网络安全之网络和通信安全

1、网络和通信安全要求

(1)网络架构要求

1)应保证网络设备的业务处理能力满足业务高峰期需要;

2)应保证网络各个部分的带宽满足业务高峰期需要;

3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;

4)应避免将重要网络区域部署在网络边界处且没有边界防护措施;

5)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。

(2)通信传输要求

1)应采用校验码技术或加解密技术保证通信过程中数据的完整性;

2)应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。

(3)边界防护要求

1)应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;

2)应能够对非授权设备私自连接到内部网络的行为进行限制或检查;

3)应能够对内部非授权用户连接到外部网络的行为进行限制或检查;

4)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。

(4)访问控制要求

1)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外,受控接口拒绝所有通信;

2)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;

3)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;

4)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的功能,控制粒度为端口级;

5)应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。

(5)入侵防范要求

1)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;

2)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;

3)应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;

4)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

(6)恶意代码防范要求

1)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;

2)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。

(7)安全审计要求

1)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

2)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

3)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

4)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性,确保审计记录的留存时间符合法律法规要求;

5)应能对远程访问的用户行为、访问互联网的用户行为等单独行为进行审计和数据分析。

(8)集中管控要求

1)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;

2)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;

3)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

4)应对分散在各个设备上的审计数据进行收集汇总和集中分析;

5)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

6)应能对网络中发生的各类安全事件进行识别、报警和分析。

2、网络和通信安全措施

(1)网络架构安全措施

网络信息系统规划、建设伊始,就应统筹规划系统网络架构,绘制出满足业务需求的网络拓扑图,并按照业务需要合理划分网络区域,确定网络边界,降低系统风险。

网络架构是指对由计算机软硬件、互联设备等构成的网络结构和部署,用以确保可靠地进行信息传输,满足业务需要。网络架构设计是为了实现不同物理位置的计算机网络的互通,将网络中的计算机平台、应用软件、网络软件、互联设备等网络元素有机连接,使网络能满足用户的需要。一般网络架构的设计以满足业务需要,实现高性能、高可靠、稳定安全、易扩展、易管理维护的网络为衡量标准。

网络架构安全是指在进行网络信息系统规划和建设时,依据用户的具体安全需求,利用各种安全技术,部署不同安全设备,通过不同的安全机制、安全配置、安全部署,规划和设计相应的网络架构。网络架构安全措施应考虑以下问题。

1)信息系统建设方案论证初期,就应对网络设备做出合理选型,结合业务系统的实际需要,确定符合建设目标要求的设备基础技术参数,以保证网络设备的业务处理能力满足业务高峰期需要。

2)合理划分网络安全区域,按照不同区域的不同功能和安全要求,将网络划分为不同的安全域,以便实施不同的安全策略。

3)规划网络IP地址,制定网络IP地址分配策略,制定网络设备的路由和交换策略。IP地址规划可根据具体情况采取静态分配地址、动态分配地址、设计NAT措施等,路由和交换策略则在相应的主干路由器、核心交换设备以及共享交换设备上进行。

4)设计网络线路和网络重要设备冗余措施,采用不同电信运营商的通信线路,相互备份确保网络畅通,制定网络系统和数据的备份策略,具体措施包括设计网络冗余线路、部署网络冗余路由和交换设备、部署负载均衡系统、部署系统和数据备份等,确保系统的可用性。

5)在网络边界部署安全设备,规划设备具体部署位置和控制措施,维护网络安全。首先,明确网络安全防护策略,规划、部署网络数据流检测和控制的安全设备,具体可根据需要部署入侵监测/防御系统、网络防病毒系统、抗DDoS系统等。其次,还应部署网络安全审计系统,制定网络和系统审计安全策略,具体措施包括设置操作系统日志及审计措施、设计应用程序日志及审计措施等。

6)规划网络远程接入安全,保障远程用户安全地接入网络中,可设计远程安全接入系统,部署IPSec、SSL VPN等安全通信设备。

(2)通信传输安全措施

1)通信完整性

通信完整性是指通过校验码技术或加解密技术以保证通信过程中数据的完整性。比如,利用CRC校验码来进行数据完整性校验。

根据应用系统对于安全的要求不同,在某些特殊情况下,要保证数据在传输过程中不被篡改,还需运用散列函数(如MD5、SHA和MAC)进行数据完整性校验。通信完整性保护除了使用加密算法对数据进行加密之外,更主要的是在通信通道层面建立起安全的传输通路,如虚拟专用网络(Virtual Private Network,VPN)。通过建立一个安全隧道,并采用数字加密技术(如MD5技术)对传输数据进行加密以确保数据安全,接收方则通过解密和校验对数据进行还原。

技术层面。通信数据的完整性通常使用数字签名或散列函数对密文进行保护。

2)通信保密性

初始化验证。采用数字签名等技术建立通信连接之前,先进行会话初始化验证。

(3)边界防护安全措施

1)阻断非授权设备连入内网

IP/MAC地址绑定

网络接入控制

关闭网络设备端口

2)阻断内部用户私自连接到外网

3)确保无线网络通过受控的边界防护接入内部网络

(4)访问控制安全措施

认证。包括主体对客体的识别及客体对主体的检验确认。

最小特权原则。按照主体所需最小权力原则授权给主体权力,最大限度地限制主体实施授权行为,可避免用户错误操作等意外情况的发生。

多级安全策略。主体和客体之间的数据流向和权限控制,按照安全级别的绝密(TS)、机密(C)、秘密(S)、限制(RS)和无级别(U)5级来划分,避免敏感信息扩散。具有安全级别的信息资源,只有高于安全级别的主体才可访问。

访问控制的安全策略有三种类型:基于身份的安全策略、基于规则的安全策略和综合访问控制策略。

基于身份的安全策略

基于规则的安全策略

综合访问控制策略

1)入网访问控制

2)网络的权限控制

网络的权限控制是防止网络非法操作而采取的一种安全保护措施。用户对网络资源的访问权限通常用一个访问控制列表来描述。

审计用户:专门负责审计网络的安全控制与资源使用情况的人员。

3)目录级安全控制

4)属性安全控制

属性安全控制可将特定的属性与网络服务器的文件及目录网络设备相关联,在权限安全的基础上,对属性安全提供更进一步的安全控制。网络上的资源都应先标识其安全属性,再将用户对应的网络资源访问权限存入访问控制列表中,记录用户对网络资源的访问能力,以便进行访问控制。

属性配置的权限包括:向某个文件写数据、复制文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。安全属性可以保护重要的目录和文件,防止用户越权对目录和文件的查看、删除和修改等操作。

5)网络服务器安全控制

6)网络监控和锁定控制

7)网络端口和节点的安全控制

8)防火墙访问控制

网络级防火墙。网络级防火墙一般是根据数据包的IP地址、TCP/UDP和端口做出信息通过与否的判断。一台简单的路由器就是一个“传统”的网络级防火墙,但因为其决策依据信息的简易性,它并不能判断出一个IP包的来源和去向以及包的实际含义。现代网络级防火墙在这一方面有了很大的改进,它可以保留通过的连接状态和一些数据流的内部信息,通过比较所要判断的信息和防火墙规则表,来决定信息是否可以通过。

网络级防火墙的优点是易于配置、处理速度较快和对用户透明;缺点是不能防范黑客攻击,不能处理新的安全威胁,同时因为其只检查IP地址、协议和端口,故不能很好地支持应用层协议,访问控制粒度太粗糙。

应用级防火墙。应用级防火墙一般是指不允许在其连接的网络间直接通信而运行代理服务器程序的主机,它可以通过防火墙复制传递数据,防止网络内部的用户与外部的服务器直接进行通信。应用级防火墙能够提供较为复杂的访问控制策略和较为详细的审核报告,故其安全性比网络级防火墙要高。但有的应用级防火墙缺乏“透明度”,而且设置了应用级防火墙后,可能会对性能有一些影响,效率不如网络级防火墙。

电路级网关。电路级网关又称为线路级网关,它工作在会话层,可通过监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,来判定该会话请求是否合法。若会话连接合法,则网关将只对数据进行复制、传递操作,而不再进行过滤操作。电路级网关还可起代理服务器的作用,将公司内部IP地址映射到一个由防火墙使用的“安全”的IP地址上,实现防火墙内外计算机系统的隔离。电路级网关防火墙的优势在于其安全性比较高,且易于精确控制,但该网关工作在会话层,无法检查应用层的数据包以消除应用层攻击的威胁。

状态检测防火墙。状态检测防火墙是传统包过滤防火墙的功能扩展,它通过网络层上的检测模块对网络通信的各层实施监测,并从截获的数据中抽取与应用层状态相关的信息,将其保存起来为以后的安全决策提供依据。状态检测防火墙在防火墙的核心部分建立了状态链接表,利用状态链接表来监控进出网络的数据。防火墙在对数据包进行检查时,不仅要查看其规则检查表,还需要判断数据包是否符合其所处的状态。状态检测防火墙很好地规范了网络层和传输层的行为。状态检测防火墙具有良好的安全性和扩展性,且性能高效,不仅支持基于TCP的应用,而且可以监测远程过程调用(Remote Procedure Call, RPC)和用户数据报协议(User Datagram Protocol,UDP)之类的端口信息,有很广的应用范围。但其配置非常复杂,而且会降低网络的速度。

下一代防火墙。下一代防火墙(Next Generation Firewall,NGFW)是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。下一代防火墙需具有下列基本属性:支持在线 BITW(线缆中的块)配置,同时不会干扰网络运行;可作为网络流量检测与网络安全策略执行的平台;具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等;集成式而非托管式网络入侵防御支持基于漏洞的签名与基于威胁的签名。

在下一代防火墙中,互相关联作用的是防火墙而非由操作人员在控制台制定和执行安全策略。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。支持新信息流与新技术的集成路径升级,以应对未来出现的各种威胁。

按照架构分类,防火墙可以分为筛选路由器、双宿主主机、屏蔽主机、屏蔽子网以及其他类型。

筛选路由器。也称为包过滤路由器、网络层防火墙、IP过滤器或筛选过滤器,内外网之间可直接建立连接,如图3所示。筛选路由器通过对进出数据包的IP地址、端口、传输层协议以及报文类型等参数进行分析,决定数据包过滤规则。

3、入侵防范安全措施

(1)基于主机的入侵检测系统

(2)基于网络的入侵检测系统

(3)HIDS与NIDS的区别

(4)入侵检测系统指标

1)IDS性能指标

2)IDS功能指标

判断IDS的功能是否符合当前信息系统的要求,一般是从事件数量、事件库更新、易用性、资源占用率和抵御能力 5 个方面来进行要求。

事件数量。事件数量可以反映出当前IDS系统处理事件的能力,事件数量越多,IDS性能越强。但这并非说事件数量越多越好,若系统事件的种类大都是过于陈旧的非法事件,而非当前流行的非法行为,那么即使系统能处理的事件数量很多,也只是无谓地加重系统负担。故一般的IDS系统事件数量应在500至1000,且应该是当前能够使用的非法事件。

事件库更新。事件库更新的快慢是衡量IDS系统功能的又一个重要指标。网络的迅速发展使得非法事件的传播速度大大增加,故IDS事件库的更新速度也应随之增加,否则IDS的检测就会失去存在的意义。

易用性。现在市场上的IDS产品多采用特征检测技术,这导致其检测到的多是可能事件,而不是真正的黑客事件。当有大量事件被检测到时,如何以更适合用户查看的方式来显示也是IDS产品必须考虑的问题之一。

资源占用率。IDS系统的存在是为了检测非法事件,以维护系统的正常运行,即其对于信息系统整体而言只是一个保护的设备。所以,IDS系统不能占用过多的网络和系统资源。

抵御能力。抵御能力指的是IDS在成为黑客目标时抵御攻击的能力。性能优越的IDS系统,应当有足够强的抵御能力和识别隐蔽黑客行为的能力。

4、恶意代码防范安全措施

(1)恶意代码的检测

1)特征码扫描

2)沙箱技术

沙箱技术是将恶意代码放入虚报机中执行,其执行的所有操作都以虚拟化的形态运行,不改变实际操作系统。虚报机通过软件和硬件虚拟化,让程序在一个虚拟的计算环境中运行,这就如同在一个装满细沙的箱子中,允许随便地画画、涂改,这些画出来的图案在沙箱里很容易被抹掉。

沙箱技术能较好地解决变形恶意代码的检测问题。经过加密、混淆或多态变形的恶意代码放入虚拟机后,将自动解码并开始执行恶意操作,由于运行在可控的环境中,通过特征码扫描等方法,可以检测出恶意代码的存在。

3)行为检测

行为检测技术是通过对恶意代码的典型行为特征分析,如频繁连接网络、修改注册表、内存消耗过大等,确定恶意操作行为。将这些典型行为特征和用户合法操作规则进行分析和研究,如果某个程序运行时,检测发现其行为违反了合法程序操作规则,或者符合恶意程序操作规则,则可以判断其为恶意代码。

行为检测技术根据程序的操作行为分析、判断其恶意性,可用于未知病毒的发现。由于目前行为检测技术对用户行为难以全部掌握和分析,因而容易发生较大的误报概率。

(2)恶意代码的分析

1)静态分析

2)动态分析

动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码的行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,掌握其行为特点。动态分析针对性强,并且具有较高的准确性,但其分析过程中覆盖的执行路径有限,分析的完整性难以保证。

恶意代码一般会对运行环境中的系统文件、注册表、系统服务以及网络访问等造成不同程度的影响,因此动态分析通过监控系统进程、文件和注册表等方面出现的非正常操作和变化,可以对其非法行为进行分析。另一方面,恶意代码为了进入并实现对系统的攻击,会修改操作系统的函数接口,改变函数的执行流程、输入输出参数等。因此,动态地分析检测系统函数的运行状态及数据流转换过程,能判别出恶意代码行为和正常软件操作。

(3)恶意代码的清除

1)感染引导区型恶意代码的清除

2)文件依附型恶意代码的清除

3)独立型恶意代码的清除

独立型恶意代码自身是独立的程序或独立的文件,如木马蠕虫等,是恶意代码的主流类型。清除独立型恶意代码的关键是找到恶意代码程序,并将恶意代码从内存中清除,然后就可以删除恶意代码程序。如果恶意代码自身是独立的可执行程序,其运行会形成进程,因此需要对进程进行分析,查找到恶意代码程序的进程,将进程终止后,从系统中删除恶意代码文件,并将恶意代码对系统的修改还原,就可以彻底清除该类恶意代码。

如果恶意代码是独立文件,但并不是一个独立的可执行程序,而是需要依托其他可执行程序的运行和调用,才能加载到内存中。例如,利用 DLL 注入技术注入程序中的恶意DLL 文件(.dll)、利用加载为设备驱动的系统文件(.sys),都是典型的依附、非可执行程序。清除这种类型的恶意代码也需要先终止恶意代码运行,使其从内存中退出。与独立型恶意代码不同的是,这种类型的恶意代码是由其他可执行程序加载到内存中的,因此需要将调用的可执行程序从内存中退出,恶意代码才会从内存中退出,相应的恶意代码文件也才能被删除。如果调用恶意代码的程序为系统关键程序,无法在系统运行时退出,在这种情况下,需要将恶意代码与可执行程序之间的关联设置删除,重新启动系统后,恶意代码就不会被加载到内存中,文件才能被删除。

4)嵌入型恶意代码的清除

5、网络安全审计措施

(1)网络设备的安全审计

1)路由器审计管理

2)交换机审计管理

3)防火墙审计管理

(2)网络安全审计系统

网络安全

审计系统可以对网络中的设备和系统运行过程中产生的信息进行实时采集和分析,同时也可对各种软硬件系统的运行状态进行监测。当发生异常情况时,网络安全审计系统可以立即发出警告信息,并向网络管理员提供详细的审计报告和异常分析报告,让网络管理员可以及时发现系统的安全隐患,以采取有效措施来保护网络系统安全。

网络安全

审计系统适用于不同厂商的设备或系统,为其采集分析多种类型的日志数据提供了硬件基础。为了便于日志信息的查看和管理,还可以通过内部的转换,将采集到的各种日志格式转换为统一的日志格式,并支持日志信息以报表形式显示。而且它能够实现网络安全事件的统计分析,其自动生成的分析报告和统计报表可以成为被攻击的有力证据。

网络安全

审计系统一般包括数据管理中心、网络探测引擎和审计中心三个部分。数据管理中心与网络探测引擎之间为一对多的对应关系,这样的设计既可实现资源的合理利用,也可达到审计系统要求的功能。

数据管理中心包括数据库管理、引擎管理和配置管理三部分,可分别对数据库连接信息、网络探测引擎信息和被审计对象进行管理。网络探测引擎可以对侦听到的网络信息流及其所有的数据包进行分析,并将分析结果传递到相应数据管理中心的数据库中,为网络管理员进行网络行为的分析和处理提供数据支撑。审计中心则主要进行审计管理和用户管理,实现分权限查询审计信息历史记录,为审计信息的安全提供保障。

6、集中管控安全措施

(1)安全设备或安全组件管控

(2)运行状况监测

(3)审计数据汇总与分析

(4)安全策略、病毒特征库、系统补丁集中管控

(5)安全事件识别、报警和分析

加强信息系统安全事件的管理,提高信息系统安全事件管理的制度化、规范化水平,及时掌握网络和信息系统安全状况,保障网络和信息系统安全稳定运行变得越来越重要。有效针对网络中发生的各类安全事件进行识别、报警和分析,降低信息安全事件带来的损失和影响也是保障网络安全的关键手段。

对网络链路、安全设备、网络设备和服务器等的运行状况进行数据采集、汇总、分析和集中监测,建立一条完整的数据链条,实现安全事件识别、分析、预警、应急处理的自动化。

每天好文章收集不易,欢迎大家多多转发支持,点在看、点赞、转发都可以。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190823A0PLLQ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券