加群交流在后台回复“加群”,添加小编微信,小编拉你进去
后台回复“724”获取入门资料
【文末送书】
接上篇继续往下:【共读】企业信息安全建设与运维指南(一)
三、IDC基础安全体系建设:
3.1安全区域划分和访问控制策略
3.1.1 安全域简介及划分原则
划分遵循的安全原则:
-
等级保护原则:安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。
-
生命周期原则:不仅要考虑静态设计,还要考虑未来的变化,要预留出一定的扩展空间。
-
结构简化原则:直接的目的和效果是将整个网络变得更简单,简单的结构便于设计防护体系。
-
业务保障原则:更好的保障网络上承载的业务能够正常运行,保障安全的同时也要保障业务的运行和效率。
3.1.2安全域划分方案
-
IATF安全区域划分:
比较典型的划分方案,IATF提出4个典型的安全域:本地计算环境、区域边界、网络和基础设施和支撑性设施。
1)本地计算环境:通常包含服务器、客户机和安装它们上面的应用程序 。计算环境的安全性主要关注服务器和客户机。
2)区域边界:信息离开区域的连接点。区域间有各种各样的网络连接,包括Internet、拨号网络、专线、本地局域网互联等。
3)网络和基础设施:包括局域网和广域网,通过路由器、交换机连接起来,基础设施还包括网络管理系统、域名服务器和目录服务等。
4)支撑性设施:为网络、区域边界和本地计算环境提供基础服务。
-
典型企业安全域划分方案
1)办公网:
办公终端区:主要是办公计算机区域
网络和安全管理区:主要包括防病毒、DHCP、DNS、补丁管理、准入系统、数据防泄露系统等。
2)生产网:
计算环境:比较常见应用发布流程是先进行开发、测试,然后进行预发布验证。
网络边界接入:互联网接入区一般提供互联网访问服务或通过服务器访问互联网。
网络和安全管理区:主要部署网络管理系统、运维自动化系统等
3)灾备区
为了保障业务连续性,需要有灾备机房,当生产网发生严重故障或灾难时,可以将业务切换灾备机房。
4)生产服务区进一步划分
-
办公网和生产网(含灾备区)间访问控制策略
1)办公网仅允许访问如下类型端口或服务:
办公应用类,如邮箱、OA等,代码和持续集成,如GIT,SVN,堡垒机对应的服务,如22端口,3389端口,生产HTTP或HTTPS,
2)生产网不允许主动访问办公网
3)如有例外需特殊申请和审批
-
生产网内部区域间访问控制策略
-
生产网区域边界访问控制策略
1)互联网接入区:严格管控对外开放端口或服务,高危端口禁止对外开放。
2)VPN接入区:严格控制权限,按需开放服务ip和端口
3)第三方接入:进行源IP白名单限制
web应用开放在互联网上,会面临各种攻击和探测。除了保障应用自身安全,还要能有效防范web攻击,其安全基础为web应用防火墙。
3.2.1Web应用安全威胁
-
Injection(注入攻击漏洞)
-
Broken Authentication(失效的认证)
-
Sensitive Data Exposure(敏感信息泄露)
-
XXE XML External Entities (XXE,XMl外部处理漏洞)
-
Broken Access Control(失效的访问控制)
-
Security Misconfiguration(安全配置错误)
-
Cross-Site Scripting(XSS,跨站脚本攻击)
-
Insecure Deserialization(不安全的反序列化)
-
Using Components with Known Vulnerabilities(使用含有已知漏洞的组件)
-
Insufficient Logging&Monitoring(日志记录和监控不足)
-
WAF技术原理和实现
WAF一般部署在DMZ区,在防火墙和Web应用服务器之间,对Web服务器进出流量进行监控和防护,保护Web应用系统安全。
-
WAF功能简介:针对web应用的威胁,防护方案如下
1)SQL注入防护
2)Cookie防护
3)敏感信息泄露防护
4)XXE攻击防护
5)XSS攻击防护
6)高危漏洞防护
7)CC攻击防护
8)漏洞扫描防护
9)HTTP协议异常防护
-
WAF产品选型
-
WAF应用实战
-
WAF发展趋势
3.3.DDOS攻击防护
DDOS即分布式拒绝服务攻击,攻击者大量发起请求,耗尽目标主机资源和网络资源,使目标主机不能正常提供服务,这种攻击成本低、危害大、防御难,是企业安全建设重点防范的风险之一。
-
DDOS攻击分类:分为流量型和应用型攻击,流量型包括SYN Foold、ACK Flood、UDP Flood;应用型包括:HTTP CC攻击、DNS Query Flood。
-
DDOS攻击危害:如果流量型攻击容易把互联网入口堵死,如果是CC攻击容易把web服务器或相关数据库服务器打死。
-
正常流量从骨干网络路由器接到用户机房路由器上。
-
DDOS防护系统一般包括检测系统和清洗系统两部分
-
清洗系统开启BGP通告,将原本转向用户机房的路由牵引到清洗系统服务器上。
-
清洗服务器清洗攻击流量,放行正常业务流量
-
正常业务流量回注到用户机房。
DDOS攻击防御的前提是有足够的冗余带宽
3.4 运维堡垒机
3.4.1系统运维面临 的挑战
-
运维操作安全风险:
1)账号认证是否安全
2)授权是否合理
3)违规操作是否可控
4)操作是否可以审计
-
合规和监管要求
1)网络安全等级保护要求
2)ISO27001信息安全管理体系要求
3.4.2运维堡垒机功能简介
-
用户认证和管理功能
1)认证方式:本地账号认证、LDAP账号认证、组合认证
2)管理员:系统管理员、密码管理员、审计管理员
3)运维用户:员工、外包人员、临时用户
-
用户登录、授权、访问控制和审计管理
1)单点登录:通过账号密码登录后,可获取所拥有的资源访问权限
2)授权管理:分为3种,用户、设备、系统账号。
3)操作控制:降低操作风险,对风险命令阻断或审核。
4)操作审计:对操作行为进行审计
-
IT设备管理
1)IT资产管理
2)设备自动改密
-
应用发布功能
3.5安全基线管理
3.5.1 常见安全基线标准
安全基线制定时切忌大而全,这样往往很难落地。核心的安全基线标准包括以下几点:
-
账号密码强度
-
账号安全
-
日志记录
-
安全漏洞修复
-
信息泄露防护
-
服务器操作系统
-
数据库安全基线
-
中间件安全基线
-
网络和安全设备
3.5.2 安全基线核查方案
3.5.3 安全基线生命周期管理
安全基线管理过程中需注意以下几点:
-
切忌制定大而全的标准
-
标准过严,影响业务开展
-
实施方案不理想,落地困难
本期到此结束,下期恭请期待!
赠书福利 赠送新书《企业信息安全建设与运维指南》《黑客攻防从入门到精通(全新升级版)》各一本,由「 北京大学出版社」赞助提供 ,感谢北大社一直以来对本号的支持。感兴趣的朋友推荐入手一本。
添加小编VX:ShiRan_ZT,备注抽奖,不备注不予通过,采用社群红包最佳抽奖方式,
转发此文案到朋友圈,然后添加小编后截图发给小编,小编才可拉入群参与抽奖。
本文始发于微信公众号(释然IT杂谈):【共读】企业信息安全建设与运维指南(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论