随着网络+技术的加速发展,网络DDOS反击、敲诈病原体、SQL注入、抹除、统计数据外泄等等网络安全可靠事件经常发生,网络网络安全可靠面临轻微的挑战,为确保顾客的重要信息资产安全可靠,确保顾客销售业务控制统计数据安全可靠平衡运转,实现“高效率预防、高效率检验,加速处置”,对网络网络安全可靠规划及防雷思路展开剖析、归纳,希望对大家在实际组织工作起到先进经验与参照作用。
序言
网络网络安全可靠的运转和防雷不仅关系到整个网络系统销售业务控制系统平衡运转,与此同时,由于网络控制系统的多元性、复杂程度、发展性、终端产品分布的不光滑性,以致网络极容易遭骇客、集体性应用软件或违法许可的侵略与反击。
有鉴于统计数据重要信息的科学性和敏感度,为了确保和加强控制统计数据安全可靠,防止碰巧因素和蓄意原因破坏、更动、外泄,保障组织工作正常持续展开,与此同时,提高控制系统应对威胁和抵挡反击的对付潜能和恢复潜能,须要建设安全可靠确保控制系统,满足使用者网络安全可靠等级保护的明确要求。使控制系统具备抵挡和严防大规模、较强蓄意反击、较为轻微的灾害、电脑病原体和恶意代码危害性的潜能;具备检验、发现、报案、记录侵略行为的潜能;具备对安全可靠事件展开积极响应处置,并能跟踪安全可靠责任的潜能;在控制系统遭损害后具备能较快恢复运转状况的潜能,对于服务确保性明确要求高的控制系统,应能快速恢复运转状况;具备对控制计算资源、使用者、安全可靠机制等展开集中管控的潜能。
1、网络网络安全可靠覆盖范围
网络网络安全可靠覆盖范围主要主要包括: 网络内部结构、网络边界线以及网络设备自身安全可靠等,具体的R210主要包括:内部结构安全可靠、存取控制、安全可靠审计工作、边界线完整性检查、侵略严防、蓄意应用软件严防、网络设备防雷等,通过网络安全可靠的防雷,为使用者重要信息控制系统运转提供一个安全可靠的环境。
1.1、内部结构安全可靠
内部结构安全可靠覆盖范围主要包括:
1) 应确保主要网络设备的销售业务处置潜能具备输入输出空间,满足使用者销售业务高峰须要;
2) 应确保网络各个部分的频宽满足使用者销售业务高峰须要;
3) 应在销售业务终端产品与销售业务服务器之间展开路由控制,建立安全可靠的访问路径;
4) 应根据各销售业务控制系统类型、重要性和所涉及重要信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
5) 应避免将重要网段部署在网络边界线处且直接连接外部重要信息控制系统,重要网段与其他网段之间采取可靠的技术隔离手段;
6) 应按照对销售业务服务的重要次序来指定频宽分配优先级别,确保在网络发生拥堵的时候优先保护重要主机。
1.2、存取控制
存取控制覆盖范围主要包括:
1)、应在网络边界线部署存取控制设备,启用存取控制功能;
2)、应能根据会话状态重要信息为统计数据流提供明确的允许/拒绝访问的潜能,控制粒度为端口级;
3)、 应对进出网络的重要信息内容展开过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
4)、 应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)、 应限制网络最大流量数及网络连接数;
6)、 重要网段应采取技术手段防止地址欺骗;
7)、 应按使用者和控制系统之间的允许访问规则,决定允许或拒绝使用者对受控控制系统展开资源访问,控制粒度为单个使用者;
8)、 应限制具备拨号访问权限的使用者数量。
1.3、安全可靠审计工作
安全可靠审计工作覆盖范围主要包括:
1) 应对网络控制系统中的网络设备运转状况、网络流量、使用者行为等展开日志记录;
2) 审计工作记录应主要包括:事件的日期和时间、使用者、事件类型、事件是否成功及其他与审计工作相关的重要信息;
3) 应能根据记录统计数据展开分析,并生成审计工作报表;
4) 应对审计工作记录展开保护,避免受到未预期的删除、修改或覆盖等。
1.4、边界线完整性审计工作
边界线完整性检查覆盖范围主要包括:
1) 应能对非许可设备私自联到内部网络的行为展开检查,准确定出位置,并对其展开有效阻断;
2) 应能对内部网络使用者私自联到外部网络的行为展开检查,准确定出位置,并对其展开有效阻断。
1.5、侵略严防需求
侵略严防覆盖范围主要包括:
1)、应在网络边界线处监视以下反击行为:端口扫描、强力反击、木马后门反击、拒绝服务反击、缓冲区溢出反击、IP 碎片反击和网络蠕虫反击等;
2)、当检验到反击行为时,记录反击源 IP、反击类型、反击目的、反击时间,在发生轻微侵略事件时应提供报案。
1.6、蓄意应用软件严防
蓄意应用软件覆盖范围主要包括:
a) 应在网络边界线处对蓄意应用软件展开检验和清除;
b) 应维护蓄意代码库的升级和检验控制系统的更新。
1.7、网络设备防雷
网络设备覆盖范围主要包括:
1) 应对登录网络设备的使用者展开身份鉴别;
2) 应对网络设备的管理员登录地址展开限制;
3) 网络设备使用者的标识应唯一;
4) 主要网络设备应对同一使用者选择两种或两种以上组合的鉴别技术来展开身份鉴别;
5) 身份鉴别重要信息应具备不易被冒用的特点,口令应有复杂度明确要求并定期更换;
6) 应具备登录失败处置功能,可采取结束会话、限制违法登录次数和当网络登录连接超时自动退出等措施;
7) 当对网络设备展开远程管理时,应采取必要措施防止鉴别重要信息在网络传输过程中被窃听;
8) 应实现设备特权使用者的权限分离。
2、网络网络安全可靠设计
网络层安全可靠主要设计的方面包括内部结构安全可靠、存取控制、安全可靠审计工作、边界线完整性检查、侵略严防、蓄意应用软件严防、网络设备防雷几大类安全可靠控制,下面我们来结合重要信息控制系统等级保护网络安全可靠明确要求,详细聊聊网络安全可靠设计。
2.1、网络安全可靠区域划分
为了实现信息控制系统的等级化划分与保护,依据等级保护的相关原则规划、区分不同安全可靠确保对象,并根据确保对象设定不同销售业务功能及安全可靠级别的安全可靠区域,以根据各区域的重要性展开分级的安全可靠管理。
根据控制系统的销售业务功能、特点及各销售业务控制系统的安全可靠需求,并根据网络的具体应用、功能需求及安全可靠需求,规划设计功能区域。
具体功能说明及安全可靠需求见下表:
2.2、网络内部结构设计
为了对重要信息控制系统实现良好的安全可靠确保,依据等级保护三级的明确要求对控制系统展开安全可靠建设。通过对控制系统的安全可靠区域划分设计,并对主要区域展开输入输出建设,用以确保关键销售业务控制系统的可用性与连续性。建议采用如下方式构建网络架构:
在网络架构的建设过程中,要充分考虑到重要信息控制系统的发展及后期建设的需求,在设备的采购及安全可靠域的构建与划分时,就要为后期的发展与建设做好准备,如产品的功能、性能至少要满足使用者未来3-5年的销售业务发展明确要求,产品的接口、规格要满足使用者输入输出部署的须要,VLAN的划分要为后期建设实现安全可靠隔离提供预留VLAN等。
2.3、区域边界线存取控制设计
区域边界线的存取控制防雷可以通过利用各区域边界线区交换机设置ACL列表实现,但该方法不便于维护管理,并且对于存取控制的粒度把控的效果较差。从便于管理维护及安全可靠性的角度考虑,可以通过在关键网络区域边界线部署专业的存取控制设备(如防火墙产品),实现对区域边界线的存取控制。存取控制措施需满足使用者以下功能需求:
应能根据会话状况重要信息为统计数据流提供明确的允许/拒绝访问的潜能,控制粒度为端口级;
应在会话处于非活跃一定时间或会话结束后终止网络连接;
应按使用者和控制系统之间的允许访问规则,决定允许或拒绝使用者对受控控制系统展开资源访问,控制粒度为单个使用者。
在网络内部结构中,须要对各区域的边界线展开访问控制,对于关键区域,应采用部署防火墙的方式实现网络区域边界线端口级的存取控制,其它区域,应考虑通过交换机的VLAN划分\\ACL以及防火墙的存取控制等功能的方式实现存取控制。
通过部署防火墙设备,利用其虚拟防火墙功能,实现不同区域之间的安全可靠隔离和存取控制。与此同时,在网络系统内部区域与网络互联区之间部署防火墙。主要实现以下安全可靠功能:
1)实现纵向专网与销售业务网的双向存取控制;
2)实现核心网与应用服务区、统计数据交换区之间端口级存取控制,关闭不必要端口;
3)实现应用层协议命令级的存取控制;
4)实现长链接的管理与控制。
2.4、网络安全可靠审计工作设计
安全可靠审计工作设计时,在网络层做好对网络设备运转状况、网络流量、使用者行为等要素的审计工作组织工作。审计工作控制系统需具备以下功能:
实时不间断地将来自不同厂商的安全可靠设备、网络设备、主机、操作控制系统、使用者销售业务控制系统的日志、警报等重要信息汇集到审计工作中心,实现全网综合安全可靠审计工作;
将收集到的审计工作重要信息集中存储,通过严格的权限控制,对审计工作记录展开保护,避免受到未预期的删除、修改或覆盖;
审计工作记录主要包括:事件的日期和时间、使用者、事件类型、事件是否成功及其他与审计工作相关的重要信息;
能实时地对采集到的不同类型的重要信息展开归并和实时分析,通过统一的控制台界面展开实时、可视化的呈现。
根据网络特点及销售业务重要性,建议部署相关网络安全可靠审计工作设备。
网络安全可靠审计工作涉及网络行为审计工作、统计数据库审计工作、日志审计工作和运维审计工作等。
网络行为审计工作:主要在核心销售业务区交换机旁路部署2台网络审计工作设备,可针对常见的网络协议展开内容和行为的审计工作,主要主要包括TCP五元组、应用协议识别结果、IP地址溯源结果等。可根据使用者审计工作级别配置,实现不同协议的不同粒度审计工作明确要求。通过流量分析,分析NetFlow重要信息,统计分析当前网络流量状况,使用者可根据此功能分析网络中的应用分布以及网络频宽使用情况等。
统计数据库审计工作:须要在核心销售业务区交换机旁路部署2台统计数据库审计工作设备,审计工作统计数据库的操作过程变化,可以将统计数据库的增删改查等操作全部审计工作并提供实时查询统计功能。主要包括SQL语句的解析、SQL语句的操作类型、操作字段和操作表名等的分析等。通过对浏览器与Web服务器、Web服务器与统计数据库服务器之间所产生的HTTP事件、SQL事件展开销售业务关联分析,管理者可以加速、方便的查询到某个统计数据库访问是由哪个HTTP访问触发,定位追查到真正的访问者,从而将访问Web的资源账号和相关的统计数据库操作关联起来。主要包括访问者使用者名、源IP地址、SQL语句、销售业务使用者IP、销售业务使用者主机等重要信息。根据解析的SQL,对使用者统计数据库服务器展开安全可靠判断、反击检验。
日志审计工作:须要在在核心销售业务区交换机旁路部署2台日志审计工作设备,以全面采集各种网络设备、安全可靠设备、主机和应用控制系统日志,将收集到的各种格式日志展开解析、归一化处置,提供给后续模块展开分析存储,以支持事后审计工作和定责取证。帮助实现网络日志和重要信息的有效管理及全面审计工作。
运维审计工作: 须要在在核心销售业务区交换机旁路部署2台运维审计工作设备(堡垒机),实现网络系统内所有设备的统一运维和集中管理。通过运维审计工作功能记录所有运维会话,以充足的审计工作统计数据方便事后查询和追溯,解决了网络系统内众多服务器、网络设备在运维过程中所面临的“越权使用、权限滥用、权限盗用”等安全可靠威胁。
2.5、边界线完整性设计
在区域边界线部署检验设备实现探测违法外联和侵略等行为,完成对区域边界线的完整性保护。检验需具备以下功能:
能对非许可设备私自联到内部网络的行为展开检查,准确定出位置,并对其展开有效阻断;
能对内部网络使用者私自联到外部网络的行为展开检查,准确定出位置,并对其展开有效阻断。
具体技术实现如下:
1)在边界线防火墙上实现基于销售业务的端口级存取控制,并严格限制接入IP及外联IP,杜绝在网络层发生的违法外联与内联;
2)在服务器上展开安全可靠加固,防止因服务器设备自身安全可靠性而造成后边界线完整性损害。
2.6、侵略检验与防御设计
在网络区域的边界线处,通过部署侵略防御设备对网络反击行为展开监测或者阻断,并及时产生报案和详尽的报告,通过侵略防御功能实现。
通过在网络中部署侵略防御控制系统,可有效实现以下防御手段:
1)满足使用者了重要网络边界线处对反击行为的监控需求,符合等级保护中对端口扫描、强力反击、木马后门反击、拒绝服务反击、缓冲区溢出反击、IP碎片反击和网络蠕虫反击等的监控明确要求。
2)实现了对网络中反击行为的高效率记录:当检验到反击行为时,记录反击源IP、反击类型、反击目的、反击时间,在发生轻微侵略事件时提供报案。
3)实现了对网络中的重要重要信息的保护功能,可以按照等级保护明确要求对重要服务器的侵略行为,记录其侵略的源IP、反击的类型、反击的目的、反击的时间,并在发生轻微侵略事件时提供报案。
2.7、网络边界线蓄意应用软件严防设计
区域边界线防蓄意应用软件设备需具备以下功能:
应在网络边界线处对蓄意应用软件展开检验和清除;
应维护蓄意应用软件库的升级和检验控制系统的更新。
通过部署防病原体网关控制系统可以有效实现网络边界线的蓄意应用软件的侵略行为。网关防病原体控制系统实现了在销售业务控制系统边界线网络反击、侵略行为的检验与控制,能有效针对蓄意应用软件展开识别并控制。
2.8、基础网络设施严防设计
基础网络设施安全可靠严防设计,主要对交换机等设备须要实现如下功能:
1)启用对远程登录使用者的IP地址校验功能,确保使用者只能从特定的IP设备上远程登录交换机展开操作;
2)启用交换机对使用者口令的加密功能,使本地保存的使用者口令进行加密存放,防止使用者口令外泄;
3)对于使用SNMP展开网络管理的交换机必须使用SNMP V2以上版本,并启用MD5等校验功能;
4)在每次配置等操作完成或者临时离开配置终端产品时必须退出控制系统;
5)设置控制口和远程登录口的idle timeout时间,让控制口或远程登录口在空闲一定时间后自动断开;
6)一般情况下关闭交换机的Web配置服务,如果实在须要,应该临时开放,并在做完配置后立刻关闭;
7)对于接入层交换机,应该采用VLAN技术展开安全可靠的隔离控制,根据销售业务的需求将交换机的端口划分为不同的VLAN;
8)在接入层交换机中,对于不须要用来展开第三层连接的端口,应该设置使其属于相应的VLAN,必要时可以将所有尚未使用的空闲交换机端口设置为“Disable”,防止空闲的交换机端口被违法使用;
结束语
综上所述,在网络技术日新月异的高速发展下,网络已成为人们日常生活、学习的重要组成部分,对人们的学习、生活以及社会生产发展产生了深刻的影响。基于网络重要信息应用过程中存在的安全可靠问题,须要我们使用者不断提升安全可靠严防意识,合理展开网络网络安全可靠规、设计,才能为销售业务控制系统的平衡运转提供确保支撑。
原题:浅谈网络网络安全可靠设计及防护思路研究
作者:陈勇,一名从事IT行业10多年的老兵,熟悉各类UNIX及Linux控制系统 (AIX / Solaris / HP-UNIX / Tru64 Unix),曾分别获得IBM CATE、HP CSA、SUN SCSA、VMware VCP、HUAWEI HCNP等多项专业认证,以及获得2016年AIX&Linux高手挑战赛全国十强,就职于某大型网络上市公司,现在主要负责智慧城市销售业务云平台架构建设及项目管理和团队技术支撑组织工作。
关联阅读:
资料推荐:
网络安全可靠区域划分
http://www.talkwithtrend.com/Document/detail/tid/408129
网络安全可靠审计工作控制系统(统计数据库审计工作)解决方案
http://www.talkwithtrend.com/Document/detail/tid/408127
