一文看懂如何实现网络安全工作的五大目标?
网络安全工作五大目标
如图,网络安全工作的五大目标从左到右分别是:
①进不来,②拿不走,③看不懂,④改不了,⑤跑不了。
那在网络安全实际工作中我们如何来实现它呢?下面我们就逐级来看一下:
1.1 进不来
这个是安全工作的第一级目标,也是发生在我们网络的边界的安全工作。这是我们内部网络的大门。要想把好这大门的第一道关,我们先的看看我们网络总共有几道门。
①、网络出口边界
这是我们网络通往互联网的一道大门。我们需要从精彩纷呈的互联网上获取有价值内容,也把我们有价值的内容分享到互联网上。这里是病毒、攻击的的一条高速公路。
要保障这条信息高速公路的安全,我们需要设立一个检查站,这就是我们的防火墙/UTM。防火墙可以设立各种安全策略来阻断非法访问。它工作在TCP/IP网络的的下三层。
l 如果是一般的网络买台防火墙/UTM也就可以了基本实现进不了了;
l 如果稍微重要一点的网络,就可以购买两台组建双机系统,保障防火墙的高可用性;
l 如果是重要网络,那仅仅在TCP/IP网络的下三层防护就显的不太够了,需要在防火墙后面额外配备专业IPS来进行防护(UTM虽然有IPS功能,但没有独立IPS功能完善和处理效率高)。IPS可以通过更加深层次的分析和安全策略来对异常访问或者攻击行为进行阻断。
l 如果是特别重要网络,那就在网络出口边界这里加上IDS设备,它可以帮助你检测出各种网络的安全威胁,联动IPS、防火墙进行阻断访问或者攻击。
l 如果是特别重要的专用网络,那就在网络需要一套网闸设备来对网络做物理隔离,保障内外网的边界安全。
②、主机出口边界
这是人机互动的出口。主机通过显示器、键盘、鼠标以及外设和人们进行互动。这个互动也就带来了安全危险。主要威胁来自USB等外设带来的文件传输、人为访问内部网络及设备。这算是内部网络的很多小门。要管好这些小门我们需要通过如下安全产品来实现:
l 终端安全:我们需要部署一套终端安全管理系统来对终端进行安全管控,至少包括“防病毒、终端准入”产品。防病毒大家都知道可以避免病毒感染,终端准入可以有强制的安全基线,对不安全的终端强制隔离。
l 终端内部访问:终端访问内部服务器或其他IT资产,对于服务器来说默认是可信的。这里我们就需要对网络进行分区域,不同安全区域之间部署区域防火墙,强制将安全要求不同的区域隔离开。
l 终端外部访问:终端随意访问不健康的互联网资源,有很大可能会碰上钓鱼网站,木马、病毒。所以这里,我们需要上一台上网行为管理来对内部终端进行管控。
l 运维安全:运维是人对IT资产管理的必要交互。如果运维人员进行攻击破坏后果不堪设想,所以这里我们需要上一套堡垒机来进行运维安全管控。
1.2 拿不走
拿不走是对进不来的第二级防护工作目标。也就是说黑客你逃过了第一道门,第二道保护就是让你进来了啥也拿不走。这一块主要是对我们信息系统的数字资产的防护。主要是对数据库、重要文件等重要信息的保护。要做好这一级的防护,得从黑客攻击的手段来考量,这样才能做到知己知彼,百战不殆。
黑客获取数据主要是几个渠道,一是通过在网络上监听获取。二是攻击进入到内部直接拿走数据或者通过自己编写的自动程序将数据传输出去。那我们防护工作就需要有针对性的产品来解决。
①加密传输
这是对付网络监听的常规办法。我们可以通过VPN设备来加密我们分支机构或者在外办公的同事连回公司的网络连接。可以通过SSL加密技术让我们网站对外采用HTTPS访问。网络运维全部采用加密的SSH、SFTP等来进行。
SSL VPN访问示意图
②权限管控
为了防止数据被非法复制走,必须对本地数据库、重要文件等进行严格的权限管控。能不给复制的权限就不给复制的权限。而且对权限管理细粒度足够细,控制足够严。
③防止黑客程序
为了防止黑客在机器上放木马等黑客程序,这就需要部署防病毒软件或者网络防病毒设备来解决。
④防止内部人员拿走
这需要用一套数据防泄密系统。可以严格限制内部人员拷贝数据发送数据。甚至截屏、拍照 都可以通过水印来事后追踪。
注意:这一级保护对于DDOS攻击无效。因为DDOS攻击是为了瘫痪业务,不是要数据。DDOS必须在进不来工作中就挡住。
1.3 看不懂
看不懂属于第三级安全防护工作目标。对于数据万一被黑客看到,我们需要做到就算被看到,他们也看不懂。这里需要用到数据加密技术来解决,技术原理上主要有对称加密、非对称加密、数字证书等。解决方案产品有:
①数据库加密
数据库的数据统一存储在数据库程序的表空间里。为了让黑客们看不懂,我们必须采用数据库加密系统对数据库中的敏感字段加密、索引加密。最后对秘钥进行安全管理。
数据库加密示意图
②文档加密
文档加密系统可以对文档的整个生命周期进行管理,对重要文档进行加密,加密分享。
文档加密示意图
1.4 改不了
改不了是第四级安全防护工作目标。黑客看到了数据它也不改不了。技术上,这里需要用到防篡改解决方案。防篡改工作原理一般是:实时监控篡改企图--阻断篡改—从备份读取标准文件覆盖掉被篡改的文件。防篡改监测内容通常有进程、文件、注册表、等等。场景通常涉及到网页防篡改、网站防篡改、服务器防篡改。这些都只需要一套系统即可解决。
防篡改示意图
1.5 跑不了
跑不了是最后一道防线的安全工作。这也是最低要求,就是当黑客得逞后,我必须有技术手段的记录信息,可以通过记录来追踪到黑客。中国今年来对网络安全高度重视,出台的的《网络安全法》中对网络日志的保存期限已明确要求不低于六个月。那我们要做好这项安全工作可以采用以下产品:
①:自己搭建日志服务器
由日志服务器统一收集所有网络设备的日志。采集方式可以通过SNMP Trap、WMI、HTTPS都可以。但是日志分析、统计报表恐怕就比较费力了。
日志服务器示意图
②:购买一套日志审计系统
它可以帮助你完成日志采集、日志归集、日志存储,日志分析告警等等功能。还有非常完善的报表系统给你展示当前的网络设备运行情况。采集方式基本也都相同。日志分析策略还可以定制一些攻击模型策略,可以帮助你通过日志尽快发现攻击。
日志审计示意图
③:购买一套日志大数据产品
日志大数据是结合了日志采集和大数据分析,非常适合日志数据量庞大的单位。通过大数据分析可以在大量的日志中帮你做趋势分析,做前瞻性决策。
日志大数据示意图
结束语
综上,在这些年中国在网络安全方面非常重视。不仅出台了《网络安全法》对网络安全作了法律上的规定。还每年组织护网行动,采用攻防对抗来提升单位的网络安全能力。等保2.0也在近期推出,对等级保护安全的要求又扩展了很多。
但是,实际网络安全工作目标都是这五大目标,大家可以结合法律法规指导文件将网络安全工作做得更好。