课件9 第6-1节 安全策略与安全网络设计.ppt

第6 1节安全策略与安全网络设计 前言 本章主要讨论一个组织或部门的网络安全策略设计和安全网络的结构设计问题 然后讨论网络边界防护的各种技术措施 网络边界安全防护技术是用于解决内部网络与外部网络交界 接口 处的安全技术 各种用于网络边界安全防护设备或手段因解决各种防护需要而被创造出来 例如 由于可能存在来自外部网络的入侵 所以具有包过滤功能的路由器 防火墙 入侵检测系统 IDS 以及入侵诱骗等设备与技术都应运而生 为了保护信息传输的安全性 虚拟专网 VPN 和各种安全传输协议 如SSL IPSec 也被创造出来 主要内容 安全策略与安全网络设计路由器防火墙虚拟专用网 VPN 蜜罐技术入侵检测snort系统介绍 主要内容 安全策略与安全网络设计路由器防火墙虚拟专用网 VPN 蜜罐技术入侵检测snort系统介绍 6 1安全策略与安全网络设计 首先研究并制定符合自己组织信息安全要求的安全策略 然后根据安全策略的要求设计并构建组织内部的网络系统 最后再对网络系统以及各种网络设备提供的安全机制进行合理的配置 以达到充分利用之目的 组织的信息安全策略设计组织的安全网络结构 6 1 1组织的信息安全策略设计 一个组织的信息安全策略应该具有完善的完整性和一致性 完整性可以保证策略覆盖组织的所有安全需求 一致性则是为了保证策略集中包含互相矛盾的内容 一个组织系统的策略是划分为层次的 分别满足不同层次的信息安全的要求 本节除了说明策略的层次性和覆盖范围外 还将详细地研究网络访问控制策略的设计方法 6 1 1 1策略是什么 人员 信息和文档资料 以及对这些信息资料进行储存 处理与传输等作用的计算机与网络硬件与软件系统都属于一个组织的资产 每个组织都希望保护与充分利用自己的资产 但这需要在一套行之有效的信息安全保护规范与制度 在建立这套规范与制度之前 首先应该制定一整套策略 标准及指导 并把它们作为安全运作程序与制度的依据 信息安全策略是关于一个组织保护其信息系统安全性的最高层次的指导原则 是根据组织领导集团的需求 设备情况 单位章程和法律约束等要求制定的 策略是较高级的文档 它一般不指定所用的技术 而是指明方向与行为基准 策略不仅解释要怎么做 而且解释这样做的原因 策略建立了组织管理控制上的指导条例 并确定组织信息的所有使用者都应遵从的制度 例如 一条策略声明中写到 所有通信内容都应受到保护不被窃听 策略中并不说明如何达到该目的 或使用何种技术达到该目的 而这些内容都是由标准定义的 标准源于策略 用于描述在配置方面需要满足的要求以及需要采用的技术与遵照的特定步骤 标准是用来实现策略的过程与规程 并提供可供审计的详细信息及规范 对应上述策略例子 相应的标准可以这样写 所有基于网络的通信必须使用3DES 3倍数字加密标准 进行加密 指导有时也称为手册 提供了实现信息安全控制策略及标准的推荐方案 指导本身并不是策略要求 但却是帮助组织的业务与技术领域与策略要求保持一致的最佳实现方案 指导并不一定要求遵从 但提供了一种与标准相匹配的方法 而标准则要求必须与策略相一致 针对上述策略例子 指导要提供关于如何配置网络元素和根据标准要求加密信息的详细资料与操作方法 供负责实施解决方案的工程师参考 但工程师可以选择其他更合适的方案实施 一个组织的安全策略是有层次性的 一个组织的所有人员和储存 传输与处理信息的设备与系统构成了该组织的信息系统 在这个信息系统的每一个层次上 包括从管理层到硬件层的各个层次上 都需要针对各层的具体问题做出安全性决策 其中包括企事业级的安全决策 行政管理方面的安全决策 硬件设备及其运行环境的安全决策 操作系统与数据库系统的安全决策等内容 安全策略是做出这些决策的依据 在同一组织内部的各层次安全策略之间必须保持一致性 不能相互矛盾 并且是互相依存的 例如 有关网络系统与计算机设备的安全策略是受其组织最高层次策略指导的 也取决于合适的软件与硬件系统的支持 一般而言 低层次策略是由高层次策略推出的 但策略是受实现机制约束的 而实现机制又是受技术与经费限制的 组织制定策略是为了让其成员及下级组织了解如何行动 是各级管理者执行管理工作的依据 如果发生了违反策略的情况 将会产生严肃处理的结果 例如 如果某公司在关于电子邮件的策略中规定 在公司的电子邮件系统中 职员不拥有隐私权 所有电子邮件的所有权归公司所有并受到监视 如果规定了这样的策略 公司就有权监视职员往来的电子邮件 对违反策略规定的职员可以进行纪律处分 策略 标准及指导制定出来并正式核准执行后 应该通过宣传培训让组织的所有员工都能了解并遵照执行 策略能否得到最终落实 取决于组织领导者的决心和管理团队能否持久坚持 如果没有管理部门的支持或管理工作松懈 安全策略就是形同虚设 如果安全策略能得到每个人的理解与执行 就可以使组织内部的安全态势处于良好状态 6 1 1 2策略的设计方法 策略文档的组成标准文档的组成指导文档的组成一个组织的安全策略涵盖的范围策略制定的过程 策略应该是简单扼要的 其含义应该是明晰的和无二义性的 需要有经验丰富的安全专家和组织的负责人与安全管理人员共同参与 在创建策略 标准与指导时 必须在安全性与管理业务的能力之间进行平衡 同时还需要在安全性与所需的投资费用之间做出适当的平衡 保持平衡的原则是 依据策略 标准与指导的要求 对资产实施的保护费用必须与被保护对象的商业价值相匹配 为了能够制定出合乎要求和全面的安全策略 需要了解策略 标准和指导文档的组成要素 一 策略文档的组成 在策略的描述中都应该声明该策略的目的 适用范围 有关说明 效能 例外情况以及不遵从的后果等 策略中的某些要素对所有策略都是通用的 甚至是必需的 为了使策略能够被准确应用 需要以一种易于理解与操作的方式构造它们 信息安全策略的文档中应该包括以下一些主要组成部分 1 适用范围 适用范围陈述了该策略的用途 其中包括对参考文献的索引 这部分内容位于策略文档的开头 并尽可能地简短 2 策略描述 本部分用于说明策略的总体目标与内容 位于文档开头 3 可信赖性 这一部分说明该策略 标准与指导所适用的人员范围 4 不遵从 这一部分说明如果不执行策略可能造成的损失 5 监控 这一部分说明以何种方式保证策略 标准或指导生效并处于最新状态 该部分是机构内保证策略实施机制的必需部分 6 例外 对组织的某些行为可能与策略有矛盾时 允许这些不一致存在的机制 二 标准文档的组成 为了使标准更容易理解与遵守 在标准文档中增加必要的说明与限制是必要的 下面是信息安全标准中的某些主要的组成部分 1 用途与适用范围 该部分描述标准实施时所依赖的支持平台 例如 要求在微软系统服务器上安装SQLServer数据库系统 2 任务与职责 该部分说明公司在确定 执行以及支持标准方面的任务与职责 3 介绍 该部分给出最重要的策略说明 4 基本准则 该部分将应用于平台和应用程序的高级声明结合在一起 5 技术标准 包括对技术标准的说明与相关描述 如配置信息或非必要的系统服务 6 管理标准 包括对平台和应用程序刚开始的或正在进行的管理 三 指导文档的组成 指导是对策略实施标准的比较具体的描述 不同组织的指导通常有显著的差别 因此对指导的使用进行说明是必要的 下面是一些需要说明的内容 1 用途与适用范围 这部分描述指导所针对的目标 如 cisco3600路由器的配置更改指南 2 任务与职责 本部分描述公司全体人员在确定 执行与支持指导方面的任务与职责 3 指导声明 这部分给出以安全方式支持某项技术的过程的详细描述 4 操作说明 规定在维护与使用指定技术方面的职责与任务 具体到每年 每月与每日 四 一个组织的安全策略涵盖的范围 各个组织在制定自己内部的策略时 由于各组织的网络与信息受到的威胁不同 其安全需求不尽一致 考虑范围与分类方法也不尽相同 下面是从许多组织的策略中概括出来的一些具有通用性的策略 可以作为制定自己组织的策略的参考 1 程序性策略 程序性策略是一类负责启动组织内部的信息安全运作程序的策略 这类策略说明一个组织的各种安全策略的正常运行机制和各级管理部门及个人的安全职责 并说明一旦发生信息安全事故的处理程序 安全运作程序的建立包括对安全策略 标准和指导的管控 确定安全机构成员 高级管理专家 安全告警程序 安全集成机制和安全运行机制等内容 程序性策略需要说明以下五个主要目的 l防护 说明有能力防止未授权者对公司信息资产的访问 l担保 在保护公司信息资产方面与策略 标准和指导保持一致 l探测 有能力识别入侵行为并采取适当对策 l调查 具有法律效率的技术手段 如网络取证技术 收集入侵者行为的信息 l连续运行能力 具有切实可行的灾难恢复计划 该计划应该是通过测试的 2 信息 资源分级策略 依据组织内的信息或资源对组织业务发展的紧密程度 需要把这些信息或资源划分为不同的敏感级别 该策略在全组织范围内建立统一的标准 用于规划如何划分组织所管辖信息与资源的敏感级 其要点是要保护组织的信息的价值 预防和监控损失以及危害安全的行为 并为防范非法授权者的侵害行为提供法律支持 信息的敏感级通常划分为以下几类 l公开类 明确允许让公众知道的一类信息 这些信息可以通过报纸 杂志 万维网 WWW 或公开服务器对公众发布 l内部类 只允许向个人或部分人公开而不是向公众公布的一类信息 l机密类 如果一类信息被泄露后会对组织的业务及其关联密切的人或组织的员工产生不利影响 这种信息就是机密信息 这类信息如要公布必须得到相应的授权 限制类 如果一类信息被泄露后会对公司的业务及其关系密切的人员或组织的员工产生严重的财务 法律 规章条例上的损失 那么这样的信息就是限制级的 这类信息极为敏感 要求对访问者进行身份确认 信息是构建本组织的访问控制机制和新的应用程序的关键组成部分 信息分级可以让组织的管理者了解 各类信息的安全如果遭到威胁 将会对组织的利益造成何种程度的影响 进而有助于分门别类地对信息施加防护 并可使保护的投入费用与信息本身的价值相对应 3 对信息 资源的访问控制策略 该策略规定组织内部与外部各类用户对存储在计算机及网络内的信息与资源进行访问的权限与方法 本策略的设计应该依据一种合适的访问控制模型 例如 可以根据基于角色的访问控制模型RBAC设计相应策略 把组织内的所有人员根据其业务分工和所负责任的大小划分为不同的类 每一类人用一角色代表 可以用访问矩阵的形式描述角色与信息 资源之间的关系 矩阵的行分别代表不同的角色 矩阵的列表示不同级别的和根据业务分工的需要而划分的信息 资源 行与列的交叉处的矩阵项内存放该行的角色可以访问所在列的信息 资源的权利 在规定每个角色对信息 资源的访问权限时 应该遵守以下原则 l知其所需 每个角色了解的信息以满足该角色完成任务的需要为准则 l最小特权 给每个角色分配的权限以其完成工作的最低需要为原则 l个人可信赖性 由迫使个人对自己的行为负责的机制所组成 可信赖性通常是通过对系统用户进行识别和验证 而后跟踪用户在系统中的活动来实现的 l任务分离 也称特权分离 将某个关键操作划分为多个步骤 并分别由不同人员执行 通过不同人员之间的相互制约 增加任务完成的安全性 4 用户身份鉴别策略 利用口令验证和用户账户管理仍然是大多数组织验证用户身份主要采用的手段 口令 密码 管理策略一般都是大多数组织的核心策略 该策略主要用于规定口令的长度 组成的复杂度以及使用期限 防止口令被破解 对账号的管理策略包括对使用期限限制 对登录次数的限制 匿名账户的使用控制 对离职员工的账户控制等策略 在条件允许的情况下 可以采用智能身份卡 挑战 应答或人的生物特征认证手段 5 网络安全策略 网络安全策略是保护网络中的信息不受非授权访问的各种措施 由于计算机网络的普及应用 组织一般都利用计算机网络储存与处理信息 网络信息安全是任何一个组织的安全的核心环节 其重要性不言而喻 网络信息安全包括Internet的使用策略 内部网络安全政策 远程访问安全策略等内容 1 Internet的使用策略 从细节上描述公司网络上的用户应该如何利用公共的Internet资料 该策略描述了用于保护组织信息安全的所有过滤软件 拦阻软件以及允许执行或不允许执行的特定任务 此外 还包括对内部用户访问Internet之前的认证方法 以防止将内部网络用于不正当目的 Internet使用策略中应详细规定对于一些特殊服务的使用规定 其中包括对电子邮件 WEB FTP TELNET及聊天 IRC等服务的使用规则 除此以外 在策略中还应该详细规定对文件下载 敏感数据的传输 敏感信息的导出 文件保护和分级的信息保护 病毒防护 网络攻击防护 对未经许可的软件或应用程序包的使用以及对Internet的使用监控等方面的策略 2 内部网络安全策略 该策略涵盖了对组织内所有计算机资源以及信息资源的网络访问 这部分策略将包括对路由器的低层过滤 边界防火墙 网络入侵检测和网络安全监控等网络安全部件的策略要求 此外还包括网络的物理安全与环境 如机房 安全方面的措施 3 远程访问安全策略 该策略明确说明从外部对内部网络进行远程访问时 所允许的方法和不允许使用的方法 例如 规定只允许通过组织安装的调制解调器进行远程访问 不允许用户利用自己安装的调制解调器进行访问 策略还应该规定 对经过第三方网络 如电话网 ISDN 增值网络 Internet等 的远程访问 必须使用由信息安全部门认可的访问控制系统进行信息保护 其中主要是对传输加密方法与强度的要求 6 主机安全策略 主机安全策略主要用于保护网络服务器与工作站的安全 其中包括操作系统的类型 版本及安全配置要求 补丁程序安装要求 病毒防护 应用软件的安装与更新管理要求 安全平台的建立与管理措施等 对于服务器而言 明确规定服务器上安装的各种服务软件的版本与安全配置要求 对工作站还需要详细说明安全桌面的建立与管理要求 其中包括对桌面与服务器的访问控制 ID管理 防病毒软件及更新软件 服务器与桌面加密以及其他辅助控制要求 桌面策略的一些例子有 l屏幕保护程序的使用策略 计算机运行过程中最长不操作时间的限定 l对病毒防护的要求 如实时性要求 每当装入新文件或新软件时 l对非组织配发软件的使用策略 l对打开电子邮件时 使用FTP时 使用Active内容 ActiveX或JavaApplet 1 安全管理策略 对组织内部各级管理机构与人员的职责以及发生安全事件后的处理措施与方法做出规定 BS7799是英国标准部门制定的 使用于各类组织进行信息安全管理的标准 该标准已被国际标准化组织接纳为信息安全管理的国际标准 BS7799的10项内容 1 信息安全方针 一个组织的管理者应该制定一套清晰的信息安全指导方针 这个方针表明该组织对自己单位的总安全策略 2 组织安全管理体系 本措施的目标是在组织内部建立信息安全管理体系 3 资产分类与控制 本措施的目标是为了保护组织内部信息资产的安全 4 人员安全 本措施包括岗位安全责任和人员任用安全要求 用户培训 安全事件与故障处理等条款 5 物理与环境安全 本措施包括安全区域 设备安全和常规控制等条款 6 通信与操作管理 本措施包括操作程序和责任 系统规划和验收 恶意软件的防范 日常管理 网络管理 媒体处理 信息和软件交换等条款 7 访问控制 该措施包括访问控制的业务需求 用户访问管理 用户职责 网络访问控制 操作系统访问控制 应用系统访问控制 系统访问与使用的监控 移动计算和远程工作等条款 8 系统开发与维护 本措施包括系统安全需求 应用系统安全 加密控制 系统文件安全 开发过程和支持过程的安全等条款 9 业务连续性管理 该措施的目标是在商业活动中断时 保护关键的商业过程免受主要故障或灾难的影响 10 政策法律的符合性 包括符合法律要求 安全策略和技术符合性的评审和系统审核的考虑事项等条款 五 策略制定的过程 为了能够开发出完善的安全策略 很重要的一点是应该遵循一套正确的开发步骤 只有全面了解策略 标准和指导开发中所涉及的各种要素 才能更容易理解在应用策略时需要做出的权衡工作 才有助于策略的制定 策略的开发需要以下步骤 1 确定策略的应用范围 确定所要制定的策略是应用于全组织 还是应用于组织的某个部门或业务单位 2 第一把手 原则 所开发的策略将应用于组织的管理 必须得到各级管理人员的理解与支持 尤其是得到组织第一把手和全体领导班子的支持 才能把安全策略落实在具体工作中 缺乏这样的理解与支持 安全策略的制定将是难以完成的 3 风险分析 开发有效的策略 最重要的是需要分析确定被保护对象对组织的相对与绝对价值 然后才可能在策略描述中设计合适的控制方法 在业务影响分析过程中需要考虑以下关键问题 l需要保护的对象什么 l需要防备什么 受到的威胁有哪些 l这些威胁的可能性有多大 l这些对象被攻击后造成的损失会有多大 l可采取的防范措施有哪些 在成本与时间上是否划算 l如果不遵从策略将怎么办 l对开发出的策略进行定期的重新检查 以确定需求与环境发生了哪些变化 4 会见关键职员 在制定策略过程中需要与技术小组和管理小组成员共同讨论 调查目前使用安全防护方法和习惯做法的信息 这些信息对策略的制定是非常有帮助的 5 制定策略草案 一旦就适用范围达成一致 完成了风险分析 并得到了高层领导的支持 就必须针对重要资产所面临的威胁制定策略草案 6 风险承担者对策略进行评估 这一步对策略的成败非常关键 为了使策略得到有效应用 关键的风险承担者必须对策略中陈述的目标给予支持 通过评估 可以获得策略实施的有益数据 也为策略的完善提供良好的机会 7 策略公布 策略制定完毕后 还需要对策略进行仔细的理解与推敲 采用适当的形式把策略公布于众 广泛宣传与培训 对策略的落实与执行是非常有益的 8 策略的更新 随着技术与业务环境的发展 也随着网络攻击水平的提高 信息安全策略也必须进行实时更新 与时俱进 才能应付对信息的威胁 保证策略跟上技术的进步 根据经验 每年至少对策略进行4次评估和1次更新 6 1 2组织的安全网络结构 简单网络结构带DMZ的网络结构支持VPN的可信网络 在设计网络拓扑结构和配置时以策略为依据 不仅可以使网络能够实现策略的安全要求 而且还可以防止网络安全机制不能满足或者超出策略安全需求的现象发生 前者会使组织的信息安全受到威胁 后者则会产生不必要的浪费 遵照安全策略的要求设计和建设网络还可以达到节省的目的 本小节讨论简单网络 有DMZ的可信网络和支持VPN的可信网络等3种形式的网络结构设计 分别可以满足不同安全需求 一 简单网络结构及其策略 对网络的需求 假定路由器支持访问控制表功能 可以实现包过滤功能 就像cisco3600路由器一样 这种结构网络的安全性 主要取决于路由器中实施的安全策略的完整性 如果服务器内存储了组织的敏感信息 就不能允许来自Internet的对服务器的主动访问 但是 通常需要允许内部人员到Internet中查询并下载资料 因此需要允许从内部网到Internet的访问 此外 还需要允许电子邮件 考虑以下内 外网之间的访问控制策略 l允许由内网主动发起的到外网 Internet 的网络连接 及从该连接上返回的信息流 l允许内外网之间通过电子邮件的信息交换 l不允许任何来自外网主动发起的到内网的网络连接 l拒绝来自外部恶意站点的任何信息流 l不允许内部网站访问Internet中的一些已知恶意站点 l阻止来自外部的拒绝服攻击报文的进入或扫描探测报文 其中 第一条策略实际上允许从内网到外网的Telnet FTP WWW或某个站点的网络连接及其返回的信息流 第三条策略则拒绝任何来自外网发起的连接 即不允许外部站点对内部网的主动访问 有的路由器可以支持最后一条策略的要求 若不支持 则此条策略需要采用其他机制实现 图5 1中介绍的网络结构是很不安全的 因为路由器只能支持底层的包过滤功能 而包过滤的安全能力是比较弱的 如果策略设计不完善 有漏洞的话 会给入侵者以可乘之机 另外 策略的排列顺序也很重要 因为路由器的过滤原则一般是 明确允许就放行 如果某些本应被过滤的分组 有可能会被某条排列在前面的规则放行 另外 这种网络的安全策略不允许外网对内部网的主动访问行为 不能满足许多组织希望外界更多地了解自己的愿望 二 带DMZ的网络结构及其策略 DMZ网络是黑客横行的Internet与敏感的内部网之间的一个缓冲地带 俗称非军事区 利用DMZ可以用一种比较安全的方式解决组织中部分信息对外开放的问题 在DMZ中安装一台对外服务器 其中存放对外提供服务的信息 为了保证内部网的安全 在D