BIT8网络信息系统安全体系设计

孙建伟北京理工大学软件学院网络信息系统安全技术体系与安全防护系统解决方案内容概要•局域网系统概述•信息安全体系结构•网络信息系统安全需求•构建网络系统安全的相关技术及产品•典型企业网络安全解决方案•小结局域网系统概述•组网技术–交换式以太网–通过路由器外接Internet–局域网之间可以通过VPN技术互联•功能–内部网络应用共享–共享Internet接入–对外提供的服务,Web,Email等局域网系统概述•典型的例子–校园网–企业网–政务网–行业专网•电信、金融、铁路、公安等信息安全体系结构•20世纪80年代中期,基于计算机保密模型(Bell＆Lapadula模型)的基础上的“可信计算机系统安全评价准则”(TCSEC)•20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)•20世纪90年代末六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CCforITSEC)•CC标准综合了国际上已有的评测准则和技术标准的精华，给出了框架和原则要求。信息安全体系结构•CC标准适用于信息系统的安全性设计–安全操作系统–安全数据库–安全Web应用–网络设备自身安全–一般C/S应用系统网络信息系统安全•CC标准适用于信息系统安全性设计，并不针对网络信息系统的安全需求：–统一的身份管理与运维安全管控–网络攻击的检测与防护–网络安全脆弱性分析、风险评估–信息的安全传输–网络安全域划分与网络隔离信息安全体系结构•网络信息系统的安全体系架构设计–架构复杂，安全架构与网络信息系统架构交叉融合–架构可裁剪、可扩展，根据安全需求和信息系统自身架构部署•运行时物理安全•运维安全管控•网络攻击的检测与防护•网络安全脆弱性分析、风险评估•信息的安全传输•网络安全域划分与网络隔离网络信息系统的安全需求•物理安全需求–重要信息可能会通过电磁辐射或线路干扰而被泄漏，因此需要对存放机密信息的机房进行必要的设计•机房设计–构建屏蔽室、采用辐射干扰机等，以防止电磁辐射泄漏机密信息。此外，还可对重要的设备和系统进行备份。网络信息系统的安全需求•访问控制的运维管控–统一的身份管理–统一的认证管理–集中的授权管理–集中的访问控制–集中的运维审计网络信息系统的安全需求•加密传输是网络安全的重要手段之一。信息的泄漏很多都是在链路上被搭线窃取的，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据的真实性、完整性得不到保证。–完整性–机密性–信道的认证性与不可否认性网络信息系统的安全需求•网络攻击防护体系–网络内部或外部发起的网络攻击检测–网络攻击抑制、阻断–攻击事件的统一管理•基于P2DR防护模型的防御体系–IDS、IPS–防火墙–安全事件、安全策略管理网络信息系统的安全需求•安全风险评估系统需求–网络系统和操作系统存在安全漏洞(如安全配置不严密等)等是使黑客等入侵者的攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统存在的一些安全漏洞，然后通过发现的安全漏洞，采取相应的技术进行攻击。•信息系统风险评估–网络安全扫描系统–对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查网络信息系统的安全需求•系统病毒防护–病毒的危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防病毒软件，实现全网的病毒安全防护。–必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护，以确保整个单位的业务数据不受到病毒的破坏，日常工作不受病毒的侵扰。•系统补丁的统一管理网络安全技术与产品•解决网络信息安全问题的主要途径–内控：建立集中的身份管理，实现统一访问控制和审计，实现CC标准在网络空间的扩展实现–静态防护：适用VPN、网络隔离、防火墙等技术实现网络安全架构–事前的机制：通过漏洞扫描，发现系统脆弱性并采取系统加固措施–动态防护架构：建立网络攻击检测防护体系–信息安全保护:用SSL/SSH实现网路传输加密，电子信封等技术实现数据机密性、完整性、认证性保护网络安全技术与产品•相关的网络安全技术产品–PKI/CA，公共数字证书服务体系–VPN，虚拟专用网–IDM，联合身份管理、认证系统–ITAudit，IT系统审计产品–Firewall，防火墙–IDS，SOC，入侵检测系统，安全事件管理平台–网络、系统扫描器–文件加密系统–远程桌面系统网络安全技术与产品PKI/CA，公共数字证书服务体系–以密码理论为基础–统一的证书颁发管理机构CA–网络系统内通信主体持有自己的合法证书–证书用来在作身份认证、数据加密、数据签名，实现数据机密性、完整性、不可否认性的保护–通过在网络系统部署PKI，可实现统一的身份管理和通信安全保护网络安全技术与产品•VPN，虚拟专用网–基础：身份认证、密码理论–功能：通过认证、加密、数据封装技术实现公网上传输私网机密数据–应用：跨区域建设大型企业网、专网，实现远程安全接入–部署模式：MPLSVPN，IPSec，SSL，SSH网络安全技术与产品IDM，联合身份管理、认证系统–联合身份管理的必要性–基础：PKI证书服务,集中身份认证服务，集中接入管理，集中审计（４Ａ，account,authorization,authentication,audit）–特点：实现体系庞大，实现复杂，带来网络运营维护模式的根本变化网络安全技术与产品•ITAudit，IT系统审计产品–必要性：审计是一种事后机制，作为安全事故分析、责任追究或免责的手段–技术基础：网络数据还原、事件收集、分析（人工智能）–产品分类：•日志收集与管理系统•网络审计网络安全技术与产品•Firewall，防火墙–实质：部署于网络边界，执行安全规则控制进出网络的数据。–技术基础：•包过滤技术•应用网关技术•状态检测–其他功能•ＮＡＴ、ＶＰＮ网关、负载均衡网络安全技术与产品•IDS，SOC，入侵检测系统，安全事件管理平台–功能：检测、发现、评估、管理网络攻击事件，与其他网络安全设备，如防火墙、IPS、扫描器，构成网络安全防御体系–技术基础：数据收集、攻击模式识别、事件关联分析–ＩＤＳ类型：ＨＩＤＳ、ＮＩＤＳ–ＳＯＣ的数据来源：IDS、防火墙、扫描器等，执行安全事件分析管理网络安全技术与产品•网络、系统扫描器–功能：发现网络上存活主机、开启的应用服务、存在的系统漏洞、系统脆弱性（如：口令）、挂马网站等–技术基础：协议分析、渗透性测试–负面效果：可作为网络攻击平台网络安全技术与产品•其它安全设备–上网行为管理–网络行为分析–防水墙–网闸设备–ＵＴＭ网络安全技术与产品•其它安全设备–文件加密系统：用电子信封技术–桌面发布系统：将桌面应用发布为远程服务•避免客户端保存数据•便于监管、审计•有利于企业知识产权保护•代表性产品：CITRIX典型企业网络安全解决方案•问题：对于已经建设运行的网络信息系统，如何构建系统安全防护解决方案？–系统的安全威胁是什么？–确立系统安全目标–安全技术体系的构建–安全策略的设置–系统的维护典型企业网络安全解决方案•分析系统的安全威胁–边界网络设备安全威胁(1)入侵者通过控制边界网络设备进一步了解网络拓扑结构，利用网络渗透搜集信息，为扩大网络入侵范围奠定基础。比如，入侵者可以利用这些网络设备的系统(Cisco的IOS)漏洞或者配置漏洞，实现对其控制。(2)通过各种手段对网络设备实施拒绝服务攻击，使网络设备瘫痪，从而造成网络通信的瘫痪。典型企业网络安全解决方案•分析系统的安全威胁–信息基础安全平台威胁信息基础平台主要是指支撑各种应用与业务运行的各种操作系统。操作系统主要有Windows系列与UNIX系统。相对边界网络设备来说，熟知操作系统的人员的范围要广得多，而且在网络上，很容易就能找到许多针对各种操作系统的漏洞的详细描述，所以，针对操作系统和数据库的入侵攻击在网络中也是最常见的。典型企业网络安全解决方案•分析系统的安全威胁–内部网络的失误操作行为由于人员的技术水平的局限性以及经验的不足，可能会出现各种意想不到的操作失误，势必会对系统或者网络的安全产生较大的影响。–源自内部网络的恶意攻击与破坏据统计，有70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显地弱于对于网络外部的安全防范，而且由于内部人员对于内部网络的熟悉程度一般是很高的，因此，由网络内部发起的攻击也就必然更容易成功，一旦攻击成功，其强烈的攻击目的也就必然促成了更为隐蔽和严重的网络破坏。典型企业网络安全解决方案•分析系统的安全威胁–网络病毒威胁在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点，网络病毒的这些新的特点都会对网络与应用造成极大的威胁。典型企业网络安全解决方案－安全技术体系的构建•建立全网的身份管理、访问控制体系–部署ＩＤＭ统一身份认证、授权、访问控制•对网络用户进行统一的帐号管理•对网络用户进行统一身份验证，保证网络用户的合法性•集中的授权管理•集中的访问控制典型企业网络安全解决方案－安全技术体系的构建•建立全网的综合审计体系–网络审计–通过堡垒主机的集中接入审计–集中日志收集与审计分析•与ＩＤＭ系统配合构成综合的运维管控体系典型企业网络安全解决方案－安全技术体系的构建•在局域网入口处部署防火墙系统（支持ＶＰＮ）–防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据网络的安全政策控制(允许、拒绝、监测)出入网络的信息流。–防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。–防火墙本身具有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。典型企业网络安全解决方案－安全技术体系的构建•部署ＶＰＮ连接局域网分支和移动用户–局域网之间可采用ＩＰＳｅｃＶＰＮ–移动用户登录采用ＳＳＬＶＰＮ–ＶＰＮ认证纳入ＩＤＭ统一身份认证系统典型企业网络安全解决方案－安全技术体系的构建•部署入侵检测系统、安全事件管理中心–防火墙是部署在网络边界的安全设备，相当于计算机网络的第一道防线。–入侵检测系统（ＩＤＳ）一般部署在局域网内部，可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。–安全事件管理中心收集全网安全事件，集中管理，通过关联分析，强化安全设备协同，为安全策略评估提供依据。典型企业网络安全解决方案－安全技术体系的构建•部署漏洞扫描系统–操作系统、网络软件、应用软件存在安全漏洞，利用这些漏洞可以很容易地破坏乃至完全地控制系统;利用Ｗｅｂ应用系统的脆弱性的攻击是主要攻击形式；由于管理员的疏忽或者技术水平的限制所造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。–部署漏洞扫描系统，检测网络内部的脆弱性，可以为系统安全防护建设提供评估手段–本质上是一种必要的事前机制典型企业网络安全解决方案－安全技术体系的构建•部署漏洞扫描系统的安全防护效果–对企业网络系统网络重要服务器和PC进行漏洞扫描，发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取，甚至造成系统本身的崩溃)，生成详细的可视化报告，同时向管理人员提出相应的解决办法及安全建议。–对企业网络系统网络边界组件、基础组件和其他系统进行漏洞扫描，检查系统的潜在问题，发现操作系统存在的漏洞和安全隐患。–漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测，并向安全管理员提供系统最新的漏洞报告，使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。–通过漏洞扫描的结果，对系统进行加固和优化入侵检测、防火墙和漏洞扫描联动体系示意图典型企业网络安全解决方案－安全技术体系的构建•部署网络防病毒系统–一般计算机的