来源:hackbase
1 引言
随着网络安全技术的不断发展,网络恶意攻击者的技术也在不断的改进和创新,以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络安全隐患,企业管理者不再简单满足于架设防火墙和防病毒等安全产品,内网安全管理体系已经越来越得到企业安全管理者的重视。而内网安全管理又相比较边界网络管理更加复杂,本文就是从一个安全行业从业者的角度提出一些内网安全管理的经验和办法。
2 内网安全建设理论 内网安全需要有自己的安全标准和策略作为建设的指引和目标,这样才能保证安全建设的体系化和规范化。但目前各种安全标准和规范很多,国内的包括GB 17859、GB/T18336,BS7799、信息系统安全等级保护评估、实施指南等,国外的包括ISO/IEC 15408、ISO17799、ISO13335、SSE-CMM模型、IATF模型等。各种各样的标准可能让管理者难以选择,且全部符合各项标准也是不切合实际的事情。笔者认为内网安全建设应该满足以下建设准则: 2.1易操作性原则 目前各种标准规范都是从一个IT业务系统建立的完整生命周期去考虑问题,即分别在系统的设计、规划、实施、运维和废弃等几个阶段考虑了IT安全建设的问题,而目前国内企业中可能大多都是基于已建造好的IT业务系统上考虑安全问题,所以必须考虑到生产系统上的安全解决方案的可操作性问题,此外还需要满足采用的措施不能影响系统正常运行,同时应便于维护以及安全措施的操作简易性,因为措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。 2.2安全建设措施、成本和需求的平衡性原则 必须考虑到不同的信息资产的价值不同,则保护措施也不一样,企业不可能投入相同的资金保护价值不一样信息资产,比如普通PC机的安全管理成本和服务器是完全不同的。 2.3整体性原则 任何一处的安全薄弱点被恶意攻击者利用的话,都有可能导致整个安全体系的崩溃,这就是安全的“木桶原理“,所以需要从整体考虑内网安全管理的各个方面。 基于上述原则,我们提出内网安全建设的两个阶段的概念,即内网安全建设首先需要进行安全域的划分,再结合ISO7498的APDR模型结构进行各个安全域的建设。 所谓安全域,就是根据不同类的信息资产的价值不同、安全目标和使命不同、保护等级不同而提出的概念,即在内网中,把不同的信息资产进行有效的整合,从逻辑上划分为不同的区域。所谓APDR即指A(评估),P(保护),D(监测),R(恢复),即根据不同安全域的特点,提供安全措施满足上述4个安全需求。 3 安全域划分 一般来说,安全域可以划分为三个大区域,分别是外部域、接入域和内部域,安全等级从低到高,内容如下: 1、外部域,外部域主要是指企业外部接入部分和企业对外提供服务的逻辑边界部分,如企业对外提供访问的WEB服务器、EMAIL服务器等。 2、接入域,接入域主要指企业内部局域网的办公、运维和生产用机,在接入域中又可以划分为内部用户域、外部用户域、管理员域。内部用户域主要是指企业办公人员所使用主机、PC机等逻辑区域;外部用户域主要针对第三方人员访问时候的网络接入区域;管理员域是指企业运维人员办公设备所在用区域。
4.2 接入域
4.3 内部域
5 小结 以上仅是笔者的一点经验,但在内网的安全管理体系中,不光是安全技术方面的要求,更多的将体现在内网的安全管理上。从企业的整体运作看,基于企业业务流程方面的ITIL建设,将是企业整体网络安全保障体系的最终目标。
1 引言
随着网络安全技术的不断发展,网络恶意攻击者的技术也在不断的改进和创新,以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络安全隐患,企业管理者不再简单满足于架设防火墙和防病毒等安全产品,内网安全管理体系已经越来越得到企业安全管理者的重视。而内网安全管理又相比较边界网络管理更加复杂,本文就是从一个安全行业从业者的角度提出一些内网安全管理的经验和办法。
2 内网安全建设理论 内网安全需要有自己的安全标准和策略作为建设的指引和目标,这样才能保证安全建设的体系化和规范化。但目前各种安全标准和规范很多,国内的包括GB 17859、GB/T18336,BS7799、信息系统安全等级保护评估、实施指南等,国外的包括ISO/IEC 15408、ISO17799、ISO13335、SSE-CMM模型、IATF模型等。各种各样的标准可能让管理者难以选择,且全部符合各项标准也是不切合实际的事情。笔者认为内网安全建设应该满足以下建设准则: 2.1易操作性原则 目前各种标准规范都是从一个IT业务系统建立的完整生命周期去考虑问题,即分别在系统的设计、规划、实施、运维和废弃等几个阶段考虑了IT安全建设的问题,而目前国内企业中可能大多都是基于已建造好的IT业务系统上考虑安全问题,所以必须考虑到生产系统上的安全解决方案的可操作性问题,此外还需要满足采用的措施不能影响系统正常运行,同时应便于维护以及安全措施的操作简易性,因为措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。 2.2安全建设措施、成本和需求的平衡性原则 必须考虑到不同的信息资产的价值不同,则保护措施也不一样,企业不可能投入相同的资金保护价值不一样信息资产,比如普通PC机的安全管理成本和服务器是完全不同的。 2.3整体性原则 任何一处的安全薄弱点被恶意攻击者利用的话,都有可能导致整个安全体系的崩溃,这就是安全的“木桶原理“,所以需要从整体考虑内网安全管理的各个方面。 基于上述原则,我们提出内网安全建设的两个阶段的概念,即内网安全建设首先需要进行安全域的划分,再结合ISO7498的APDR模型结构进行各个安全域的建设。 所谓安全域,就是根据不同类的信息资产的价值不同、安全目标和使命不同、保护等级不同而提出的概念,即在内网中,把不同的信息资产进行有效的整合,从逻辑上划分为不同的区域。所谓APDR即指A(评估),P(保护),D(监测),R(恢复),即根据不同安全域的特点,提供安全措施满足上述4个安全需求。 3 安全域划分 一般来说,安全域可以划分为三个大区域,分别是外部域、接入域和内部域,安全等级从低到高,内容如下: 1、外部域,外部域主要是指企业外部接入部分和企业对外提供服务的逻辑边界部分,如企业对外提供访问的WEB服务器、EMAIL服务器等。 2、接入域,接入域主要指企业内部局域网的办公、运维和生产用机,在接入域中又可以划分为内部用户域、外部用户域、管理员域。内部用户域主要是指企业办公人员所使用主机、PC机等逻辑区域;外部用户域主要针对第三方人员访问时候的网络接入区域;管理员域是指企业运维人员办公设备所在用区域。
3、内部域,内部域主要是指企业实行大集中时候,各业务系统主机所放置区域,内部域又可划分为核心处理域和开发测试域,其中业务系统服务器和数据库归入核心处理域,开发测试域主要包括了企业内部自开发软件所使用的环境,如测试服务器,开发服务器等。
下图为典型企业的安全域划分拓扑图,从下图可以看出,企业划分了外部域、接入域和内部域,外部域主要是防火墙DMZ区域内的对外提供服务的服务器区域;接入域主要包括内部局域网的办公客户端、管理员客户端和第三方访问用户的客户端,同时也包括各分支机构的办公客户端,由于采用了VPN技术,我们可以把分支机构网络认为是企业的内部网络;内部域主要包括各业务系统的生产服务器和开发、测试服务器。
下图为典型企业的安全域划分拓扑图,从下图可以看出,企业划分了外部域、接入域和内部域,外部域主要是防火墙DMZ区域内的对外提供服务的服务器区域;接入域主要包括内部局域网的办公客户端、管理员客户端和第三方访问用户的客户端,同时也包括各分支机构的办公客户端,由于采用了VPN技术,我们可以把分支机构网络认为是企业的内部网络;内部域主要包括各业务系统的生产服务器和开发、测试服务器。

安全域划分示意图
4 各安全域安全措施 4.1 外部域APDR模型 | 层次 | 需求 | 解决方案 |
防护 | 网络层 | 由于访问控制不严格,导致DMZ区服务器被用作跳板机器渗透内网 | 设置严格访问控制措施,特别是从DMZ区到接入域和内部域 |
系统层 | 服务器操作系统、应用软件的安全漏洞被公布、曝光,可能导致恶意攻击 | 建立WSUS等自动补丁升级系统,及时打补丁 | |
应用层 | 若存在WEB服务器,可能导致类似SQL注入等WEB攻击方式发生。 | 采用WEB脚本扫描器进行漏洞扫描,弥补脚本漏洞 | |
监测 | 网络层 | 由于接入外网,内外进出数据需要时刻分析以确保在第一事件发现安全事件 | 设置NIDS进行实时监控或设置NIPS主动保护 |
备份与恢复 | 系统层 | 操作系统、数据库日志往往能够进行事后分析和判定,同时数据库数据备份有利于出问题时及时恢复 | WEB服务器后台数据库数据,以及浏览器、系统日志要做及时备份 |
APDR模型 | 层次 | 需求 | 解决方案 |
防护 | 网络层 | 由于访问控制不严格,可能导致内网蠕虫病毒、木马的扩散 | 设置细粒度的内部用户域、外部用户域和管理员之间以及到内部域、外部域的访问控制措施 |
系统层 | 接入域最多发生的安全事件主要是蠕虫、病毒的侵袭,做好PC终端的安全措施尤其重要 | 建立WSUS等自动补丁升级系统及时打补丁;建立防病毒体系;基于类似ARP木马的不可查杀性,加固各PC机安全设置,尤其是共享设置 | |
监测 | 网络层 | 内部恶意攻击、窃取、嗅探口令事件越来越多 | 设置NIDS入侵监测系统进行实时监控 |
备份与恢复 | 管理员域的管理数据信息往往是企业IT信息的重要部分 | 备份域控制器AD目录,各网络设备、操作系统、数据库、应用软件配置等 |
APDR模型 | 层次 | 需求 | 解决方案 |
防护 | 网络层 | 访问控制不严格可能导致内部人员恶意访问关键服务器 | 添加逻辑隔离设备,并设置细粒度的访问控制措施,一般内部域无法主动访问外部域和接入域,对于接入域的访问必须限制访问端口等措施 |
系统层 | 各业务系统服务器面临底层操作系统、中间件等安全漏洞 | 生产机需谨慎打补丁,一般可以先做测试后,再进行补丁安装或者采用具有可逆性的系统加固方法进行漏洞弥补 | |
应用层 | 业务系统开发时用户身份认证、鉴别、传输保护等考虑未周到 | 若暂时无法进行软件升级,可采用制度规范等方式强制口令长度、复杂度和数据加密工具使用 | |
监测 | 网络层 | 内部恶意攻击、窃取、嗅探口令事件越来越多 | 设置NIDS入侵监测系统进行实时监控 |
备份与恢复 | 数据的可用性要求比较高 | 数据库数据的容灾和备份 |