第一篇:应用防火墙的物理安全策略
应用防火墙的物理安全策略
应用防火墙的物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
应用防火墙抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
应用防火墙的物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
应用防火墙抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
第二篇:防火墙技术的应用
防火墙技术的应用
作 者:郭 丽 指导老师:李争艳
摘 要:为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析,阐述了防火墙的几种技术及其应用模式。最后,详细介绍了防火墙的应用设计。
关键词:防火墙;防火墙技术;防火墙应用模式;防火墙应用设计 防火墙概述
防火墙是设置在不同网络(如可信任的企业内部网络与不可信任的外部公共网络)或者不同网络安全域之间的一系列部件(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,从某种意义来说,防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一,它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间,执行网络安全策略,以有效地阻止来自外界的网络攻击,保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点:内部和外部的所有网络数据流必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙本身应该坚固安全可靠。
第1页(共14页)2 防火墙技术
防火墙技术分为包过滤,代理,NAT,状态监测等几种技术。2.1 包过滤技术
包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用,对具有安全意识的网络管理者来说,包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解,以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用,简要地比较了IP包过滤和其它的网络安全方法如应用级网关,描述了包过滤在每一个包中检查什么,及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题,说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感,并对这些问题提出解决方案。
这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时,对提供好的可能的服务给他们的用户感兴趣的人),站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣,而不是设法管辖内部的人,并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务,而不是防止内部的人有意地或恶意地暗中破坏安全措施。
包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问,而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的,从而提高策略被正确和彻底的实现的可能性。或多或少的,包过滤是完成所有这些目的的一种机制,但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。
为了网络安全,包过滤的一般的可供选择的方法包括用网络访问保护
第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问,然后尝试去保护具有网络访问权的每一台机器一般是不切实际的,没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关,诸如被AT&T, DEC和其他几个机构使用的那些,通常也是不切实际的。因为它们为了到达外部主机,要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的,内部主机的用户简直是不幸的,而且不能到达过去的应用网关。
在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包,那么它将被送到它的目的地,好像路由不曾发生。如果路由器决定拒绝或丢弃一个包,那么该包仅仅被丢弃,好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明),路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息),或只是假装不曾收到该包。另外,本文中,入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包,有时用于从过滤器路由器(在内部网络边缘,内部网络和外部网络之间)的观点谈到包,或用于涉及包经过的路由器接口。一个包在它到外部网络的路上,对于过滤路由器来说,可能看来是入站的,但从内部网络作为一个整体来说,该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的,它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地,一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说,入站接口是在包出现的过滤路由器上的接口,而出站接口是包将经由它出去的接口,如果它不被应用过滤规则拒绝的话。2.2代理技术
具有因特网访问功能的主机代替其它主机完成与因特网的通信,这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务,尽管它看起来像是对所有的主机提供服务。
代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器
第3页(共14页)交谈,而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求,应决定哪个请求可以传送,那个可以不考虑。如果一个请求是许可的,代理服务器就会代表客户与真正的服务器交谈,继而将客户请求传达给真实服务器,并将真实服务器的应答返回给客户。代理服务对用户是透明的,用户与代理服务器交谈就像与真实服务器交谈一样;而对真实服务器米说,它是于一个运行于代理服务器主机上的用户交谈,而并不知道用户的真实所在。代理技术有如下特点:
(1)代理服务允许用户直接地访问因特网服务
使用双宿主主机方式,用户需要在访问任何因特网服务之前连入这个主机,通常这样做很不方便,会使一些用户变得很沮丧,以至于是他们在防火墙周围寻找通道。使用代理服务,用户会认为他们是在直接与因特网服务器进行交流。
当然,后台仍会有更多程序在运行,但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时,它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机,或者通过一个堡垒主机和屏蔽路由器系统。(2)代理服务可以优化日志服务
因为代理服务器可以优先选择协议,所以它们允许日志服务以一种特殊有效的方式运行。例如,一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答,来代替记录所有传送的数据,这样会产生一个小的多也有用的多的日志。
(3)代理服务滞后于非代理服务
尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务,但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后,通常要经过一个明显的延迟,它的代理服务器才会出现,滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时,难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务,那么在找到合适的代理软件之前,将不得不把它置于防火墙之外,这等于打开了潜在的安全缺口。
(4)不同的服务可能要求不同的服务器
第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议,以判断什么是允许的,什么是不允许的,并且它还得扮演两个角色,对真实服务器来说它是用户,对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。
根据所用的代理软件的不同,配置的难易程度也大不相同,在一个地方容易做的事情可能在其它地方非常困难。例如,容易配置的服务器通常实用性比较差,它们之所以可以比较容易地配置,是因为它们限制了各种使用条件,这些条件可能是正确的,也可能根本不适合你的站点。(5)代理服务对用户的限制比较多
代理服务器通常要求对用户和使用过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制,代理服务就不能像非代理服务运行得那样好,它们往往可能曲解协议,而且也缺少一定的灵活性。2.3 NAT技术
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
图1 NAT工作过程
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。2.4状态监测技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。
“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上,进一步发展了“会话过滤”功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
3防火墙的应用模式
由于网络拓扑结构和安全需求等方面的差异,在使用防火墙构建网络安全防护系统时,其应用模式可能是千差万别的。总的来说,比较典型的防火墙应用模式有4种。
3.1屏蔽路由器(Screened Route)
这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常,防火墙功能由路由器提供(在路由器上增加一个防火墙模块),该路由器设置在内部网与internet之间,根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中,防火墙功能也可以用单独的防火墙设备或主机来实现,设置在内部网与路由器之间。参见图2:
内部网
屏蔽
路由器
INTERNET
图2 屏蔽路由器 第7页(共14页)这种应用模式的优点是数据转发速度快,冈络性能损失较小,易于实现,费用较低、它的缺点是安全性比较脆弱,尤其是分组过滤型防火墙,容易被人侵者攻破,进而入侵内部网。3.2双宿主机网关(Dual Homed Gateway)
这种应用模式采用单一的代理服务型防火墙来实现。通常,防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机(Bastion Host),而具有两个网络接口的堡垒。主机称为双宿主机(Dual Home)。这种应用模式由双宿主机充当内部网与internet之间的网关,并在其上运行代理服务器软件,受保护的内部网与Internet之间不能直接建立连接,必 须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3:
内部网
堡垒
主机
INTERNET
图3 双宿主机网关
这种应用模式的安全性略好一些。但仍然比较脆弱,因为堡垒主机是惟一的安全屏障,一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关(Screened Host Gateway)
这种应用模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网的第一道安全屏障;另一个是堡垒主机.构成内部网的第二道安全屏障。参见图4:
内部网
堡垒 主机 屏蔽 路由器
INTERNET
图4 屏蔽主机网关
屏蔽路由器基于下列规则过滤分组流:堡垒主机是内部网惟一的系统,允许外部用户与堡垒主机建立连接,并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障,并且是由两种不同的防火墙构成的,可以优势互补和相互协调。因此,具有较高的第8页(共14页)安全性,并且比较灵活。
3.4屏蔽子网网关(Screened Subnet Gateway)
这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器,堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统,但要受到屏蔽路由器过滤规则的限制。参见图5:
屏蔽子网
内部网
堡垒 主机
堡垒主机
屏蔽 路由器
INTERNET
图5 屏蔽子网网关
在这种应用模式中,内部服务器设有三道安全屏障:两个屏蔽路由器和堡垒主机,入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机,这显然是相当困难的。因此,具有更高的安全性,比较适合保护大型的网络,但成本也比较高。防火墙的应用设计
根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的,必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求,完整的网络安全体系应当包括防护、检测、响应和管理等各个环节,不是单靠某一种安全技本来解决的,也要形成一个动态的安全防护系统。其中,防火墙是整个网络安全体系的基础和关键环节,也是一种常用的安全防护技术,它作为第一道安全屏障最容易受到人侵者的攻击。因此,除了防火墙本身应具有较好的安全防护能力之外,防火墙的应用方案设计也是十分重要的。
第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析
根据网络应用性质,可以将网络应用环境分成3种:开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的,其安全解决方案也有所不同。
(1)开放的网络应用环境:在开放的网络应用环境中,网络服务和信息内容向internet上的所有用户完全开放,如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题,它所面临的安全风险是拒绝服务(Dos)篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范,包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息,使用“补丁”程序来阻塞系统安全漏洞,使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低,防火墙的作用是次要的,必要时可采用屏蔽路由器模式。
(2)专用的网络应用环境:在专用的网络应用环境中,网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的,他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题,主要是用防火墙等技术来防范;后者属于信息安全问题,主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。
在这种网络应用环境中,一般要在内部网与Internet之间设置防火墙,并通过安全规则来控制外部用户对内部网资源(如Web服务器和其他服务器)的访问。根据网络服务的安全要求,选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外,还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。
(3)内部的网络应用环境:在内部的网络应用环境中,内部网与Internet是物理隔离的,网络服务器没置在内部网,只允许内部用户通过内部网访问网络服务器,这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问,窃取和泄露机密信息等。其防范措施主要侧重
第10页(共14页)于解决内部用户对内部网的攻击问题,如采用VLAN、访问控制、安全审计和安全管理等防范措施。
由于不同的网络应用环境所面临的安全风险是各不相同的,不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点,减少盲目性。4.2网络安全系统设计
在上述的4种防火墙应用模式中,每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中,应当根据网络应用系统的安全需求来构造网络安全体系。
在安全要求不高的情况下,一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下,有利于降低系统费用,简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下,可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。
例如:在基于屏蔽子网网关应用模式构建的网络安全系统中,必须将内部网划分为3个子网:内部子网、屏蔽子网与外部网(如Internet)。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器,一个位于内都子网和屏蔽子网之间的内部屏蔽路由器;另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网,而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上,而不能到达外部网。这样内部网和外部网之间不能直接通信,双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区,所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。
第11页(共14页)
图6 网络安全系统结构
内部屏蔽路由器还应当提供网络地址翻译器(NAT)功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的,可见的只是代理服务器的公用IP地址。这样,在屏蔽内部子网结构的同时,还解决了公用IP地址短缺问题。
对于各种对外开放的网络服务器,如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet,在屏蔽子网上设置一个堡垒主机,提供代理服务器功能。这样,既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等,又防止了外部用户攻击内部网,篡改数据或破坏系统。在这种网络安全体系结构中,入侵者想要攻击内部网,必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。
合理地配置防火墙可以防御多种网络攻击,例如:
(1)在防火墙中配置多块网卡,不同的网卡对应于不同的网段,通过将网卡与对应网段绑定,可以防御IP地址欺骗的攻击。
(2)在防火墙中阻塞ICMP报文,只允许某些类型(如回应请求类型)的ICMP报文通过,可以防御“Ping Of death”之类的攻击。
(3)在防火墙中阻塞ActiveX和Java Applets程序,可以防御恶意程序对内部主机进行攻击。
(4)在防火墙中使用NAT功能,所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址,不仅可以使内部主机共享有限的 Internet IP地址,而且能够隐藏内部网络信息。
(5)在防火墙中使用认证功能,可以对主机地址、网卡地址和主机名进行认证,还可以对用户身份进行认证,例如采用口令认证、RADIUS认证以及硬件参与认证等,可以防御地址欺骗、身份假冒等攻击。
另外,对于处于不同地理位置上的内部网通过Internet交换信息时,可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下,应当在屏蔽子网设置一个VPN网关,两个内部网之间通过VPN网关建立一个安全的传输隧道,实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙,而在建立VPN隧道时,双方的身份是经过认证的,都是可信的用户。
第12页(共14页)4.3安全策略设计
在图6所示的网络安全系统结构中,设有3个防火墙:外部分组过滤器(由外部屏蔽路由器提供)、内部分组过滤器(由内部屏蔽路由器提供)和代理服务器(由堡垒主机提供)。根据网络应用的安全需求,必须分别为它们设计安全策略和规则。
(1)外部分组过滤器:外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器(如 Web服务器、FTP服务器等),允许外部用户连接安全代理服务器。每次连接都要产生日志记录,供以后安全审计使用。
(2)内部分组过滤器:内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能,使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络(如Internet)。
(3)代理服务器:代理服务器的缺省规则为禁止听有连接.它允许内部用户访向外部网络的web站点,并提供代理功能,对所代理的连接进行安全检查,禁止内部用户访问非法站点,并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量,发送者、接收者,甚至内容进行检查,并产生日志记录。它在代理 Telnet和 FTP内部服务器时,要求验证用户的身份,允许合法用户以规定的权限上载和下载服务器中的文件,并产生日志记录。
为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作,一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后,便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时,应当及时修改防火墙的安全策略,避免可能产生的安全漏洞。在防火墙工作过程中,可以通过管理软件监视防火墙的日志信息,定期进行安全审计,及时发现系统可能存在的安全漏洞,入侵者的攻击行为以及其他违反安全规则的行为,为网络安全管理提供决策依据。结束语
第13页(共14页)本论文主要研究防火墙技术的应用,从防火墙的简单概述展开,描述了防火墙的四种技术,防火墙的应用模式。最后,阐述了防火墙的应用设计。旨在展望网络安全,即防火墙技术的未来状况。
参 考 文 献
[1] 蔡皖东.网络与信息安全[M].西安:西北工业大学出版社,2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报:计算机科学技术版,2003,38(4):21-33.[3] 蒋建春,冯登国.网络入侵检测技术原理与技术[M].北京:国防工业出版社,2005.[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.[5] 刘克龙,蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报:计算机科学技术版,2005,46(6):11-14.[6] 张凡,李丹灵.网络信息安全的真相[J].深圳大学学报:计算机科学技术版,2006,24(5):12-19.[7] 陈功富.现代计算机网络技术[M].北京:电子工业出版社,2005.[8] 邓吉,柳靖.黑客防攻实战详解[M].北京:电子工业出版社,2006.[9] 郭鑫.防黑档案[M].北京:电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社,2004.[11]邓亚平.计算机网络安全[M].北京:人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
第14页(共14页)
第三篇:21边界防火墙的应用
在上一篇中我们对防火墙的主要技术及设计模式进行较详细的介绍,大家已对防火墙从技术深度有一个理性认识。本篇要介绍防火墙的一些经典应用拓扑结构及特殊应用配置。从中我们可以了解到防火墙的一些具体应用方式,为我们配置自己企业防火墙的应用打下基础。当然这里所说的防火墙仍是传统边界防火墙,不包括后面将要介绍的个人防火墙和分布式防火墙。首先介绍的是防火墙的几种典型应用拓扑结构。
一、防火墙的主要应用拓扑结构
边界防火墙虽然是传统的,但是它的应用最广,技术最为成熟。目前大多数企业网络中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。
传统边界防火墙主要有以下四种典型的应用环境,它们分别是:
●控制来自互联网对内部网络的访问
●控制来自第三方局域网对内部网络的访问
●控制局域网内部不同部门网络之间的访问
●控制对服务器中心的网络访问
下面分别予以介绍。
1、控制来自互联网对内部网络的访问
这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。目前绝大多数企业、特别是中小型企业,采用防火墙的目的就是这个。
在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:
内部网络:这是防火墙要保护的对象,包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从企业内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由企业内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限制那么严格,如Web服务器通常是允许任何人进行正常的访问。或许有人问,这样的话,这些服务器不是很容易初攻击,按原理来说是这样的,但是由于在这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
另外,建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处:一则可以对外屏蔽内部网络构和IP地址,保护内部网络的安全;同时因为是公网IP地址共享,所以可以大大节省公网IP地址的使用,节省了企业投资成本。
在这种应用环境中,在网络拓扑结构上企事业单位可以有两种选择,这主要是根据单位原有网络设备情况而定。
如果企业原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。
如果企业原来没有边界路由器,此时也可不再添加边界路由器,仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口,因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线,但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定要有两个以上的LAN网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应用环境的网络拓扑结构如图2所示。
图1
图2
2、控制来自第三方网络对内部网络的访问
这种应用主要是针对一些规模比较大的企事业单位,它们的企业内部网络通常要与分支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在这种应用环境下,防火墙主要限制第三方网络(以上所说的其它单位局域网或本单位子网)对内部网络的非授权访问。
在这种防火墙应用网络环境中,根据企业是否需要非军事区(放置一些供第三方网络用户访问的服务器)可以有两种具体的网络配置方案:
(1)需要DMZ区。这种情况是企业需要为第三方网络提供一些公用服务器,供日常访问。这种网络环境与上面所介绍的限制互联网用户非法访问企业内部网络一样,整个网络同样可分为三个区域:
内部网络:这是防火墙要保护的对象,包括全部企业内部网络中需要保护的设备和用户主机。为防火墙的可信网络区域,需对第三方用户透明隔离(透明是指“相当于不存在的”意思)。
外部网络:防火墙要限制访问的对象,包括第三方网络主机和设备。为防火墙的非可信网络区域。
DMZ(非军事区):由企业内部网络中一些外部服务器组成,包括公众Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。这些公众服务器为第三方网络提供相应的网络信息服务。
需要保护的内部网络和DMZ区的安全策略也是不同的:需要保护的内部网络一般禁止来自第三方的访问,而DMZ则是为第三方提供相关的服务,允许第三方的访问。
同样必要时可通过NAT(网络地址转换)对外屏蔽内部网络结构,保护内网安全。
我们仍考虑企业原有边界路由器设备,通过配置后它同样可以担当包过滤防火墙角色。这时的DMZ区就可直接连接边界路由器的一个LAN接口上,而无需经过防火墙。而保护内部网络通过防火墙与边界路由器连接。网络拓扑结构如图3所示。如果企业没有边界路由器,则DMZ区和内部网络分别接在防火墙的两个不同的LAN接口上,构成多宿主机模式。
(2)、没有DMZ区:此应用环境下整个网络就只包括内部网络和外部网络两个区域。某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙的同一LAN接口连接,作为内部网络的一部分,只是通过防火墙配置对第三方开放内部网络中特定的服务器/主机资源。网络拓扑结构如图4所示。但要注意的是,这种配置可能带来极大的安全隐患,因为来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机,并以此为据点,进而破坏和攻击内部网络中的其它主机/服务器等网络资源。
以上是考虑了企业是否需要DMZ区的两种情况。与上面介绍的对互联网用户访问控制的应用环境一样,在这种应用环境中,同样可以考虑企业单位原来是否已有边界路由器。这种应用环境下,企业同样可以没有边界路由器。如果没有边界路由器,则须把如图3和图4所示网络拓扑结构按如图2所示进行相应的改变,此时如图3和图4所示网络中,防火墙须直接与第三方网络连接,DMZ区与受保护的内部网络分别连接防火墙的两个不同的LAN接口。不过要注意,如图3所示的网络结构中,DMZ区就相当于没有任何保护,其实也称不上“DMZ区”,所以在企业没有边界路由器的情况下,通常不采用如图3所示网络结构,而是采用图4所示结构,把一些安全级别相对较低的服务器连接与内部受保护的网络连接在一起,只是在防火墙上对这些公众服务器进行特殊权限配置即可。
图3
图4
3、控制内部网络不同部门之间的访问
这种应用环境就是在一个企业内部网络之间,对一些安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些所谓的“敏感部门”通常是指人事部门、财务部门和市场部门等,在这些部门网络主机中的数据对于企业来说是非常重要,它的工作不能完全离开企业网络,但其中的数据又不能随便供网络用户访问。这时有几种解决方案通常是采用VLAN配置,但这种方法需要配置三层以上交换机,同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离,在防火墙上进行相关的配置(比起VLAN来简单许多)。通过防火墙隔离后,尽管同属于一个内部局域网,但是其他用户的访问都需要经过防火墙的过滤,符合条件的用户才能访问。这类防火墙通常不仅通过包过滤来筛选数据包的,而且还要对用户身份的合法性(在防火墙中可以设置允许哪此些用户访问)进行识别。通常为自适应代理服务器型防火墙,这种防火墙方案还可以有日志记录功能,对网管员了解网络安全现状及改进非常重要。网络拓扑结构如图5所示。
图5
4、控制对服务器中心的网络访问
对于一个服务器中心,比如主机托管中心,其众多服务器需要对第三方(合作伙伴、互联网用户等)开放,但是所有这些服务器分别属于不同用户所有,其安全策略也各不相同。如果把它们都定义在同一个安全区域中,显然不能满足各用户的不同需求,这时我们就得分别设置。要按不同安全策略保护这些服务器,可以有两种方法:
(1)、为每个服务器单独配置一个独立的防火墙,网络如图6所示。这种方案是一种最直接、最传统的方法。配置方法也最容易,但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最好的。一则需要购买与托管理服务器数据一样多的防火,对托管中心来说投资非常之大;而且托管中心管理员面对这么多防火墙,其管理难度可想而知。
图6
(2)、采用虚拟防火墙方式,网络结构如图7所示。这主要是利用三层交换机的VLAN(虚拟局域网)功能,先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网,然后通过对高性能防火墙对VLAN子网的配置,就相当于将一个高性能防火墙划分为多个虚拟防火墙,其最终效果如图6一样。这种方案虽然配置较为复杂,但是这也只是首次配置,一旦配置好了,其后的使用和管理就相当方便了,就像用交换机管理多个VLAN子网一样来管理每个用户服务器,而且这种方案在现实中比较经济可行。
图7
二、防火墙的应用配置
在传统边界防火墙应用配置中,最主要体现在DMZ(非军事区)、VPN(虚拟专用网)、DNS(域名服务器)和入侵检测配置等几个方面。下面具体介绍。
1、DMZ(非军事区)应用配置
DMZ这个概念在这几篇防火墙介绍教程中我们多次讲到,由此可见它非常重要,为此我们有必要再次对这样一个防火墙技术进行更深入的研究。
DMZ是作为内外网都可以访问的公共计算机系统和资源的连接点,在其中放置的都是一些可供内、外部用户宽松访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这些系统和资源都不能放置在内部保护网络内,否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。其典型网络结构如图8所示。当然这里的边界路由器也可以是一台专门的硬件防火墙,只是在此想充分利用企业原有设备,节省企业投资。
之所以要把DMZ区放在边界路由器与防火墙之间,那是因为边界路由器作为网络安全的第一防线,可以起到一定的安全过滤作用,因为它具有包过滤功能,通常它不会设置的太严。而防火墙作为网络的第二道,也是最后一道防线,它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务呖呖的一些服务器放置在防火墙之后,显然因安全级别太高,外部用户无法访问到这些服务器,达不到公共服务的目的。
图8
以上所介绍的是一种典型网络应用环境,有些企事业单位用户网络,可能需要两类DMZ,即所谓的“外部DMZ”和“内部DMZ”。外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源,如以上所说的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这部分网络需单独连在主防火墙的一个LAN端口;内部DMZ所放置是内部网络中用防火墙所保护的内部网络中需要供内部网络用户共享的系统和资源(如内部邮件服务器、内部Web服务器、内部FTP服务器等),当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。它的典型网络结构如图9所示。
图9
如果企业没有边界路由器,则外部DMZ区就要单独放置在主防火墙的一个LAN端口上,这也就要求主防火墙具有2个以上LAN接口,因为内部DMZ区也需与主防火墙的一个LAN接口单独连接,以此来配置多宿主机模式。其它连接如图9一样。
典型的防火墙策略是主防火墙采用NAT模式,而内部防火墙采用透明模式工作,以减少内部网络结构的复杂程度,提高网络连接性能。除远程访问和VPN访问外,来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上,不可进入内部DMZ区,更不可能进入受保护的内部网络之中。
VPN(虚拟企业专网)是目前最新的网络技术之一,它的主要优点通过公网,利用隧道技术进行虚拟连接,相比专线连接来说可以大幅降低企业通信成本(降低幅度在70%左右),加上随上VPN技术的发展,VPN通信的安全问题已基本得到解决,所以目前它是一种企业首选通信方式,得到了广大企业用户的认可和选择。目前存在几个典型的VPN隧道协议,包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展,同时为用户带来网络使用成本上的巨大节省。
在防火墙网络中对VPN服务器进行配置的方法有两种:
(1)、传统边界防火墙方式
这一方式中,VPN服务器位于边界防火墙之后,防火墙必须打开内外网络之间相应的VPN通信服务端口,这可能带来安全隐患,这也是传统边界防火墙不能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的,所以边界防火墙无法检测内外网络之间的通信内容,也就无法从中获取过滤信息,这样防火墙很难有效地实现对网络的访问控制、审计和病毒检测。因为VPN服务器与传统边界
2、VPN通信配置防火墙的上述矛盾,所以远程攻击者对很可能将VPN服务器作为攻击内部网络的跳板,给内部网络带来非常大的不安全因素。为了提高网络的安全性,最好再加上如图9中配置的第二道防火墙:内部防火墙,把VPN服务器放置在外部DMZ区中。
(2)、使用VPN专用防火墙
针对传统边界防火墙与VPN通信的上述矛盾,网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙,就可以正确识别VPN通信中的数据包,并且加密的数据包也只在外部VPN客户端与防火墙之间,有交地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。此方案的典型配置如图10所示。
图10
3、DNS
DNS服务器可为互联网提供域名解析服务,对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息,如用户主机名和IP地址等。正因如此,对DNS服务器要采取特别的安全保护措施。
为了安全起见,建议在防火墙网络中,对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务,需要专门放置在内部DNS服务器上。如果将内部网络的相关服务需放置在外部DNS服务器上,则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为“分割DNS”。图11描述了一个典型的“DNS分割”的例子:
图11
在这种典型防火墙DNS服务器配置网络结构中,内部DNS服务器专用来为内部网络系统进行名称解析,使得内部网络用户可以通过它连接到其它内部系统,其中就包括内部防火墙和内部DMZ;外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字,但不能解析出内部网络系统主机的名字。
6、入侵检测
安全检测是信息保障的一个重要环节,也新型防火墙的一个重要功能。目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。
入侵检测系统(Intrusion Detection System,IDS)能够对网络中未经授权用户的访问进行报警,某些时候还能够通过其它手段预防这种非法网络行为。它只能发现已发生的非法访问,而且检测本身不能提供安全保护的作用,但是很多入侵检测产品能够和防火墙这类网络安全保护产品联动,一旦入侵检测发现攻击行为,它可以通知防火墙修改安全规则,阻止后续的攻击网流。
入侵检测方式目前主要分为三类:基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。
建议将基于主机的入侵检测和基于应用的入侵检测产品配置在关键业务服务器上,以检测主机应用层次的网络攻击行为,尤其是基于用户的攻击行为检测。这属于一种高级的入侵检测手段,它所检测的范围覆盖整个网络和应用。必须清楚,这两类产品有极大的安全缺陷:
(1)、时间上的滞后性,由于它们的检测资料来源是主机操作系统/应用的日志记录,因此难以做到实时反应;
(2)、其检测分析结果的准确性完全依赖于主机操作系统日志记录的全面性和准确性;
(3)、占用较多主机资源。
如果防火墙具有一定的入侵检测功能,则可以在主防火墙上打开此功能,在防火墙上使用入侵检测功能可以相当程度地抵制来自外部网络的DoS(拒绝服务攻击)攻击和地址欺骗攻击。
部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通,则可以发挥它们之间的联动功能,提高安全效率。
在漏洞和病毒检测方面,边界防火墙比较难以实现,而在个人防火墙和分布式防火墙中却较容易。因为它们之中软件功能非常强大,而且还可以实时自动联网升级。以实现对最新的系统和病毒进行跟踪检测的目的,最大限度地保证检测的有效性。所以在个人防火墙就有好几种防火墙的叫法,如病毒防火墙、网络防火墙和邮件防火墙等。从这些名字我们要吧看出这些防火墙的主要功能。
好了,关于防火墙的主要应用网络结构及应用配置就介绍至此。下一篇将介绍防火墙的一些最新技术,敬请关注!
第四篇:信息安全策略
信息安全策略
是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式,但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小的。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。
信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值的资料。也需要召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。
为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。
资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。资料收集不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略,更是一件很尴尬的事情。
在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。
收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后,应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。
信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。
评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档
得到高层领导强有力的支持。如果让首席执行官签名不现实,由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。
一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会,在制定信息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职责。
虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。
管理层常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。
新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守,这就表明策略和相关的意识提升是无效的。在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组织文化。
另有一些策略实施的建议:
在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上,加入相关链接让用户能很快定位感兴趣的材料。
制定自我评估调查表—在新的策略实施时,制定评估表,填写实施情况,就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。
制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表,或直接体现在员工合同中。
建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。
基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。
分配策略落实负责人——按部门或实际情况分配负责人,落实责任。
第五篇:管理信息系统安全策略
管理信息系统安全策略
对于企业竞争来说,资料的保密和安全是非常重要的。资料的保密和安全涉及以下几个方面:
1、资料自身的完整性和规范性;
2、资料存储的安全性;
3、资料的维护(更新)和引用(查阅)的管理手续(即流程)的规范性及权力限定的严谨性。
用一句通俗的话来归纳,在企业中,只有通过授权的人(岗位)才可使用(包括维护和引用)相关的资料,严禁未经过授权的人(岗位)非法使用资料。而对于(计算机)管理信息系统应用来说,资料包括基础(技术)数据和业务数据。首选要求数据(即资料)要具有良好的共享性,其次要求流程(即业务)处理具有连贯性。
基于上述两者之间的需求,要求(计算机)管理信息系统本身应具有下列基本功能:
1、保证企业资料的完整性和一致性(关系数据库本身功能可解决);
2、资料存储的安全可靠性(可通过配置高性能的数据库服务器、备份及加强服务器的保安管理可解决);
3、通过强有力的权限管理功能,将企业所有的数据根据实际情况定义出所有者(机构)。同时授权(控制)每个人(岗位)的功能模块(业务操作)使用权限,所能查阅及维护的数据的范围(即能查阅哪些机构的数据,在软件系统中表现为数据表中的记录行),以及查阅及维护数据的哪些明细属性(在软件系统中表现为数据表的列);
4、结合企业运作的实际情况和未来需要,可定义出各业务之间的工作(操作)流程。
点击咨询 