【導(dǎo)讀】信息系統(tǒng)安全解決方案建議書

　　

【正文】 法對(duì)于網(wǎng)絡(luò)中的數(shù)據(jù)包將首先進(jìn)行協(xié)議分析，當(dāng)分析到應(yīng)用層的協(xié)議后，在將協(xié)議的數(shù)據(jù)內(nèi)容 和模式匹配庫中的代碼進(jìn)行比較。這樣的方法可以大大提高匹配的收斂速度，提高性能。 部署類型 基于網(wǎng)絡(luò)的入侵檢測(cè) 安裝基于網(wǎng)絡(luò)入侵檢測(cè)（ NIDS）的主機(jī)的網(wǎng)絡(luò)適配卡連接到被監(jiān)控的網(wǎng)段上。 NIDS 將網(wǎng)絡(luò)適配卡設(shè)成 promiscuous 模式，可收到本地網(wǎng)段上的所有數(shù)據(jù)流。當(dāng)一個(gè)包符合了當(dāng)前有效的過濾規(guī)則時(shí)，會(huì)被解碼并進(jìn)行攻擊特征識(shí)別分析。每個(gè)活動(dòng)的過程都被保持和跟蹤，這樣跨越了許多包的攻擊特征就可以被檢測(cè)出來。因此，當(dāng)一個(gè)“感興趣事件”被檢測(cè)到時(shí)， NIDS會(huì)采取合適的動(dòng)作。 NIDS 如何部署在交換網(wǎng)絡(luò) 中 NIDS 運(yùn)行在交換式網(wǎng)絡(luò)中，有以下三個(gè)解決方案： 策略性地布置 Network Sensor 很多情況下，只要仔細(xì)地分析網(wǎng)絡(luò)的結(jié)構(gòu)和交換器的位置，就可找到好的安全解決方案。比如，如果一個(gè)交換機(jī)的端口與連接 Inter 的路由器相連，那么就應(yīng)當(dāng)在交換機(jī)和路由器之間連接一個(gè)小 HUB，將 NIDS連接在這個(gè)點(diǎn)上。這樣就可以防護(hù)來自 Inter 的攻擊，而不處理網(wǎng)絡(luò)的其它部分。另外，還可以使用交換機(jī)的管理端口甚至一個(gè) VLAN。一些 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 23 交換機(jī)（比如， Cisco Catalyst）有一個(gè)管理端口（有時(shí)稱為 span 端口 ）可以鏡像一個(gè)或多個(gè)指定端口的數(shù)據(jù)流?？梢詫?NIDS 配置在這樣的管理端口上，通過鏡像的方式獲得多個(gè)端口的數(shù)據(jù)流。如果交換機(jī)的一個(gè)端口里連接 Inter 路由器，則可以鏡像連接路由器的這個(gè)端口。如果交換機(jī)連接多臺(tái)重要內(nèi)聯(lián)網(wǎng)服務(wù)器，則可以鏡像連接服務(wù)器的這幾個(gè)端口?，F(xiàn)在，已經(jīng)有很多交換機(jī)支持這種功能。 使用 HIDS 由于 HIDS 是基于主機(jī)的工作方式，因此完全不會(huì)受到交換方式的影響。在連接交換環(huán)境的服務(wù)器上安裝 HIDS，對(duì)每個(gè)服務(wù)器進(jìn)行保護(hù)。將 NIDS、HIDS 結(jié)合使用，會(huì)達(dá)到很好的防護(hù)效果。 直接連接交換器本 身 實(shí)際上，交換機(jī)中已經(jīng)有網(wǎng)絡(luò)上所有端口的數(shù)據(jù)流，因此完全可以將交換機(jī)與入侵檢測(cè)引擎集成。這種集成工作需要與交換機(jī)廠商合作。 基于主機(jī)的入侵檢測(cè) 基于主機(jī)入侵檢測(cè) (HIDS)的操作系統(tǒng)傳感器在被保護(hù)服務(wù)器上運(yùn)行一個(gè)進(jìn)程。每當(dāng)操作系統(tǒng)產(chǎn)生一個(gè)新的日志記錄項(xiàng)，操作系統(tǒng)會(huì)向 HIDS發(fā)出中斷。 HIDS 讀取新的日志記錄項(xiàng)，與監(jiān)控特征進(jìn)行對(duì)比，如果匹配會(huì)發(fā)起適當(dāng)?shù)捻憫?yīng)。由于一些特征會(huì)涉及多個(gè)日志記錄項(xiàng)，因此 HIDS 會(huì)同時(shí)維護(hù)和監(jiān)控一些用戶活動(dòng)流的狀態(tài)。 基于應(yīng)用的入侵檢測(cè) 由于應(yīng)用千變?nèi)f化，因此開發(fā)和購買一個(gè)統(tǒng)一的 基于應(yīng)用的入侵檢測(cè)系統(tǒng)是比較困難的。因此在基于應(yīng)用的入侵檢測(cè)主要有兩個(gè)方面： 一個(gè)方面就是針對(duì)不同的應(yīng)用專門開發(fā)對(duì)應(yīng)的入侵檢測(cè)模塊，可以和該應(yīng)用系統(tǒng)的日志系統(tǒng)結(jié)合起來；另外一個(gè)方面就是開發(fā)比較通用的應(yīng)用的入侵檢測(cè)，比如 Web 應(yīng)用的入侵檢測(cè)。 應(yīng)用系統(tǒng)的一般入侵檢測(cè)方法 對(duì)于一般應(yīng)用系統(tǒng)，建議在應(yīng)用系統(tǒng)的開發(fā)過程中，就考慮安全問題。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 24 包括，訪問控制、日志審計(jì)、加密等等。 可以規(guī)定該應(yīng)用系統(tǒng)的正常訪問行為，并且開發(fā)一個(gè)安全審計(jì)模塊。給模塊包括日志和監(jiān)控方面的功能。在應(yīng)用系統(tǒng)投入運(yùn)行時(shí)，該審計(jì)模塊也同時(shí)啟動(dòng)。 如果 可以將應(yīng)用系統(tǒng)的訪問行為在網(wǎng)絡(luò)層和系統(tǒng)層加以描述，就可以將該應(yīng)用系統(tǒng)的正常行為和異常行為描述給 NIDS 或者 HIDS。這樣這些 IDS就可以幫助應(yīng)用系統(tǒng)進(jìn)行入侵檢測(cè)。 WEB 應(yīng)用的入侵檢測(cè) 對(duì)于像 Web 應(yīng)用這樣的比較通用的應(yīng)用形式，可以總結(jié)出比較通用的入侵檢測(cè)模式。這樣的入侵檢測(cè)系統(tǒng)一般和應(yīng)用的訪問控制系統(tǒng)相結(jié)合使用。比如， Baltimore 的 SelectAccess。 入侵檢測(cè)的動(dòng)態(tài)響應(yīng)機(jī)制 入侵檢測(cè)主要是一個(gè)發(fā)現(xiàn)機(jī)制，這樣一個(gè)發(fā)現(xiàn)機(jī)制要充分和響應(yīng)機(jī)制相配合才能發(fā)揮更大的作用。 目前典型的 IDS 響應(yīng)機(jī)制主要是： NIDS 和防火墻的響應(yīng)。 優(yōu)勢(shì) 這是一個(gè)比較完善的解決方案，能對(duì)信息系統(tǒng)核心網(wǎng)以及核心服務(wù)器集群、對(duì)外連接和數(shù)據(jù)傳送進(jìn)行全面的監(jiān)控，并且對(duì)重要資產(chǎn)都進(jìn)行了較為妥善的保護(hù)，該解決方案具備一定的先進(jìn)性，保護(hù)投資。 不足 NIDS 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)投資較大，會(huì)在網(wǎng)絡(luò)設(shè)備上做一些配合措施。 HIDS 需要在主機(jī)上添加監(jiān)控代理，可能會(huì)引起主機(jī)性能的降低。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 25 推薦意見 采用 NIDS 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)監(jiān)控方案，只需要在相應(yīng)的監(jiān)控端口上設(shè)置PORT MIRROR 進(jìn)行流量鏡像即可， 不需要對(duì)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)和服務(wù)器集群以及業(yè)務(wù)產(chǎn)生影響。 不推薦采用 HIDS 方案，由于 HIDS 需要在主機(jī)上添加代理 Agent，需要消耗主機(jī)本身的性能，同時(shí)，如果維護(hù)不當(dāng)或者處理不當(dāng)，也有可能引起系統(tǒng)性能的不穩(wěn)定；而且，目前信息系統(tǒng)現(xiàn)有的主機(jī)系統(tǒng)本身已經(jīng)不是特別穩(wěn)定，因此，不建議采用 HIDS 方案。 安全評(píng)估系統(tǒng) 方案設(shè)計(jì) 掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識(shí)庫，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對(duì)象。然后根據(jù)掃描結(jié) 果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中， 安全掃描工具花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)對(duì)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。風(fēng)險(xiǎn)評(píng)估技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險(xiǎn)漏洞，而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其它主機(jī)的安全風(fēng)險(xiǎn)漏洞。 由于網(wǎng)絡(luò)采用的通信協(xié)議并不是為安全通信而設(shè)計(jì)的，這些協(xié)議和網(wǎng)絡(luò)設(shè)備存在一些固有的安全隱患，入侵者可利用這些漏洞，通過 網(wǎng)絡(luò)實(shí)施攻擊?；诰W(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估技術(shù)，主要是模擬黑客攻擊的方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備等方面的漏洞。 現(xiàn)代操作系統(tǒng)代碼數(shù)量巨大，成百上千工程師的共同設(shè)計(jì)編制，很難避免產(chǎn)生安全漏洞。隨著及計(jì)算機(jī)技術(shù)的發(fā)展，操作系統(tǒng)的功能越來越強(qiáng)大，但配置越來越復(fù)雜。面對(duì)橫跨多種平臺(tái)、不同版本、不同種類的操作系統(tǒng)，系統(tǒng)管理員顯 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 26 得力不從心，經(jīng)常會(huì)造成配置上失誤，產(chǎn)生安全問題。系統(tǒng)安全漏洞涉及口令設(shè)置、文件權(quán)限、賬戶管理、組管理、系統(tǒng)配置等?；谥鳈C(jī)的風(fēng)險(xiǎn)評(píng)估技術(shù)，主要檢查操作系統(tǒng)本身固有的安全漏洞和系統(tǒng)文件的不安全配 置。并指示用戶如何修補(bǔ)漏洞以使操作系統(tǒng)安全風(fēng)險(xiǎn)降到最小，也就增加了整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。 越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)和寶貴的信息資源依賴于數(shù)據(jù)庫平臺(tái)，數(shù)據(jù)庫本身的漏洞和錯(cuò)誤配置同樣會(huì)引起嚴(yán)重的安全問題。數(shù)據(jù)庫風(fēng)險(xiǎn)評(píng)估技術(shù)主要針對(duì)數(shù)據(jù)庫系統(tǒng)的授權(quán)、認(rèn)證和完整性方面進(jìn)行安全漏洞檢測(cè)。 建議 xxx 銀行 信息系統(tǒng)在省中心安全網(wǎng)段設(shè)置一臺(tái)安全評(píng)估服務(wù)器，安裝網(wǎng)絡(luò)掃描器和數(shù)據(jù)掃描器。 網(wǎng)絡(luò)掃描器對(duì)整個(gè)信息系統(tǒng)，包括省行中心、各個(gè)地市分行和營業(yè)網(wǎng)點(diǎn)的路由器、交換機(jī)、防火墻、主機(jī)等系統(tǒng)進(jìn)行定期評(píng)估，發(fā)現(xiàn)最新的漏洞，輸出安全報(bào)告， 并及時(shí)進(jìn)行修補(bǔ)，同時(shí)，對(duì)于地市的設(shè)備，如果有漏洞產(chǎn)生，省行中心派發(fā)報(bào)告，通知相應(yīng)的管理員進(jìn)行針對(duì)性修補(bǔ)。 針對(duì)核心數(shù)據(jù)庫系統(tǒng)，定期進(jìn)行數(shù)據(jù)庫安全掃描，發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)可能存在的認(rèn)證、授權(quán)和賬號(hào)等漏洞或者弱點(diǎn)，及時(shí)進(jìn)行修補(bǔ)和改正。 同時(shí)，結(jié)合信息庫，定期對(duì)掃描評(píng)估的結(jié)果錄入到信息庫中，完善整個(gè)信息資產(chǎn)的安全管理，不斷提高和改進(jìn)信息系統(tǒng)的安全狀況。 因 xxx 銀行 安全建設(shè)實(shí)際情況的限制，只建議在省行中心配置一套網(wǎng)絡(luò)漏洞掃描器。 可行性分析 風(fēng)險(xiǎn)管理是當(dāng)前企業(yè)網(wǎng)絡(luò)運(yùn)行的最重要的挑戰(zhàn)之一。有效的、及時(shí)的風(fēng)險(xiǎn)管理是對(duì)信息資產(chǎn)和安全投資的效益最大化。其中，風(fēng)險(xiǎn)評(píng)估是技術(shù)最為成熟的一環(huán)。 有效的風(fēng)險(xiǎn)評(píng)估的關(guān)鍵在于評(píng)估的全面性、及時(shí)性，以及對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果的處理上。在這些特性上面，都與安全管理平臺(tái)的特性相吻合。 網(wǎng)絡(luò)層安全 網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。許多安全問題都集中 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 27 體現(xiàn)在網(wǎng)絡(luò)的安全方面。 由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的 TPC/IP 協(xié)議并非專為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測(cè)、竊聽等搜集信息，然后利用 IP 欺騙、重放或重演、拒絕服務(wù)攻擊（ SYN FLOOD， PING FLOOD 等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出 等手段進(jìn)行攻擊。 主機(jī)安全 由于現(xiàn)代操作系統(tǒng)的代碼龐大，從而不同程度上都存在一些安全漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如 Unix， Window NT，其安全漏洞更是廣為流傳。另一方面，系統(tǒng)管理員或使用人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不夠，配置不當(dāng)也會(huì)造成的安全隱患。操作系統(tǒng)自身的脆弱性 對(duì)操作系統(tǒng)這一層次需要功能全面、智能化的檢測(cè)，以幫助網(wǎng)絡(luò)管理員高效地完成定期檢測(cè)和修復(fù)操作系統(tǒng)安全漏洞的工作。系統(tǒng)管理員要不斷跟蹤有關(guān)操作系統(tǒng)漏洞的發(fā)布，及時(shí)下 載補(bǔ)丁來進(jìn)行防范，同時(shí)要經(jīng)常對(duì)關(guān)鍵數(shù)據(jù)和文件進(jìn)行備份和妥善保存，隨時(shí)留意系統(tǒng)文件的變化。 數(shù)據(jù)庫安全 許多關(guān)鍵的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫平臺(tái)上，如果數(shù)據(jù)庫安全無法保證，其上的應(yīng)用系統(tǒng)也會(huì)被非法訪問或破壞。數(shù)據(jù)庫安全隱患集中在： 系統(tǒng)認(rèn)證：口令強(qiáng)度不夠，過期帳號(hào)，登錄攻擊等。 系統(tǒng)授權(quán)：帳號(hào)權(quán)限，登錄時(shí)間超時(shí)等。 系統(tǒng)完整性： Y2K 兼容，特洛伊木馬，審核配置，補(bǔ)丁和修正程序等。 技術(shù)可行性 風(fēng)險(xiǎn)評(píng)估的手段多種多樣，例如掃描、白客（滲透）測(cè)試、審計(jì)等。掃描是最為流行、重要的一種。 在 Inter 安全領(lǐng)域，掃描器 是自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。通過使用一個(gè)掃描器，用戶可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 28 的安全性弱點(diǎn)。掃描器能發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，這些弱點(diǎn)可能是破壞主機(jī)安全性的關(guān)鍵因素。這些關(guān)鍵因素便于系統(tǒng)管理員可以檢查自己系統(tǒng)的弱點(diǎn)。掃描器對(duì)于網(wǎng)絡(luò)的安全性之所以重要，是因?yàn)樗鼈兡馨l(fā)現(xiàn)網(wǎng)絡(luò)的弱點(diǎn)。如果系統(tǒng)管理員使用了掃描器，它將直接有助于加強(qiáng)系統(tǒng)的安全性，將網(wǎng)絡(luò)安全漏洞暴露出來。 優(yōu)勢(shì) 網(wǎng)絡(luò)安全掃描器 網(wǎng)絡(luò)安全掃描器時(shí)間策略可以是定時(shí)操作，掃描對(duì)象是整個(gè)網(wǎng)絡(luò)。它可在一臺(tái)單機(jī)上對(duì)已知的網(wǎng)絡(luò)安全漏洞進(jìn) 行掃描。目前，網(wǎng)絡(luò)掃描器的商業(yè)版本，如 Inter 版本，已能對(duì) 1000 種以上的來自通訊、服務(wù)、防火墻、 WEB 應(yīng)用等的漏洞進(jìn)行掃描。它采用模擬攻擊的手段去檢測(cè)網(wǎng)絡(luò)上每一個(gè) IP 隱藏的漏洞，其掃描對(duì)網(wǎng)絡(luò)不會(huì)做任何修改和造成任何危害。 主機(jī)安全掃描器 主機(jī)安全掃描器的時(shí)間策略可以是定時(shí)操作，掃描對(duì)象是操作系統(tǒng)。主機(jī)安全掃描器包括引擎和控制臺(tái)兩個(gè)部分。引擎必須分別裝在被掃描的服務(wù)器內(nèi)部，在一臺(tái)集中的服務(wù)器上安裝控制臺(tái)?？刂婆_(tái)集中對(duì)各引擎管理，引擎負(fù)責(zé)對(duì)各操作系統(tǒng)的文件、口令、帳戶、組等的配 置進(jìn)行檢查，并對(duì)操作系統(tǒng)中是否有黑客特征進(jìn)行檢測(cè)。 其掃描結(jié)果同樣可生成報(bào)告。并對(duì)不安全的文件屬性生成可執(zhí)行的修改腳本。