础功能、吞吐量、稳定性、移动端适配、移动接入口;

(3) 网闸:使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备, 目前流行的网络隔离技术的产品和方案：独立网络方案 和 终端级解决方案;;

百度:由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全

简单描述:就是当环境中存在公用网络和专用网络时候,网闸保证了机器只能在同一时间访问一个网络,另外一个网络将会被隔离;

终端级解决方案:用户使用一台客户端设备排他性选择连接内部网络和外部网络，主要类型可分为以下几种

（1）双主板，双硬盘型：通过设置两套独立计算机的设备实现，使用时，通过客户端开关分别选择两套计算机系统。
（2）单主板，双硬盘型：客户端通过增加一块隔离卡、一块硬盘，将硬盘接口通过添加的隔离卡转接到主板，网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备，同时选择相应的网络接口，达到网络隔离的效果。
（3）单主板，单硬盘型：客户端需要增加一块隔离卡，存储器通过隔离卡连接到主板，网卡也通过隔离卡引出两个网络接口。对硬盘上划分安全区、非安全区，通过隔离卡控制客户端存储设备分时使用安全区和非安全区，同时对相应的网络接口进行选择，以实施网络隔离。

网闸实现了内外网的逻辑隔离，在技术特征上，主要表现在网络模型各层的断开如物理层断开、链路层断开、TCP/IP协议隔离、应用协议隔离;

应用场景:涉密网和非涉密网之间、局域网和互联网之间、办公网与业务网、业务网与互联网之间、电子政务的内网与专用网之间

选型参考:应用场景、基础功能、吞吐量、端口数量;

(4) 流量清洗设备:主要是为了抵抗DDos所产生,并且对访问的流量进行清洗以来抵抗分布式拒绝攻击，主要针对提供公共服务的信息系统;

• 选型参考:有运营商机和企业级(常见使用CDN加速防止DDos)不同的方案；

网络隔离

• (1) 区域划分:按照一定的规则进行网络区域划分,同一区域之间采用同一安全策略;
  • 例如按照重要程度、保密程度划分；以及按院系、部门、地理位置划分;
• (2) 访问控制:根据访问控制规则、对不同区域进行网段级、IP级、端口级、应用级等不同的粒度的访问控制;
  • 安全性要求较高的网络可采用物理隔离的方式,使用网闸或者人工方式进行信息交换;

网络入侵检测和防御

• (1) NIDS(网络入侵检测系统):基于网络的入侵检测系统，采用特征匹配或者异常行为识别检测入侵(注意:可以参考网络安全设备详细);
  • 特点:通常差异旁路部署在网络之中，配合交换机的流量镜像功能接收流量并进行分析;
• (2) NIPS(网络入侵防御系统):它与NIDS不同之处在于它部署在主路之中,当触发相应的规则时候则阻断网络访问请求,注意只能过滤大部分的攻击,并不能完全替代WAF网络应用防火墙安全软件;
• (3) 网络审计系统:基于网络的审计系统，根据定义的审计对象和访问行为，审计所有符合的记录;

3.主机安全防御

描述:主机的防御主要是通过对操作系统进行安全配置以抵御大部分的恶意攻击；

• (1) 正版系统:盗版的GHOST软件不仅会带来广告并且会带来病毒或者后门，导致信息泄露的可能;
• (2) 统一域管理:建议将计算机加入到域环境中方便对身份的统一管理、策略统一下发设置、对于多个部门组使用的计算机进行组织级的管理;
  • 域的建立基础是DNS环境和目录数据库，域的狐妖的协议是LDAP和Kerberos，可以使用dcpromo创建域；
  • 域的五大主要角色:架构主控、域命名主控、PDC仿真器、RID主控、结构主控;
• (3) 最小权限:仅仅赋予用户完成任务所需的最小权限;
• (4) 补丁升级:使用微软的WSUS配合域策略进行统一升级;
• (5) 身份鉴别:口令、硬件USBkey、短信验证码、可信手机二维码扫描、生物特征，使用以上两种模式称为双因素认证，在安全性要求比较高的系统一般使用多因素认证;
• (6) 病毒防护:安装企业级的网络版杀毒软件，比如360企业安全软件、以及趋势杀毒软件,注意不建议在大规模网络中使用个人版本的杀软软件;
• (7) 主机入侵检测系统:HIDS基于主机可以对入侵行为进行较为彻底的检测和分析，例如安全狗软件；
• (8) 配置安全基线:一组安全配置策略的完整集合,包括密码策略、服务策略、审核策略;
• (9) 主机加固:由于OS默认情况下并非最安全配置，需要根据应用场景和恶意攻击进行修改予以安全强化,并且将此并入配置安全基线之中;
• (10) 漏洞扫描:主机漏洞扫描(360安全卫士、火绒等)和网络漏洞扫描两大类(Nessus);
• (11) 主机配置核查:实际是对于8~9步骤进行过程检查，检查配置过程是否按照基线进行了设置,过程记录文件是否完整;

4.应用安全防御

描述:应用安全的也是在防御中不可忽视的，比如由OWASP TOP 10 发布的Web应用的漏洞都是来源于应用开发时候未采用安全开发规范，导致系统被攻击入侵；

(1) 安全开发 描述:应用开发设计时应该遵循安全编码规则:

• 使用安全的函数对用户的输入以及输出做过滤合规性检查，检查参数与缓冲区长度防止内存溢出;
• 采用微软建立的软件开发生命周期SDL标准进行开发设计;

(2) 身份认证 描述:常规应用采用的身份认证方式是匿名模式、用户口令模式、生物特征模式、多因素认证模式；

• 注意需要对于密码、身份证、银行账户等铭感信息不能名称存储和传输，密码也需要进行加密处理(比如:加盐哈希采用日期或者随机数)来防止彩虹表攻击;

(3) 访问控制模型

• 自主访问控制(DAC|Discretionary Access Control)
• 强制访问控制(MAC|Mandatory Access Control)
• 基于角色的访问控制(RBAC|Role-Based Access Control)

(4) 操作访问日志 描述:应用系统的安全日志、操作日志应该完整；

• 日志要素:包括时间、用户、登录IP、访问对象、操作行为、操作结果等；
• 注意:需要符合等保日志存储的相关规则，保证日志不可篡改以及存储6个月;

(5) 应用环境 描述:应用系统的开发测试环境和生产环境必须隔离；

• 未经脱敏的生产数据不能用于开发测试环境
• 应用系统的安全性设计在规划阶段同步启动，与业务功能同步设计、同步实施、同步验收、同步投入使用；
• 应用系统上线前必须经过安全测评和合规性检查;

5.数据安全防御

描述:前面我们说明该项防御是纵深防御的重中之重，数据是防护的核心；在云计算的背景下，边界日益模糊并且访问控制不在自己手里，数据防护的重要性凸显;

(1) 数据保密性 描述:不被非授权用户知晓的特性，要做好数据的保密性需要从以下几个方面进行入手;

• 加密:使用加密算法加密数据，只有拥有密匙才可以解密，效果取决于加密强度，常见的加密方式有对称和非对称加密;
  • 对称加密:加解密同一个密匙;
  • 非对称加密:加解密分别是两个密匙一个公匙(加密)和私匙(解密);
• 隐藏:通过隐藏技术奖数据变得”不可见”，比如用多媒体文件每一个字节的最后一个位存储数据; 隐藏是不可靠的，通过文件熵值来筛选进行发现(特征是熵值增大)，一般需要和加密结合使用;
• 隔离:将数据存放在与外界物理隔绝的介质中

(2) 数据完整性 描述:不被非授权用户修改的特性，需要从以下几个方面进行入手;

• 效验:只能通过计算校验值，监测数据在传输或者存储时候有误错误，并不能抵抗有意的篡改，因为攻击者可以将效验值一并进行修改，而接收方无从知晓，所以我们在下面加入数字签名来防止这样的事件发生;
• 数字签名:数据签名除了提供数据效验外，还提供了抗抵赖、确认发送者身份，可追溯等特性;在区块链链中应用的淋漓尽致;

(3) 数据可用性 描述:确保授权用户可以拥有能获取数据的能力，要做好数据可用性，从以下几方面入手;

• 备份Backup:为了防止数据丢失，而将全部或者部分数据集导出至其他的介质的过程，常见的备份方式有热备和冷备，其细分为全量备份和增量备份；
• 接管高可用:在主系统宕机时候，备用系统接管数据处理的过程，保证业务连续性;
• 冗余:数据有多份可自动同步的副本,如Hadoop;
• 分布式:将数据分为多份副本(一般为只读，存放在离用户较近的地方，如内容分发网络CDN)

6.重点及其难点

描述:对于深度的纵深防御拥有以下重点和难点；

(1) 重点

• 进不来:采用边界防火墙和应用、主机防火墙等规则安全过滤配置，即使应用出现漏洞也进入不到系统内网中来;
• 看不见:系统和系统之间做相互的隔离，无法与其他同一生产区的机器进行通信;
• 拿不走:通过防数据泄露的安全设备进行检测用户行为，发现可以立即阻断并记录预警;
• 看不懂:保证数据库中敏感数据进行了加密存储;
• 走不掉:采用一系列的行为记录设备例如IPS/IDS/Firewall或者主机日志策略，记录攻击者IP、MAC、以及时间。

(2) 难点

• 规则互通:即网络安全设备由于生产的厂家在特征方面，没有通过的格式规范，导致过滤规则不同完整的通用在两个安全产商的设备上应用;
• 系统联动:一般来只有采用一个产商的网络安全设备，并建立中心联动机器并连接到安全产商的云安全库中，可以对微威胁进行分析然后触发一系列安全设备的联动防御;
• 关联分析:无法从准确从攻击元组中将攻击行为、用户、时间、特征进行关联性分析，例如在两个系统中攻击者或者其中一个系统的用户凭据，然后登陆另外的一个系统之中；
• 同一管理:即不能完全采用SSO统一身份认证进行管理，但是有一些产商的安全设备支持LDAP协议进行身份认证;

7.发展方向

• 可视化:利用大数据以及其他可视化技术构建出网络态势可视化;
• 智能化:精准判断、减少误报和漏报，安全设备的自我学习;
• 自动化:自动处理威胁、自动切换业务;
• 集成化:统一策略、统一控制、统一信息交换、无缝集成;
• 云计算和大数据分析:云化的安全和大数据分析可以提升当好手段的”智力”和”敏捷度”;