安全动态安全管理体系的设计
一、全网动态安全体系的建立原则
网络的动态安全体系结构是划分为若干的层面的一种多层次、多层面、立体的安全构架。体系所涉及的环节包括:网络安全策略指导、网络安全标准规范、网络安全防范技术、网络安全管理保障、网络安全服务支持体系等,如图1所示:
动态安全体系结构的制定遵循以下几个原则:
可实施性原则。动态安全体系中的网络风险分析、安全需求分析、网络解决方案等都注重可实施性,体系的建立是基于实际应用的网络之上的。按照体系的指导,可以把可用的安全技术、安全产品、安全模式、管理规范都规划到安全的层次中去,进而直接用于提高网络的安全性。
可管理性原则。动态安全体系试图建立一个可控的安全体系结构,公司的管理人员在合理的安全规范的指导下,可以把握网络的整体安全状况。这样,可以有效地对安全
设备和安全技术进行利用与管理,使得整个网络的安全性是可控的。
安全完备原则。安全是一个多层面的问题,同样,安全体系也是一个多层次多角度的立体结构。以动态模型中安全的层次理论模型为基础,从安全层次出发,对网络进行详细的安全分析,在从每一个层次中分离出若干子系统,比较完整地将网络的总体安全因素都考虑在内,可以保证不会遗漏大的安全问题和安全隐患。
二、全网动态安全体系模型
网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制、全网动态安全体系可有下面的公式概括:
网络安全=风险分析+制定策略+防御系统+实时检测+实时响应+灾难恢复
从安全体系的可实施、动态性角度,动态安全体系的设计充分考虑到风险评估、安全策略的制定、防御系统、监控与检测、响应与恢复等各个方面,并且考虑到各个部分之间的动态关系与依赖性。
进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法:定性分析和定量分析。在制定网络安全策略的时候,要从全局进行考虑,基于风险分析的结果进行决策,建议公司究竟是加大投入,采取更加有力的保护措施,还是容忍一些小的损失而不采取措施。因此,采取科学风险分析方法对公司的网络进行风险分析是非常关键的。
一旦确定有关的安全要求,下一步应是制定及实施安全策略,来保证把风险控制在可接受的范围之内。安全策略的制定,可以依据相关的国内外标准或行业标准,也可以自己设计。有很多方法可以用于制定安全策略,但是,并不是每一组安全策略都适用于每个信息系统或环境,或是所有类型的企业。安全策略的制定,要针对不同的网络应用、不同的安全环境、不同的安全目标来确定,各公司应该按照自己的要求,选择合适的安全体系规划网络的安全。制定自己的安全策略应考虑以下三点内容:(1)评估风险。(2)企业与使用伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文。(3)企业为网络安全运作所订立的原则、目标及信息处理的规定。
上图的安全模型为网络建立了四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮”;恢复是第四道防线,使网络在遭受攻击后能以最快的速度“起死回生”,最大程度上降低安全事件带来的损失。
三、网络风险评估与安全策略的制定
大中型网络对安全性的要求是全方位的、整体的,全网动态安全的实施也是分步骤分层次的。首先就是要知道目前的网络安全状况究竟怎样,即进行安全评估。在考虑提高网络安全性的时候,有人悲观地认为技术高超的黑客可以侵入并彻底破坏整个业务系统,认为目前的安全措施都没有用处的;另外则有人在没有经过仔细分析的情况下,盲目信任公司的网络系统,认为已经采取的安全措施是足够的。这些想法都没有客观地分析整个网络的安全状况,因此对网络安全的理解是片面的。
了解网络系统中存在的威胁可以帮助公司的决策者制定最为适当的安全策略。如上所述,许多公司的网络安全负责人并不清楚自己的网络到底有多么安全,也不清楚已经
采取的安全措施究竟会起到什么样的效果。如果从安全体系的角度为网络进一步分析风险,可以发现更多更隐蔽的安全隐患。那么,究竟怎么做才能让公司的管理人员真正了解网络的安全性呢?这就需要依据安全层次对网络进行全面的风险分析。
在评估风险和制定安全措施的时候,需用有一套较完整的风险分析方法和安全措施制定的方法。可以通过对网络划分层次来进行安全性评估,即采取分层分析的方法,将风险分散到整个网络系统的各个层面,并且在每个层面上按更细致的结构进行分析。从系统和应用的角度看,网络的安全因素可以被划分到如下五个层次的安全中去:物理层安全、系统层安全、网络层安全、应用层安全、以及安全管理。如图2所示。不同的层次包含了不同的安全问题。
1.层次一:物理层安全。包括通信线路的安全,物理设备的安全,机房的安全等。一个公司网络的物理层安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质);软硬件设备安全性(替换设备;拆卸设备;增加设备);设备的备份;防灾害、防干扰能力;设备的运行环境(温度、湿度、烟尘);不间断电源保障,等等。
2.层次二:系统层安全。这一层的安全问题来自网络上运行的操作系统UNIX系列,Linux系列,WindowsNT系列,NetWare,以及专用操作系统等。系统层的安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置存在问题。
3.层次三:网络层安全。该层次的安全问题主要指网络信息的安全性,包括网络层身份认证,网络资源访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段等。
4.层次四:应用层安全。该层次的安全考虑业务网络对用户提供服务采用的应用软件和数据的安全性,包括:数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、访火墙及应用网关系统、业务应用软件,以及其它网络服务系统(如Telnet,FTP)等。
5.层次五:管理层安全。安全管理包括安全技术和设备的管理,安全管理制度,部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的的安全漏洞。
基于所划分的五个安全层次进行风险分析,得到的风险点列表能够涵盖整个网络系统,基本保证在分析过程中不会遗漏网络系统中大的风险点,并且可以清楚地描述风险点位置及相互关系。风险评估的内容主要是:在规避了最常见的威胁及漏洞以及企业实施的安全措施的控制下,安全破坏事件的发生概率是多少。还有安全措施失效后所造成的业务损失,包括可预计的财产或信息被公开、信息不完整及不可用的影响。
风险评估的结果作为制定网络安全策略的重要依据之一。有时候需要将风险进行
量化。在风险分析的基础上,提出网络的安全需要,确定网络要达到的安全级别,计划采取进一步的安全措施。从五个安全层次的角度出发,细化各层的安全方面,有针对性地解决网络存在的问题,以全网动态安全体系为指导,制定出合理的安全措施,并进行严格的安全管理。
四、安全防护与响应
定义了网络安全的目标,接下来就是根据安全策略的要求,选择相应的安全机制和安全技术,采取技术和管理手段提高网络的安全性,并在发生安全事件时及时进行处理,实施安全防御系统,进行监控与检测。包括安全保护、实时监测、响应、恢复等四个步骤。
安全保护与实时监测。安全防御系统包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多层面。安全防御系统搭建等完善与否,直接决定了网络的安全程度,无论哪个层面上的安全措施不到位,都是很大的安全隐患,都又可能造成网络中的后门。
安全保护与实时监测是指选用相关的安全产品、安全技术,执行合适的安全制度,制定安全管理规章制度,明确安全实施与管理的流程,确定各个方面的安全职责,以提高网络的安全性。安全保护的目的就是搭建网络防护体系,不仅要使用安全技术和产品,还要确立设施于环境保护要求、设备选型原则、安全配置原则、隔离原则。
响应与恢复。响应与恢复是保障网络安全性的重要步骤。响应是指发生安全事故后的紧急处理程序。响应组织一般要有以下基本成分:1.安全管理中心:领导整个安全队伍,分配任务并审计执行情况,负责上报安全状况或进一步向其它组织寻求援助或咨询。2.入侵预警和跟踪小组;3.病毒预警和防护小组;4.漏洞扫描小组;5.跟踪小组。
恢复是指将受损失的系统复原到发生安全事故以前的状态,这是一个复杂和烦琐的过程,需要信心、细心和耐心,一般包括如下几个方面:1.恢复领导小组:负责协调整个恢复工作,分配人员、任务并审计进展情况。2.网络恢复小组;3.系统恢复小组;4.数据库恢复小组;5.应用恢复小组。
五、结 论
动态安全体系本身是一个循环的模型,强调的全网安全和动态安全。“全网安全”是指在网络系统中,综合技术、管理、规范、行业法规等各个环节,在网络运行的各个阶段,分析网络的参考点和安全的各个层次,采取适当的安全技术和安全管理手段,从整个网络的安全需求出发,构建网络的安全架构。
安全不是一成不变的静态的,而是“动态”的安全。网络结构本身会随着业务的需求和增长而变化,网络技术在不停地改进,黑客手段也越来越高超,当网络发生变化,或者出现新的安全技术和攻击手段,或者在安全事件发生之后,动态安全体系必须仍旧能够包容新的情况,及时做出联动反映,把安全风险维持在所允许的范围之内。定期或不定期对网络进行安全检查,依据已有技术修补发现的新漏洞,是一项必需的日常工作。应按上次评估的结果及管理阶层所能接受的风险程度,以不同深度进行检查。建议采用自顶向下的方法,将整个网络系统划分为子系统,对单个系统直至系统中的部件进详尽的风险分析。
按照国际最新的信息系统安全等级测评准则CC(Common Criteria)的观点,为安全投入网络信息化建设总投入15%至20%资金,并按照准则进行良好的规划和管理,可以使网络系统达到安全级别EAL3,即达到中级别的安全保护等级。要实现这一安全等级,需要对公司的网络做完整的调查,按照相关的标准进行风险分析,提供基于“灰盒子”测
试技术的评估。此外,还需要公司对安全体系进行验证,对网络环境安全进行控制,对网络进行配置管理等。中级别安全保护等级定义了在不对现有网络结构进行大的改变的条件下,一个公司能从安全工程中获得的最大安全保障,执行EAL3标准基本可以满足现有公司网络开展正常业务的安全性需求。全网动态安全体系中的技术评估内容与管理细则都是遵照这一标准制定的。▲
