1、第十四讲 安全工程 与纵深安全防御体系,2,主要内容,安全工程 纵深防御,3,主要内容,安全工程 纵深防御,4,安全工程,安全工程是一个正在进化的项目,当前尚不存在业界一致认可的精确定义 目前只能对安全工程进行概括性的描述,5,安全工程目标,获取对目标的安全风险的理解 根据已识别的安全风险建立一组平衡的安全要求 将安全要求转换成安全指南 将所有项目集成到一个可共同理解系统安全可信度的程度,6,安全工程生命周期,前期概念 开发和定义 证明与证实 工程实施、开发和制造 生产和部署 运行和支持 淘汰,7,安全工程项目,运行安全:运行环境安全和安全运行态势维护 信息安全:在操作和处理中的信息和信息安全
2、的维护 网络安全:包括网络硬件、软件和协议的保护,也包括在网络上通信的信息 人员安全:有关人员、他们的可信度和他们的安全意识,8,安全工程项目,管理安全:有关安全管理方面和管理系统的安全 通信安全:安全域之间的通信保护,信息在介质上传输时的保护 辐射安全:机器产生的电磁辐射泄露信息 计算机安全:专门处理所有类型的安全计算设备,9,SSE-CMM简介,SSE-CMM(System Security Engineering-Capability Maturity Model)即系统安全工程-能力成熟度模型 该模型的提出,是为了改善安全系统、产品和服务的性能等可用性 1996年10月出版了SSE-C
3、MM的第一个版本,1997年4月出版了评定方法的第一个版本,10,主要内容,安全工程 纵深防御,11,纵深防御,安全不论攻击和防守总体来说都是过程。 安全的成功与否关键在于我门对过程的把握。 在这个过程中我们的防御层数越多,对网络资源进行未授权访问的难度就越大。这一战略通过提供冗余防御层来确保安全性,在某一层 - 或者在某些情况下多个层 - 被攻破时,冗余的防御层能够对资源进行保护,12,纵深防御思想,任何安全产品和关键技术都存在一定的技术局限性 纵深防御的基本思想是采用多层防护以防范计算机威胁,使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施和应用系统,13,纵深防御强调三个主要层
4、面,人员 技术 运行,14,人员,纵深防御要求从组织的最高管理者开始对安全威胁具有明确的认识,并且建立有效的信息保障策略和程序,指定角色和责任,培训包括系统管理员和用户在内的关键人员,强制关键人员履行义务。纵深防御还要求建立物理安全和人员安全的度量以便控制和监控对IT 环境的设施和关键要素的访问。,15,技术,纵深防御强调技术,并提供一个框架提供多层保护。为了提供信息保障服务和检测入侵,存在很大范围的可用技术。为保证得到和部署正确的技术,组织将建立有效的技术获取策略和过程。这些策略和过程将包括安全策略、信息保障原理系统、信息保障体系结构和标准、需要信息保障产品的准则、产品的获取,这些产品已经被
5、有名的第三方确认、配置指南以及评估集成系统风险评估的过程。,16,运行,纵深防御的运行要素集中在所有的活动上,这些活动维持组织的每天的安全事态。纵深防御有关的运行领域包括:安全策略、认证和认可、安全管理、密钥管理、可用性评估、恢复和重构等。,17,注意,按照纵深防御的思想,要达到信息保障,就要求达到这三个主要要素的平衡。在没有受过培训的人使用它,没有运行程序指导他的应用的情况下,技术措施并没有多大价值。,18,纵深防御关键技术领域,纵深防御围绕安全需求,强调四个技术领域:保护计算环境、保护区域边界、保护网络和基础设施、以及支持性的基础设施。,19,纵深防御体系,20,保护计算环境,保护计算环境
6、主要是针对某个特定的区域而言。区域是指通过局域网相互连接、采用单一安全策略并且不考虑物理位置的本地计算设备的集合。单一物理设备可能位于不同的区域之内。本地和远程元素在访问某个区域内的资源时必须满足该区域的安全策略要求。,21,保护计算环境,区域内的局域计算环境包括服务器、客户机以及其上安装的应用程序。很多组织中,具有多个局域计算环境,都需要应用适用的信息保障解决方案。计算环境的安全强调服务器、客户机,包括其上安装的应用程序、操作系统和基于主机的监视器等。,22,保护区域边界,保护区域边界是针对信息进入和离开区域的点。因为许多组织都与其控制范围之外的网络相连,所以需要一个保护层来保障进入该范围的
7、信息不影响机构操作或资源,并且离开该范围的信息是经过授权的。许多组织在其区域边界处采用了多种连接手段,这些连接手段需要同时满足边界信息保障需求。,23,边界安全,边界:保护系统和外界接口部分。 在防护的范围的边界,是整个防护过程的开始。也是要防护的第一个堑壕。,24,边界接入网络设备安全(router,firewall),关注对流入和流出一个边界的数据进行有效的控制和监视。 边界保护主要体现在对路由交换设备的保护以及防火墙系统的设置。 在边界保护中主要采用的技术可以通过路由器和交换机上的各种策略配置实现,对于路由器可以采用关闭各种不必要的服务和增加ACL的方式,对交换机采用配置虚拟局域网的方式
8、。 如果考虑对边界点的深入防范的能力,还需要采用防火墙和入侵监测的辅助设备。,25,边界主机设备,接入边界设备的途径:身份认证。 其他常规主机安全保护机制,26,保护网络和基础设施,网络与基础设施提供区域互连。组织可能采用公共/商业网络和技术,也可能采用专用网服务。必须根据组织的信息保障需求明确保护网络与基础设施的措施。,27,平台安全,应用是搭建在平台上的,因此平台是我门要保护的的第二个堑壕。平台总体上分网络,系统平台。,28,网络平台的安全,安全网络环境建设原则: 对原由系统平滑改造,不对原系统造成影响。 采用不同等级的安全区域隔离方式。 对不同等级间的网络连接采用中间件(或防火墙)互联,
9、并加入审计功能。 对接入网络和核心网络进行安全监视。内部网,(vlan划分,router、switch设置,及其本身的安全),29,系统平台,采用最小权限原则启动服务。 配置各类应用服务自身的安全属性,及时升级各类应用服务的安全补丁。 适当考虑负载均衡措施。 制定标准的各类操作系统安装与初始化配置流程 制定应用软件的安装、升级与卸载规范,30,系统平台,按权限等级划分不同用户组,并严格控制目录及文件的权限 及时安装系统补丁和应用程序补丁 配置操作系统日志功能,并做好日志的统计分析和安全备份 制定服务器和网络设备的远程控制规范,31,windows,Novell,Linux系列,参照Window
10、s NT和Windows 2000系统的标准安全配置方案 参照Novell系统的标准安全配置方案 参照Linux系统的标准安全配置方案,32,sql server和 orcale 自身的安全,参照Ms SQL server,ORECAL数据库标准安全配置方案,33,业务安全,业务安全包含业务系统和业务系统开发的安全两个部分,34,业务系统过程的安全,业务系统的保护主要需要保证业务的连续性和,系统数据的安全性 根据具体业务,制定相应保护策略,35,业务系统开发的安全,定制相应的软件开发项目管理制度 业务开发的安全性测试,36,纵深防御实施原则,多处设防:假定对手可以通过内部人员和外部人员从多点向
11、目标攻击,组织必须在多点布置保护机制以便对抗所有的攻击方法。这些纵深防御的位置至少包括:计算环境、区域边界、网络与基础设施。在每一个纵深防御的位置,至少要部署保护、检测两种手段。,37,纵深防御实施原则,分层保护:即使最好用的安全产品和技术也存在内部缺点。一种有效的对策是在对手和它的目标之间配备多个安全机制。这些机制中的每一个都必须是对手的唯一的障碍。进而,每一个机制都应包括保护和检测两种手段。这些手段都增加了对手被检测的风险,减少了他们成功的机会。最常见的保护方法是在外部网络出口和内部边界配备防火墙和网络入侵检测系统。,38,纵深防御实施原则,配备KMI/PKI:配备强健的密钥管理和公钥基础
12、设施。这些基础设施支持所有的合成一体的信息保障技并能抵抗攻击。提供支持密钥、授权和证书管理的密码基础设施并部署管理和操作人员身份识别措施。,39,纵深防御实施原则,配备入侵检测系统:配备检测入侵、分析和综合结果并根据需要进行反应的基础设施。在纵深防御中,入侵检测系统扮演最高的层级,提供高度协调的方案以管理网络信息安全,识别与分析网络上的威胁,根据要求收集额外信息,快速响应并采取适当的行动。入侵检测系统通过分布式部署的传感器监测网络异常活动,辨析并且响应一般及新的攻击,防止业务运营中断或避免对网络造成危害。,40,内容回顾,安全工程 纵深防御,41,保障信息安全建议,不要忘记安全木桶理论 不要忘记PDCA原则 不断寻找安全最佳实践,
