在近期通過的“十三五”規劃建議中,曾六次提到網絡安全,賦予其成為“中國制造2025”、建設網絡強國、推進“網際網路+”等國家安全基石的重大使命。目前,我國已成為全球最大的網絡市場,中國網際網路絡資訊中心報告指出,到2015年6月底,我國網際網路普及率為48.8%,網民總數達6.68億。随着網際網路的普及,以拒絕服務攻擊(ddos)、竊取公民個人資訊、網頁篡改、網絡釣魚、惡意程式、惡意移動應用程式(app)、資訊非授權通路等為代表的威脅網絡安全的行為呈快速增長趨勢。例如:cncert抽樣監測發現,2015年1月至5月1gb以上ddos攻擊事件日均1300起,較2014年同比增長37起;2015年6月16日至30日,1gb以上ddos攻擊事件26903餘起,日均1793起;2014年針對我國境内網站的仿冒頁面(url)99409個,較2013年增長2.3倍,涉及ip位址6844個,較2013年增長61.4%;2014年我國境内被篡改的網站36969個,主要表現為顯示篡改網頁内容、植入黑鍊,較2013年增長54%;2015年6月16日至30日期間被篡改網站7660個。
政府網站也成為黑客頻頻光顧的地方。最近,在南京市某政府網絡安全資訊監測平台對全市284家政府網站監測中,全年共掃描1266次,存在安全問題1317個,存在資訊洩漏漏洞的網站共計139個,其中跨站腳本漏洞數量為355個,sql注入漏洞數量為327個,連結注入漏洞數量為158個,遠端指令執行s2-106漏洞數量為92個等。
資訊系統安全隐患不僅僅如上述所列出的攻擊事件、系統漏洞等外部因素,其自身的網絡結構合理性、裝置可靠性、管理易用性、制度全面性等内部因素也往往是資訊系統安全和穩定的關鍵。
“我們是一家資訊安全行業企業。在這個行業裡,"專業"不僅是本行的最基本要求,更需要通過"創新"來為客戶實作全面的資訊化,建立一個可用、可信、安全、和諧的虛拟網絡世界而不懈追求。”江蘇資訊安全行業内的知名企業——江蘇國瑞信安科技有限公司(以下簡稱國瑞信安)技術總監“網絡司令”說。據介紹,該公司成立于2005年,公司主營業務為高新技術研制與開發、計算機應用軟體及系統內建、資訊安全系統內建與服務、涉密系統內建與咨詢服務等。緻力于為黨政機關、軍隊軍工、科研教育、金融證券等使用者提供全面的資訊化建設、安全服務解決方案,持續提供具有核心競争力的自主創新品牌greesec、greeinfo等系列産品。
安全服務案例
2014年,國瑞信安公司針對省某黨政機關行業的“政務資訊平台”系統進行“風險和隐患”檢測。政府機關機關一般會有多套網絡,有政務内網、網際網路、業務專網。其中政務内網承載着涉及國家敏感的資料,與其他網絡系統進行嚴格的控制和實體隔離,并在國家保密行政工作部門的指導下,按照國家相關的保密标準、規定和要求進行安全防護,該網已有一套成熟和成型的防護體系。國瑞信安對該機關的“政務資訊平台”系統進行安全風險評估時,采用訪談、書面調查、操作檢查、裝置安全檢測等方式,安排實體安全、網絡和主機、應用和資料、管理和制度等四個評估組進行摸底排查,深入到該機關的網絡系統中,在不影響該機關正常工作的情況下,對其資訊系統進行全面的、深入的檢測。通過多個日夜的連續奮戰,全面掌握了其安全狀況。
2015年,國瑞信安公司針對省某科研教育行業的“資料中心平台”系統進行“風險和隐患”檢測。除關注前面提到的安全問題外,國瑞信安根據其業務特點,需給網際網路使用者提供服務,集中時間段突發流量較大,并且其穩定性、可靠性、響應及時性要求較高,資料的安全性要求也較高等特點,對其資訊系統的拓撲結構進行調查、分析,有針對性地進行網絡裝置、主機裝置、安全裝置等壓力測試、攻擊模拟測試和故障模拟測試,暴露出一些個性的安全隐患。
案例分析
直面風險和隐患,必須全面防護
國瑞信安的售前經理“安全教授”在總結安全風險時談到:“資訊系統的安全風險有其共性的問題,另根據業務特點也有其個性的問題。比較普遍的問題是,資訊系統雖然或多或少做過一些安全防護,但是沒有完整的安全防護體系,尚存在缺漏項、安全防護不到位、隻單純部署硬體裝置不關注政策配置、重技術輕管理等問題,資訊系統的安全防護能力不足,甚至存在不少高風險安全隐患。”
資訊系統的安全防護分為技術部分和管理部分,技術部分主要從實體安全、網絡安全、主機安全、應用安全、資料安全等方面進行分析,管理部分主要從管理機構、制度、人員、安全運維等方面進行分析,技術和管理相結合才能形成完整的安全體系統,技術和管理互為補充、相輔相承,缺一不可。
實體層面安全主要是從外界環境、基礎設施、運作硬體、媒體等方面為資訊系統的安全運作提供基礎的背景支援和保證。包括針對人員威脅的控制要求(如實體通路控制、防盜竊和防破壞、電磁防護等),以及針對自然環境威脅的控制要求(如防火、防水、防雷擊等)。例如防盜門窗的安裝,在2012年啟東事件中,市政府大樓遭到了沖砸,隻有安裝了防盜門的兩間辦公室安然無恙,從這點上也能說明實體安防的對于人員威脅的控制的重要性。機房的防火是必不可少的,并且需要使用氣體滅火劑,才能保證裝置的安全,如果采用泡沫滅火劑或水進行滅火,火災過後裝置基本都會損壞報廢。防火方面也有因為通過機房的管道漏水或者空調排水不暢造成裝置短路,影響資訊系統正常工作的案例。防雷如果做不好,也會因為雷擊,特别是感應雷,造成裝置損壞。
網絡層面安全為資訊系統能夠在安全的網絡環境中運作提供支援,確定網絡系統安全運作,提供有效的網絡服務。由于網絡具有開放等特點,相比其他方面的安全要求,網絡安全更需要注重整體性,既要求從全局安全角度關注網絡整體結構和網絡邊界(網絡邊界包括外部邊界和内部邊界),也需要從局部角度關注網絡裝置自身安全等方面,具體包括結構安全、通路控制、安全審計、邊界完整性檢查、入侵防範、惡意代碼防範、網絡裝置防護等内容。網絡層面安全中通路控制、入侵防範和惡意代碼防範是大家都認可的防護措施。結構安全需結合資訊系統中的業務系統的需求進行個性化的防護,考慮防護的成本,是否需要持續服務的能力,網絡系統能不能中斷,如果網絡系統不能中斷,在結構上就要考慮檢查是否滿足熱備的需求,是否存在單點故障。安全審計方面在安全事件追蹤、追查等方面尤為重要。網絡層面安全中還是檢查安全裝置是否能夠真正起到其設計的安全防護作用,有較多的使用者機關安全裝置的防護政策較為薄弱甚至沒有開啟防護政策,安全裝置形同虛設。
主機層面安全在實體、網絡層面安全的情況下,提供安全的作業系統和安全的資料庫管理系統,以實作作業系統和資料庫管理系統的安全運作。主機是網絡上的單個節點,是以主機安全是分散在各個主機系統上的,不像網絡安全需要考慮安全功能的整體效果。主機安全重點防範伺服器,但是終端計算機的防護也不能忽略。主機安全具體包括身份鑒别、安全标記、通路控制、安全審計、可信路徑、剩餘資訊保護、入侵防範、惡意代碼防範和資源控制等方面。就身份鑒别而言,可以使用賬戶密碼、雙因素認證、生理特征認證等方式,鑒别的強度不同,可以根據資訊系統的重要程度進行檢查,就使用賬戶密碼的方式,密碼會被竊取、暴力破解或者采用欺騙的手段進行騙取,甚至不少使用者将密碼寫下來,放在手邊以免忘記,那基本上起不到身份鑒别的作用,還有就是共用賬戶的現象會造成審計的麻煩,出了安全事件無從查起。在剩餘資訊保護方面一直未引起大家的重視,也基本未做防護,事實上現在使用的存儲媒體,在檔案删除後,甚至格式化磁盤後,尚能進行資料恢複,資料并未真正從媒體上清除掉,這就會存在洩密的隐患,入侵者隻要接觸到該存儲媒體,就可能從中恢複出以前存儲的資料。
應用層面安全在實體、網絡、系統等層面安全的支援下,實作使用者安全需求所确定的安全目标。應用系統是直接面向最終的使用者,為使用者提供需求的資料和處理相關資訊,是以應用系統可以提供更多與資訊保護相關的安全功能,具體包括身份鑒别、安全标記、通路控制、可信路徑、安全審計、剩餘資訊保護、通信完整性、通信保密性、抗抵賴、軟體容錯以及資源控制等。目前應用系統的安全較為薄弱,重點是應用系統的軟體開發人員對安全的認識和了解不夠,應用系統的開發側重于功能的實作,對安全防護采用的技術措施較少,部分應用系統由于開發年限較長,缺少更新維護,對新出現的系統漏洞未采取防護措施;應用系統的安全防護依靠安全裝置進行防護,其系統本身由于較為複雜,修改、維護成本較高,安全設計不到位,不能從根本上進行防護,遺留了衆多的安全隐患。開發的應用系統未經過源代碼的審查,直接上線運作;将應用系統的運維直接交給開發的公司進行運維管理,對運維人員無相關管控措施,這些都是應用系統的安全風險。
在資料和備份恢複層面安全方面,資訊系統所處理的各種資料在維持系統正常運作上起着至關重要的作用。是以,需要全面關注資訊系統中存儲、傳輸、處理等過程的資料的安全性。資料安全及備份恢複的具體包括資料完整性、資料保密性以及備份和恢複等内容。目前資料安全中由于資料在存儲和傳輸過程中完整性和資料保密性實作的成本較高,除較為重要的資料采用相關的防護措施外,其他的資料側重于備份恢複的實作,在備份恢複的過程中,資料丢失的損失難以避免,況且備份的媒體的安全也是一大安全隐患。
安全管理也經常被忽視,或者雖然制定了相關的制度,卻不能夠很好地執行,這讓本就不完善的安全防護雪上加霜。
應對舉措
明确安全防護目标,全面進行防護,建構安全體系
國瑞信安針對以上某黨政機關行業的“政務資訊平台”系統的案例,在經過訪談、檢查和檢測等的風險評估的現場調研後,按照資訊系統在實體安全、網絡安全、主機安全、應用安全、資料安全、資訊安全管理等方面的總體要求,進行科學合理分析,評估資訊系統存在的安全風險,合理确定安全保護等級,在此基礎上,科學規劃設計了一整套安全體系,形成完整的安全建設方案。
針對其機關業務工作特點,結合資訊系統安全防護的國家标準和規定,國瑞信安提出了相應的解決方案,規劃建設該機關完整的安全體系,并考慮到其業務工作的發展,具備一定的先進性。具體方案如下:
在技術方面,首先考慮機房的實體安全,在現有的機房條件下進行改造,使其達到國家标準中規定的b類機房的要求,并強化安防控制,如門禁系統、視訊監控系統、紅外報警系統等,進出機房的人員要求進行登記,機房外來人員的來訪增加申請和審批流程,配置媒體庫或檔案室,專門存放存儲媒體。
在網絡安全方面,首先優化網絡拓撲,進行應用伺服器的整理、歸類,合理劃分安全域,将具有相同的安全需求的應用伺服器部署在同一個安全域中,單獨劃出安全管理的安全域,分别部署相應的安全政策;其次在網絡内部署違規外聯監控措施,對違規外聯行為進行及時有效的監控和阻斷,在相關網絡邊界處采取入侵檢測措施對端口掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、ip碎片攻擊和網絡蠕蟲攻擊等攻擊行為進行監視,在網絡邊界處啟用通路控制功能,控制的粒度細化到端口,對重要網段采用技術手段防止位址欺騙;最後通過技術措施限制網絡及網絡安全裝置的管理者遠端管理位址,網絡裝置的管理者賬戶不同管理者使用不同的賬戶,避免多人共用現象,網絡裝置的管理者賬戶密碼要求符合長度要求、複雜度要求、并定期更換,使用ssh、https等加密協定方式對網絡及安全裝置進行遠端管理。
在主機安全方面,對作業系統和資料庫系統采用usbkey+pin碼的方式對管理使用者增加身份鑒别的安全性;及時更新系統更新檔,關閉多餘的服務;在伺服器安裝主機防惡意代碼軟體;開啟審計功能,審計範圍覆寫到伺服器和重要用戶端上的每個作業系統使用者和資料庫使用者;審計包含系統内重要的安全相關事件;定期生成審計報表,定期備份審計記錄;部署集中監控系統對重要伺服器進行監視,包括監視伺服器的cpu、硬碟、記憶體、網絡等資源的使用情況;系統管理者與資料庫管理者進行權限分離,不同管理者采用不同的賬戶。
在應用安全方面,更新中間件等的系統更新檔,優化業務應用系統,采用強身份鑒别措施,使用https等安全協定,對敏感資訊字段(如密碼)進行加密,細化通路控制粒度,将主體和客體分類到類别,特别重要的系統将主體分類到單個使用者,增加應用系統自身的審計功能,對系統服務水準進行監測,發現達到預警值及時報警。
在資料安全方面,采取技術措施,對系統中重要業務資料的傳輸過程和存儲過程的完整性進行檢查并采取必要的恢複措施,保障系統鑒别資訊和重要業務資料傳輸和存儲的保密性,增加備份系統,并制定備份、恢複政策,制定應急響應的方案,同時定期進行演練,確定發生故障時,能夠按照預定的應急響應方案及時恢複系統的運作。
在安全管理方面,制定并完善資訊安全管理制度體系,對網絡管理者及安全管理者增加備崗,聘請資訊安全專家作為常年的安全顧問,指導資訊安全建設,參與安全規劃和安全評審,定期對安全技術措施的有效性、安全配置與政策的一緻性進行檢查,要求外包軟體開發機關提供軟體源代碼、并審查軟體中可能存在的後門,建立安全管理中心,對裝置狀态、惡意代碼、更新檔更新、安全審計等安全相關事項進行集中管理。
針對省某科研教育行業的“資料中心平台”系統,根據其業務特點,國瑞信安運用先進可靠的資訊安全技術,建設滿足使用者需求的計算機網絡系統的安全體系,保障應用資料的快速、安全、可靠傳送,為各業務系統提供優質的安全運作平台,實作可靠的網絡安全運作保障,着重強化了以下内容:
強化了其資訊系統的區域邊界安全控制能力,通過檢查資料包的源位址、目的位址、傳輸層協定、請求的服務等,确定是否允許該資料包進出該區域邊界,通過對整體網絡架構的合理布局,實作多級的安全通路控制功能,形成多重的縱深防禦體系。不僅可防範各類常見網絡攻擊行為,杜絕越權通路,防止非法攻擊的能力;更可通過對應用層協定的深層檢測與防護,實作對端口掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、ip碎片攻擊等攻擊行為的實時檢測與及時阻斷。
強化了資訊系統的安全監測能力,使其能夠提供對網絡内部或不同網絡區域間的交換流量進行四層以上的安全威脅監測,能夠及時發現安全威脅并進行實時報警,以保障運維團隊能夠快速對網絡内部發生的安全事件進行處理與通報。
強化了資訊系統的可靠性和穩定性,使其能夠實作對網絡邊界兩條鍊路“進、出”方向的負載均衡,并提供本地伺服器叢集負載均衡和容錯,實作各伺服器叢集的流量動态負載均衡,以及互為備援備份,滿足其對于多鍊路及伺服器的負載均衡和備援設計。
強化了資訊系統資料存儲和傳輸的保密性,采用由資料加密、數字證書等技術支援的保密性保護機制,實作資訊系統資料存儲和傳輸保密性保護。
強化了資訊系統的審計能力,使其具備對于主機、應用、網絡行為等多層次的審計能力。審計記錄包括安全事件的主體、客體、時間、類型和結果等内容。能夠提供對審計記錄查詢、分類、分析和存儲保護,確定對特定安全事件進行告警,確定審計記錄不被破壞或非授權通路。
強化了資訊系統的集中管理能力,可提供對網絡系統、目标主機的系統集中管理、安全集中管理與審計管理功能。不但可以協助運維團隊及時通過日志資訊集中收集與分析網絡中潛在的安全風險,并且可以在安全事件發生後,作為運維團隊追溯和驗證安全事件的重要技術手段。
防範建議
搭建萬裡長城,防患于未然
中央網絡安全和資訊化上司小組第一次會議提出,沒有網絡安全就沒有國家安全。網絡安全與人們工作、生活、學習密切相關,存在于日常生活的周邊,網絡安全應該受到重視。
網絡安全無小事,任何一個小的因素都可能導緻整個系統出現安全事件。同時,網絡安全無“大事”,需要做好各方面點點滴滴的小事,防護來自方方面面的安全風險或安全隐患。在網絡安全建設中,國瑞信安的有關專家建議,要根據自身的業務需求,做好總體規劃,把握住資訊系統的安全需求,采取合适的安全防護措施。在實際操作中,遵循相關的國家标準和要求,從技術和管理兩個方面進行設計,特别要注重主機以及應用層面的安全風險與需求分析,包括:身份鑒别、通路控制、系統審計、入侵防範、惡意代碼防範、軟體容錯、資料完整性與保密性、備份與恢複、資源合理控制、剩餘資訊保護、抗抵賴等方面,在明确安全風險和安全隐患的情況下,制定合适的、可行的安全建設方案。特别需要強調的是:網絡安全相關人員的安全防範意識的建立不可忽視。
國瑞信安以其過硬的技術團隊、多年從事資訊安全的豐富的實踐經驗和積累,在一個個沒有硝煙的戰場保衛着資訊網絡的安全。
本文轉自d1net(轉載)
![網絡空間安全中高職業院校職技能大賽——Telnet弱密碼滲透測試[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)