IDC 网络与系统安全部分设计方案
日期:2007-08-17 荐:
1 吉通上海 IDC网络安全功能需求
1.1 吉通上海公司对于网络安全和系统可靠性的总体设想
(1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。
网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。
对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。
网络安全应包含:数据安全;
预防病毒;
网络安全层;
操作系统安全;
安全系统等;
(2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面:
l 对路由器、服务器等的配置要求充分考虑安全因素
l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。
l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。
l 制定对黑客入侵的防范策略。
l 对不同的业务设立不同的安全级别。
(3)卖方可提出自己建议的网络安全方案。
1.2 整体需求
l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。
l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。
l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。
l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。
l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。
l 所有安全产品要求界面友好,易于安装,配置和管理,并有详尽的技术文档。
l 所有安全产品要求自身高度安全性和稳定性。
l 安全产品要求功能模块配置灵活,并具有良好的可扩展性。
1.3 防火墙部分的功能需求
l 网络特性:防火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太 网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数:软、硬件防火墙应能提供至少4个端口。
l 服务器平台:软件防火墙所运行的操作系统平台应包括Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可选)。
l 加密特性:应提供加密功能,最好为基于硬件的加密。
l 认证类型:应具有一个或多个认证方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、数字证书等。
l 访问控制:包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突;在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持;支持网络地址转换(NAT)。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
l 防御功能:支持病毒扫描,提供内容过滤,能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。
l 安全特性:支持转发和跟踪ICMP协议(ICMP 代理);提供入侵实时警告;提供实时入侵防范;识别/记录/防止企图进行IP地址欺骗。
l 管理功能:支持本地管理、远程管理和集中管理;支持SNMP监视和配置;负载均衡特性;支持容错技术,如双机热备份、故障恢复,双电源备份等。
l 记录和报表功能:防火墙应该提供日志信息管理和存储方法;防火墙应具有日志的自动分析和扫描功能;防火墙应提供告警机制,在检测到入侵网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail、呼机、手机等;提供简要报表(按照用户ID或IP 地址提供报表分类打印); 提供实时统计。
2 惠普公司在吉通上海IDC中的网络安全管理的设计思想
2.1 网络信息安全设计宗旨
惠普公司在为客户IDC项目的信息安全提供建设和服务的宗旨可以表述为:
l 依据最新、最先进的国际信息安全标准
l 采用国际上最先进的安全技术和安全产品
l 参照国际标准ISO9000系列质量保证体系来规范惠普公司提供的信息安全产品和服务
l 严格遵守中华人民共和国相关的法律和法规
2.2 网络信息安全的目标
网络安全的最终目标是保护网络上信息资源的安全,信息安全具有以下特征:
l 保密性:确保只有经过授权的人才能访问信息;
l 完整性:保护信息和信息的处理方法准确而完整;
l 可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。
2.3 网络信息安全要素
惠普公司的信息安全理念突出地表现在三个方面--安全策略、管理和技术。
l 安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信 息安全的最核心问题,是整个信息安全建设的依据;
l 安全管理--主要是人员、组织和流程的管理,是实现信息安全的落实手段;
l 安全技术--包含工具、产品和服务等,是实现信息安全的有力保证。
根据上述三个方面,惠普公司可以为客户提供的信息安全完全解决方案不仅仅包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
2.4 网络信息安全标准与规范
在安全方案设计过程和方案的实施中,惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括:
l ISO/IEC 17799 Information technology–Code of practice for information security management
l ISO/IEC 13335 Information technology– Guidelines for The Management of IT Security
l ISO/IEC 15408 Information technology– Security techniques – Evaluation criteria for IT security
l 我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。
2.5 网络信息安全周期
任何网络的安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是惠普公司倡导的网络信息安全周期。
l 风险评估管理:对企业网络中的资产、威胁、漏洞等内容进行评估,获取安全风险的客观数据;
l 安全策略:指导企业进行安全行为的规范,明确信息安全的尺度;
l 方案设计:参照风险评估结果,依据安全策略及网络实际的业务状况,进行安全方案设计;
l 安全要素实施:包括方案设计中的安全产品及安全服务各项要素的有效执行。
l 安全管理与维护:按照安全策略以及安全方案进行日常的安全管理与维护,包括变更管理、事件管理、风险管理和配置管理。
l 安全意识培养:帮助企业培训员工树立必要的安全观念。
3 吉通上海IDC信息系统安全产品解决方案
3.1 层次性安全需求分析和设计
网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展开,分析吉通IDC各个层次可能存在的安全漏洞和安全风险,并提出解决方案。
3.2 层次模型描述
针对吉通IDC的情况,结合《吉通上海IDC技术需求书》的要求,惠普公司把吉通上海IDC的信息系统安全划分为六个层次,环境和硬件、网络层、操作系统、数据库层、应用层及操作层。
3.2.1 环境和硬件
为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。
3.2.2 网络层安全
3.2.2.1安全的网络拓扑结构
网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。在对吉通IDC网络设计时,惠普公司已经考虑了网段的划分的安全性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的服务和客户的具体要求做出最终设计。
3.2.2.2 网络扫描技术
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。
解决方案:ISS网络扫描器Internet Scanner
配置方法:在上海IDC中使用一台高配置的笔记本电脑安装Internet Scanner,定期对本IDC进行全面的网络安全评估, 包括所有重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照安全策略的要求。
ISS网络扫描器Internet Scanner是全球网络安全市场的顶尖产品。它通过对网络安全弱 点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。网络扫描仪对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高,中,低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
该产品的时间策略是定时操作,扫描对象是整个网络。它可在一台单机上对已知的网络安全漏洞进行扫描。截止Internet Scanner6.01版本,Internet Scanner已能对900 种以上 的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞,其扫描对网络不会做任何修改和造成任何危害。
Internet Scanner每次扫描的结果可生成详细报告,报告对扫描到的漏洞按高、中、低三 个风险级别分类,每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置,填补漏洞。
可检测漏洞分类表:
2.2.2.3 防火墙技术
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:
· 禁止外部用户进入内部网络,访问内部机器;
· 保证外部用户可以且只能访问到某些指定的公开信息;
· 限制内部用户只能访问到某些特定的Internet资源,如WWW服务、FTP服务、 TELNET服务等;
解决方案:CheckPoint Firewall-1防火墙和Cisco PIX防火墙
防火墙除了部署在IDC的私有网(即网管网段等由IDC负责日常维护的网络部分)以外,还可以根据不同的用户的需求进行防火墙的部署,我们建议对于独享主机和共享主机都进行防火墙的配置,而对于托管的主机可以根据用户的实际情况提供防火墙服务。
无论是虚拟主机还是托管主机,IDC都需要为这些用户提供不同程度的远程维护手段,因此我们也可以采用VPN的技术手段来保证远程维护的安全性,VPN同时也可以满足IDC为某些企业提供远程移动用户和合作企业之间的安全访问的需求。
根据吉通上海IDC的安全要求以及安全产品的配置原则,我们建议使用的产品包括Cisco PIX和CheckPoint Firewall-1在内的两种防火墙,其中:
l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低的网站托管区和主机托管区;
l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高的IDC维护网段。
这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品,并在今年4月刚刚结束的安全产品的年度评比中,并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall-1进行说明。
Checkpoint公司是一家专门从事网络安全产品开发的公司,是软件防火墙领域的佼佼者,其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一(52%),在亚太 地区甚至高达百分之七十以上,远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。
CheckPoint Firewall-1 是一个综合的、模块化的安全套件,它是一个基于策略的解决方 案,提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全的策略,跨越Unix、 NT、路由器、交换机和其他外围设备,提供大量的API,有150多个解决方案和OEM厂商的 支持。CP Firewall-1 由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些 组件即可以运行在单机上,也可以部署在跨平台系统上。其中,控制组件包括Firewall-1 管理服务器和图形化的客户端;加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块;可选组件包括Firewall-1 Encryption Module(主要用于保护VPN)、Firewall-1 Connect Control Module(执行服务器负载平衡)Router Security Module (管理路由器 访问控制列表)。
Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行,而不是在应用程序层, 这样可以使系统达到最高性能的扩展和升级。此外Checkpoint Firewall-1 支持基于Web 的多媒体和基于UDP的应用程序,并采用多重验证模板和方法,使网络管理员容易验证客户端、会话和用户对网络的访问。
CHECKPOINT防火墙功能要求:
1) 支持透明接入和透明连接,不影响原有网络设计和配置:
Check Point FireWall-1是一款软件防火墙,是安装在现有的网关或服务器计算机上,对接入和连接都是透明的,不会影响原有网络设计和配置。
2) 带有DMZ的连接方式:
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
Check Point FireWall-1可以支持多个网络接口,所以客户可以很容易的按照需要设置DMZ分区。
3) 支持本地和远程管理两种管理方式:
Check Point FireWall-1中的Enterprise Management Console模块功能十分强 大,支持本地和远程两种管理方式,减轻了网络管理员对网络的管理负担。
4) 支持命令行和GUI方式的管理与配置:
Check Point FireWall-1中的管理控制台支持命令行和GUI方式的管理与配置; 可以在Windows 95/98/NT上安装Windows GUI界面,在Unix操作系统下可以安装 Motif GUI图形用户界面进行管理与配置。
5) 对分布式的防火墙支持集中统一状态管理:
Check Point FireWall-1中的管理控制台支持对分布式防火墙的集中统一状态 管理。它可以同时管理多个防火墙模块。
6) 规则测试功能,支持规则一致性测试:
Check Point FireWall-1中的策略编辑器中有一命令,可以对已经配置好的规则 进行测试,可以检测其一致性。
7) 透明代理功能:
Check Point FireWall-1支持代理功能,而且功能强大,可以支持本身自带的预 定义 的超过150多种的常用协议。
8) 地址转换功能,支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换:
Check Point FireWall-1支持NAT地址转换功能,支持Static Mode(静态转换)和 Hide Mode(动态转换) 两种方式;目前不支持IP地址与TCP/UDP端口的转换。
9) 访问控制,包括对HTTP、FTP、SMTP、TELNET、NNTP等服务类型的访问控制;
Check Point FireWall-1可以通过制定策略来进行访问控制,可以支持超过150 多种的常用协议,并可以自定义各种不常用的协议。
10) 用户级权限控制:
Check Point FireWall-1可以指定用户对象,在其属性中有各种认证方式可供选 择,加强了用户级的权限控制。
11) 防止IP地址欺骗功能:
Check Point FireWall-1提供了防止IP地址欺骗的功能,可以在设定防火墙网关 的网卡属性时激活该功能。
12) 包过滤,支持IP层以上的所有数据包的过滤:
Check Point FireWall-1中的对象以IP地址或TCP/UDP端口号来识别,所以可以 对IP层以上的所有数据包进行过滤。
13) 信息过滤,包括HTTP、FTP、SMTP、NNTP等协议的信息过滤:
Check Point FireWall-1可以通过OPSEC接口,与第三方厂商的软件或硬件产品无 缝结合起来对HTTP、FTP、SMTP等协议进行信息过滤。
14) 地址绑定功能,实现MAC地址与固定IP地址的绑定,防止IP地址盗用:
Check Point FireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是 可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。
15) 抗攻击性要求,包括对防火墙本身和受保护网段的攻击抵抗:
防火墙本身的抗攻击能力与其所运行的操作系统的安全级别有关。操作系统的安全级别越高,防火墙本身的抗攻击的能力也越高。
16) 审计日志功能,支持对日志的统计分析功能:
Check Point FireWall-1中自带有日志功能,可以对符合预定规则的网络流量事先规定的方式进行记录;在Check Point FireWall-1 4.1产品中带有Reporting Module,可以对日志进行分析统计。
17) 实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式(声光告警、EMAIL告警、日志告警等)以及多种级别的告警:
Check Point FireWall-1的策略中有报警功能,其中包括了E-mail告警,日志告警等多种告警方式。
CheckPoint防火墙技术性能指标:
1) 时延:在每个包大小平均为512字节的情况下,在3DES加密方式下Unix的时延是 1.8msec,NT是1.2msec;在DES加密下Unix的时延是1.3msec,NT是1msec。
2) 吞吐量:在没有数据加密情况下,不同的操作系统可以分别达到152M~246Mbps;在数据加密情况下,可以达到约55Mbps。
3) 最小规则数:
在防火墙概念中无此提法。按照我们的理解,此概念如果是指策略中的规则数的话,则无限制。
4) 包转发率:10~15Mbps。
5) 最大位转发率:在防火墙概念中无此提法。按照我们的理解,此概念类似吞吐量。
6) 并发连接数:理论上没有限制。
Firewall-1防火墙是一种应用级防火墙,它的监测模块能监测和分析网络通信所有七层协议的内容。
实际上路由器本身就可以实现包过滤防火墙的功能,对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一致,并承担包过滤检查的功能。
因为防火墙在核心网上起着安全管理的“警察”的重要作用,它的可靠性往往代表着整个网络的可靠性。如果一台防火墙发生故障,那么所有经过它的网络连接都中断了,防火墙就成为一个“单点故障”,这在一个及其关键的网络环境中是不允许的。
建议方案:
Checkpoint FireWall-1 防火墙产品可以通过两台防火墙之间建立主备份 关系而大大增加防火墙的可靠性。Checkpoint FireWall-1是基于先进的“状态检测”(Stateful Inspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息,以得到每个连接的状态。这些状态存放在一个动态的状态表中,并随着数据的传输而刷新。要在两台防火墙之间切换,必须在这两台防火墙之间共享这些状态信息,以保证切换时最大可能地保留已建立的连接。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
利用Qualix Group的QualixHA+ Module for FireWall-1软件可以很好地做到这一点。 两台相同配置的FireWall-1防火墙,一台为主防火墙,一台为热 备份防火墙。在热备份防火墙上安装QualixHA+,它能自动地监测主防火墙的状态,并在一旦主防火墙故障时迅速地把主防火墙切换到热备份防火墙上,而不需要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一致,所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址,所以切换后也无需修改路由器的设置。
2.2.2.4 网络实时入侵检测技术
防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时入侵监测技术。监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。
解决方案: ISS网络入侵检测 RealSecure Network Sensor
配置方法:参见“监控和防御”。
ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻 击检测与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
ISS 网络入侵检测RealSecure Network Sensor在检测到网络入侵后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
3.2.3 操作系统层安全
操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。另 一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。
3.2.3.1 系统扫描技术
对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布,及时下载补丁来进行防范,同时要经常对关键数据和文件进行备份和妥善保存,随时留意系统文件的变化。
解决方案: ISS系统扫描器(System Scanner)
配置方法: System Scanner Console可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。在IDC中各重要服务器(网管工作站、数据采集工作站、计费服务器、网站托管服务器等)内安装System Scanner Agent。Console管理各个Agent。定期(时间间隔参照安全策略的要求)对重要服务器进行全面的操作系统安全评估。
ISS系统扫描器(System Scanner) 是基于主机的一种领先的安全评估系统。系统扫描器 通过对内部网络安全弱点的全面分析,协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行预防潜在安全风险的设置。其中包括易猜出的密码,用户权限,文件系统访问权,服务器设置以及其它含有攻击隐患的可疑点。
该产品的时间策略是定时操作,扫描对象是操作系统。System Scanner包括引擎和控制台 两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。
3.2.3.2 系统实时入侵探测技术
为了加强主机的安全,还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件,从中检测出攻击的可疑特征,并给与响应和处理。
解决方案:ISS网络入侵检测 RealSecure OS Sensor以及Server Sensor
配置方法:参见“监控和防御”。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自 主地,实时 地攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上可以切断系统用户进程通信,和做出各种安全反应。
ISS实时系统传感器 (RealSecure OS Sensor)还具有伪装功能,可以将服务器不开放 的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。
3.2.4 数据库层安全
许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:
· 系统认证:口令强度不够,过期帐号,登录攻击等。
· 系统授权:帐号权限,登录时间超时等。
· 系统完整性:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序等。
解决方案:ISS 数据库扫描器(DataBase Scanner)
配置方法:Database Scanner可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。定期对IDC内的数据库服务器软件进行漏洞评估,并将软件生成的漏洞报告分发给数据库管理员,对数据库系统中的安全问题及时修复。扫描的时间间隔请参照安全策略的要求。
该产品可保护存储在数据库管理系统中的数据的安全。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。
ISS 数据库扫描器(DataBase Scanner)是世界上第一个也是目前唯一的一个针对数 据库管理系统风险评估的检测工具。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
该产品可保护存储在数据库管理系统中的数据的安全。目前ISS是唯一提供数据库安全管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。
Database Scanner具有灵活的体系结构,允许客户定制数据库安全策略并强制实施,控制数 据库的安全。用户在统一网络环境可为不同数据库服务器制定相应的安全策略。一旦制定出安全策略,Database Scanner将全面考察数据库,对安全漏洞级别加以度量的控制,并持 续改善数据库的安全状况。
Database Scanner能通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全 面评估所有的安全漏洞和认证、授权、完整性方面的问题。
Database Scanner漏洞检测的主要范围包括:
· 2000年问题--据环境并报告数据和过程中存在的2000年问题。
· 口令,登录和用户--口令长度,检查有登录权限的过去用户,检查用户名的信任度。
· 配置--否具有潜在破坏力的功能被允许,并建议是否需要修改配置,如回信,发信,直接修改,登录认证,一些系统启动时存储的过程,报警和预安排的任务, WEB任务,跟踪标识和不同的网络协议。
· 安装检查--要客户打补丁及补丁的热链接。
· 权限控制--些用户有权限得到存储的过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检查“特洛伊木马”程序的存在。
3.2.5安全管理层(人,组织)
层次系统安全架构的最顶层就是对吉通上海IDC进行操作、维护和使用的内部人员。人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
除按业务划分的组织结构以外,必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。有关具体的安全管理请参照第4节的信息安全策略解决方案。
3.3 监控和防御
3.3.1 入侵检测技术
大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模 式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本节讨论了基于主机和基于网络入侵检测技术的不同之 处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。
3.3.1.1 基于网络的入侵检测:
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:
· 模式、表达式或字节匹配
· 频率或穿越阀值
· 低级事件的相关性
· 规统学意义上的非常规现象检测
一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
3.3.1.2 基于主机的入侵检测:
基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操 作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。
现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提 高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。
基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。
3.3.1.3 将基于网络和基于主机的入侵检测结合起来:
基于网络和基于主机的IDS方案都有各自特有的优点,并且互为补充。因此,下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合,必将大幅度提高网络对攻击和错误使用的抵抗力,使安全策略的实施更加有效,并使设置选项更加灵活。
有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到。
3.3.2 推荐的安全产品—ISS的入侵检测产品RealSecure
ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻击检测 与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
ISS 网络入侵检测(RealSecure Network Sensor)在检测到网络入侵后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地,实时地 攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上切断的用户进程,和做出各种安全反应。
ISS实时服务器传感器 (RealSecure Server Sensor)包括了所有的OS Sensor功能,也具备部分Network Sensor的功能,为灵活的安全配置提供了必要的手段。
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络引 擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
ISS RealSecure是一个完整的,一致的实时入侵监控体系。
ISS Realsecure对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志,并可采 取一定的防御和反入侵措施。它能完全满足《吉通上海IDC技术需求 书》所提要求:
支持统一的管理平台,可实现集中式的安全监控管理.
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络 Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。在吉通IDC项目中可以利用这一特点,实现对各结点的集中监控管理。例如,从上海IDC的RealSecure Workgroup Manager,对其下其它城市的 IDC 进行统一的Sensor监控策略配置,Sensor所发现的安全事件将实时地报告给Manager;对各个Sensor安全特征库的升级也可以从Manager统一分发完成。
图RS-1 RealSecure Workgroup Manager的工作界面
①主菜单和工具栏
②监控安全事件的综合窗口
③按安全级别分成高、中、低三个事件窗口
④列出所有被管理的网络Sensor和系统Sensor
⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口
自动识别类型广泛的攻击:
网络Sensor能够识别以下种类的攻击和误用行为:
系统Sensor能够监控并识别的攻击类型有:
支持按行为特征的入侵检测:
图RS-2 RealSecure Sensor工作过程示意图
如图所示,Realsecure的入侵检测主要是依据用户事先定义的监控策略,将发生的入侵事件与已有的安全事件特征库进行特征匹配,匹配成功,则认为是有威胁事件发生,采取适当的响应动作。
具体分析过程的输入包括:
· 用户或者安全管理人员定义的配置规则;
· 以及作为事件检测的原始数据。对于Network Sensor来讲原始数据是原始网络包; 对于OS Sensor来讲原始数据是操作系统日志项。
具体分析过程的输出包括:
· 系统发起的对安全事件的响应过程;
· 监控器在收到数据后,将数据和特征库进行对比,如果匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce研究开发小组,而且是目前业界最全面的攻击特征数据库。另外,Network Sensor和System Sensor都支持用户自定义特征。
· Network Sensor检测过程--安装Realsecure Network Sensor主机的网络适配卡连接 到被监控的网段上。Realsecure将网络适配卡设成promiscuous模式,可收到本地网段上的所有数据流。当一个包符合了当前有效的过滤规则时,会被解码并进行攻击特征识别分析。每个活动的过程都被保持和跟踪,这样跨越了许多包的攻击特征就可以被检测出来。因此,当一个“感兴趣事件”被检测到时,Realsecure会采取合适的动作。
· OS Sensor检测过程--RealSecure OS Sensor在被保护服务器上运行一个进程。每当 操作系统产生一个新的日志记录项,操作系统会向OS Sensor发出中断。OS Sensor读取新的日志记录项,与监控特征进行对比,如果匹配会发起适当的响应。由一些特征会涉及多个日志记录项,因此OS Sensor会同时维护和监控 一些用 户活动流的状态。
提供对特定网段的实时保护,支持高速交换网络的监控:
对重要网段的保护,如公共服务器群,为了避免来自网络其它边界的入侵,需要在该子网的入口处安装Realsecure Network Sensor,并在各个服务器内配置Realsecure OS Sensor, 由集中的Realsecure Workgroup Manager统一管理。
能够在检测到入侵事件时,自动执行预定义的动作,包括切断服务、重起服务进程,记录入侵过程信息等:
1. 当一个攻击或事件被检测到,RealSecure可以做出以下几种响应:
· 自动终止攻击
· 终止用户连接
· 禁止用户账号
· 重新配置Check Point™ Firewall-1®防火墙阻塞攻击的源地址
· 向管理控制台发出警告指出事件的发生
· 向网络管理平台(off-the-shelf)发出SNMP trap
· 记录事件的日志,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据。
· 实时观看事件中的原始记录(或者记录下来过后再回放)
· 向安全管理人员发出提示性的电子邮件
· 执行一个用户自定义程序
2. 可以为RealSecure OS Sensor自定义一些特征。OS Sensor允许用户指定一个关键字或正 则表达式,在发现操作系统日志文件项对应特征时,会做出相应的响应。
3. 用户可以为RealSecure Network Sensor自定义连接事件。一个连接事件可以定义为基于 IP的连接,可以对下面信息进行匹配:
· 协议
· 源IP地址
· 目的IP地址
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
· 源端口
· 目的端口
4. 一些RealSecure预定以攻击特征可以根据网络的具体情况进行参数调整。比如,有些网络中PointCast下载会引发SYN Flood特征,此时可以通过调整SYN Flood的阀值来 减少误报。
5. 用户可以定义RealSecure Network Sensor过滤规则来忽略某些类型的数据流。可以 通过指定协议、源IP地址、目的IP地址、源端口、目的端口定义忽略的数据流。对于规则匹配的数据流不进行预定义或用户定义特征分析。通过这种方式,可以将 RealSecure配置得更适合用户的网络。
6. 最后,用户可以建立自己的响应选项。任何可以从命令行发起的动作(如:可执行程序、批处理文件、Shell Script等),都可以作为RealSecure Network Sensor或者OS Sensor对攻击的响应。
支持集中的攻击特征和攻击取证数据库管理:
Realsecure真正实现集中管理,也体现在对攻击特征和攻击事件的数据库管理。
· Realsecure Workgroup Manager运行在MS NT或Win2000平台上,在默认情况下, 其管理数据库格式为MS Access文件格式。Realsecure的数据库接口支持标准的 ODBC,因此可以灵活选择其后台管理数据库类型。
· 在Realsecure的管理数据库中,有一组数据库表格式,分别用于记录所有最新版本能够识别的攻击特征,及从各个远程的Sensor汇总来的攻击事件的记录。
支持攻击特征信息的集中式发布和攻击取证信息的分布式上载:
Realsecure中包含升级组件X-press Updates,利用这一组件,可以从Workgroup Manager集中 分发攻击特征信息。当分布在网络中的各个Sensor监控到攻击事件时,依据Sensor的策略定制,Sensor将执行一系列的动作,包括实时在Workgroup Manager的屏幕上显示,并执行切 断连接或重新配置防火墙等动作,为了方便管理员查询并记录犯罪证据,Sensor必须将监控的事件记录到日志中。在Workgroup Manager可以采取手工干预或自动两种方式对Sensor 的日志进行上载和汇总。上传后的日志将统一以数据库形式保存。
提供对监视引擎和检测特征的定期更新服务,更新方式可有多种,包括厂家的直接服务和联网更新操作:
ISS拥有实力雄后的X-Force小组,该小组专门研究和发现新的攻击手段,是业界独一无二 的安全小组。作为入侵检测产品,其Sensor和攻击特征库的升级能力直接反映了产品的功 能,而ISS的系列安全产品包括Realsecure的升级速度都是其它厂商无法比拟的。ISS承诺对 用户的升级服务,详见ISS服务承诺。从产品本身提供的功能看,Realsecure中提供了 X-press Updates,利用这一组件,可以直接从ISS站点下载升级包,并可以从Workgroup Manager集中分发攻击特征信息至所管理的每个Sensor。
网络访问控制:
Realsecure的主要功能用于对恶意入侵事件和误用行为的监控报警。可以根据实际需要,对Sensor进行策略配置,用于特殊的网络访问控制。如可以用Network Sensor对办公环境员工 上网浏览Web页面进行限制;可以对某个重要的服务器进行特殊保护,限制某个地址或某个范围的地址段对该服务器指定端口的访问;通过对E-mail主题或内容的特殊 字符串的监 控,限制某些E-mail的非法传送等等。
可疑网络活动的检测,对带有ActiveX、 Java、javascript、VBScript的WEB页面、电子邮 件的附件、带宏的Office文档中的一些可以执行的程序(包括通过SSL协议或者加密传输的可疑目标)进行检测,隔离未知应用,建立安全资源区域:
Realsecure Network Sensor除了对恶意的入侵行为进行识别以外,还能够对可疑的不安全事 件报警和阻止,包括对带有ActiveX、Java、JavaScript、VBScript的WEB页面,可疑的Arp事件,IP地址复用事件等报警。
支持与防火墙的配合监控:
Realsecure与防火墙功能互补:适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为提供一些级别的获取权的通道可能被伪装的攻击者利用。防火墙不能制止这种类型的攻击,RealSecure却能够制止。RealSecure对防火墙后面的网络的信息流监控,能够检测到并终止获取权限的企图。
另外防火墙的错误配置也有可能发生。尽管防火墙的错误配置能够迅速更正,网络内有了RealSecure则能捕获许多溜进来的未预料的信息。即便不选择切断这些连接,RealSecure所发出的警告的数量仍能迅速表明防火墙没有起到作用。
· Realsecure与CheckPoint协同工作:CheckPoint公司通过它提供的OPSEC(Open Platform For Secure Enterprise Connectivity,安全企业连通性开放平台)向第三方提供API,使得 其它厂商可以使用这些API开发能集成到FW-1防火墙中的产品。由于ISS是CheckPoint 的OEM厂商,所以Realsecure能够对FW-1进行安全操作。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
· Realsecure重新配置 FW-1有两种响应方式:冻结指定的时间长度 和 完全关闭。每种 响应方式根据需要又细分四种模式:针对源地址操作,针对目的地址操作,针对源和目的同时操作,针对服务操作。
RealSecure Network Sensor可以完全透明:
RealSecure network Sensor可以配置为完全透明的方式。一个RealSecure Network Sensor可以 采用Out-of-band方式和管理控制台进行通讯。这种情况需要配置两块网络适配卡:一块 网络适配卡用来监控本地网段,另一块用来和控制台通信。由于这种方式使得RealSecure Network Sensor采用了专门的通信通道和控制台通信,会大大加强RealSecure的安全性。
另外,用来监控本地网段的网络适配卡并不需要一个协议栈。因此,RealSecure Network Sensor并不需要一个外部可见的IP地址或者外部可见的IP服务。这样RealSecure Network Sensor可以做到从被监控网络上不可见。
当然,RealSecure Network Sensor需要TCP/IP协议与管理控制台通讯。因此,与管理控制台 通讯的接口卡需要IP地址。
Realsecure OS Sensor可疑连接监控:
一个攻击者首先会刺探主机提供了什么服务。“可疑连接监控”使得一个没有服务的端口看起来是活动的,这样入侵者可能会误以为系统开启了某种服务,在刺探中浪费时间而一无所获。这个功能对防范一些自动攻击工具十分有效。
对不存在服务的连接企图或者是一个错误,或者是故意的攻击。OS Sensor将这些 连接作为入侵检测判断的数据。持续的对不存在服务的连接企图会产生高风险报警。
安全管理人员可以对这种连接企图设置响应提示。可以设置为法律警告指出入侵是非法 的,或者可以设置成欺骗性连接提示(比如,登录提示)。
可疑连接监控的功能能延长攻击者发现可攻击端口的时间,为防护者抓住他争取更多的时间。
支持HP OpenView的RealSecure管理器
支持HP OpenView的RealSecure管理器为使用HP OpenView网络结点管理器的网络管理员提 供实时入侵检测。支持HP OpenView的RealSecure管理器提供完全的RealSecure 可适应性网 络安全功能,包括:
主导市场的入侵检测和响应--支持HP OpenView的RealSecure管理器在OpenView网络管理 框 架中提供对企业网中可疑行为的实时监控,如企业网络外部和内部的攻击或内部滥用。
实时警报管理--网络安全行为的连续显示,完整清晰的知识控制,RealSecure对事件响 应的在线帮助,以及对事件的详细信息,包括源和目的、端口、风险级别和其它的信息。
统一的数据管理--入侵事件和RealSecure引擎状态被记录在OpenView 的事件浏览器中。 OpenView地图反映了实时的攻击。颜色编码的符号反映出被攻击结点的攻击名称、级别、每一个攻击进行的次数。
集中配置--RealSecure引擎的配置和策略能够通过OpenView的主控台配置和修改。
安全的通信--OpenView和RealSecure之间控制信息的传输是完全安全的。控制功能有认 证、校验和加密,加密算法使用RSA、Certicom Elliptical Curve、或用户自己选择的算法。
管理功能
· 引擎控制:启动、停止、暂停、重新启动、ping连接
· 实时警报管理:接收、延续、统一、清除
· 对事件响应的详在线帮助
· 编辑RealSecure引擎的配置
· 发送和接收配置到远程RealSecure引擎
· 上传和/或清除RealSecure引擎数据库
· 启动ISS RealSecure管理器
3.3.3 配置方法
Realsecure是一个真正的集中管理的入侵检测系统。它由一个或多个(可选)管理控制台,即Workgroup Manager,统一、集中管理分布在网络中的Sensor。建议在吉通上海IDC安装一套Workgroup Manager,用于对不同的传感器。
RealSecure运行在交换式网络中,有以下三个解决方案:
· RealSecure Network Sensor连接在这个点上。这样就可以防护来自Internet的攻击,而不处理网络的其它部分。
· 另外,还可以使用交换机的管理端口甚至一个VLAN。一些交换机(比如,Cisco Catalyst)有一个管理端口(有时称为span端口)可以镜像一个或多个指定端口的数据流。可以将RealSecure Network Sensor配置在这样的管理端口上,通过镜像 的方式获得多个端口的数据流。如果交换机的一个端口里连接Internet路由器,则可以镜像连接路由器的这个端口。如果交换机连接多台重要内联网服务器,则可以镜像连接服务器的这几个端口。现在,已经有很多交换机支持这种功能。
· 使用RealSecure OS Sensor--由于OS Sensor是基于主机的工作方式,因此完全不会受到交换方式的影响。在连接交换环境的服务器上安装OS Sensor,对每个服务器进行保护。OS Sensor特别适合于安全需求高的服务器,与Network Sensor配合使用,需要配置的服务器包括网管工作站、数据采集工作站、计费服务器等。
· 使用RealSecure Server Sensor--由于Server Sensor是基于主机的工作方式,因此完全不会受到交换方式的影响。又由于Server Sensor具备了部分Network Sensor的功能,因此特别适合于网络流量大的相对独立的服务器上,例如网站托管主机上。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
标签: