作者:禅与计算机程序设计艺术
1.简介
“网络安全”作为计算机领域的重要研究方向之一,已经成为政府、企业、金融机构等各个行业领域的热门话题。在这个重大议题下,网络安全防护体系建设也逐渐成为业界关注的焦点。
本专题将介绍网络安全相关的一些基础知识和关键技术,并结合实践案例讲述网络安全防护体系的构建过程及其技术实现,包括网络访问控制、入侵检测、流量过滤、安全态势感知、攻击响应、信息泄露监控、攻击防御体系等方面。
2.基本概念和术语
2.1 OSI七层模型
OSI(Open Systems Interconnection)七层协议模型简称为OSI模型,它定义了电脑通信的七层网络结构,即物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。每一层都存在一个相对应的协议栈用来处理上面的交换的数据包,每个协议栈都会对上层传过来的报文做一些特殊处理再转发给下层进行处理。如下图所示:
2.2 TCP/IP四层模型
TCP/IP(Transmission Control Protocol/Internet Protocol)是Internet协议簇中的协议,它是一组用于互联网互连的协议。它主要由四层组成,分别是链路层、网络层、传输层、应用层。其中,链路层负责将数据封装成帧并传送到目标计算机,而传输层提供可靠的端到端数据传输服务,应用层则为用户提供各种应用程序接口,如HTTP、FTP、SMTP等。
TCP/IP模型结构如下图所示:
2.3 VPN技术
VPN(Virtual Private Network)翻译成中文就是虚拟专用网络。VPN技术是利用公网或者私网通过加密的方式打通两个不同网络之间的网络连接,能够突破防火墙或路由器的封锁。在运营商内部建立的局域网之间也可以打通。它可以实现全球任意地点之间的互联互通。VPN服务可以提供各种安全防护机制,如身份认证、访问控制、流量控制、加密传输等。根据VPN的部署方式,VPN又分为三种类型,即站点到站点VPN、远程用户VPN和企业VPN。
2.4 SSL/TLS协议
SSL和TLS都是加密传输协议,SSL的前身Secure Socket Layer(以下简称SSL)是一个标准安全套接层协议,由网景公司设计,随后微软和Google收购SSL并改名为Microsoft SSL(以下简称MS-SSL),并推出自己的TLS版本。SSL和TLS都是加密传输协议,目的是为了提供安全的通讯环境,防止第三方窃听、篡改或伪造通信内容。
3.网络访问控制
网络访问控制(Network Access Control)是指在一个组织中管理对网络资源的访问权限的过程和方法。它涉及到网络设备、服务器、个人计算机、移动设备以及其他网络组件等,并根据网络拓扑结构、网络策略、系统角色、资源属性等制定访问控制策略。
网络访问控制主要有三类策略:
- 数据访问控制:控制数据流向,限制对网络资源的直接访问,只有经过授权的人才能访问网络数据;
- 会话控制:控制用户登录到网络资源的时间和方式,阻止非法登录;
- 审计跟踪:记录网络活动日志,审计网络操作记录,识别异常行为。
网络访问控制是一种基于网络拓扑的自动化控制系统,旨在确保企业网络内的系统、数据的安全性、完整性以及可用性。当攻击者入侵某个网络时,首先应该检测出它的存在,然后采取必要的应对措施来防止危害。因此,网络访问控制是保障网络安全的重要一环。
4.入侵检测
入侵检测(Intrusion Detection System)是通过分析网络流量、日志等来检测出网络上的恶意活动或异常行为,进而对计算机系统进行威胁发现、检测和预警。入侵检测系统可以帮助企业发现被感染的系统、人员、或设备,并采取必要的应对措施。
入侵检测系统一般包括三个部分:
- 检测模块:收集网络流量数据并进行实时的分析。
- 分析模块:对网络流量数据进行复杂的计算,判断流量是否存在异常。
- 漏报模块:对检测结果进行统计分析,提高系统的准确率。
入侵检测系统一般采用主机型、网关型、服务器型或多种形式组合使用的。由于系统集成的复杂性,难以保证全面性和准确性,所以在日益发展的网络安全战场上,越来越多的公司选择采用增值型解决方案,比如网络入侵检测系统、云安全中心、终端安全中心等。
5.流量过滤
流量过滤(Traffic Filtering)是一种网络设备用来过滤和阻塞恶意通信的技术,这种技术可以屏蔽指定 IP 地址和端口的通信,从而抵御攻击者的恶意行为。
流量过滤一般采用网卡级别的流量整形技术,只允许符合某些规则的数据包通过,其规则一般根据应用需求制定。目前流量过滤技术已经成为主流,因为它可以有效抵御针对性的攻击,比如 DDoS 攻击、Web 攻击、病毒木马等。
流量过滤系统还需要配合其它网络安全技术才能发挥最大作用,比如流量调度、访问控制、入侵检测等,才能发挥其全部的防御能力。
6.安全态势感知
安全态势感知(Security Information and Event Management)是指通过收集、整合、分析、存储和发布安全相关的信息,以及对安全事件的响应和处置过程,来帮助企业及时掌握网络安全的动态,为组织建立可信的网络安全信息化支撑,减少网络安全事件发生的可能性。
安全态势感知系统一般包括三个功能:
- 信息收集:收集网络安全相关的数据,包括网络日志、攻击数据、扫描报告、威胁情报等。
- 数据整合:对收集到的安全信息进行统一处理,消除数据重复、错误、不完整的情况。
- 数据分析:对整合后的信息进行分析、分类、检索、关联、综合,生成有价值的安全情报,提升网络安全的整体把握。
安全态势感知系统在应对网络安全事件方面起着至关重要的作用,可以帮助企业及时发现网络安全威胁、准确定位网络攻击源头,并对攻击行为进行排查和阻断,避免发生严重事故。
7.攻击响应
攻击响应(Cyber Attack Response)是对网络安全事件发生后的反馈机制,包括企业在收到安全事件后如何进行相应的反应,从而保证网络安全的长久稳定运行。
攻击响应一般包括几个阶段:
- 抗攻击阶段:企业应当针对攻击手段的不同,部署不同的安全防护机制,以降低受到攻击的风险。
- 评估阶段:评估对策和策略的有效性,检查攻击的类型、规模和影响范围,制定后续行动计划。
- 治理阶段:明确责任,落实责任和补偿义务,持续跟踪并维护网络安全状况。
- 恢复阶段:恢复业务正常运行,增强公司的安全意识。
攻击响应系统一般采用多种形式的工具和流程,包括漏洞管理、威胁建模、外部协调、应急响应、反恐应对、定期评估和修复等,这些工具和流程能够帮助企业快速、有效地分析和应对网络安全事件。
8.信息泄露监控
信息泄露监控(Information Leakage Monitoring)是指企业建立信息泄露预警机制,实时监控企业的网络和数据安全状况,发现信息泄露行为,及时启动防御机制,避免信息泄露带来的损失。
信息泄露监控一般包括以下五个要素:
- 隐患发现:系统集成了风险监测、漏洞监测和安全配置管理三个维度,能够对安全威胁和潜在风险进行预警,辅助开发者减少安全漏洞和违规操作。
- 安全事件发现:系统对网络流量和日志进行解析,识别出关键字段、重要信息和恶意操作行为,帮助管理员及时发现、分析和处理安全威胁。
- 风险分析:系统对安全威胁的详细信息进行分析和挖掘,找出内部风险点和外部威胁点,帮助管理员制定安全防范策略。
- 预警通知:系统根据预设的触发条件,向管理员发送安全威胁的实时通知,促使他们注意、解决安全隐患。
- 减轻损害:系统除了向管理员发送安全威胁的实时通知外,还会主动收集、分析、筛选和披露网络数据,为企业提供数据安全风险防范方案。
信息泄露监控系统能够提高企业网络安全防范水平,防止信息泄露带来的损失。它能有效保障网络数据和系统的安全,减轻用户和员工的安全风险。
9.攻击防御体系
攻击防御体系(Cyber Defense Ecosystem)是指保障网络安全的一种系统框架,由基础设施、边界防护、业务防护、网络攻击检测与响应、体系管理、合规性管理和支持等部分组成。
攻击防御体系包括四个层次,它们分别是组织层、基础设施层、业务防护层、网络攻击防御层。
- 组织层:包括网络安全管理、信息安全管理、事件响应和管理、安全培训、法律政策和规章制定、安全监管等工作。
- 基础设施层:包括网络设备和系统的安全加固、基础网络的安全优化、边界防护设施的部署、入侵检测和入侵防护系统的部署、网络基础设施的管理和监督等工作。
- 业务防护层:包括业务系统的设计和研发、业务流量的检测和隔离、业务数据的分类和隔离、业务账户的管理和鉴权、业务应用的加密和防护等工作。
- 网络攻击防御层:包括信息收集、信息验证、威胁分析和抢占、威胁溯源、攻击检测和防护、攻击回应和恢复、业务回滚和复原等工作。
攻击防御体系是防范网络安全的有效框架,能够有效提升组织的网络安全能力。同时,也为不同的攻击方式和目标提供不同的防御策略,从而保障组织的网络安全。