1.2 理解网络与信息安全基础
CCNA安全640-554认证考试指南
网络安全是很重要的,网络不安全是要破财的。本节会介绍一些用来规划和实施安全网络时,常用的概念、术语和方法。
1.2.1 网络安全的目标
在提到网络时,人们可以从不同的角度来看待它。比如,高层管理人员可能会把网络视为达成企业效益的一种业务工具。网络技术人员(至少有些网络技术人员)会把他们的网络视为整个宇宙的中心。终端用户则只会把网络视为完成日常工作的一项工具,有的人也会将其看作是消遣的工具。
不是每一位用户都乐于积极保护数据安全,不幸的是,网络用户恰恰是网络中最为薄弱的一个环节,因为通过这些用户的用户名和密码(或者其他数字证书,如一次性密码令牌生成设备)就可以访问网络。一旦有一位用户的数字证书被未经授权的人得到,那么即使这个网络中部署了本书中提到的一切技术,网络安全仍然无法得到保障。因此,切记用户本身就是网络的一大风险,而为用户提供培训是安全策略中最重要的一环。
1.2.2 机密性、完整性和可用性
关键
网络安全的目标通常包含以下三个重要的概念。
机密性:数据可以分为两种类型:正在网络中进行转发的动态数据、位于某种存储媒介中(如服务器、本地工作站、云等)的静态数据。机密性意味着只有获得了授权的个人/系统才能查看敏感信息或保密信息。这也意味着未获得授权的人不能通过任何方式访问数据。对于动态的数据,主要的保护方法是在将它转发到网络中之前,先对其进行加密。在加密的同时,也可以使用相互分离的网络来传输机密数据。本书的多个章节中都会提到这两个概念。
完整性:数据的完整性意味着只有获得授权的个人/系统才能够对数据进行修改。没有维护好数据完整性的结果就是数据损坏。
可用性:可用性既适用于系统,也适用于数据。如果(由于拒绝服务[DoS]_攻击或一般性网络故障等原因)授权用户无法访问网络或网络中的数据,对于将网络看作是业务工具的企业和用户来说,这有可能会带来不小的麻烦。因为网络故障往往可以等同于损失收入。
也许,它们的简称——CIA(中央情报局)有助于读者记住这三个词:机密性(Confidentiality)、完整性(Integrity)和可用性(Availablity)。
1.2.3 安全的成本效益分析
网络安全工程师不光要知道他们需要保护的对象,也要知道网络攻击的来源。风险管理这个词儿虽然听上去不怎么吸引人,但本书会反复提到,这个概念以一些与资产保护和安全管理有关的具体方法及概念为基础。
什么是资产?一切对企业有价值的事物均可算作是资产。它既可以指有形资产(人员、计算机设备等)也可以指无形资产(知识产权、数据库信息、联系人列表、账目信息)。搞清楚自己试图保护的资产,以及它们的价值、位置和公开对象,可以更加有效地帮助安全技术人员判断出用来保护这些资产所需的时间和金钱。
漏洞是指在系统中或系统的设计方案中,可予以利用的缺陷。在协议、操作系统、应用程序和系统设计方案中都可以找到漏洞。漏洞无处不在,而且人们发现的漏洞也日益增多。
威胁指的是资产的潜在风险。如果系统中存在漏洞但没有被发现,这就是一个潜藏而并未实现的威胁。如果有人主动对系统发起攻击,并成功地访问了某些资源,或者破坏了保护某项资产的安全措施,这就叫实现的威胁。利用漏洞的实体,称为威胁代理或威胁矢量。
对策是指可以缓解潜在风险的安全措施。对策的效果可以是减小或消除漏洞,或至少可以减小威胁代理利用风险的可能性。例如,如果网络中有一台设备没有打补丁,这台设备就会存在很多的漏洞。那么,如果将这台设备从网络中取出,不让它与其他任何设备之间交换数据,那么这也等于成功解决了这台设备上的所有漏洞。也许,这台设备不能再称之为一项资产;但网络却可以因此变得更加安全。
要注意,这一切的上限取决于我们需要保密的事物本身。不要为了保护某件资产,就投入比该资产还多的人力物力,因为这样做没有任何意义。这就像花200美金买了一辆二手车,然后为了保护这辆车而花2000美金给它盖一间车库,或者花1500美金为这辆车安装一个告警系统一样,看上去愚不可及。
如果认为某项数据价值连城,人们往往会自动找到保护该数据的最佳方式。不过要切记,某些数据的价值超出了企业的认识,在这种情况下,管理机构就会介入(如政府法规/法律、商业合作协议、合同协议等)。
只是承认风险无处不在(这种极端的方法)是不够的。因为我们可以实施很多安全措施来缓解这些风险。此外,同一部安全设备(如防火墙和入侵防御系统[IPS]),可以同时为多个设备提供保护,因此可以提升成本效益。有鉴于此,只要在合理的安全措施上投入充足的资本,就可以降低网络的风险,并很好地保护企业资产。风险永远也不可能彻底被消除,因此必须在效益和投入上寻求某种平衡。
表1-2对多种安全术语,及与之相关的设施进行了介绍。
1.2.4 资产分类
对资产进行分类的一大原因是为了能够针对策略,对某一类的资产给与特别的关注。以虚拟专用网(VPN)为例。技术人员可以将应该通过VPN隧道进行发送的流量分类(即定义)出来。通过对数据进行分类和打标(就像给某块硬盘的表面贴上“最高机密”的标签),人们就可以判断出应该对这部分数据给予多大程度上的保护。比如,对最高机密数据提供的保护,应该多于对那些未分类的数据所进行的保护。这样做的好处在于,一旦系统中接收到了新的数据,它立刻就可以按照此前为某类数据设置的标准,获得同一级别的保护措施。表1-3列举了一些常见的资产类别。
关键
1.2.5 漏洞分类
理解一个系统或网络中的缺陷/漏洞无异于向改善漏洞,或针对这些漏洞找到缓解威胁的对策,迈出了巨大一步。潜在的网络漏洞不胜枚举,其中大多数漏洞都是源于下列问题中的一项或几项:
策略缺陷;
设计失误;
协议缺陷;
配置有误;
软件漏洞;
人为因素;
恶意软件;
硬件漏洞;
网络资源的物理访问。
Cisco和其他厂商已经在公共区域创建了多种对威胁进行分类的数据库。常见漏洞及公开(Common Vulnerabilities and Exposures,CVE)是向公共开放的安全漏洞及公开大全。只要用最熟悉的搜索引擎快速检索一下就可以找到它们的网址。还有一个国家漏洞数据库(National Vulnerability Database,NVD),这是一个基于标准的漏洞信息库,也可以通过快速检索找到(URL总是不断发生变化,所以还是建议读者采用网络检索的方式自行查找,这样还可以单击搜索过程中看到的任何感兴趣的连接)。
1.2.6 对策分类
当一家公司定义了自己的资产,也考虑到了相关漏洞给资产带来威胁的风险时,那么接下来,这家公司就应该决定为了降低攻击风险,应该实施何种对策。实施对策的常用控制方法如下所示。
关键
管理控制:由书面的策略、流程、指导方针和标准所组成。比如,网络中各用户认同的书面AUP(Acceptable Use Policy,可接受使用协定)。再比如,在需要对网络进行变更时需要遵守的变更控制流程。管理层控制还应包括对用户的背景进行调查等项目。
物理控制:顾名思义,物理控制即保障网络服务器、网络设备和网络基础设施的物理安全性。例如,用能上锁的门将用户和各楼层的机架(即交换机和其他设备的所在地)隔开。再比如,采用冗余的系统(如不间断电源)。
逻辑控制:逻辑控制包括使用密码、防火墙、入侵防御系统、访问列表、VPN隧道等。逻辑控制常常称为技术控制。
不是所有的控制都要平均地创建,也不是所有的控制都是为了实现相同的目的。不过,将这些控制方式结合起来,就可以发挥防御、检测、纠正和识别威胁的作用,并有效地遏制威胁。
1.2.7 我们该如何应对风险
应对风险有很多种方式,其中之一就是把它移除。比如,若不在Internet中架设Web服务器,就相当于消除了所有这台Web服务器有可能面临的风险(但对于那些确实需要利用Web服务器的企业来说,这种做法并不可取)。
避免Web服务器出现问题的另一种选择就是转移风险。比如,不在自己的网络中架设自己的服务器,而是将该功能外包给服务提供商。由服务提供商来承担让这些服务器遭到攻击的责任(和风险),并且与之签署一个保障客户服务级别的协议。
于是,服务提供商现在就存在风险了。服务提供商又该如何处理风险呢?它们的做法和本书中将要介绍的内容相同:通过实施合理的对策来降低风险。它们可以给软件打上相应的补丁,选择合理的防火墙和IPS设备,这都可以降低服务提供商的风险。如果风险纯粹来自于经济层面,也可以通过购买商业保险来管理风险。而当今网络攻击的主要动机,就是获取经济利益。
企业的另一种做法就是自行架设Web服务器,并将可能遇到的风险考虑在内。不幸的是,如果企业没有针对潜在的风险采取任何安全预防措施或对策,那么风险就有可能大到足以让企业蒙受损失,并致使企业破产。大多数人恐怕不会认为这种程度的风险是可以接受的。