安全域划分及防护
目录
安全域划分及防护规范 ............................................................................................... 错误!未定义书签。
一. 概述 (3)
1.1适用范围 (3)
1.2引用标准 (3)
二. XX证券信息系统概述 (4)
三.安全域划分规范 (6)
3.1划分原则 (6)
3.2安全域划分 (9)
3.2.1网络外部域 (10)
3.2.2网络接入域 (10)
3.2.3网络核心域 (11)
3.2.4计算域 (11)
3.2.5管理用户域 (12)
3.2.6安全支撑域 (12)
3.2.7边界描述 (12)
四.安全域保护定级 (15)
五.安全域防护策略 (18)
5.1 XX证券信息系统防护策略 (18)
5.2网络核心域防护 (18)
5.2.1边界防护策略 (18)
5.2.2边界5的防护策略 (19)
5.2.3边界6的防护策略 (19)
5.2.4边界7、8的防护策略 (20)
5.2.5边界9的防护策略 (21)
5.2.6内部防护策略 (22)
5.3网络接入域的防护 (24)
5.3.1边界防护策略 (24)
5.3.2 互联网接入域 (25)
5.3.3外联网接入域1的防护策略 (27)
5.3.4外联网接入域2的防护策略 (28)
5.3.5内联网接入域的防护策略 (30)
六. 总结 (31)
一. 概述
1.1 适用范围
本文档是根据xx证券公司2008年网络安全评估项目的要求,结合xx证券网络的建设现状,制定了安全域划分框架,并在此基础上制定了安全域的保护等级以及对应的安全防护规范。
本文档为xx证券信息网络的安全规划和工程建设提供了依据,可用来指导构建详细的安全技术防护体系和安全产品部署方案。
本文档面向xx证券公司信息系统的管理者和信息系统安全的工程技术人员。
1.2 引用标准
●《关于加强信息安全保障工作的意见》(中办、国办[2003]27号文)
●公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级
保护工作的实施意见》(公通字【2004】66号文)
●国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报
告》
●美国国家标准和技术研究所(NIST,National Institute of Standards
and Technology)制订的SP 800系列文档:《IT系统安全自评估指南》、
《IT系统风险管理指南》、《联邦IT系统安全认证和认可指南》、《信息系
统安全规划指南》等,https://www.360docs.net/doc/5b5301015.html,/publications/nistpubs/
●美国国家安全局,信息保障技术框架IATF(Information Assurance
Technical Framework),V3.1版,https://www.360docs.net/doc/5b5301015.html,
●《计算机信息系统安全保护等级划分准则》(GB 17859)
●公安部GA/T 387-391-2002系列标准,计算机信息系统安全等级保护操
作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理
系统技术要求
二.xx证券信息系统概述
xx证券信息网络整体逻辑如图。从图中可以看出,xx证券网络采取星型的网络拓扑结构,由双核心交换机为核心连接银行、灾备中心、深沪交易所、营业部、互联网和业务系统,同时还连接相关网络系统。该图仅说明系统之间的连接关系,对设备间的具体连接、与外部系统的连接、以及系统内部的组成情况都进行了简化。
xx证券网络由4大部分组成,具体如下:
1)位于总公司机房的核心交换机,由两台CISCO4006热备,是网络的核心部分。
2)业务系统,包括网上行情、交易系统、银证转帐等,是xx证券网络的主要业务系统。
3)网管系统,对公司信息系统进行管理。
4)对外连接的相关系统,包括:银行系统、深沪交易所、灾备中心、营业部、互联网,核心交换作为xx证券网络的核心,连接了所有的相
关系统。
xx证券核心交换和主要业务系统的物理实体集中在总公司机房,在机房中提
供业务系统的接入,同时提供主要的对外连接接口以及网络管理的连接。由上图
我们可以看出,信息系统必须与其他系统实现网络互通和信息共享与交互。在这种应用需求下,使得不同的外部网络、不同身份和目的的人都有机会连接到xx证券内部网络中,从而对信息系统的安全带来了威胁。从xx证券网络环境的层面而言,信息系统的安全威胁主要来自以下几个方面。
1.来自内部误用和滥用的安全威胁,包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。而这类误用和滥用,与公司内部不同IT系统或者与其他相关系统的互联互通、合作伙伴之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;
2.来自互联网的安全威胁:目前网上交易系统、网上行情系统等系统是与互联网相连的,如果安全措施不力就很有可能被黑客利用,带来网络安全问题;
3.来自缺省配置的安全威胁:在建设IT系统时,大量的UNIX/WINDOWS等系统很多都采用缺省配置,造成开放不必要的端口等安全隐患,如果对其IT局域网架构缺乏安全边界的划分,而又没有采取一个可集中控制访问请求的措施,则很容易被不法分子利用进行非法入侵。
三.安全域划分规范
3.1 划分原则
信息系统安全体系的最终目标就是在技术可行和管理可行的前提下,将安全风险和隐患降低到一个可以接收的水平。要实现这一目标,需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备,更是需要综合
考虑如何在现有网络架构上安装何种安全设备才能发挥最大的作用。如果没有一个结构清晰、可靠实用、扩展灵活的信息系统,依然沿袭各套系统的安全建设自成体系、分散单一的常规做法,即使选用最先进的安全设备,那么也只能是搭建了一个空中楼阁,无法从根本上减弱信息系统所受到的安全威胁和隐患。因此,克服和改造信息系统传统局域网整体结构的不足是xx证券解决网络安全的首要工作。为规划和建设一个完善的信息系统局域网,需要引入安全域。安全域的定义是,在安全策略的统一指导下,根据各套系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等,将xx证券的信息系统划分成不同的域,将不同系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化。
需要明确的是,信息系统的安全域划分并不是传统意义上的物理隔离,物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程,隔断网络使信息不能共享;而安全域划分是在认真分析各套系统的安全需求和面临的安全威胁的前提下,既重视各类安全威胁,也允许系统之间以及与其他系统之间正常传输和交换的合法数据。
在安全域划分时应该遵循以下的一些基本原则。
1.根据系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。从网络构架层面来讲,系统整体结构安全域的划分是与安全产品的部署密不可分的,一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境;另一方面,将安全域划分为域内划分和域外划分两种,域和域之间主要采用通过交换设备划分VLAN和防火墙来
彼此策略隔离;在域内主要根据不同被保护对象的安全需求采用部署AAA、IDS和防病毒系统等来完成,因此,安全域的划分不能脱离安全产品的部署。
2.安全域的个数不应过多,否则在策略设置上过于复杂,会给今后管理带来很大不便;在划分的保证各个安全域之间路由或者交换跳数不应该过多;
3.安全域划分的目的是发挥安全产品的整体效能,并不是对原有系统整体结构的彻底颠覆。因此在对网络结构改造的同时需要考虑保护已有投资,避免重复投入与建设。
根据上述原则,为了建立xx证券网络的整体安全防护体系,并作为现有网络系统安全改造的依据和新建网络边界安全防护需遵循的原则,将采用划分安全域、分类分级确定安全防护策略的总体技术思路。
首先,根据所处的运行环境划分信息系统。具有相同的或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一策略的安全保护。根据xx证券的实际情况,划分为网络外部域、网络接入域、网络核心域这三类安全域。
其次,在网络外部域、网络接入域、网络核心域这三类安全域内,根据系统结构、业务逻辑、安全威胁、风险大小、安全需求、控制成本等因素,在安全域内部继续划分网络域、计算域和用户域。网络域是在系统内部从网络架构上进行的划分,为网络层防护策略的具体落实提供基础。网络域划分完毕后,可根据网络系统内部所包含对象的实际情况,确定是否进行计算域和用户域的划分。计算域落在网络域内,是数据处理和数据存储的区域,为主机系统层、应用层、数据层防护策略的具体落实提供基础。用户域落在网络域内,是访问业务应用系统的终端用户所在的区域,为终端系统层、应用层、数据层防护策略的具体落实提供
基础。
最后,网络域、计算域和用户域的划分不是内部划分安全域的最佳粒度,还可以进一步细化。网络域可继续划分为:网络核心域、主网络接入域、备份网络接入域和网络外部域等子域;主网络接入域根据接入系统的情况可分:互联网接入域、外联网接入域、内联网接入域;网络核心域可继续划分为:核心计算域、备份核心计算域、安全支撑域;用户域继续划分为:管理用户域。
3.2 安全域划分
对于xx证券核心网来说,首先从网络架构上对其进行安全域的划分,包括网络核心域、主网络接入域、备份网络接入域和网络外部域等子域;其次,网络核心域中包含核心计算域、备份核心计算域、安全支撑域,网络接入域中包含互联网接入域、内联网接入域、外联网接入域和备份网络接入域,网络外部域包含Internet、Extranet、分支网络用户域,如图所示。
3.2.1 网络外部域
是指与xx证券公司有连接的其它IT系统所在的区域,包括互联网的接入、银行网络、沪深交易所、各营业部。
3.2.2 网络接入域
是指xx证券总部网络之外的网络系统与xx证券总部进行通信的接入区域。依据对端网络可信度的不同,网络接入域进一步分为:互联网接入域、外联网接入域1、外联网接入域2、管理用户域、备份网络接入域。
1)互联网接入域,连接互联网,经由边界防火墙及radware负载均衡器接入。其中,使用了1G电信、100M电信、100M网通、10M
联通接入。
2)外联网接入域1,连接银行系统,经由3825路由器、交换机接入,实现与银行业务系统的外联。
3)外联网接入域2,连接沪深交易所,经由2M SDH 专线和卫星系统、交换机接入,实现与沪深交易所行情的接收。
4)内联网接入域,连接xx证券各分支机构营业部,经由VPN、ISDN、帧中继等多条线路,由cisco7204、cisco3662、fortigate200A防火
墙接入。实现对分支机构的网络互联功能。
5)备份网络接入域,通过SDH、帧中继,连接银行系统、沪深交易所、各分支机构的备份线路,实现备份功能。
3.2.3 网络核心域
是指网络的核心功能区,主要由网络核心交换设备组成。包括2台Cisco 4006交换机为核心交换设备,通过它实现对外与其它相关系统的互联及信息交互;对内连接核心计算域、备份核心计算域、安全支撑域。
3.2.4 计算域
3.2.
4.1 核心计算域
落在网络核心域,包括:恒生各应用服务器、主备小型机、数据库、存
储系统等,是网络的核心部分。
3.2.
4.2 备份核心计算域
落在网络核心域,和核心计算域的结构类似,包括:恒生各应用服务器、主备小型机、数据库、存储系统等,是网络的备份核心部分。
3.2.
4.3 接入计算域
落在网络接入域,包括各台交换机、路由器、防火墙等,是核心部分与外部系统的信息交互的前置部分。
3.2.5 管理用户域
落在网络接入域,是提供给xx证券内部网管人员终端接入的区域,以实现对网络的业务管理和系统维护。
3.2.6 安全支撑域
落在网络核心域,包括漏洞扫描设备、补丁管理服务器、入侵检测设备等。
3.2.7 边界描述
按照安全域划分的具体情况,对照分析安全域之间的业务关系,xx证券公司网络存在以下几类边界,具体如下图。xx证券网络安全域划分及边界接口定义所示。描述如下:
1.边界1
互联网接入域的通信边界,通过多条线路实现外部用户或系统接入的通道。互联网与互联网接入域的连接,实现与交易系统连接,从而向用户提供网上行情、网上交易等业务。
2.边界2
外联网接入域1与的各银行通信边界。银行系统通过银行接口机经外联网接入域1,实现银证转帐。通过多条SDH线路连接至灾备中心。
3.边界3
外联网接入域2与深沪交易所的通信边界。深沪交易所通过SDH、卫星线路经外联网接入域2,实现行情接收,沪深交易所通过SDH线路连接至灾备中心。
4.边界4
内联网接入域与各营业部的通信边界。其中包括了VPN、ISDN、帧中继的多种线路,实现与营业部的数据交互。营业部通过专线连接至灾备中心。
5.边界5
管理用户域与网络核心域之间的通信边界。实现网管系统的网络管理。
6.边界6
互联网接入域与网络核心域之间的通信边界。实现公众用户的晚上行情及交易管理。
7.边界7
外联网接入域1与网络核心域的通信边界,包括与银行系统的业务数据和业务管理数据的交互。
8.边界8
外联网接入域2与网络核心域的通信边界,与深沪交易所的行情数据接
收。
9. 边界9
内联网接入域与网络核心域的通信边界,包括各营业部的数据交互。
10. 边界10
备份核心交换设备与备份核心域的通信边界,包括各备份系统数据交互。
11. 边界11
安全支撑域与核心交换设备的通信边界,包括各安全设备与核心计算域主机的管理。
12. 边界12
核心交换设备与核心计算域的通信边界。
13. 边界13
核心交换设备与备份核心交换设备之间的通信边界。
四.安全域保护定级
根据安全域等级定级规范,xx证券信息系统的安全保护等级是由其包含的逻辑业务子系统决定的,即xx证券信息系统的安全保护等级等于其逻辑业务子系统的最高安全保护等级。
xx证券信息系统在资产价值方面,主要体现在业务关联性、业务网络的影响、
业务收益的影响、以及面向客户的重要程度等方面,具体描述及赋值如下:1)业务关联性:xx证券信息系统直接对外,面向服务,负责业务流程的控制和业务数据的管理。赋值为3。
2)对业务网络的影响:xx证券信息系统是网络的核心部分,一旦出现问题,将对业务的开展产生直接的严重影响。赋值为3。
3)业务收益的影响:xx证券信息系统间接影响业务的运营收益,一旦出现问题,将对公司造成一定的损失。赋值为2。
4)面向客户的重要程度:xx证券信息系统是直接为合作伙伴、大众用户提供服务。赋值为3。
在安全要求方面,则是根据系统的重要性,确定其在可用性、完整性、机密性三个方面的需求等级,具体描述及赋值如下:
在安全要求方面:系统每天都要处理大量的信息交互,而且对信息处理的实时性要求较高,因此对系统的可用性有很高的要求;按照国家的有关规定及相关服务协议,公司具有对用户数据保护的义务,因此对系统的保密性要求很好;同时,公司也必须保证数据内容的完整,防止被非法篡改、丢失,而且必须保证系统本身不受非法的损害,以保证信息的有效处理,因此对系统的完整性有很高的要求。
5)可用性指的是对系统实时可用的要求:xx证券信息系统对业务的可用性及实时性要求高。赋值为3。
6)完整性指的是对完整性和准确性的要求:xx证券信息系统对用户的交易数据等信息的完整性和准确性要求高。赋值为3。
7)机密性指的是对保密性的要求:xx证券信息系统涉及客户个人隐私信息较少,对对机密性要求低。赋值为1。
表错误!文档中没有指定样式的文字。-1 xx证券信息系统系统定级指标
根据信息系统的定级规范,xx证券信息系统的指标累计为18分,安全保护等级为3级。同时,依据安全域的定级原则,xx证券信息系统安全域的安全保护等级如下:
表错误!文档中没有指定样式的文字。-2 xx证券信息系统安全域保护等级
五.安全域防护策略
5.1 xx证券信息系统防护策略
xx证券信息系统主要包括网络外部域、网络接入域、网络核心域。安全域的安全保护等级全部为3级。
5.2 网络核心域防护
网络核心域主要承担本域内的主机、设备的互联和通信,以及与网络接入域内的主机、设备的通信功能。域内和跨越域边界的通信量很大。
网络核心域主要承担本域内的主机、设备的互联和通信,以及与互联网接入域、外联网接入域1、外联网接入域2、内联网接入域和备份网络接入域内的主机、设备的通信功能。
5.2.1 边界防护策略
网络核心域和网络接入域的连接包括以下边界:
◆边界5:网络核心域与网络接入域的管理用户域的互联边界;
◆边界6:网络核心域与网络接入域的互联网接入域的互联边界;
◆边界7:网络核心域与网络接入域的外联网接入域1的互联边界;
◆边界8:网络核心域与网络接入域的外联网接入域2的互联边界;
◆边界9:网络核心域与网络接入域的内联网接入域的互联边界;
网络核心域内部主要包括以下边界:
◆边界10:网络核心域内备份主交换设备与备份核心计算域的互联边界;
◆边界11:网络核心域内主交换设备与安全支撑域的互联边界;
◆边界12:网络核心域内主交换设备与核心计算域的互联边界;
◆边界13:网络核心域与备份网络核心域互联边界;
5.2.2 边界5的防护策略
边界5是网络核心域与网络接入域的管理用户域的互联边界。实现网管系统的网络管理。
本边界主要面临着人员滥用、数据安全、口令猜测等威胁。
需采用的安全保护技术或措施如下:
A.在核心交换设备中进行VLAN划分,不同业务部署在不同VLAN上。
B.在核心交换设备中启用访问控制列表(ACL)功能,并设置路由过滤安全
策略,安全策略应细化到IP地址和端口。
可选择的安全保护技术或措施如下:
C.必要时,考虑在管理用户域和网络域之间部署单层防火墙实现访问控制策
略,合理设置路由,严格禁止任何旁路路由。
5.2.3 边界6的防护策略
边界6是互联网接入域与网络核心域的通信边界,包括经电信、网通、联通到网络接入域后与网络核心域的通信,主要包括业务数据流。
本边界主要面临着病毒、蠕虫、黑客攻击、DDOS攻击、口令猜测等威胁,威胁能力极高。
需采用的安全保护技术或措施如下:
A.在核心交换设备中进行VLAN划分,不同业务部署在不同VLAN上。
B.在核心交换设备中启用访问控制列表(ACL)功能,只允行合法的数据流
通过,实现不同业务之间的隔离。安全策略应细化到IP地址和端口。
C.部署基于状态检测的防火墙进行访问控制。安全策略设置中,仅允许互联
网接入域访问网络核心域特定的服务;在安全策略设置上,严格控制访问
策略。
D.在防火墙、三层交换机等边界设备上设置严格的访问控制列表针对基于网
络传播的恶意代码(如冲击波、SQL Slammer等)进行检测和清除。
E.在核心交换设备上部署IDS并及时进行策略更新,监控异常网络行为,实
现安全内容审计。
可选择的安全保护技术或措施如下:
F.核心交换设备应按照对业务服务的重要次序来指定带宽分配优先级别,以
保证在网络发生拥堵的时候优先保护重要业务数据主机。
G.在核心域核心交换边界部署防病毒网关设备,实现对安全区域之间的病毒
进行过滤,并定期维护恶意代码库的升级和检测系统的更新。
5.2.4 边界7、8的防护策略
边界7、8是外联网接入域与网络核心域之间的通信边界。合法通过的业务数
§1 网络安全概述
1.网络安全概述 1. 1. 网络安全的内涵 1. 1.1. 信息安全 信息安全——防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施(量度)。 e .w e e k @ 16 3. c o m 张 定 祥
1. 1. 2. 计算机网络 计算机网络——是地理上分散的多台自主计算机互联的集合,实现信息交换、资源共享、协同工作及在线处理等功能。 1. 1.3. 网络安全 网络安全概念 网络安全——是在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、存储、传输、访问提供安全保护,以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。 从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原 因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不 中断。网络安全涉及的内容既有技术方面的问题,也有管理方面的问 题,两方面相互补充,缺一不可。 网络安全的三个方面 ①自主计算机的安全; ②互联安全,即用以实现互联的通信设备、通信链路、网络软件、网络协议的安全; ③各种网络应用和服务的安全。 e .w e e k @ 16 3. c o m 张 定 祥
1. 1.4. 网络安全的基本属性 ①机密性 也称为保密性:信息不泄露、不被非授权者获取与使用。占有性 ②完整性 信息不被删除、添加、篡改、伪造。信息的真实性。 ③可用性 不宕机、不阻塞、能正常运行 1. 1.5. 网络信息安全性服务 ①机密性服务 机密性(confidentiality ): ? 保证信息与信息系统不被非授权者获取与使用 ? 保证系统不以电磁方式向外泄露信息 e .w e e k @ 16 3. c o m 张 定 祥
运营商IT系统网络架构的安全域划分
运营商IT系统网络架构的安全域划分 京移通信设计院有限公司李玮 众所周知,网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略,它是安全工作的标准和依据;安全技术框架的核心是积极防御,安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。对拥有众多IT系统的电信运营商而言,以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署,更应该是一个全面、立体、构架化的安全体系。安全体系的健康与否,关系到认证与授权是否能够做到对访问的主动控制,关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失,关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题。 IT系统安全体系具体是由解决方案和安全设备部署构成的,二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言,按照网络安全框架的要求,IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的,才能够最终保证所部署的安全设备充分发挥作用,才能够保证安全技术框架的顺利实施,进而保证安全策略的有效贯彻。 一、传统IT系统局域网架构的不足和安全威胁 传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立,经常采用如物理隔离的方式来达到安全的目的,甚至建设两套网络,即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用,而无法实现与其他相关系统之间、与Internet之间的信息交互和共享,不但禁止了有用数据交换,造成信息化工作无法开展,还进一步增加了投资,这与积极防御的理念是背道而驰的。另外,物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次,由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划,同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的,虽然在一定程度上能够起到安全防护作用,但是由于各套IT系统的安全建设自成体系、分散单一,缺乏统筹考虑和宏观把握,造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来
安全域划分和等级保护
近年来,随着我国信息化发展的逐步深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作,为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多;系统面临着各种性质的安全威胁,间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等;安全保障要求的内容极为广泛,从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等,凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题;不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。 国内的政策及发展 面对严峻的形势和严重的问题,如何解决大型信息系统的信息安全问题,是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了分等级保护的策略来解决我国信息网络安全问题,即针对信息系统建设和使用单位,根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素,依据国家规定的等级划分标准,设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。 2003 年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。 之后,一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发
网络安全纵深防御体系
网络安全纵深防御体系 第一层是安全域划分,这个安全域是对业务的抽象,并不是对物理服务器的划分,在大规模分布式架构中,同一个安全域的机器可能并不一定位于同一个物理机房,但是它们对应相同的安全等级,共享一组相同的访问控制策略,只对其他安全域或Iinternet 暴露有限的协议和接口。即使攻击者渗透了其他相邻的服务器,也只能扫描和访问这个安全域内有限的几个端口,没办法自由渗透,这个方案主要解决Plan-B曲线救国时被人侵者“误伤”,即被无意识的扫描行为以很低的成本获取新的站点和权限,以及获得单点root后进步渗透的扩散,希望能把安全事件爆发的最大范围抑制在一个安全域中,而不是直接扩散到全网。 第二层是基于数据链路层的隔离,只有第二层隔离了才能算真正隔离,否则只在第3层以上做ACL效果会差一些,仍然会遭受ARP攻击。第二层使用VPC、Vxlan、VLan等方法相当于在安全域的基础上对一组服务器以更细的粒度再画一道防线,进一步抑制单点沦陷后受害源扩大的问题。在不是特别大的网络中可以直接跳过安全域到这一步。当然安全域的概念在任何时候都是存在的,我们在这里仅仅是在做划分的事情。 第二层之上就是端口状态协议过滤,这是绝大多数“防火墙”应用的场景。解决的还是对黑客暴露的攻击面的问题,即使我的加固做得不到位,不必要的服务没有清理干净,开放了有问题的端口,甚至有些端口上跑着的服务还有漏洞,但是因为被防火墙过滤了,路由不可达,所以攻击者利用不了,他只能在对外或对信任域暴露的端口上去想办法。本质上,就是给攻击者提供“窄带”,有限的访问通道。不过在有复杂嵌套引用关系的大规模生产网络中,出于运维成本的考虑,有时候访问控制策略不会做得很细粒度,因为那样的话,如果有台机器挂了,换个P都麻烦,这也是安全向业务的妥协。 再往上一层是现在讨论最多的APP安全,其实从图中也可以看出你平日的工作都是聚焦于哪层。这一层单独拆开都可以再建一个纵深防御的子体系。应用层通常是暴露在Internet上的攻击面,这一层主要是解决认证鉴权、注入跨站上传之类的应用层漏洞,尽可能把入侵者堵在信息和资源的唯一入口。如果你在开发WAF,那你对应的也是这一层的工作。 应用层上方是容器、运行时环境。这里的目标是假设服务器上的应用程序有漏洞,且攻击者找到了漏洞,我不希望这个漏洞能被成功利用,直接跳转到系统权限,而是希望能在这一步阻止攻击者,办法就是通过容器加固。比如阻止一些危险函数的运行,比如上传了webshell 但是不被解析执行,比如你想执行eval()并用种种方法变形编码字符串拼接逃过了应用层的检测,但是到了运行时其实是相同的底层指令,那么无论攻击者在上层多么努力地变形,我都有可能在更底层把攻击者揪出来,哪怕不直接阻断,我也至少报个警。在绝大多数入侵活动中,上传或生成webshell 是从应用权限向系统权限转化的关键一步,所以这一层的防御也是比较重要的。后面会有单独篇幅讲如何对抗webshell。
数据中心安全域的设计和划分
数据中心安全域的设计和划分 安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础,也是保障业务信息安全的基础。 一、安全域设计方法 安全域模型设计采用"同构性简化"方法,基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元以拼接、递归等方式构造出一个大的网络。 一般来讲,对信息系统安全域(保护对象)的设计应主要考虑如下方面因素: 1.业务和功能特性。 ①业务系统逻辑和应用关联性。 ②业务系统对外连接。对外业务、支撑、内部管理。 2.安全特性的要求。 ①安全要求相似性。可用性、保密性和完整性的要求。 ②威胁相似性。威胁来源、威胁方式和强度。 ③资产价值相近性。重要与非重要资产分离。 3.参照现有状况。 ①现有网络结构的状况。现有网络结构、地域和机房等。 ②参照现有的管理部门职权划分。 二、安全域设计步骤 一个数据中心内部安全域的划分主要有如下步骤: 1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系,若业务主机之间没有任何访问关系,则单独考虑各业务系统安全域的划分,若业务主机之间有访问关系,则几个业务系统一起考虑安全域的划分。 2.划分安全计算域。根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分,一般分为核心处理域和访问域,其中数据库服务器等后台
处理设备归人核心处理域,前台直接面对用户的应用服务器归人访问域;局域网访问域可以有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等;局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等,核心处理域应具有隔离设备对该区域进行安全隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。 3.划分安全用户域。根据业务系统的访问用户分类进行安全用户域的划分,访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域,一般分为管理用户域、内部用户域、外部用户域。 4.划分安全网络域。安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内化分三种安全域:外部域、接人域、内部域。 三、安全域模型 该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、物理安全特性等。 1.安全服务域。安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。 2.有线接人域。有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。 3.无线接人域。无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。 4.安全支撑域。安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域,实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级,各类安全事件的收集、整理、关联分析,安全审计,人侵检测,漏洞扫描等。 5.安全互联域。安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。
数据中心安全域隔离解决方案
数据中心安全域隔离解决方案 数据中心安全建设的基本原则:按照不同安全等级进行区域划分,进 行层次化、有重点的保护,通过传统防火墙分级分域的进行有针对性的访问 控制、安全防护。 数据中心安全域隔离存在的问题 防火墙基于五元组部署访问控制策略,但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题: 传统防火墙仍面临新的安全挑战 70%的攻击来自应用层,防火墙防护存在短板
APT、0day、欺诈等威胁出现,使边界防御失陷 深信服数据中心安全域隔离解决方案 本方案采用技术上先进的下一代防 火墙作为数据中心安全域隔离的主要载 体。既可以解决传统安全域隔离可视性 和管理便利性上的问题,同时还能够通 过开启应用层防护的模块和失陷主机检 测的模块加固数据中心的安全。有效的 补数据中心存在的安全短板,提升数据 中心安全防护与检测的能力。 ?数据中心安全域设计建议 将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。对数据中心网络及应用系统实施网络分级分区防护,有效地增加了重要应用系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。
接入区:安全等级中,包含三个子区,互联网接入区、分支机构接入区和第三方接入区; 办公区:安全等级低,包含两个子区,内网办公区和无线办公区; 业务区:安全等级高,包含三个子区,对外业务区、核心业务区、内部应用区。 方案特点 ?精细到应用的访问控制粒度 不仅具备五元组访问控制策略,还可以通过结 合应用识别与用户识别技术制定的L3-L7 一体化 应用控制策略,提高了策略控制的准确度,提升数据中 心管理的效率。 如访问数据中心的常见应用 OA、ERP、Web、 邮箱等;或外部运维人员访问数据库等场景,通过应用层访问控制策略,解决传统 ACL 的无法对端口逃逸、端口跳跃等(如使用 Oracle 建立连接 1521,连接后为随机端口)技术的应用进行控制的问题。 ?向导式可视化的策略管理 上线部署:简单易懂的 IT 向 导配置,无需管理员掌握复杂的安 全知识,也可以完成策略的快速部 署上线,轻松掌握对数据中心安全 策略的部署。 新增业务:数据中心新增业务 时,能主动发现新增资产,防止安全策略疏漏。管理员无需手动查找新增资产,只需要对新增资产进行一 键策略的关联部署就可以快速添加策略。 策略管理:可视化的策略管理,提升了 访问控制策略管理的可视性,使管理员可以 更容易的看清楚策略部署的情况;同时提供 策略命中数量,便于管理员清除无效策略。 ?支持更强防护和检测能力的扩展 L2-7 层防护功能扩展:本方案采用深信
安全域划分及防护
目录 安全域划分及防护规范 ............................................................................................... 错误!未定义书签。 一. 概述 (3) 1.1适用范围 (3) 1.2引用标准 (3) 二. XX证券信息系统概述 (4) 三.安全域划分规范 (6) 3.1划分原则 (6) 3.2安全域划分 (9) 3.2.1网络外部域 (10) 3.2.2网络接入域 (10) 3.2.3网络核心域 (11) 3.2.4计算域 (11) 3.2.5管理用户域 (12) 3.2.6安全支撑域 (12) 3.2.7边界描述 (12) 四.安全域保护定级 (15) 五.安全域防护策略 (18) 5.1 XX证券信息系统防护策略 (18)
5.2网络核心域防护 (18) 5.2.1边界防护策略 (18) 5.2.2边界5的防护策略 (19) 5.2.3边界6的防护策略 (19) 5.2.4边界7、8的防护策略 (20) 5.2.5边界9的防护策略 (21) 5.2.6内部防护策略 (22) 5.3网络接入域的防护 (24) 5.3.1边界防护策略 (24) 5.3.2 互联网接入域 (25) 5.3.3外联网接入域1的防护策略 (27) 5.3.4外联网接入域2的防护策略 (28) 5.3.5内联网接入域的防护策略 (30) 六. 总结 (31)
一. 概述 1.1 适用范围 本文档是根据xx证券公司2008年网络安全评估项目的要求,结合xx证券网络的建设现状,制定了安全域划分框架,并在此基础上制定了安全域的保护等级以及对应的安全防护规范。 本文档为xx证券信息网络的安全规划和工程建设提供了依据,可用来指导构建详细的安全技术防护体系和安全产品部署方案。 本文档面向xx证券公司信息系统的管理者和信息系统安全的工程技术人员。 1.2 引用标准 ●《关于加强信息安全保障工作的意见》(中办、国办[2003]27号文) ●公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级 保护工作的实施意见》(公通字【2004】66号文) ●国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报 告》 ●美国国家标准和技术研究所(NIST,National Institute of Standards and Technology)制订的SP 800系列文档:《IT系统安全自评估指南》、 《IT系统风险管理指南》、《联邦IT系统安全认证和认可指南》、《信息系 统安全规划指南》等,https://www.360docs.net/doc/5b5301015.html,/publications/nistpubs/ ●美国国家安全局,信息保障技术框架IATF(Information Assurance
中国移动云计算网络安全域划分技术要求
中国移动云计算 网络安全域划分技术要求 Technical Specification of Centralized Security Protection for Cloud Computing 版本号: 1.0.0 中国移动通信集团公司网络部 2013年12月
目录 前言 (1) 1综述 (2) 2云计算网络安全域划分 (2) 2.1安全域划分的原则 (3) 2.2云计算平台的主要安全域 (4) 2.2.1云计算平台组网的基本架构 (4) 2.2.2云计算平台基础网络安全域划分方法 (5) 2.2.3云计算平台所承载业务系统组网安全域划分方法 (7) 3云计算网络的安全防护要求 (8) 3.1.1云计算平台与互联网之间互联安全要求 (8) 3.1.2云计算平台与支撑系统之间互联安全要求 (8) 3.1.3云计算平台上承载的业务系统之间互联安全要求 (8) 4云计算平台安全运维要求 (9) 4.1安全维护要求 (9) 4.2安全管理要求 (9) 5编制历史 (10) 附录A 引用标准与依据 (10) 附录B 相关术语与缩略语 (11)
前言 针对数据业务系统向云计算平台承载方式演进的需求,按照等级保护和集中化要求,本要求明确了在云计算网络环境下组网规划,实施安全域划分的基本原则,并进一步提出了云计算环境安全防护的基本要求。 本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。并在此基础上,以业务系统为单位,每个业务系统划分不同的VLAN,实现云计算网络环境下业务系统间的安全隔离。 本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。 本技术要求主要包括以下3个方面内容: 1、云计算平台安全域划分; 2、云计算平台边界整合; 3、云计算平台的安全防护。 起草单位:中国移动通信有限公司网络部、中国移动通信研究院。 主要起草人:柏洪涛、任兰芳、刘斐、魏来、徐海东、周智。
网络安全防护工作总结
通信网络安全防护工作总结 为提高网络通讯防护水平,从网络结构安全、网络访问控制、边界完整性几个大方向上采取一系列技术手段保障通信网络安全稳定,总结如下: (1)网络冗余和备份 使用电信和网通双城域网冗余线路接入,目前电信城域网的 接入带宽是20M,联通城域网的接入带宽是20M.可根据日后用户的不断增多和务业的发展需求再向相关网络服务提供商定购更 大的线路带宽。 (2)路由器安全控制 业务服务器及路由器之间配置静态路由,并进行访问控制列表控制数据流向。Qos保证方向使用金(Dscp32),银(Dscp8),铜(Dscp0)的等级标识路由器的Qos方式来分配线路带宽的优先级,保证在网络流量出现拥堵时优先为重要的数据流和服务类型预 留带宽并优先传送。 (3)防火墙安全控制 主机房现有配备有主备juniper防火墙和深信服waf防火墙,juniper防火墙具备ips、杀毒等功能模块,深信服waf防火墙主要用于网页攻击防护,可防止sql注入、跨站攻击、黑客挂马等攻击。 防火墙使用Untrust,Trunst和DMZ区域来划分网络,使用策略来控制各个区域之间的安全访问。
(4)IP子网划分/地址转换和绑定 已为办公区域,服务器以及各个路由器之间划分IP子网段,保证各个子网的IP可用性和整个网络的IP地址非重复性。使用NAT,PAT,VIP,MIP对内外网IP地址的映射转换,在路由器和防火墙上使用IP地址与MAC地址绑定的方式来防止发生地址欺骗行为。服务器及各个路由器之间划分IP子网划分:172.16.0.0/16 (5)网络域安全隔离和限制 生产网络和办公网络隔离,连接生产必须通过连接vpn才能连接到生产网络。在网络边界部署堡垒机,通过堡垒机认证后才可以对路由器进行安全访问操作,在操作过程中堡垒机会将所有操作过程视频录像,方便安全审计以及系统变更后可能出现的问题,迅速查找定位。另外路由器配置访问控制列表只允许堡垒机和备机IP地址对其登陆操作,在路由器中配置3A认证服务,通过TACAS服务器作为认证,授权。 (6)网络安全审记 网络设备配置日志服务,把设备相关的日志消息统一发送到日志服务器上作记录及统计操作.日志服务器设置只允许网管主机的访问,保证设备日志消息的安全性和完整性。 logging buffered 102400 logging trap debugging logging source-interface Loopback0 logging XX.XX.XX.XX(日志服务器IP)
划分安全域的解决方案
划分安全域的解决方案 划分安全域的原则 安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法,将复杂的大网络进行简化后设计防护体系,以便进行有效的安全管理。 启明星辰公司安全域划分遵循以下原则: 1、业务保障原则; 2、结构简化原则; 3、立体协防原则。 以某运营商系统为例,我们通过对该系统进行数据流分析、网络结构分析,结合考虑现有的安全隐患,从资产价值、脆弱性、安全隐患三者间的关系出发,得到了整体的安全防护体系和各个业务系统自身的安全防护体系,为进一步管理整合后的安全域做好了准备。 基于安全域划分的最佳实践,该运营商的各个系统被分别划入不同的安全域,再根据每个安全域内部的特定安全需求进一步划分安全子域,包括:核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示:
安全加固 在划分安全域之后,我们对不同安全域内的关键设备进行安全加固,依据是:各安全域内部的设备由于不同的互联需求,面临的威胁也不同,因此其安全需求也存在很大差异。 1、生产服务器:一般都是UNIX平台,资产价值最高,不直接连接外部网络,主要的安全需求是访问控制、账号口令、权限管理和补丁管理; 2、维护终端:一般都是WINDOWS平台,维护管理人员可以直接操作,其用户接入的方式也不尽相同(本地维护终端、远程维护终端),面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁,其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等; 3、第三方:对业务系统的软、硬件进行远程维护或现场维护,其操作很难控制,面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁,安全需求主要是接入控制,包括IP/MAC地址绑定、帐号口令、访问控制,以及在线杀毒、防毒
网络安全细分领域分析
网络安全细分领域分析
矩阵图分为三个矩阵区,领先者、竞争者与潜力者。每个厂商所处的区域主要与三大系列指标有关,影响力、规模和技术创新力。影响力主要是指品牌知名度、行业口碑、市场地位等;规模主要是指营业收入、人员数量、利润等;技术创新力主要是指研发投入、产品化能力、技术定位等。三个指标之间互有影响,并非完全独立,如技术创新力就会给影响力带来重要支撑,规模也会给技术创新力和影响力带来辅助作用。
调查对象为国内市场上相应细分领域的国内外厂商。由于国外厂商通常在技术和影响力上领先,但其研发中心往往不设在国内,所以国外厂商更多居于矩阵图右上角的位置。表明其技术与影响力的领先地位,但在收入和技术人员方面在国内的规模较小。 此次报告推出的矩阵图包含5个细分领域:数据库安全、威胁情报、身份认证、态势感知、抗DDoS。其中,抗DDoS分为硬件设备和软件与服务两张矩阵图。除了矩阵图以外,本报告同时也对各细分领域的技术定义、产品比例、产品形态、行业用户、技术趋势和市场规模进行了简要叙述。 一、数据库安全矩阵(DSM, Database Security Matrix)
本矩阵图(DSM)中的“数据库安全”是指:以保护数据库系统,包括系统中数据的应用、存储和相关网络连接为目的,防止数据库系统遭到泄露、篡改或破坏的安全技术。“数据库安全” 归属于安全牛全景图中【数据安全】的一级分类下。 数据库安全矩阵(DSM)调研的厂商共14家,分别为:安华金和、安恒信息、Imperva、中安威士、昂楷科技、杭州美创、优炫软件、闪捷信息、星瑞格、世平信息、上讯信息、汉领信息、海峡信息、Mcafee。
运营商数据业务系统的安全域划分
某运营商计划全面展开数据业务系统的安全域划分,并制定了相应的安全域划分与边界整合技术规范,旨在指导、规范数据业务系统的安全域划分和边界整合工作,切实提高安全防护效果。 数据业务系统是某运营商的重要业务系统,其系统安全保障工作已经纳入了企业的安全保障战略。近年来,随着数据业务的高速发展,数据业务占该运营商运营总收入的比例已经超过了1/4,数据业务已经成为其高增长业务,且根据预测,在2008年其数据业务占总收 入的比例将超过1/3,数据业务的重要性是不言而喻的。但是,数据业务系统大多是基于IP/IT 平台构建的,由于其自身协议、架构、技术方面的缺陷,导致个人信息泄漏、充值卡被窃等安全事件屡屡出现,安全问题十分突出。 保障数据业务系统的安全、稳定、顺畅运行已经成为该运营商信息安全建设的重中之重,是满足相关法律法规要求、保持其市场竞争优势、实现发展战略的重要保证和支撑。 一、安全域划分的建设内容 安全域划分的建设内容主要包括了安全域划分、边界整合和安全防护三部分,其中重点是安全域划分和安全防护。该运营商制定的相应技术规范基本涵盖了上述内容,对数据业务系统的安全域划分、边界整合以及采用的保护方案进行了规范,并对具体实施工作给出了简要的建议。 数据业务系统的安全域划分与该运营商制定的其他要求,如《账户口令管理办法》、《客户信息保密管理》、《4A技术规范》及系列基线保护规范等等要求是相辅相承的,分别规定了安全保护工作在某一方面的具体要求和推荐做法。 二、面临的挑战 该运营商在制定数据业务系统安全域划分及边界整合的相应规范时,为了保证了规范的适宜性、灵活性,突出其指导意义,仅提出了框架式、粗线条的要求,没有针对各种不同数据业务系统提出相应的解决方案。这在一定程度上可能造成了各省分公司在落实技术要求时,因为没有明确的指导和要求,会有一定的困惑。 1)该运营商目前拥有的数据业务系统种类众多,并具有网络互联网广、IT技术杂、业务流程众多的特点,且存在着相互依存和依赖。另外,由于各地数据业务的发展状况及系统建设情况存在着较大的差别,且同一类型的系统可能是由不同厂商提供的,造成各省之间的差别存在较大差异,无法跨省进行经验借鉴,在进行安全域划分时,也需要各省公司人员针对自身的实际情况和每个系统的特点,制定更为细致的规范或要求,这就要求各省公司人员能够深刻理解安全域划分原理和指导思想。
安全域划分
安全域划分 ——参阅(企业网络安全域划分方法浅析,孟广平) 计算机信息应用系统的成功靠的是“三分技术、七分管理、十二分执行。” 划分安全域是企业建立纵深防御安全系统的基础。 随着业务的不断发展***的计算机网络变得越来越复杂,将网络划分为不同的区域,对每个区域进行层次化地有重点的保护,是建立纵深防御安全系统的自然而有效的手段。 网络安全域的定义和划分原则网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义的安全域是具有相同业务要求和安全要求的系统要素集合,这些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等诸多因素。 通过网络安全域的划分,可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题,从而更好地控制网络安全风险,降低系统风险;利用网络安全域的划分,理顺网络架构,可以更好地指导系统的安全规划和设计、人网和验收工作;通过网络安全域的划分,各区域防护重点明确,可以将有限的安全设备投人到最需要保护的资产,提高安全设备利用率;有了网络安全域的划分,相对简化了网络安全的运维工作,并可有的放矢地部署网络审计设备,提供检查审核依据。 网络安全域的划分要遵循以下原则: (1)业务保障原则安全域方法的根本目标是能够更好地保障企业的生产经营业务。在保证安全的同时,还要保障业务的正常运行和运行效率。 (2)结构简化原则简单的网络结构便于设计防护体系,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。 (3)等级保护原则安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。 (4)立体协防原则安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次;同时,在部署安全域防护体系时,要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。‘ (5)生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化。 2企业网络安全域的划分方法网络安全域划分的最佳时间是在企业业务信息系统和网络建设的初期。但现实中网络安全域的划分大多是在现有网络的基础上进行的,或多或少受到现有业务和系统的制约,这就要求网络安全域划分应在遵循基本原则的基础上结合现有系统的业务特性、安全需求、网络层次等实际因素来进行。
信息安全系统基础知识题集
第一部分信息安全基础知识(673题) 一、判断题 1.防火墙的功能是防止网外未经授权以网的访问。()对 2.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。()错 3.PKI(Public Key Infrastructure)体系定义了完整的身份认证、数字签名、权限管理标 准。()错 4.更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试,并制订详 细的回退方案。()错 5.发起大规模的DDOS攻击通常要控制大量的中间网络或系统。()对 6.应采取措施对信息外网办公计算机的互联网访问情况进行记录,记录要可追溯,并 保存六个月以上。()对 7.入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对 网络进行监测,从而提供对部攻击、外部攻击的实时防护。()对 8.IPS在IDS的基础上增加了防御功能,且部署方式也相同。()错 9.根据公安部信息系统实现等级保护的要求,信息系统的安全保护等级分为五级。() 对 10.防火墙不能防止部网络用户的攻击,传送已感染病毒的软件和文件、数据驱动型的 攻击。()对 11.安全的口令,长度不得小于8位字符串,要字母和数字或特殊字符的混合,用户名 和口令禁止相同。()对 12.涉及二级与三级系统间共用的网络设备、安全设备,采用“就低不就高”的原则, 按二级要求进行防护。()错 13.隔离装置部属在应用服务器与数据库服务器之间,除具备网络强隔离、地址绑定、 访问控制等功能外,还能够对SQL语句进行必要的解析与过滤,抵御SQL注入攻击。 ()对
14.安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合,一个安 全域可以被划分为安全子域。()对 15.公钥密码算法有效解决了对称密码算法的密钥分发问题,因此比对称密码算法更优 秀。()错 16.安全加密技术分为两大类:对称加密技术和非对称加密技术。两者的主要区别是对 称加密算法在加密、解密过程中使用同一个密钥:而非对称加密算法在加密、解密过程中使用两个不同的密钥。()对 17.ORACLE默认情况下,口令的传输方式是加密。()错 18.在ORACLE数据库安装补丁时,不需要关闭所有与数据库有关的服务。()错 19.在信息安全中,主体、客体及控制策略为访问控制三要素。()对 20.防火墙可以解决来自部网络的攻击。()错 21.防火墙作为实现网络边界隔离的设备,其部署应以安全域划分及系统边界整合为前 提,综合考虑边界风险的程度来设定。()对 22.在等级保护监管中,第二级信息系统的运营、使用单位应当依据国家有关管理规和 技术标准进行保护,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。()错 23.针对各等级系统应具有的对抗能力和恢复能力,公安部给出了各等级的基本安全要 求。基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。()对 24.国家电网公司管理信息大区中的外网间使用的是逻辑强隔离装置,只允许一个方向 的访问。()对 25.PDRR安全模型包括保护、检测、相应、恢复四个环节。()对 26.互联网出口必须向公司信息通信主管部门进行说明后方可使用。()错 27.在个人网计算机上存放“秘密”标识的文件,这违反了严禁在信息网计算机存储、 处理国家秘密信息的规定。()对 28.最小特权、纵深防御是网络安全的原则之一。()对 29.根据国家电网公司信息、外网隔离要求,不允许同一台终端同时连接到信息网和互 联网,在连接信息网时须切断与因特网的连接,在连接因特网时须切断与信息网的连接。()错