《网络安全原理与实践》一1.10 实例研究

1.10 实例研究

网络安全原理与实践
下面的实例研究着眼于一个典型的企业网络的安全策略设计和实现。我们将要查看这个安全策略设计所经历的不同步骤,并且讨论最终结果和为了保持网络架构安全而进行的努力。

实例研究中使用的公司假定叫做Biotech公司。Biotech公司是一个中小型的企业,它大约有5000用户使用由一个中心站点和两个远程分支机构组成的网络,在每个分支站点上有250个用户。另外,大约250个用户在远程工作。Biotech的大部分业务是制药,并且不是通过他们的公共Web服务器来管理这个业务的。这个公共Web服务器大部分的服务是建立一个合作环境。但是,当公司开始采用无纸化办公的时候,员工和管理层将会广泛使用一个内部Web服务器开展日常工作。

1.10.1 资产确定

为了构建一个安全策略,很重要的一点就是定义一个连接在网络上的资产列表。

Biotech公司基本的设施由下面部分组成:

总共5750个用户(750是远程用户);
与ISP的连接;
公司网关路由器A;
交换机A,将公司的不同部门再细分成不同的VLAN;
连接共同用户的LAN;
外部DNS服务器;
内部DNS服务器;
WINS服务器、PDC和BDC;
内部SMTP服务器;
完成内部路由的路由器B和C;
外部Web服务器;
内部Web服务器;
后端(back-end)数据库;
财务和人力资源(Human Resources,HR)记录数据库。

1.10.2 威胁确定

Biotech公司的网络大部分是被它的雇员们使用,他们中的大部分忙于制药的研发(Research and Development,R&D)以及市场和销售项目。雇员们不仅使用公司的网络彼此交流信息,也使用数据库服务器来存储研究成果和其他类型的数据。内部的Web服务器上存储了雇员们需要共享的大部分信息。另外,企业和员工的人事和财务数据存储在一个数据库服务器上,这些数据只有管理层,人事部和财务部的员工可以访问。

Biotech公司的管理层最关心下列的威胁。

外部的攻击者能够访问后端数据库及存储在其上的保密信息。
外部的攻击者篡改公司对外网站从而损害公司的名誉。
内部或外部攻击使内部网络瘫痪掉,从而导致雇员无法正常工作。
外部攻击者获取员工之间的通讯信息。
外部攻击者切断公司与Internet的联系,导致雇员无法在Internet上查找资料从而无法开展工作。
外部攻击者切断公司中心站点和两个远程站点或远程工作的员工之间的连接,导致员工无法正常工作。
外部攻击者能够访问后端研发(R&D)数据库。
外部攻击者能够访问财务和人事数据库从而在上面查询到隐私记录。
内部攻击者获取其他员工之间的通信记录。
内部攻击者获取那些他没有访问权限的内部数据库中的数据。
内部攻击者通过发起攻击或操作失误从而导致内部网络的崩溃。
当然,还有其他的威胁,但是这里列出的是相关责任人员眼中对公司资产最大的威胁。因而,这些是安全策略为保护网络而防范的威胁。

1.10.3 风险分析

在制定Biotech公司的网络安全策略中,下一步是对前面部分确定的与网络资产相对应的威胁做一个风险分析,并且制定一个安全策略因素的优先级列表。

因为Biotech公司所涉及的大部分工作都是研发(R&D),网络的崩溃,虽然也很令员工们烦恼,但只要网络中断不是一直延续下去的话,它就没有太大的危害。研发是一个时间密集型(time-intensive)劳动。如果无法保证公司网络一直可用,只要绝大多数时间是可用的,公司领导就可以接受。管理层希望他们的公司为人所知,这也就意味着外部的Web服务器绝大部分时间都要是可以访问的。但是,由Biotech公司的业务性质所决定的是,这个服务器在任何时间流量都不会太高。

Biotech公司最关心的是他们研发信息的保密性。他们的管理者的确对保护这些信息很重视。数据完整性也在这个列表中居于高位,因为数据丢失是一个重大的问题,也就意味着时间的浪费。但是,保密性仍在Biotech公司优先级列表中居于首位。

基于Biotech公司所制定的优先级,下面只是一个高度概括性的优先级列表,是Biotech公司的安全策略中应当努力完成的目标:

保密性;
完整性;
可用性。
将这3个目标牢记在心,准备为公司最关键的资产列一个表。各种资产的三个主要类别(保密性、完整性、可用性)中的每个都给予一个风险等级,“5”表示非常重要,而“1”表示不重要。每种资产都考虑它实际遭受这种威胁攻击的可能性,和公司对这种攻击所造成损失的重要程度分等级。一个资产没有暴露出任何重大安全隐患,但它包含对管理者来说敏感而需要保密的信息,那么它在风险表上的等级不高。另一方面,一个易受重大威胁影响的资产还包含了保密信息,那么它就是一个高风险资产。需要综合考虑这个网络资产遭受攻击的可能性以及在管理者眼中遭受攻击后损失的规模,来决定一个具体的资产的风险到底有多高。Biotech公司关键资产的风险等级如表1-1所示。

这些标准一经建立,下一步就是基于风险评估结果定义一个安全策略来保护这些资产。必须基于前面表中所提到的3个领域(保密性、完整性、可用性)中的每一个的风险等级,有针对性的努力保护这些资产。

1.10.4 定义安全策略

根据所收集到的信息,下面描述Biotech公司安全策略的基本组成部分。

1.定义这个安全策略的作用域和动机
Biotech公司在日常工作中非常倚重于使用它的网络资源。为了确保平时的使用不会导致保密数据的泄露,让所有在这个网络上的用户理解和遵守安全策略是关键。安全策略定义了置于适当位置以便保护网络安全的各种方法,包括保护用户和他们信息的安全。

2.职责策略
网络中的所有用户都要为自己的行为而导致的网络安全问题负责。熟悉使用Biotech公司网络所提供服务的方法是每个用户的责任。向系统管理员报告网络中可疑的不正当使用和恶意行为也是每个用户的责任。

3.可接受使用的策略
Biotech公司的网络不论在白天或是黑夜的任何时候都可以被雇员们使用,但这个网络仅能被用于工作用途,其他任何额外或超出这个目的的对网络资源的使用都是被禁止的。

4.计算机技术购买方针
在购买所有与网络相关的设备时,要牢记Biotech公司的需求首先是保密性,其次是完整性和可用性。对设备来说,安全和保密管理一体化的机制很重要。所有网络设备都要进行已知漏洞的排查,并查阅供应商对于这些漏洞的修复记录。安全相关的设备最好从那些在安全领域内拥有良好信誉和背景的供应商那里购买。

5.访问策略
必须严格限制访问,假定除了特别需要的访问以外,其他的访问都不被允许。

只有公司的雇员才可以访问后端数据库、人事和财务数据库。这些资源必须只有在一个雇员加入到本地网络中,或者加入到远程站点中的一个,或者是一个经授权的远程工作者(远程访问的用户只能通过公司认可的程序)才能访问这些资源。从其他位置请求的访问都被禁止。决定允许一个雇员访问不同的资源,要由这个雇员的直接上级和安全部门的主管一起批准。

必须采取措施以阻止外部网络对这些资源的访问。也必须确保能够侦测到网络入侵,并采取行动以控制损失和预防将来的入侵。

对网络资源的访问遵循按需原则。信息资产通过赋予特定用户组访问权限,阻止所有其他用户的访问而受到保护。任何针对网络资产增加访问权限的行为都需要管理部门的批准。

所有的远程用户通过远程访问公司网络使用这些资源之前都必须获得管理部门的批准。远程站点的用户和远程工作者与使用网络资源的本地用户被同等对待。这些用户在访问不同的网络资源时,具有同本地用户相类似的访问控制策略。

远程访问用户必须遵守公司的规则,并且做以下检测,以确保他们的PC连接到公共网络时是安全的。

仅通过使用认证和加密的VPN服务器连接。
安装当前公司标准的反病毒软件并且激活自动升级特性。
PC必须是密码保护的,以这样的一种方式重新启动就不能绕过密码程序。
所有用于远程访问的PC,必须安装了一个有效的个人防火墙(允许远程访问使用)。
使用远程访问的员工有义务确保他们的设备不被未经授权的个人使用从而获取公司网络上的资源。

6.认证策略
所有网络上的信息资产在某人获得访问它们之前都要认证。任何访问尝试都要记入日志以备审计。

远程访问的用户要经过两层的认证——一次是将他们连接到网络的接入服务器对他们进行认证,另一次认证是为了获得网络专用资源的访问。

认证是使用网络上的安全服务器进行的。必须采取措施以保护安全服务器不受外部或内部网络上的攻击和入侵。

认证应该用一次性密码实现。认证必须同安全服务器上的授权(authorization)和统计(accounting)一起执行。授权基于用户属于哪个确定的组,从而分配给用户特定的访问权限。统计用于更进一步追踪已授权用户的行为。这是随同入侵检测系统一起必须实现的基本保护措施。

7.可用性声明
网络对于自己的真正用户应该随时可用,当然要除去因各种原因出现故障的情况。如果必须在保密性和网络的可用性之间做一个平衡,保密性应该被优先考虑。

8.信息技术系统和网络维护策略
所有的网络设备仅由Biotech公司的专职人员管理,他们有管理这些设备的特权。为了管理的目的而给予个人在任何设备上工作的许可,都需要管理人员的批准。

允许管理者远程访问网络中的设备,但访问需要被加密,并且这种登录验证过程需要在安全服务器上完成而不是设备本身。所有管理人员的会话,不管是内部的还是外部的,都必须加密。

9.违规及安全事的故报告和处理策略
文档记录程序必须建立起来,以便入侵或者网络攻击发生时能够将其识别。这些检测程序必须包括手工报告和自动报告工具。

为了事故的报告和处理,需要建立下面的程序。

一旦确认入侵已经发生或者攻击正在进行,必须调用一个程序,把这个问题通知给所有需要知道这件事情的网络管理员,并告知在处理这个情况时他们的角色。
需要建立一个识别所有信息的程序,记录和追踪这个攻击,或者为可能的起诉保留证据。
程序必须就地控制已经发生的或者正在发生的事故。这个程序必须牢记保密性是Biotech公司比可用性更关心的问题。
程序必须跟踪已经发生了的攻击,以确保在这个攻击中暴露出来的所有漏洞都已经得到了修正,同时相类似的攻击将来可以得到避免。
10.支持信息
关于Biotech公司运作的所有信息必须保密,并且决不能泄露给公司以外的任何人。所有与宣传相关的事务应通过公司新闻关系办公室去处理。

所有关于安全策略后期的冲突和问题必须在首席安全官的干预下解决,他承担安全策略的最终职责。

表1-2显示了定义在Biotech公司的安全策略环境中联络人员和他们的任务以及职责。

11.结束语
这里定义的安全策略是用来设计一种方案,从而能够保护公司那些最易遭受各种威胁的资产。这个设计需要牢记不同产品所具有的不同特性,并将它们结合在一起以实现一个内聚性的网络,从而更好地部署网络安全策略。本书其他章节将描述实现网络安全策略用到的一些规则、特性和协议。

时间: 2024-10-28 00:24:50

《网络安全原理与实践》一1.10 实例研究的相关文章

《网络安全原理与实践》一2.3 实例研究:使用PIX防火墙创建区

2.3 实例研究:使用PIX防火墙创建区 网络安全原理与实践PIX防火墙允许配置最多10个不同安全等级的接口(PIX 535运行6.X可以支持最多10个接口.PIX525运行5.3及以上版本可以支持最多8个接口).一个接口需要连接内部或者私有网络,一个需要连接公共网络,其余的接口可以连接其他网络,每个网络可以有自己的安全等级.因而,PIX允许一个防火墙支持多达10个(就PIX 525来说是8个)截然不同的安全区. 在PIX防火墙中,每个接口配置了一个安全等级.本质上,位于低安全级接口上的机器不能

《网络安全原理与实践》一导读

前言 网络安全原理与实践本书旨在帮助读者深入理解如今网络中实施的各种网络安全规则.特性和协议.本书使用Cisco安全实施作为讲解的基础,其目标如下所示. 在较高的层次上完整讨论了与实施网络安全相关的所有主题. 深入.详细地讨论了网络安全实施背后的协议运行机制. 讨论了构成不同网络产品.特性和实施基础的安全规则. 讨论以提高网络安全性为目标的网络设计的有用因素. 理解建立和维护安全网络的操作需求. 讨论网络安全必需的网络维护和故障排错技术. 本书旨在从较高的层次上讨论各种主题.但是,为了保持讨论的

《网络安全原理与实践》一第2章 定义安全区

第2章 定义安全区 网络安全原理与实践本章涉及下列关键主题. 安全区的介绍--讨论安全区是什么,并包括一些与怎样在一个网络上定义安全区相关的基本概念. 设计非军事区(Demilitarized Zone,DMZ)--定义了DMZ,并讨论创建它们的方法. 实例研究:使用PIX防火墙创建区--描述了基于PIX防火墙的分区网络. 安全区的定义在建立安全网络过程中起着非常重要的作用.它不仅使得安全部署变得更集中和更有效,而且更有利于合法用户对资源的访问.本章将着眼于什么是安全区,以及它们是怎样成为网络设

《网络安全原理与实践》一第1章 网络安全介绍

第1章 网络安全介绍 网络安全原理与实践本章涉及下列关键主题. 网络安全目标--讨论在一个网络上部署安全策略的目标. 资产确定--讨论为抵御网络攻击而对网络中需要保护的资产进行定义的需求. 威胁评估--讨论如何辨认只有网络设备才有的威胁.-风险评估--讨论风险的含义,以及为了建立有效的安全措施,是如何需要对所有网络资产评估的. 构建网络安全策略--讨论如何根据前面章节中建立的定义构建一个网络安全策略. 网络安全策略的要素--讨论构成一个网络安全策略的各组成部分.实现网络安全策略--讨论实现一个网

《网络安全原理与实践》一1.12 复习题

1.12 复习题 网络安全原理与实践1.开始考虑网络安全的第一步是什么? 2.一些现代网络的资产是什么? 3.什么是风险评估? 4.风险评估和威胁评估的不同之处是什么? 5.许可性的安全策略和限制性安全策略的不同之处是什么? 6.什么是保密策略? 7.什么是访问策略? 8.什么是职责策略? 9.什么是可用性声明? 10.什么是信息技术系统和网络维护策略?

《网络安全原理与实践》一1.9 审计和改进

1.9 审计和改进 网络安全原理与实践一旦实现了安全策略,继续对它分析.测试和改进是非常关键的.可以通过安全系统的正规化审计来实现这一点,也可以通过使用基于标准操作的度量方法每天检测它来实现.审计可能具有不同的形式,包括使用不同的自动审计工具(比如Cisco Secure Scanner)来自动检查.这些工具用于查找一个网络中的系统可能暴露的弱点. 审计的一个重要功能是让网络用户一直意识到他们在网络行为中的安全隐患.审计应该能够指出用户可能形成的能够导致攻击的习惯.在实际中推荐的网络审计应该包含

《网络安全原理与实践》一2.4 小结

2.4 小结 网络安全原理与实践分区(zoning)是安全设计中的一个重要概念.创建区允许网络管理员为网络上不同的设备组创建不同的安全等级.通过一个优秀设计的DMZ提供的隔离,甚至在一个低安全区中的设备被攻陷时,包含在其他区中的设备被攻击的风险也很小.本章讨论了什么是区,以及它如何有助于设计一个安全的网络拓扑.本章也详述了DMZ(它是现今大部分网络设计中不可或缺的一部分),以及可用于建立它们的不同技术.最后,用一个实例研究讨论了PIX防火墙在它的众多接口上建立区的能力.本书的其他部分假定基本的分

《网络安全原理与实践》一1.5 构建网络安全策略

1.5 构建网络安全策略 网络安全原理与实践网络安全策略定义了一个框架,它基于风险评估分析以保护连接在网络上的资产.网络安全策略对访问连接在网络上的不同资产定义了访问限制和访问规则.它还是用户和管理员在建立.使用和审计网络时的信息来源. 网络安全策略在范围上应该是全面和广泛的.这也就意味着当我们要基于这个策略做安全方案的时候,它应该提供一些摘要性的原则,而不是这个策略的实现的具体细节等内容.这些细节可能一晚上就变了,但是这些细节所反映的一般性原则是保持不变的. S.Garfinkel和G.Spa

《网络安全原理与实践》一1.7 部署网络安全策略

1.7 部署网络安全策略 网络安全原理与实践定义了安全策略之后,下一步要做的就是部署它.部署安全策略不是一件简单的事情,它包括技术性和非技术性两方面的内容.找到能够互相兼容的设备,并且通过这些设备真正地实现安全策略具有足够的挑战性,同时对所有相关的团队提出一个切实可行的设计也同样困难. 在开始实现安全策略之前,有几点需要记住. 公司中所有的风险承担者,包括管理人员和终端用户,必须都同意或者一致同意这个安全策略.如果不是每个人都相信这个安全策略是必须的话,那么维护这个安全策略将非常困难.用"为什么