消防安全系统检查评估如何评估网络系统的安全.docx
《消防安全系统检查评估如何评估网络系统的安全.docx》由会员分享,可在线阅读,更多相关《消防安全系统检查评估如何评估网络系统的安全.docx(14页珍藏版)》请在冰豆网上搜索。
消防安全系统检查评估如何评估网络系统的安全
消防安全系统检查评估【如何评估网络系统的安全】
网络系统的安全程度同样符合木桶原理,即最终的安全性取决于网络中最弱的一个环节。
本文系统地对网络架构的各个安全点进行了分析,同时针对性地介绍了降低这些安全点风险的方案和措施。
各种网络安全事故频发使得各个组织对信息安全的重视程度逐渐提高,同时各种专门提供网络安全服务的企业也应运而生。
然而,目前大多安全服务都是以主机的安全评估、系统加固、应急响应、应用安全防护、管理层面的安全策略体系制订、应用安全防护、安全产品集成等为主,对于网络架构的安全评估却很少。
综观近几年来互连网上不断出现的病毒蠕虫感染等安全事件,不少是由于对网络架构安全的忽视导致了大范围的传播和影响。
xx年的27号文件――《国家信息化领导小组关于加强信息安全保障的文件》下发后,对信息系统安全域划分、等级保护、信息安全风险评估、等级保障等需求愈来愈迫切,而做好安全域划分的关键就是对网络架构安全的正确分析。
信息系统的网络架构安全分析是通过对整个组织的网络体系进行深入调研,以国际安全标准和技术框架为指导,全面地对网络架构、网络边界、网络协议、网络流量、网络QoS、网络建设的规范性、网络设备安全、网络管理等多个方面进行深入分析。
网络架构分析
网络架构分析的主要内容包括根据IATF技术框架分析网络设计是否层次分明,是否采用了核心层、汇聚层、接入层等划分原则的网络架构(划分不规范不利于网络优化和调整);网络边界是否清晰,是否符合IATF的网络基础设施、边界/外部连接、计算环境、支撑基础设施的深度防御原则(边界不清晰不便于安全控制)。
应考虑的安全点主要有:
1.网络架构设计应符合层次分明、分级管理、统一规划的原则,应便于以后网络整体规划和改造。
2.根据组织实际情况进行区间划分,Inter、Intra和Extra之间以及它们内部各区域之间结构必须使网络应有的性能得到充分发挥。
3.根据各部门的工作职能、重要性、所涉及信息等级等因素划分不同的子网或网段。
4.网络规划应考虑把核心网络设备的处理任务分散到边缘设备,使其能将主要的处理能力放在对数据的转发或处理上。
5.实体的访问权限通常与其真实身份相关,身份不同,工作的内容、性质、所在的部门就不同,因此所应关注的网络操作也不同,授予的权限也就不同。
6.网络前期建设方案、网络拓扑结构图应和实际的网络结构一致;所有网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备)应由组织统一规划部署,并应符合实际需求。
7.应充分考虑Inter接入的问题,防止出现多Inter接入点,同时限制接入用户的访问数量。
8.备份也是需要考虑的重要因素,对广域网设备、局域网设备、广域网链路、局域网链路采用物理上的备份和采取冗余协议,防止出现单点故障。
网络边界分析
边界保护不仅存在于组织内部网络与外部网络之间,而且也存在于同一组织内部网络中,特别是不同级别的子网之间边界。
有效的边界防护技术措施主要包括网络访问控制、入侵防范、网关防病毒、信息过滤、网络隔离部件、边界完整性检查,以及对于远程用户的标识与鉴别/访问控制。
边界划分还应考虑关键业务系统和非关键业务系统之间是否进行了分离,分离后各业务区域之间的逻辑控制是否合理,业务系统之间的交叠不但影响网络的性能还会给网络带来安全上的隐患。
应考虑的安全点主要有:
1.Inter、Intra和Extra之间及它们内部各VLAN或区域之间边界划分是否合理;在网络节点(如路由器、交换机、防火墙等设备)互连互通应根据实际需求进行严格控制;验证设备当前配置的有效策略是否符合组织确定的安全策略。
2.内网中的安全区域划分和访问控制要合理,各VLAN之间的访问控制要严格,不严格就会越权访问。
3.可检查网络系统现有的身份鉴别、路由器的访问控制、防火墙的访问控制、NAT等策略配置的安全性;防止非法数据的流入;对内防止敏感数据(涉密或重要网段数据)的流出。
4.防火墙是否划分DMZ区域;是否配置登录配置的安全参数。
例如:
最大鉴别失败次数、最大审计存储容量等数据。
5.网络隔离部件上的访问通道应该遵循“默认全部关闭,按需求开通的原则”;拒绝访问除明确许可以外的任何一种服务,也就是拒绝一切未经特许的服务。
6.实现基于源和目的的IP地址、源和目的端口号、传输层协议的出入接口的访问控制。
对外服务采用用户名、IP、MAC等绑定,并限制变换的MAC地址数量,用以防止会话劫持、中间人攻击。
7.对于应用层过滤,应设置禁止访问JavaApplet、ActiveX等以降低威胁。
8.采用业界先进的安全技术对关键业务系统和非关键业务系统进行逻辑隔离,保证各个业务系统间的安全性和高效性,例如:
采用MPLS-VPN对各业务系统间逻辑进行划分并进行互访控制。
9.必要时对涉密网络系统进行物理隔离;实现VPN传输系统;对重要网络和服务器实施动态口令认证;进行安全域的划分,针对不同的区域的重要程度,有重点、分期进行安全防护,逐步从核心网络向网络边缘延伸。
例如,网络可以分成三个区域:
信任域、非信任域和隔离区域。
信任域和隔离区域进行重点保护,对于非信任域,可根据不同业务系统的重要程度进行重点保护。
10.整体网络系统统一策略、统一升级、统一控制。
网络协议分析
深入分析组织整个网络系统的协议设计是否合理,是否存在协议设计混乱、不规范的情况,是否采用安全协议,协议的区域之间是否采用安全防护措施。
协议是网络系统运行的神经,协议规划不合理就会影响整个网络系统的运行效率,甚至带来高度隐患和风险。
应考虑的安全点主要有:
1.路由协议、路由相关的协议及交换协议应以安全的、对网络规划和设计方便为原则,应充分考虑局域网络的规划、建设、扩充、性能、故障排除、安全隐患、被攻击可能性,并应启用加密和验证功能。
2.应合理设计网络路由协议和路由策略,保证网络的连通性、可达性,以及网络业务流向分布的均衡性。
3.启用动态路由协议的认证功能,并设置具有一定强度的密钥,相互之间交换路由信息的路由器必须具有相同的密钥。
默认的认证密码是明文传输的,建议启用加密认证。
4.对使用动态路由协议的路由设备设置稳定的逻辑地址,如Loopback地址,以减少路由振荡的可能性。
5.应禁止路由器上IP直接广播、ICMP重定向、Loopback数据包和多目地址数据包,保证网络路径的正确性,防止IP源地址欺骗。
如禁止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络,同时禁止非内部网络中的地址访问外部网络。
6.重要网段应采取IP地址与MAC地址绑定措施,防止ARP欺骗。
7.如果不需要ARP代理(ARPProxy)服务则禁止它。
8.应限制SYN包流量带宽,控制ICMP、TCP、UDP的连接数。
9.ICMP协议的安全配置。
对于流入的ICMP数据包,只允许EchoReply、DestinationUnreachable、TimeOut及其他需要的类型。
对于流出的ICMP数据包,只允许Echo及其他必需的类型。
10.SNMP协议的CommunityString字串长度应大于12位,并由数字、大小写字母和特殊字符共同组成。
11.禁用服务,不允许通过方式访问路由器。
如果不得不启用访问方式,则需要对其进行安全配置。
12.对于交换机,应防止VLAN穿越攻击。
例如,所有连接用户终端的接口都应从VLAN1中排除,将Trunk接口划分到一个单独的VLAN中;为防止STP攻击,对用户侧端口,禁止发送BPDU;为防止VTP攻击,应设置口令认证,口令强度应大于12位,并由数字、大小写字母和特殊字符共同组成;尽量将交换机VTP设置为透明(Transparent)模式。
13.采用安全性较高的网络管理协议,如SNMPv3、RMONv2。
网络流量分析
流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。
应考虑的安全点主要有:
1.带宽的网络流量分析。
复杂的网络系统中不同的应用需占用不同的带宽,重要的应用是否得到了最佳的带宽?
所占比例是多少?
队列设置和网络优化是否生效?
通过基于带宽的网络流量分析会使其更加明确。
采用监控网络链路流量负载的工具软件,通过SNMP协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。
2.网络协议流量分析。
对网络流量进行协议划分,针对不同的协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常流量暴涨,就有可能是攻击流量或有蠕虫病毒出现。
例如:
CiscoNetFlowV5可以根据不同的协议对网络流量进行划分,对不同协议流量进行分别汇总。
3.基于网段的业务流量分析。
流量分析系统可以针对不同的VLAN来进行网络流量监控,大多数组织都是基于不同的业务系统通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同的VLAN来对不同的业务系统的业务流量进行监控。
例如:
CiscoNetFlowV5可以针对不同的VLAN进行流量监控。
4.网络异常流量分析。
异常流量分析系统支持异常流量发现和报警,能够通过对一个时间窗内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。
通过积极主动鉴定和防止针对网络的安全威胁,保证了服务水平协议(SLA)并且改进顾客服务,从而为组织节约成本。
抗击异常流量系统必须完备,网络系统数据流比较大,而且复杂,如果抗异常流量系统不完备,当网络流量异常时或遭大规模DDOS攻击时,就很难有应对措施。
5.应用服务异常流量分析。
当应用层出现异常流量时,通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析,并通过IPS的安全防护技术进行反击。
网络QoS
合理的QoS配置会增加网络的可用性,保证数据的完整性和安全性,因此应对网络系统的带宽、时延、时延抖动和分组丢失率等方面进行深入分析,进行QoS配置来优化网络系统。
应考虑的安全点主要有:
1.采用RSVP协议。
RSVP使IP网络为应用提供所要求的端到端的QoS保证。
2.采用路由汇聚。
路由器把QoS需求相近的业务流看成一个大类进行汇聚,减少流量交叠,保证QoS。
3.采用MPLSVPN技术。
多协议标签交换(MPLS)将灵活的3层IP选路和高速的2层交换技术完美地结合起来,从而弥补了传统IP网络的许多缺陷。
4.采用队列技术和流量工程。
队列技术主要有队列管理机制、队列调度机制、CAR和流量工程。
5.QoS路由。
QoS路由的主要目标是为接入的业务选择满足其服务质量要求的传输路径,同时保证网络资源的有效利用路由选择。
6.应保证正常应用的连通性。
保证网络和应用系统的性能不因网络设备上的策略配置而有明显下降,特别是一些重要应用系统。
升级会员 