◆赵菁
(北京信息职业技术学院北京 1000018)
随着系统速度、容量和使用的提高以及技术的变化,攻击也在发展,威胁也在变化。对于ICT专业人员而言,无论是维护小型系统、个人访问或管理大型企业的复杂网络基础设施,应该能够运用多种网络安全入侵预防和检测方法。通过设计、实施和管理网络安全解决方案,保护IT系统的安全环境,使用户免受攻击。包括入侵检测和预防,用户和资源访问管理和维护恶意软件防御等。
当前常见的网络安全威胁如设备的恶意软件感染、网络钓鱼、勒索软件攻击、第三方供应商的风险、DDoS攻击、应用程序漏洞、云服务/托管基础设施泄露事件、物联网漏洞等。根据卡巴斯基公司发布的《2019年IT安全经济学》调查报告,2019年约有一半的企业的设备遭受了恶意软件感染。一半企业还发现员工拥有的设备上感染了恶意软件。对于企业而言,卡巴斯基报告中提到的企业设备的恶意软件感染是成本最昂贵的事件,平均每次事件损失成本为273万美元。对于中小型企业来说,这个数字要少得多,平均损失为117,000美元。根据这份调查报告,2019年大约40%的企业经历了勒索软件攻击事件。对于大企业来说,每起勒索软件攻击事件的平均损失为146万美元。另外,2019年有42%的大企业和38%的中小型企业遭受了分布式拒绝服务(DDoS)攻击。从财务角度来看,每次 DDoS攻击将使中小企业平均损失138000美元。
使用安全解决方案来保障企业网络安全势在必行。主要步骤是评估当前系统的网络安全性、方案设计、方案实施和网络安全管理。
信息安全风险评估的两种方式,根据风险评估发起者的不同,包括自评估和检查评估两类。其中,企业常常采取自评估的形式进行风险评估,以便找出系统潜在的漏洞。常用的风险评估工具包括SecAnalyst运行状态评估、MBSA综合评估、X-scan攻击扫描评估、MSAT安全评估等。当然,企业也可以参考检查评估中如《信息系统安全等级保护基本要求》(GB/T 22239)中等级保护基本要求进行风险评估。检查评估包括基本技术要求和基本管理要求两个方面。
在进行方案设计前,首要任务是进行安全需求分析,应根据企业的安全风险评估结果进行分析,针对存在的安全隐患,给出详细的要求。
解决方案的设计包括局域网设计、广域网设计、服务器部署、边界系统、用户访问、物理安全等。
局域网设计涉及的技术包括 STP(生成树协议)优先化、MAC控制、VLAN(虚拟局域网)安全、ARP(地址解析协议)中毒、客户端访问、无线、设备信任;VLAN的设计; trunk设计;局域网段隔离等。
广域网路设计涉及的技术包括路由协议认证,访问控制列表,路由图,被动接口,流量过滤器,网络隔离,DMZ(非军事区)管理等。
服务器的部署,应根据服务器规范确定安全需求,如打印机访问,文件管理,数据管理,电子邮件。
边界的安全防御系统,入侵检测系统(IDS),如防火墙过滤和规则、电子邮件监控、应用程序和数据包监控、签名管理、信任、网络行为规范;访问控制如流量过滤器,路由重定向等。
用户权限可以分为用户组和用户两种情况。以用户组为对象时,应考虑组成员、用户组分配、权限归属几个问题;以用户为对象时,应考虑用户个人的权限,还应对用户权限分配进行持续审查;信息系统中的资源包括文件、服务器、服务、数据、硬件、打印机、电子邮件等,应合理分配用户和用户组对这些资源的访问权限。
物理安全设计要考虑如下要素,包括电力供应;物理门禁如锁和钥匙,电子门禁,基于人员的安全,生物识别;硬件和系统冗余;备份如数据、配置、影像;恢复策略。
如图1所示,H3C典型的安全解决方案组网图。方案设计分为内网办公区、数据中心区、网络管理区、外联服务区、 对外接入区、互联网接入区、广域网接入区和专线分支机构。内网办公区的安全设计包括VLAN划分、在内网办公区边界部署支持802.1x/portal认证的以太网设备;数据中心区的边界部署了AFC异常流量清洗设备,实现防御分布式拒绝服务(DDoS)攻击、IPS设备和防火墙设备,IPS设备部署在网络的关键路径上,有效地识别并阻断或限制各类网络攻击或网络的滥用等功能;防火墙起到了隔离网段、访问控制等功能,切实地保障了企业网络的安全;网络管理区中部署安全管理中心设备,对各类网络、安全产品进行统一管理。在其边界部署防火墙/VPN设备,上联到核心交换机;企业核心交换机采取双机热备方式,增强可靠性,并实现安全隔离;外联服务区边界,即对外服务区部署IPS和防火墙/vpn设备,保障了合作伙伴对外联服务区资源的安全接入和资源的访问;在互联网服务器前端通过部署ASE设备实现服务器负载均衡和应用加速。同时在互联网接入区同样部署了IPS和防火墙/vpn设备,以确保合作伙伴、企业移动办公员工、分支机构的安全接入。专线分支机构区中,企业的各个分支机构边界部署防火墙/VPN设备通过广域网接入区安全接入并访问企业资源。
图1 安全解决方案典型组网图
根据完成的设计方案进行实施,并进行系统的测试、记录和分析测试结果。 核心系统组成部分包括服务器、交换机、路由器、防火墙、IPS(Intrusion-prevention system,入侵防御系统)等。
涉及的相关技术:通信方面包括路由协议,STP,哈希交换,vlan,dot1q;密码学:隧道技术如 GRE, VPN;密钥交换方法;加密方法如RSA,IPSec, ISAKMP, IKE, DES, 3DES;入侵检测防范措施:如建立签名,建立网络行为规范;入侵预防工具:如防火墙,访问控制,流量过滤器;恶意软件:包括如桌面,服务器,路由器不同级别的策略部署;访问权限问题: 可以基于用户,组,网络,设备,VLAN,地址范围,文件,数据库,基于时间等不同的要素进行授权,以便使用户可以合理的使用系统资源。测试:系统地进行测试,包括端口、地址、协议、负载、访问、已知漏洞利用等。
方案实施的主要步骤包括:连接网络并完成网络设备基本配置;配置路由协议、STP和VLAN使网络畅通;配置VPN使得企业的分支机构、合作伙伴以及出差员工能够访问企业授权的资源;配置入侵检测与防御设备,保护企业资源不受非法入侵;配置防病毒网关,阻止恶意软件入侵到企业网络内部、配置防病毒服务器和客户端,实现企业的立体防病毒体系;企业资源可以分为WEB服务器资源、各类应用服务器资源、数据库服务器资源,针对不同的用户或用户组进行授权,使得用户可以在合理的权限内安全地使用这些资源。在完成以上配置后,最后对系统进行全面的测试,使得网络能够实现设计方案的全部功能。
网络安全管理功能包括计算机网络的运行、处理、维护、服务提供等所需的各种活动。它要能保障网络正常地、安全地运行。要素包括人、设备、技术和管理流程。如在企业网络安全运维中的设备安全问题,确保用户在合理的权限内访问设备和系统;运维工程师对网络环境进行安全审计或渗透测试,确保对网络安全状况的了解,及时发现网络中的潜在风险和威胁;对访问策略进行审查,定期对用户的访问策略进行审查,防止用户在无权或越权的情况下访问设备或系统资源;对系统进行监控,监控的对象包括负载、流量类型、峰值流量、趋势分析、用户访问模式、设备行为、日志服务器等;变更管理:基础设施如网络设备删除/添加、服务器添加/删除、网络添加/删除;用户组添加/删除、服务添加/删除;对业务方面的影响。
当前网络安全面临着病毒、蠕虫、木马等各种网络攻击,对企业网络资源的安全造成极大的威胁和影响,企业网络安全解决方案能够有效解决以上问题,要求网络安全管理的相关负责人和运维技术人员密切关注网络安全态势,及时做出响应,保护企业信息资源不受攻击,并对用户提供可靠的信息服务。