一、數(shù)據(jù)丟失的渠道
1.傳輸渠道
現(xiàn)有的安全系統(tǒng)對桌面終端的日常操作及攻擊缺乏有效的監(jiān)控、防護手段,由于網(wǎng)絡可以方便地進行資源共享,信息在網(wǎng)絡上傳輸不受監(jiān)控,對涉密信息沒有采取傳輸范圍和傳輸前密碼授權控制,使得一些涉密信息極有可能通過網(wǎng)絡從一些開放的終端傳出去,而不留痕跡。
2.流轉渠道
科技高度發(fā)展的今天,電子產(chǎn)品日新月異,小巧易帶的軟盤、光盤、U盤、移動硬盤、筆記本電腦甚至MP3等可移動存儲的磁介質(zhì)越來越小,裝載的信息量越來越多。
在使用中,為防范信息泄露,要求員工用完設備后,即時將信息或數(shù)據(jù)刪除掉再借出,原以為這樣他人就無法取得信息,殊不知磁介質(zhì)有可以被提取還原的特性,他人一樣可以取走信息。
3.失控出口
對涉密信息沒有進行加密處理或者保護處理,將涉密信息通過各種出口,如USB口、串口等方式拷貝出去,出口缺乏必要的監(jiān)控和審計。
對于打印文件的管理,很多企業(yè)主要是靠管理員督促,員工打印時進行登記,但員工若打印了涉密信息不進行登記,便無從追查,更無法提供違規(guī)操作的證據(jù),這方面安全隱患較大。
4.制度漏洞
有的企業(yè)沒有配備專門的計算機維護管理人員,或者機房管理不嚴格,無關人員可以隨意進出機房。當機器發(fā)生故障時,隨意叫自己的朋友或者外面非專業(yè)公司的人員進入機房維修,甚至將發(fā)生故障的計算機送修前不做消磁處理,或不安排專人監(jiān)督維修過程,都會丟失涉密數(shù)據(jù)。
二、如何保證內(nèi)網(wǎng)安全
針對各種泄密途徑,要防止內(nèi)網(wǎng)涉密信息外泄,應著重從加強內(nèi)網(wǎng)安全防范措施入手。那么,應在內(nèi)網(wǎng)中構筑一個怎樣的內(nèi)控安全體系或系統(tǒng)呢?
邊界不可小覷!內(nèi)網(wǎng)安全的威脅不同于公用網(wǎng)絡的威脅。公用網(wǎng)絡安全技術防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡服務器,如HTTP或SMTP的攻擊。網(wǎng)絡邊界防范減小了資深黑客僅需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。
內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡內(nèi)部的一臺Server,然后以此為基地,對Internet上其他主機發(fā)起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立并加強內(nèi)網(wǎng)防范策略。
三、邊界防護技術的應用
面對一個龐大、復雜的企業(yè)內(nèi)網(wǎng)及相關的信息系統(tǒng),單獨對每項信息資產(chǎn)確定保護方法是非常復雜的工作,常由于疏忽或錯誤導致安全漏洞。但是將整個內(nèi)網(wǎng)系統(tǒng)當成一個安全等級來防護,也難免造成沒有防范層次和防范重點,對風險尤其是內(nèi)部風險的控制能力不足。
較好的處理方式是進行安全域的劃分,制訂資產(chǎn)劃分的規(guī)則,將信息資產(chǎn)歸入不同安全域中,每個安全域內(nèi)部都有著基本相同的安全特性,如安全級別、安全威脅、安全弱點及風險等。在此安全域的基礎上確定該區(qū)域的信息系統(tǒng)安全保護等級和防護手段,同一安全域內(nèi)的資產(chǎn)實施統(tǒng)一的保護。
1.安全域的定義
安全域是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域。同一安全域的系統(tǒng)共享相同的安全策略,安全域劃分的目的是把一個大規(guī)模復雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護問題,是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護的有效方法。
2.安全域的分類
以電信運營企業(yè)內(nèi)部網(wǎng)絡為例,安全域可以分為安全計算域、安全用戶域、安全網(wǎng)絡域和安全服務域。其中,安全計算域的安全等級是確定一個內(nèi)部網(wǎng)絡安全保護和等級劃分的基礎,如圖1所示。
安全網(wǎng)絡域:支撐安全域的網(wǎng)絡設備和網(wǎng)絡拓撲,是安全域的承載子域,防護重點是保障網(wǎng)絡性能和進行各子域的安全隔離與邊界防護。
業(yè)務計算域:安全域的核心業(yè)務服務器、數(shù)據(jù)庫,是安全域的核心子域,防護重點是防病毒攻擊、防黑客篡改和防誤操作導致數(shù)據(jù)丟失。
公共服務域:為安全域提供統(tǒng)一的安全服務,是安全域的公共子域,包括統(tǒng)一的外部網(wǎng)絡接口、安全認證、事件管理、策略管理、補丁管理等服務。
業(yè)務終端域:需要訪問安全計算域的各類客戶端和維護終端,是安全域的風險子域,防護重點是加強認證和審計、限制權限,嚴格遵守配置標準。
3.邊界整合和防護設計
劃分安全域后,同一安全域擁有相同的安全等級,可以認為在統(tǒng)一安全域之內(nèi)是相互信任的,而安全風險主要是不同的安全域之間相互訪問所帶來的,因此對于安全域的防護主要是對安全域邊界的安全防護。邊界的種類主要分為三種:同級別安全域之間的邊界;不同級別安全域之間的邊界,實際設計實施時又分為高等級安全域和低等級安全域的邊界和防護;遠程連接的用戶,通常會通過公共網(wǎng)絡,除了邊界的防護,數(shù)據(jù)傳送過程中也必須保障保密性和完整性。
4.同級別安全域之間的邊界
同級別安全域之間的安全防護主要是安全隔離和可信互訪。因為同級別安全域之間的安全等級相同,主要從業(yè)務需要出發(fā)劃分不同的安全域,如在運營商支撐網(wǎng)絡中將OA系統(tǒng)、計費系統(tǒng)、網(wǎng)管系統(tǒng)劃分為不同的安全域。為了防止單點的安全事件擴散到整個網(wǎng)絡,影響其他的業(yè)務系統(tǒng),需要保證同級別安全域之間的安全隔離,如圖2所示。
根據(jù)以上的需求,通過MPLS-VPN解決方案可以很好地滿足同級別安全域之間安全隔離的需求。
通過MPLS-VPN解決方案,可以實現(xiàn)各個節(jié)點和業(yè)務之間的互訪和隔離需求,能夠做到在增加新的節(jié)點或業(yè)務時,對其他節(jié)點的配置進行很小的改動,而且對網(wǎng)絡上承載的業(yè)務沒有影響,這可以使各個業(yè)務使用同一個核心網(wǎng)絡,而在地市節(jié)點再按照業(yè)務與不同的網(wǎng)絡設備相連。通過MPLS-VPN解決方案,可以使整個網(wǎng)絡結構簡化,減輕維護壓力。
5.不同級別安全域之間的邊界
不同級別安全域之間的相互訪問帶來較大的安全風險,是網(wǎng)絡安全防護的重點。在劃分的安全域中,安全用戶域是風險子域,用戶域對于計算域的訪問是網(wǎng)絡中面臨的主要風險。
采用安全接入認證網(wǎng)關和防火墻對不同級別安全域之間的邊界進行防護如圖3所示。
安全接入認證網(wǎng)關通常部署在用戶域接入網(wǎng)絡的邊緣,用于不同安全等級的安全域間的數(shù)據(jù)交換。通過認證授權和安全策略的檢查,對終端的網(wǎng)絡訪問權限進行控制,只有通過認證和安全策略檢測的終端才擁有訪問網(wǎng)絡的權限,沒有通過的終端無法訪問網(wǎng)絡,從而將安全風險阻擋在網(wǎng)絡接入的邊緣,最大限度的保護了計算域中核心業(yè)務系統(tǒng)的安全。
防火墻通常部署在計算域的前端,用于提供多層次的縱深安全防護。
6.遠程接入的實現(xiàn)
隨著業(yè)務的發(fā)展,遠程接入的需求越來越多,遠程用戶通常通過Internet遠程接入到企業(yè)的數(shù)據(jù)網(wǎng)絡之中,如圖4所示,其安全風險很大。
對于遠程接入用戶通常采用VPN結合用戶認證授權的方式進行邊界防護。用戶通過在遠端和總部之間建立VPN隧道的方式,并采用數(shù)據(jù)加密的方法,保證通信的安全。同時結合雙因素認證的方式,對接入用戶采用高強度的認證、授權和審計,控制遠程接入的風險。
四、應用實例
某運營商為滿足網(wǎng)絡安全需求,對其DCN網(wǎng)絡進行了全面的安全加固,以下僅以邊界防護為例進行說明。
1.某運營商骨干網(wǎng)絡建設現(xiàn)狀
DCN網(wǎng)絡形成覆蓋全國31個省、直轄市的骨干網(wǎng)絡。整個骨干DCN網(wǎng)絡采用兩級結構,由核心層和匯聚層兩個層次組成。
DCN網(wǎng)絡存在以下安全問題。首先,DCN網(wǎng)作為多業(yè)務的承載平臺,需要針對應用進行有效隔離措施。但目前由于各業(yè)務之間沒有實現(xiàn)很好的隔離,缺少統(tǒng)一的安全域劃分和安全域管理,從客戶端、交換機到路由器,部分地市存在不同類型業(yè)務設備混用的情況,給業(yè)務的安全帶來了較大隱患。其次,DCN網(wǎng)上諸多外聯(lián)網(wǎng)接口、互聯(lián)網(wǎng)入口和出口沒有統(tǒng)一管制,各省接口設置缺少統(tǒng)一規(guī)劃。第三,各省發(fā)展程度不一,作為DCN網(wǎng)“心臟”的EDC缺少嚴格的安全管理。最后,由于缺少對IP地址的有效監(jiān)控和管理,部分地區(qū)IP地址使用不符合集團統(tǒng)一規(guī)劃,給網(wǎng)絡安全帶來隱患。
2.邊界防護的實施目標
根據(jù)DCN網(wǎng)安全狀況,為保護DCN網(wǎng)不同區(qū)域的安全性,防范未授權的訪問,杜絕非法的數(shù)據(jù)包在不同安全區(qū)域之間的傳遞,將攻擊阻擋在安全區(qū)域環(huán)境之外,在DCN骨干網(wǎng)邊界部署安全防護,保證網(wǎng)絡安全狀況的可知和可控,確保DCN骨干網(wǎng)的安全,同時將省DCN網(wǎng)內(nèi)部的不安全因素控制在較小的范圍內(nèi)。
3.邊界防護選用的技術
(1)防火墻
防火墻是常規(guī)的網(wǎng)絡邊界防護設備,便于對網(wǎng)絡邊界進行安全控制,但防火墻無法對病毒、蠕蟲等引起的惡意流量進行檢測。
(2)IDS/IPS
IDS/IPS是防火墻之后的第二道安全防線,在攻擊檢測、安全審計和監(jiān)控等方面都發(fā)揮了重要的作用。
從檢測方法上看,IPS與IDS都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計等技術。這些檢測技術的特點是主要針對已知的攻擊類型,進行基于攻擊特征串的匹配。但對于應用層的攻擊,通常是利用特定的應用程序的漏洞,無論是IDS還是IPS都無法通過現(xiàn)有的檢測技術進行防范。
(3)IDS/IPS的部署管理模式
在DCN全網(wǎng)中部署入侵檢測產(chǎn)品有兩種部署管理模式可供選擇:集群部署管理模式和分布部署管理模式。采用集群部署管理模式可以保證網(wǎng)絡中部署的所有入侵檢測產(chǎn)品實時保持策略的同步,整體的安全策略能得到實時的部署,實時控制蠕蟲等惡意流量的蔓延和擴散,抵御各種威脅對網(wǎng)絡的影響。采用分布部署管理模式方便對各入侵檢測系統(tǒng)的策略進行配置,由于各入侵檢測系統(tǒng)是單獨設置管理,可以只針對特定的事件進行記錄上報,降低了對網(wǎng)絡資源的依賴性。
4.實施方案
如圖5所示,該方案解決了各省網(wǎng)絡與骨干網(wǎng)絡之間的邊界防護問題,在技術上選用IDS和IPS系統(tǒng)來實現(xiàn)。
針對設備的部署管理模式,在DCN全國骨干網(wǎng)中設立兩到三個Cluster,管理員可以通過Cluster主結點的設備管理其余的從結點設備。各省的入侵檢測系統(tǒng)設備只需向集團的安全管理系統(tǒng)提供統(tǒng)計信息(如嚴重的安全威脅、最近X天的統(tǒng)計報告)等,由集團根據(jù)實際情況分析DCN全網(wǎng)的安全狀況,運行狀況參見圖6。
小結
信息系統(tǒng)和網(wǎng)絡系統(tǒng)應用初期,信息系統(tǒng)運行的穩(wěn)定性和可靠性是首先面臨的問題,除了系統(tǒng)本身的因素外,其最大的一類威脅就是來自網(wǎng)絡的入侵威脅。針對這類攻擊,防火墻、入侵檢測和防病毒產(chǎn)品的應用已取得了明顯的效果。網(wǎng)絡邊界防護體系在技術上和應用上都已經(jīng)相對成熟,并已經(jīng)形成了建立統(tǒng)一的邊界防護系統(tǒng)的趨勢。
相對于網(wǎng)絡邊界防護體系的成熟,統(tǒng)一的身份認證體系、統(tǒng)一的信息安全管理體系和規(guī)范的信息安全保密體系的建設卻顯得相對滯后。
完整的信息安全保障體系建設是信息安全走向成熟的標志。信息安全保障體系的建設,必須進行科學的規(guī)劃,以用戶身份認證為基礎,信息安全保密為核心,網(wǎng)絡邊界防護和信息安全管理為輔助,建立全面有機的安全整體,從而建立真正有效的、能夠為信息化建設提供安全保障的平臺。
