提升網(wǎng)絡安防 實現(xiàn)等保三級的 12 個難點分析
企業(yè)的安全等級防護建設可以提升信息系統(tǒng)的信息安全防護能力,為企業(yè)的業(yè)務發(fā)展提供安全保障。那么,企業(yè)如何做好網(wǎng)絡安全工作,達到等保三級要求?以下12個難點需要了解。
1、安全區(qū)域如何劃分?劃分的原則是什么?
為了實現(xiàn)信息系統(tǒng)的等級劃分與保護,需要依據(jù)等級保護的相關(guān)原則規(guī)劃與區(qū)分不同安全保障對象,并根據(jù)保障對象設定不同業(yè)務功能及安全級別的安全區(qū)域,以根據(jù)各區(qū)域的重要性進行分等級的安全管理。
某局網(wǎng)絡承載信息系統(tǒng),信息系統(tǒng)是進行等級保護管理的最終對象,為體現(xiàn)重點保護重要信息系統(tǒng)安全,有效控制信息安全建設成本,優(yōu)化信息安全資源配置的等級保護原則,在進行信息系統(tǒng)的劃分時應考慮以下幾個方面:
1.相同的管理機構(gòu)
信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)在同一個管理機構(gòu)的管理控制之下,可以保證遵循相同的安全管理策略;
2.相似的業(yè)務類型
信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)具有相同的業(yè)務類型,安全需求相近,可以保證遵循相同的安全策略;
3.相同的物理位置或相似的運行環(huán)境
信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境意味著系統(tǒng)所面臨的威脅相似,有利于采取統(tǒng)一的安全保護;
4.相似安全控制措施
信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)因面臨相似的安全威脅,因此需采用相似的安全控制措施來保證業(yè)務子系統(tǒng)的安全。
2、怎樣實現(xiàn)區(qū)域邊界訪問控制?
區(qū)域邊界的訪問控制防護可以通過利用各區(qū)域邊界交換機設置ACL(訪問控制列表)實現(xiàn),但該方法不便于維護管理,并且對于訪問控制的粒度把控的效果較差。從便于管理維護及安全性的角度考慮,通過在關(guān)鍵網(wǎng)絡區(qū)域邊界部署防火墻,實現(xiàn)對區(qū)域邊界的訪問控制。訪問控制措施滿足以下功能需求:
a)應在網(wǎng)絡邊界部署訪問控制設備,啟用訪問控制功能;
b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;
c)應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制;
d)應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接;
e)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù);
f)重要網(wǎng)段應采取技術(shù)手段防止地址欺騙;
各安全區(qū)域針對自身業(yè)務特點設定訪問控制策略。
3、等保三級對網(wǎng)絡安全審計系統(tǒng)有哪些功能上的要求?
安全審計是等級保護第三級要求建設的重要內(nèi)容,有必要在網(wǎng)絡層做好對網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等要素的審計工作。審計系統(tǒng)需具備以下功能:
a)應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄;
b)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;
c)應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。
綜合日志審計系統(tǒng)是運維管理的重要組成部分,通過部署日志審計系統(tǒng),能夠?qū)崿F(xiàn)等級保護第三級要求的網(wǎng)絡安全審計標準,保護日志記錄,并對日志進行分析以生成審計報表,能夠?qū)υO備的運行情況和用戶行為進行全面記錄,有效提高對安全運行和事件的監(jiān)控能力和追溯能力。
4、如何做好邊界完整性檢查?
第三級信息系統(tǒng)應在區(qū)域邊界部署檢測設備實現(xiàn)探測非法外聯(lián)和非法內(nèi)聯(lián)的行為,完成對區(qū)域邊界的完整性保護。檢測需具備以下功能:
a)應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查,準確定出位置,并對其進行有效阻斷;
b)應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。
通過部署桌面終端安全管理系統(tǒng)和安全準入網(wǎng)關(guān),可有效實現(xiàn)以下邊界完整性檢查功能:
1.終端設備接入管理
-
對網(wǎng)絡中的終端的進行注冊管理,根據(jù)設定的安全策略允許/禁止終端接入網(wǎng)絡,采集硬件設備信息、位置信息;
-
支持對客戶端MAC和IP地址的綁定管理,IP和主機名綁定,任意其中一個發(fā)生改變,系統(tǒng)將自動報警,報警后自動恢復原有IP配置;
-
支持對合法計算機IP地址使用的保護機制,對新接入設備占用他人IP地址的行為進行自動斷網(wǎng),不影響合法計算機在網(wǎng)絡中的正常使用;
-
支持內(nèi)網(wǎng)完整性管理,對網(wǎng)絡中計算機的接入、帶出行為進行報警,并能夠自動阻斷違規(guī)行為。
2.非法外聯(lián)管理
-
支持監(jiān)控網(wǎng)絡中客戶端的非法外聯(lián)行為,實時檢測內(nèi)部網(wǎng)絡(包括物理隔離和邏輯隔離網(wǎng)絡)用戶通過調(diào)制解調(diào)器、ADSL、雙網(wǎng)卡等設備非法外聯(lián)互聯(lián)網(wǎng)行為,并遠程告警或斷網(wǎng);
-
支持監(jiān)控已注冊的設備網(wǎng)絡連接行為,如改變網(wǎng)絡地址接入其它網(wǎng)絡,根據(jù)接入網(wǎng)絡環(huán)境因素判定其是否非法接入其它網(wǎng)絡;
-
客戶端非法外聯(lián)支持詳細記錄非法上網(wǎng)計算機的名稱、單位、上網(wǎng)方式,可以在報警平臺和報警查詢中獲知信息,并且可以對客戶端進行提示信息,自動關(guān)機,斷網(wǎng)等處理;
-
支持是否允許使用代理服務器上網(wǎng)的控制。
5、如何做好網(wǎng)絡設備的防護?
第三級信息系統(tǒng)要求對設備的遠程登錄使用雙因子認證方式,需要符合如下管理要求:
a)應對登錄網(wǎng)絡設備的用戶進行身份鑒別;
b)應對網(wǎng)絡設備的管理員登錄地址進行限制;
c)網(wǎng)絡設備用戶的標識應唯一;
d)主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別;
e)身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換;
f)應具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施;
g)當對網(wǎng)絡設備進行遠程管理時,應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽;
h)應實現(xiàn)設備特權(quán)用戶的權(quán)限分離。
6、面對入侵和不可預測的侵入,該如何防范?
防護入侵主要有兩種:入侵防御設備和入侵檢測設備,他們根據(jù)自身的特征庫對入侵行為進行判斷并連動防火墻做出相應的阻斷或禁止的動作,從而起到網(wǎng)絡防護入侵的目的。
7、多個子公司的網(wǎng)絡安全如何管理?
多個子公司的網(wǎng)絡安全通常采用帶vpn功能的防火墻做邊界防護,實現(xiàn)總公司與分公司之間的vpn專線點對點互聯(lián),并且數(shù)據(jù)采用加密方式傳輸,密文傳輸?shù)臄?shù)據(jù)即使被非法獲取也是無法查看內(nèi)容的。
8、企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)如何打通,邊界需要布署什么安全防護設備?
首先從企業(yè)內(nèi)部來看互聯(lián)網(wǎng)應用的數(shù)據(jù)庫最好保存在內(nèi)網(wǎng)上通過網(wǎng)閘供外網(wǎng)應用服務器訪問,這樣可以提高數(shù)據(jù)的安全性,對于企業(yè)外部的用戶通過互聯(lián)網(wǎng)訪問這些應用需要通過usbkey和密碼的雙重驗證,驗證通過后才允許訪問。
9、針對服務器區(qū)域如何做好安全防護網(wǎng)絡策略?
服務器托管在IDC機房,采購了入侵檢測硬件設備但是沒有完全利用起來,操作系統(tǒng)有windows,linux系統(tǒng)。請問:不只是在入侵檢測設備做策略,包括服務器操作系統(tǒng),軟件怎么做安全策略?
服務器區(qū)需要劃到安全區(qū)域中來,通過防火墻做訪問控制,web墻保護網(wǎng)站,同時啟動網(wǎng)頁防篡改功能,服務器操作系統(tǒng)要定期更新補釘,安裝殺毒軟件,服務器通過專用的運維主機訪問,訪問方式采用雙因子認證,同時服務器要加入日志審計功能和數(shù)據(jù)庫審計。
10、對于中小型企業(yè)來說,沒有專職的搞安全的維護人員,如何做好網(wǎng)絡安全維護工作?
隨著云計算、大數(shù)據(jù)的高速發(fā)展,數(shù)據(jù)中心在規(guī)模、密度和復雜性上都有所增長,企業(yè)都在尋找更有效的工具來降低成本,同時希望提高工作效率,減少能耗。傳統(tǒng)功能單一的數(shù)據(jù)中心基礎(chǔ)設施管理系統(tǒng)(DCIM)已難以應付紛繁多變的網(wǎng)絡環(huán)境,動力環(huán)境,成本壓力,企業(yè)內(nèi)部管理和運維效率的優(yōu)化。因此,我們除了要有一款ODCC,CDCC和DCA所定義的 DCIM應該有的功能外,我們還需要有一款能夠幫助數(shù)據(jù)中心或其他大型信息中心的管理者、經(jīng)營者和運維人員提高管理效率、資源利用率和工作流程,以及業(yè)務狀況的綜合管理系統(tǒng)。
11、網(wǎng)絡區(qū)域是否需要劃分DMZ區(qū),如果去掉會有哪些影響?
劃分DMZ區(qū)以后,一般只允許內(nèi)網(wǎng)或者外網(wǎng)訪問DMZ區(qū),一旦DMZ區(qū)的服務器被攻擊,不會通過DMZ攻擊到內(nèi)網(wǎng)。
還有就是內(nèi)網(wǎng)的防護,放到DMZ區(qū)以后,內(nèi)網(wǎng)訪問DMZ區(qū)的服務器時可以做相應的安全策略,比如只允許普通用戶訪問正常業(yè)務端口,而管理員可以訪問遠程桌面、ssh、telnet等服務。
傳統(tǒng)的防火墻很大的一個意義就在于DMZ區(qū),用來為網(wǎng)站設置一個安全區(qū)域來保證內(nèi)外網(wǎng)的訪問問題。
但是現(xiàn)在的情況又了一些變化,傳統(tǒng)防火墻的訪問列表只能限制到IP .端口以及協(xié)議,無法限制訪問行為。而現(xiàn)在更多的黑客攻擊都是針對80,25等這些業(yè)務端口實現(xiàn)的,所以傳統(tǒng)防火墻的規(guī)則很難應對這些攻擊。一般都是建議針對WEB服務來添加WEB防火墻。或者下一代防火墻來進行行為防護。
另外,DMZ區(qū)域在現(xiàn)在的這種情況,個人覺得還是保留的好。作為網(wǎng)站服務的一個獨立區(qū)域。避免從內(nèi)網(wǎng)直接開通映射到外網(wǎng) 。還是會減少一些安全的風險和管理上的麻煩的。
總結(jié)起來說。DMZ并不能完全解決現(xiàn)有的針對WEB的攻擊問題。但DMZ區(qū)有助于網(wǎng)絡的管理和規(guī)劃,也可以避免一些基礎(chǔ)的安全問題。比如病毒爆發(fā)等。
12、等保三級的安全怎樣做到安全與成本的兼顧?
等保三級要求的很多。不單單是設備的投入,還有整個管理流程。操作規(guī)范等等。而且對硬件的要求也比較明確。確實不太容易降低成本。
不過這種所謂的成本投入其實是相對的。很多企業(yè)之前欠缺了太多的安全設備、審計、歸檔、備份,因為之前沒有,所以才覺得到了等保三級要投入很高。其實這些東西對于系統(tǒng)安全本就應該有的。
等保三級測評合格是60分,這時成本是最低的,如果要做到100分成本一定是最高的,即使是60分也要做好以下的工作:
1、安全區(qū)域劃分
2、網(wǎng)絡架構(gòu)設計方案
3、區(qū)域邊界訪問控制
4、網(wǎng)絡安全審計
5、邊界完整性檢查
6、入侵防范
7、網(wǎng)絡設備防護
8、系統(tǒng)運維管理