安全服务背景
随着安全信息化建设的飞速发展,安全服务的内容也日新月异,但大多专业安全服务都是以主机的风险评估、系统加固、应急响应、企业制订安全策略、应用安全防护、安全产品集成等为主,对于网络架构方面的安全服务内容却少得可怜,大多安全服务专注于网络层面的安全产品集成、应用层的安全防护,管理层面的安全策略体系。而实际上网络安全是信息安全的基础,没有网络安全就没有信息安全。正是在这样的安全服务业务背景下,网络架构分析和完备的安全保障体系建设显得更为重要。
网络架构分析
1.网络架构分析及安全保障体系建设网络架构分析对企业整个网络体系进行深入调研,以国际安全标准和框架为指导,从物理层、网络层到应用层,全面的对网络的结构、网络协议、网络流量、网络规范性等多个方面进行深刻分析,对网络现状优点给予肯定,指出网络现状不足之处,同时提出安全保障体系建设解决方案。
安全保障体系建设就是根据网络架构分析的结果,对网络架构中不足的部分有针对性的提出网络架构安全建设的解决方案。
2.网络架构分析流程
网络现状资料搜集
搜集前期网络建设方案和图表、查验文档、网络边界划分、下发问卷调查、人工访谈、上机验证、工具测试、实地考察等方式对现状进行深入调研。
网络架构分析原则
根据IATF技术框架分析网络设计是否层次分明,是否采用了核心层、汇聚层、接入层等划分原则的网络结构,划分不规范不利于网络优化和调整;网络边界是否清晰,是否符合IATF的网络基础设施、边界/外部连接、计算环境、支撑基础设施的深度防御原则,边界不清晰不便于安全控制。
关键业务系统和非关键业务系统之间是否进行了分离,分离后各业务区域之间的逻辑控制是否合理。业务系统之间的交叠不但影响网络的性能也会给网络带来安全上的隐患。
路由设计是否合理,是否存在路由设计混乱、不规范的情况,是否采用安全路由协议,路由区域之间是否采用安全防护措施,路由设计不合理就会存在遭受路由攻击的可能。
内网中的安全区域划分和访问控制是否合理,各VLAN之间的访问控制是否严格,不严格就会被越权访问。
对某些关键设备是否进行了冗余备份,备份是安全需要考虑的重要因素,广域网设备、局域网设备、广域网链路、局域网链路是否采用了物理上的备份和采取备份协议。
IP地址规划是否合理,IP地址规划是否连续,并且在不同的业务系统采用不同的网段,便于以后网络IP调整。
网络设备命名是否规范,是否有统一的命名原则,并且很容易区分各个设备的。
网络系统流量分析系统是否完备,网络系统数据流比较大,而且复杂,如果流量分析系统不完备,当网络流量异常时或遭DOS攻击时,也很难有应对措施。
QOS、其他网络优化配置是否合理,配置合理的QOS就会增加网络的可用性。
安全配置是否合理,网络设备的不必要的服务、端口、协议是否关闭,网络设备的安全漏洞及其脆弱的安全配置方面的优化,如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。
安全防护体系是否坚固,分析整个网络系统中是否部署了防火墙及VPN系统、抗拒绝服务系统、漏洞扫描系统、IDS&IPS系统、防病毒体系、动态口令认证系统,各个安全系统之间的集成是否合理。
网络架构分析结论
根据上述网络架构分析原则,对网络现状中的优点进行肯定,并阐述合理性的根据。
根据上述网络架构分析原则,对网络现状中的不足进行客观评价,并指出不合理的地方,阐述不合理性的根据。
3.安全保障体系建设方案
对不合理的网络结构进行调整,保证层次分明、边界清晰、冗余备份、路由协议合理,统一规划IP地址、设备命名。
采用业界先进安全技术对关键业务系统和非关键业务系统进行逻辑隔离,保证各个业务系统间的安全性和高效性,例如:采用MPLS-VPN来进行对各业务系统间逻辑划分并进行互访控制。
进行QOS配置、网络其他安全方面的优化,对设备本身安全进行配置,例如:使用访问控制、身份验证配置,关闭不必要的端口、服务、协议。
安全技术体系建设主要包括安全评估、安全防护、入侵检测、应急恢复四部分内容,各个安全产品部署如下:
在企业总部安装实施安全漏洞扫描系统;
在企业网络出口及个别关键网段部署防火墙;
在企业内网划分VLAN以实现基本访问控制;
在企业网络出口部署抗拒绝服务设备,实现对网络的保护;
建立企业公网及企业总部与下级单位传输的VPN通道;
对企业VPN及重要网络设备和服务器实施动态口令认证产品;
在企业的整个信息系统范围内实施防病毒体系;
在企业总部关键网段和出口实施网络入侵检测设备;
在企业总部指定应急人员,建立基本的应急响应计划和方案;
对某些关键设备进行冷备份,对重要的应用系统和数据实施备份存储系统;
在国际标准ISO7498-2安全体系结构理论的指导下,分别从鉴别认证、访问控制、数据加密、完整性保护、抗抵赖等五个角度提出了企业具体的技术性要求;
根据BS7799标准进行企业安全管理规范、安全策略、安全指南的制订,从而建立完备的安全管理体系。安全域划分,针对不同的区域的重要程度,有重点的、分期的进行安全防护,逐步从核心网络向网络边缘延伸。
例如:网络可以分成三个区域:信任域、非信任域和隔离区域。信任域和隔离区域就可以进行重点保护,对于非信任域,根据不同的业务系统的重要程度进行重点保护。
网管系统的部署,包括网络设备网管软件的部署和网络安全网管软件的部署等。
流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。
带宽的网络流量分析
复杂的网络系统上面,不同的应用占用不同的带宽,重要的应用是否得到了最佳的带宽?它占的比例是多少?队列设置和网络优化是否生效?通过基于带宽的网络流量分析会使其更加明确。工具主要有MRTG等,它是一个监控网络链路流量负载的工具软件,它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。
网络协议流量分析
对网络流量进行协议划分,真对不同的协议我们进行流量监控和分析,如果某一个协议在一个时间段内出现超常暴涨,就有可能是攻击流量或蠕虫病毒出现。Cisco NetFlow V5可以根据不同的协议对网络流量进行划分,对不同协议流量进行分别汇总。
基于网段的业务流量分析
流量分析系统可以针对不同的VLAN来进行网络流量监控,大多数企业,都是不同的业务系统通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同的VLAN 来对不同的业务系统的业务流量进行监控。Cisco NetFlow V5可以针对不同的VLAN进行流量监控。
网络异常流量分析
异常流量分析系统,支持异常流量发现和报警,能够通过对一个时间窗内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。能把焦点放在企业的核心业务上。通过积极主动鉴定和防止针对网络的安全威胁,保证了服务水平协议(SLA)并且改进顾客服务, 从而为企业节约成本。异常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平台、PeakFlowTraffic流量管理平台等。
对于异常攻击流量的牵引解决方案主要有Cisco–Riverhead的DOS流量牵引解决方案,和绿盟科技的黑洞(抗DOS攻击产品)流量牵引解决方案,由于篇幅限制这里不再赘述。
应用服务异常流量分析
当应用层出现异常流量时,通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析,并通过IPS的安全防护技术进行反击。
网络架构分析作用
安全架构分析遵循了BS7799-2的PDCA原则,企业网络架构分析和安全保障体系的建立,将对企业IT架构产生重大的影响,同时显著的提高了企业网络的信息安全水平和管理能力。具体来说,有如下效果。
系统运行集成化
降低安全风险,提高企业安全投资效率和控制安全风险;
控制安全方面的投入,缩短信息安全体系建设周期;
提高企业员工的整体安全意识。
安全管理流程合理化
企业整体安全性得到大幅度提升;
企业面对安全事件的响应速度大大加快;
企业客户满意度显著改善。
安全监控动态化
企业可以根据安全管理需要,利用安全产品提供的信息资源设计出一套动态监控安全信息变化的报表体系,以期即时反馈和纠正安全管理中存在的问题。 (图片) 管理改善持续化
随着安全产品的应用和企业安全管理流程的合理化,企业信息安全管理水平将会明显提高。为了衡量企业安全管理水平的改善程度,可以依据安全顾问咨询企业提供的企业安全管理评价指标体系对企业安全管理水平进行综合评价。评价过程本身并不是目的,为企业建立一个可以不断进行自我评价和不断改善的安全管理机制,才是真正的目的。
6/1/2005
|