《计算机网络安全第十二章网络安全综合解决方案》由会员分享,可在线阅读,更多相关《计算机网络安全第十二章网络安全综合解决方案(85页珍藏版)》请在金锄头文库上搜索。
1、2018/9/18,1,第四部分 网络安全综合解决方案,2018/9/18,2,第十二章 网络安全方案设计,网络安全工程 网络安全方案的编写框架 实施案例,3,背景,信息技术及Internet迅速发展,已经渗透到当今社会的各行各业。信息技术安全和基于信息技术的系统安全是其中至关重要的组成部分。 今天,信息技术安全的概念已从过去政府或国防数据的保密范畴拓展到一般的组织和企业,涉及面也从保护数据的安全扩大到保证交易的安全和服务的安全等诸多方面。 在这种情况下,信息技术安全不再是一个单纯的技术问题,而是应该加以系统化的考虑和处理,这就引发了系统安全工程这一新兴学科的蓬勃发展。 国家信息安全主管部门对
2、这一发展趋势极为重视,中国国家信息安全评测认证管理委员会已开始着手吸收采纳国际上一些系统安全工程方面的相关标准,这无疑将大大促进中国信息技术安全的发展和提高。,4,信息系统安全工程,信息系统安全工程(Information System Security Engineering, ISSE)的含义是为实现客户信息保护需求而进行的某种过程。 ISSE是由美国国家安全局发布的信息保障技术框架(IATF)3.0版本中提出的设计和实施信息系统安全工程方法。,5,系统工程过程,发掘需求,定义系统,设计系统,实施系统,有效性评估,用户/用户代表,行为间的信息流向,对各行为的产物进行评估,发掘信息保护需求,
3、定义系统功能,设计系统,实施系统,有效性评估,安全管理,6,安全工程(1)安全需求,安全需求的意义: 合适的安全需求可以较小的代价控制风险,以满足信息资产的机密性、完整性、可用性和可审性。 可以将需求定义成一个系统必须遵守的条件或能力。确定和管理网络信息安全需求对一个组织减少风险是至关重要的。,7,安全需求的框架,资产,威胁,组织安全策略,假设条件,安全目标,安全需求,1)管理层面 2)运行层面 3)技术层面,8,1)管理层面的安全需求,信息分类 经营业务影响的分析和风险评估 人员安全 安全意识和培训 变更管理,9,管理层面的安全需求(1)信息分类处理,10,管理层面的安全需求(2)经营业务影
4、响的分析和风险评估,在对一个大的企业定义安全需求时,首先应完成经营业务影响分析(Business Impact Analysis, BIA),弄明白业务功能丢失或降低的影响。BIA标识最关键的资源以及对它们的威胁。 风险评估应始于企业经营业务这个层面。通过信息搜集过程,对企业的每个经营单元,在数量和质量方面测量业务功能丢失的影响。 信息等级分类处理、经营业务影响分析和风险评估处理是相互依赖的。这些处理对组织定义安全需求起着十分重要的作用。,11,管理层面的安全需求(3)人员安全,人员安全也是网络安全最关键的范围之一,因为员工是最终负责控制企业敏感信息的传播。 对企业人员有以下一些要求: 进行员
5、工的审查,对于作为可信角色且有高级访问权限的员工,更必须严格审查; 企业必须有合适的监管机制保证角色和责任的正确执行,对所有人员评估; 企业必须使员工明白其安全责任; 当员工注册、职责变更或离职时,其访问权限必须随之更改。,12,管理层面的安全需求(4)安全意识和培训,信息安全意识是企业培训课程不可缺少的一部分。 设置和保持有效的安全意识课程,应得到各级管理的支持。 员工应接受常规的安全培训和提醒,使得组织中的每个人都应关心安全。 企业安全培训需求阐明,必须给企业员工提供原始的(新员工)和持续不断的培训,以保持员工的知识、技巧、能力和安全意识达到有效执行所需的水平。,13,管理层面的安全需求(
6、5)变更管理,应该有一个充分的过程来保证对企业资源的变更全程进行正确的实施和测试。 企业变更管理有如下需求: 企业系统资源(包括硬件和软件)和支持系统必须建立文档、经过测试系统测试,并在执行以前进行授权; 所有的变更请求和系统维护必须标准化,并遵照正式的变更管理过程执行; 所有的变更请求必须用结构化方法来评估对资源功能可能的影响; 变更管理系统必须提供合适的审计跟踪设施,以跟踪事故及其发生原因。,14,2)运行层面的安全需求,运行安全需求致力于支撑正常业务运行所需的控制。 运行安全涉及以下一些问题: 物理和环境安全控制的实施,用以保护支持企业运行的系统资源的企业设施。 应急和灾难恢复计划的制定
7、,用于关键功能的连续运行。 应用软件、硬件和系统的维护控制。,15,物理与环境保护,对企业系统资源设施的保护控制是必需的,可以抵御物理和环境的威胁,保持连续运行。 必须保证企业数据中心、网络、系统的可用性和连续运行。有专门手段和设备用来保护环境的各种因素(防火、防尘、电力、温度、湿度等)。 必须有监控器、火警系统设备测试的设施管理过程,至少每6个月进行一次测试,且建立测试结果文档。 数据中心的人员必须进行培训,能对物理安全问题正确响应。 有关人员健康、安全的条件要符合国家或地区的法律、法规。 数据中心必须使用不间断电源UPS和紧急使用电源EPS,并应定期测试和维护这些设备。 任何时间禁止将食品
8、和饮料带入数据中心。必须备有专门的废物存放处并定期清除。必须将各种液体远离设备。在任何时间出口和通道必须畅通。,16,物理访问控制,所有的企业信息设施(包括数据中心、计算机房、网络控制中心以及其他有关的区域)应有适当的物理访问控制,防止非授权访问。 数据处理设备的每个组件都必须是安全的,包括计算机、外围设备、终端、控制器以及其他相关设备。必须防止对计算机设备的非授权使用,可用门锁或门卡。应有访问日志。 非本单位的人员需要访问数据中心应有书面的许可,这些访问需登记在册,且至少保持一年的记录。 防护门的钥匙应由负责安全的部门定期更换。,17,定期由第三方对访问控制进行考查,审计部门应考查访问控制和
9、访客记录。 除了计算机机房的安全,还必须提供合适的大楼安全,如警卫和警门,在下班时间保护所有的设施。提供报警、闭路电视监视器、警卫、标记、仿生网络安全等,以阻止对大楼和控制区的非授权物理访问。 所有网络设施必须有访问控制系统的实时监控器。 所有安全系统必须有自带的电池后备,应工作在联网环境中,必要时应有独立环境。每个系统必须有可检索的数据存档能力。,18,经营业务连续性与灾难恢复服务,经营业务连续性计划(Business Continuity Planning, BCP)与灾难恢复计划(Disaster Recovery Planning, DRP)能使企业在发生重大破坏事件时保持正常的经营业
10、务的运行。 BCP在防止可能的偶然事件以及减少由于这些偶然事件引起的对组织的危害方面起着重要的作用,它能及早采取措施以控制这些事件。 DRP在灾难发生后,标认恢复所需的关键信息,如技术应用程序、操作系统、人员、数据文件以及时间表,并选择最后采用的变更方案。,19,BCP和DRP有下面一些要求: 必须制订BCP和DRP,且要定期测试; 对后备和恢复必须实施综合策略管理,以保证经营业务的需求。数据中心的备份要建文档,包括每天每个服务器的增量备份以及每周的完全备份。 灾难恢复框架必须定义其角色和责任、所采用的方案以及计划的结构。所有在场的和离线的关键人员必须有当前的DRP版本,电子版本应离线存储。
11、DRP应覆盖计划和过程两个方面,包括建立通信和网络服务的过程。用来在灾难发生后,重建信息技术场地,重新开始正常的运行,且和保证员工安全的紧急过程相配合。,20,系统与应用维护,系统与应用的维护控制用来监控系统和应用软件的安装和升级。这些控制包括以下方面: 系统软件选择; 版本控制; 移到生产环境前的新系统软件或现有系统软件升级的测试; 一旦升级失败退回到以前的版本。,21,在系统和应用的维护中,企业应提出如下要求: 在没有书面授权情况下,用于特定计算机或场地的有版权许可证的产品不应复制到其他计算机或场地; 只有授权的并得到企业许可的软件、硬件和设备才可使用、安装或引入企业生产环境; 企业的系统
12、和应用软件应根据厂商推荐的安全补丁保持更新。系统和应用软件的当前版本具有处理和安全增强功能。校正缺陷的安全补丁由厂商通知; 数据中心系统软件的问题记录应标识问题的严重程度、委托专门人员分析和解决的记录以及问题的及时解决记录等。,22,3)技术层面的安全需求,技术安全需求集中在对计算机系统、网络系统及其应用程序的控制。 技术安全控制的主要目标是保护组织信息资产的机密性、完整性和可用性。,23,基本安全属性需求,机密性需求 保证信息与信息系统不被非授权者获取与使用。,24,数据完整性需求 必须保证在系统内(操作系统、硬件设备、应用系统、数据库)数据值的一致性; 要保持送到系统内部的信息和来自外部系
13、统的信息一致性; 必须保证发生系统故障时,能将信息恢复至稳定的状态; 还必须保证只有授权用户和授权系统可修改数据。,25,可用性需求 保证信息与信息系统可由授权人正常使用,确保信息与信息系统处于一个可靠的运行状态之下。,26,基于系统各部分的可用性需求,27,标识和鉴别需求,28,不可否认需求,29,授权与访问控制需求,30,网络安全需求,企业应该根据其自身的价值,定义与之相适应的网络资源有效保护水平,使网络安全与网络支持的经营业务处理一致。 企业网络安全需求的内容 企业网络安全应提供对分布系统的集中管理控制,在网络运行中心对多个数据中心和企业的各个场地实施安全管理; 企业网络进入点必须提供一
14、个系统标题,说明系统的使用仅限于授权用户并应指出对非授权用户进入系统的企图会采取的行动。系统标题必须对所有试图访问企业计算机系统的用户显示; 所有生产网络设备,包括LAN服务器、路由器和交换器,必须存放在物理安全的区域,并将房间加锁,以防非授权者进入; 所有同企业外公司的直接连接或专用网络连接必须得到信息安全部门的批准; 所有从Internet或外部网伙伴到企业内部网的通信必须通过企业设置的防火墙。,31,防火墙安全需求,(从工程角度阐述其安全需求) 必须通过防火墙在内部网和外联网之间控制访问; 必须在不同级别的安全和访问需求的内部网络之间控制访问; 内部网络的地址对外部网络必须隐藏起来; 必
15、须建立防火墙的文档,至少应包括防火墙的策略及包括每个规则的推理; 防火墙和所有网络设备必须提供合适的标识与鉴别控制; 防火墙的配置必须能加强内部网的安全,所有冗余的和不必要的处理必须从防火墙移去。,32,远程访问安全需求,从Internet对企业资源进行远程访问时,数据机密性和完整性必须在任意时间在公共网上得到保护。 必须通过强的鉴别方法来确定两个端点之间的标识。远程用户远程访问系统的机密和严格限制信息必须使用双因子鉴别。 直接接到个人计算机的个人通信设备的远程控制软件必须严格控制使用。 所有远程访问通信必须通过一个中央控制点(集中的modem池和防火墙)来实施集中安全管理和日志。 远程访问会
16、话一旦断掉,必须自动结束或重新鉴别,持续10分钟不活动,会话必须自动结束。 在3次无效连接访问企图后,远程访问会话必须结束,在重新设置安全管理前,必须保持不能再连接。,33,安全监控与审计需求,安全监控是维持计算机环境安全的关键。 监控处理包括天天监控以及使用监控安全的运行过程。这些监控活动应包括基于网络和基于主机的入侵,事件日志工具,日志检查过程,安全事件检查,定期的、实时的活动评估以及穿透测试。 安全审计日志通过记录用户活动来支持每个人的可审性。没有适当的审计机制,用户对其活动不能保持可审性,安全破坏也无法检测。,34,安全监控的需求 将所有安全事件合并在单一管理控制台的集中管理; 所有企业的应用、平台、数据库、网络系统或同这些系统接口的其他系统都必须提供日志能力。必须记录的信息类型包括: 所有系统安全参数、安全轮廓、安全账户口令的改变; 所有的特权账户(系统管理员)的改变; 所有由特权进程、处理、程序进行的安全参数的改变; 所有修改和删除审计日志的企图; 所有使严格限制的和机密的数据和软件的改变; 所有的安全违例(登录企图或口令猜测活动); 作案者的用户ID、事故的日期和时间、受影响的资源名、进行的活动以及设备的位置(IP地址或最终的ID)等信息。,
