实践对网络安全建设思路的修正
发布时间:2009-02-10   作者:JACK ZHAI

一、前言


我 的经验告诉我:信息安全是针对信息保护的一种人为对抗,是人与人在技术与思维上的较量,是真正“没有硝烟”的战争。人采取的攻击方式是多方位的、多层次的,所以建立有效的信息安全保障体系是一件比较复杂的工程,说它是“战争”,是因为它充分体现了人的主观能动与技术创造性的结合。


而 现实却告诉我:信息安全技术有很多,产品更是多如牛毛,防火墙、入侵检测、加密机等等,是否使用安全产品越多、越先进,我们网络中的信息就越安全呢?就象给新房子安上最好的防盗门,甚至多安装几道,你心里一样也会不塌实,因为再高明的“锁”对于高水平的小偷也是不安全的;另外,也许你的疏忽,钥匙放在门 上,即使是“菜鸟”也一样可以登堂入室。因此,建设有效的安全保障体系需要安全技术与人的结合,同时对人的管理若没有技术落实到位也往往成为虚设。不是钱投入得多就安全,技术的飞速进步,投入也许成了“无底洞”,作为信息主管,你如何对领导解释大笔的开支预算?不投入更加不行,安全是一种责任,在事件来到 时,你没有“作为”,同样要承担管理不力的责任。


为了能理清信息安全保障建设思路,我们2007年提出了“花瓶”模型,把信息安全保障分为三个维度:事件发生前的防护体系、事件发生过程中的监控体系与应急恢复体系、事件发生后的审计取证与分析体系;有 机地把安全保障分为三道“防线”,先是对“普通”威胁的防护,用“防盗门”挡住一些中低级的入侵与病毒;再对那些高级“入侵者”采用“全程陪同”,建立网络上的实时监控体系,任何破坏行为及时被发现,把可能的损失降为最小;最后对内部人员(可控用户)建立审计体系,“要想人不知,除非己莫为”,取证可以增强安全保障的威慑作用。


经 过一年的实践检验,“花瓶”模型还是非常实用的、有建设意义的,它不仅符合人对安全防护的理解,而且与国家有关信息安全的技术标准相吻合,如公安部的等级保护与保密局的分级保护,因此,它很适合安全公司的工程师与信息安全使用单位的管理者使用,对于理清建设思路、安排建设计划,确保网络的安全保障建设与业 务拓展同步发展,有很强的指导意义。


然而随着它在信息安全保障建设中深入应用,对安全建设需求的深入理解,“花瓶”模型做了一些小的调整,使它更加适合建设与使用的需求,也适应安全技术的自然进化。


 
二、对“花瓶”模型的修正


1.身份认证体系从防护平台移到审计平台:通过实践我们了解,采用身份鉴别系统的主要目的有两个,一是根据用户身份授权,建立有效的访问控制机制;二是为审计提供溯源的信息,很多厂家的审计系统审计到IP或MAC, 不能到账户,更不能到人,这样即使发现违规,也无法提供直接证据,最后只能“喊两句狼来了”,因此,审计必需与身份鉴别与授权相结合,因为没有完备的授权管理,你又如何判定他行为是否越权呢?每个网络上的“公民”都有自己的身份证,并且是不可仿冒与篡改的,人的行为就会真正可查。


2.风险评估的功能从防护平台移到监控平台:在实践中我们体会到,早期的安全思路是堵漏洞的方式,所以经常是先评估,找出漏洞,再打补丁;随着网络上的业务系统增加,网络成为使用单位的“信息神经”,是单位业务运转的基本平台,简单的“有病才瞧大夫”的模式显然不能满足用户的实际安全需求,持续性保障的“保镖模 式”正在逐步替代了间歇性的“上医院模式”。因此,用户的领导层需要随时了解网络的整体安全态势,计算网络动态的“熵”值,安全管理者需要即可对某一事件的波及范围做出评估…风险评估成为监控系统的威胁评估工具。

 


 
三、对“花瓶”模型的说明


“花瓶模型”的基本思路是通过收集网络中的事件、状态、日志或者是镜像的原始数据包,获得网络的安全现状信息,并通过下发统一的安全策略,动态调整安全防护措施应对网络上发生的“异常”。它把信息安全保障建设分为三个技术维度:


1. 防护与策略管理平台


是“未雨绸缪”阶段的工作。在这个平台上,我们的目的是建立网络与周围环境的边界,也就是明确外部威胁的可能通道,并在这个边界上建立有效的访问控制措施。

 

边界防护:边界包括网络边界(网络的对外出口)、安全域边界(不同安全需求的区域网络出口),以及网络用户的边界(终端)。边界防护就是访问控制措施,常见的产品技术有代理服务器、FW、IPS、AV、UTM、Web防火墙、垃圾信息过滤、网闸等。终端上的防护是终端安全产品,它包含六大功能:


a) 自身安全管理:重要文档的加密管理与备份、系统备份与恢复,自身对病毒与蠕虫、木马、入侵等的安全防护


b) 网络准入控制:网络、主机登录的身份认证与安全加固,资产标识


c) 补丁管理:安全补丁分发、业务系统升级


d) 远程维护:对终端的远程管理,安全扫描与系统恢复等


e) 非法外联:(涉密管理需求)电话拨号、无线的联网控制,USB、移动硬盘等介质的使用控制


f) 行为审计:(特殊安全需求)对终端在线与离线的行为审计


加密机/VPN:针对信息在网络外部传输的安全措施,尤其是通过互联网连接的企业网络。当然加密技术也应用于数据库、文件等信息存储需求中


流量控制:出口的带宽资源总是宝贵的,对不同的业务应用进行流量上限速与整形,不仅可以有效保障主要业务的畅通,而且可以抑制资源的滥用与某些资源占用型的网络攻击


安全策略管理:网络上的安全设备很多,安全联动是有效的措施,但需要良好的策略管理支撑,同时要维护管理这些安全设备,工作量是不可忽视的问题,统一的策略不仅可以提高效率,而且可以减少网络的安全漏洞,避免安全防护“木桶”中的短木板


事件发生前的防护,主要是对自己资产的了解、自己用户的管理,制定有效的安全防护策略。所谓“知己知彼,百战不殆”,这个平台有些类似通常的网络管理,但重点是对安全策略的统一管理。


2.监控与应急调度平台


是“风雨同舟”阶段的工作。防护在边界上建立了第一防线,但对于进入防线的“高手”,我们采用异常监控与“消防队”应急救助的策略。常见的监控技术产品为:

 

入侵与病毒检测:对黑客入侵(包括木马、蠕虫等)与病毒的监视,关注网络上的“异常”变化


流量与状态监测:网络流量是用户业务的综合反应,设备状态的好坏也是业务支撑的必要条件,除了对“攻击”的检测(黑客与病毒),对正常业务的感知是网络异常分析的重要方面


漏洞扫描:这是一个安全工具,实际就是模拟攻击来发现网络中的漏洞,了解设备的配置状态,若攻击者的入侵方法不是针对网络的某个漏洞,其威胁程度大大降低


防篡改:有些木马替换系统文件来隐藏自己,重要的用户文件即使加密也要注意被替换的危险。为避免被替换或篡改一般采用定时检查、确认文件是否为原来的那个,也可以采用备份、文件使用认证等其他方式。这类产品比较典型的是网页防篡改系统、文件保险柜等。


事件发生的过程中,重要的是及时发现并报警,其检测速度与定位准确性,是对监控产品是巨大的技术挑战,技术发明是百次有一次成功就成功,技术安全是百次有一次漏网就失败。所以建立覆盖范围到位、检测技术精确的监控体系是这个平台发挥效用的保障。


3. 审计与分析操作平台


说它是“亡羊补牢”阶段的工作,不完全准确,因为审计不仅是分析失误,而且可以取证,是“秋后算帐”式的安全措施。审计产品技术有几个方面:


认证、授权与签名:要审计就要确认身份、区分权限、防止抵赖。身份鉴别主要在几个场合使用:主机登录、网络登录、业务登录。通常采用CA建立统一认证系统,当然与业务应用开发要能挂接


网络行为审计:就是对在网络上“公共”区域的行为审计,主要是网络运营维护人员审计(他们一般都有很高的权限,是需要高度关注的)、网络行为审计(大家在网络上的公共行为,如telnet、ftp、http等)、数据库审计(针对数据操作的行为)、互联网审计(针对上网行为,主要是web服务,也包括资源滥用的管理,如IM、BT、MSN等)


业务合规性审计:业务是否合乎法律、法规,或企业管理规定,这种审计一般嵌入在应用系统中,因为与业务的相关性密切,但一定把审计记录统一送审计平台管理


事件发生后,我们可以对记录分析整理,生成统计报表,为业务的发展规划提供依据,也可以查询某个事件、重放某个行为的过程,作为违规行为的证据


 
“花瓶模型”本身就是一个大的安全运营管理平台(SOC),承载安全事件发生前后的管理。同样也可以分为三个相互关联的工作平台,防护、监控与审计,以适应不同安全管理需求的职责分离使用,如安全管理员与安全审计员要不同的人担任。


 
四、对信息安全保障建设的建议


在实际的应用中,我们发现有两种不同安全需求:外网与内网。


外网就是与互联网连通的网络,如对外提供服务的网络、通过互联网搭建的Intranet等,由于互联网上的使用者具有不可控性,面临的主要攻击偏重于外部,如DDOS攻击,黑客、蠕虫、病毒等入侵,因此外网的保障主要关注的是“防护+监控”,在建设中应优先考虑


内网就是与互联网不连通的网络,或者隔离措施非常强的网络,我们也称为“专网”,一般多为专用的行业网络、某特殊系统的网络(如电力、民航、电子政务内网等),或者是军用涉密的网络。因为内网的用户都是“自己人”,是可控的,可以建立完备的身份确认机制,所以内网的保障主要关注的是“审计+监控”,防护的主要是内部人员的破坏与误操作。当然边界的防护,尤其是终端的安全也是关注的。
 
信息安全保障体系建设需要有个过程,很难一步到位,所以通常情况下用户都会采用分期建设的方法,这就产生了一个问题,这么多安全措施,先建哪个,后建哪里,如何让安全体系的建设与用户业务的发展相互同步,既避免不必要的“过保护”,又避免尴尬的“保护不足”的境地呢?


我们的建议是参照“花瓶模型”的三个维度,每个维度方向逐步建设,尽量维持三个维护建设的平衡,因为三个维度的安全措施是相互配合的、不可分割的,在每个维度中,可以根据实际需求,由简到繁,一种思路是保障措施从粗到细,另一种思路是保护的资产从重要的到普通的,网络范围上从核心到边缘,但三个维度若有了缺失,就象三条腿的桌子少了一条腿,安全体系就出现了漏洞。


对于一个刚开始建设安全体系的网络,我们建议具体安全措施按下面的顺序分期计划:


??FW/UTM、防病毒;IDS、漏洞扫描;CA身份认证等


? IPS/AV、VPN/加密机、终端安全管理;流量与状态监测;网络行为审计、数据库审计;安全管理平台(SOC)等


? 网络隔离与数据交换措施、流量控制;网页防篡改、文件保险柜;业务审计、运维审计等


对某一种安全措施的建设,也可以分期完善,尤其是监控系统的监控范围,可以采取“先核心、再汇聚”的方式。


 
五、结论


信 息安全保障建设是一个人与技术的长期融合的过程,是动态的,“花瓶”模型就是帮助我们条理这个过程中的思维,明晰具体的步骤与措施,安全保障建设就是在完善防护、监控、审计三个平台,使它不断吸纳网络攻防的信息技术,适应用户网络业务的发展,在新的业务模式下提供完备的安全保障。


很多厂家在推“主动防御”的概念,究竟怎样保障才算主动?防护与攻击的对抗本来就是此长彼削,谁落后都是暂时的,我们认为,从安全管理的过程出发、建立立体的防护措施,入侵者才不会跳出我们的防御体系。可控的网络是安全的,全面掌控网络才是主动地防御。

 

文章来源:jack zhai's blog
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号