等级保护
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、自务院信息化工作办公室制定了《信息安全等级保护管理办法》 ,并于2007 年6 月联合发文实施。
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不强害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进仔保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
《信息安全等级保护管理办法》明确规定,在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999) 、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统适用安全技术要求》(GB/T20271-2006) 、《信息安全技术网络基础安全技术要求》 (GB/T20270-2006 )、《信息安全技术操作系统安全技术要求》 (GB/T20272-2006) 、《信息安全技术数据库管理系统安全按术要求》(GB/T20273-2006) 、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006) 等技术标准同步建设符合该等级要求的信息安全设施。其中GB17859-1999 标准是计算机信息系统安全等级保护系列标准的核心,是施行计算机信息系统安全等级保护制度建设的重要基础。
GB17859-1999 标准规定了计算机系统安全保护能力的五个等级,即:用户自主保护级;系统审计保护级;安全标记保护级;结构化保护级;访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
每一等级的具体划分准则与要求如下。
1.第一级 用户自主保护级
本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
本级实施的是自主访问控制,即计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。
计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。
2. 第二级 系统审计保护级
与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
本级在自主访问控制的基础上控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。
本级的身份鉴别通过为用户提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个己被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体:由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。
对不能由计算机信患系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息以保证数据完整性。
3. 第三级 安全标记保护级
本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述:具有准确地标记输出信息的能力:消除通过测试发现的任何错误。
本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体:仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信崽系统可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、段、设备)相关的敏感标记。这些标记是实施强制访前的基础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机信患系统可信计算基审计。
从用户的角度来看,系统仍呈现两大功能:身份鉴别和审计。计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力,能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
4. 第四级结构化保护级
本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制:支持系统管理员和操作员的职能:提供可信设施管理:增强了配置管理控制。系统具有相当的抗渗透能力。
在第三级实施的自主和强制访问控制基础上,进一步扩展到所有主体和客体。计算机信息系统可信计算基对井部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)实施强制访问控制。计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资源(例如:主体、存储客体、只读存储器)相关的敏感标记。
在第三级审计的基础上,计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
计算机信息系统可信计算基通过自主和强制完整性策略。阻止非授权后户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信道的最大带宽。
对用户的初始登录和鉴别,计算机信息系统可信计算基在它与用户之间提供可信通信路径。该路径上的通信只能由该用户初始化。
5. 第五级访问验证保护级
本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的:必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码:在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能:扩充审计机制,当发生与安全相关的事件时发出信号:提供系统恢复机制。系统具有很高的抗渗透能力。
与第四级相比,自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。
审计方面,计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制,当超过阔值时,能够立即向安全管理员发出报警。并且,如果这些与安全相关的事件继续发生或积累,系统应以最小的代价中止它们。
对于可信路径,当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算基提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活,且在逻辑上与其他路径上的通信相隔离,且能正确地加以区分。计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以进行不损害任何安全保护性能的恢复。
分级保护
1997年《中共中央关于加强新形势下保密工作的决定》明确了在薪形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于如强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时, 《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家己经基本形成了完善的保密法规体系。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容,关系到国家的安全和利益,一旦泄露,必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全,国家就会丧失信息主权和信息控制权,所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。
因为不冉类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,所以需要不同的保护强度种措施。对不同密级的信息,应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想。对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
(1)秘密级,信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
(2)机密级,信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
· 信息系统的使用单位为副省级以上的党政首瞄机关,以及自防、外交、国家安全、军工等要害部门;
· 信息系统中的机密级信息含量较高或数量较多;
. 信息系统使用单位对信息系统的依赖程度较高。
(3)绝密级,信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相连。
涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其要引起重视。
1.涉密信息系统的定级
系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节,因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级”的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时,在同一个系统里,还允许划分不同的安全域,在每个安全域可以分别定级,不同的级别采取不同的安全措施,更加科学地实施分级保护,在一定程度上可以解决保重点,保核心的问题,也可以有效地避免因过度保护而造成应用系统运行效能降低以及技资浪费等问题。涉密信息系统建设单位在定级的同时,必须报主管部门审批。
2. 安全规划方案设计的设施与调整
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求,当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进仔论证,综合考虑修改项和其他保护要求之间的相关性,综合分析,改造方案的实施以及后续测评要按照匮家的标准执行,并且要求文档化。在设计完成之后要进行方案论证,由建设使用单位组织有关的专家和部门进仔方案设计论证,确定总体方案达到分级保护技术的要求后再开始实施:在工程建设实施过程中注意工程监理的要求:建设完成之后应该进行审批:审批前由国家保密局授权的涉密信息系统测评机构进行系统测评,确定在技术层面是否达到了涉密信息系统分级保护的要求。
3. 安全运行与维护
运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运仔维护进行规范,从而确保涉密信息系统正常运行。通过安全检查和持续改进,不断跟踪涉密信患系统的变化,并依据变化进行调整,确保涉密信患系统满足相应分级的安全要求,并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别,所以在运行维护中应尽可能地实现流程固化,操作自动化,减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性,使安全策略作为安全运行的驱动力以及重要的制约规则,从而保持整个涉密信息系统能够按肃、既定的安全策略运行。在安全运行及维护阶段,当局部调整等原因导致安全措施变化时,如果不影响系统的安全分级,应从安全运行及维护阶段进入安全工程实施阶段,重新调整和实施安全措施,确保满足分级保护的要求;当系统发生重大变更影响系统的安全分级时,应从安全运行及维护阶段进入系统定级阶段,重新开始一次分级保护实施过程。
随着我们国家民主与法制建设进程的不断推进,保密的范围和事项正在逐步减少,致使一些涉密人员保密意识和敌情观念淡化,对保密工作的必要性和重要性认识不足。虽然长期处于和平时期,但并不意味着无密可保。事实上,政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反惨透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大。
网络隔离
国家保密局在1998年发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中明确规定:涉密系统不得直接或间接与国际联网,必须实行物理隔离;2000年1月1日正式实施的《计算机信息系统国际联网保密管理规定》中也明确规定“凡涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或者其他公共信息网络相连接,必须实行物理隔离。”
目前国内外的趋势都是用网络隔离这个概念来代替物理隔离或安全隔离等。首先,隔离的概念是基于网络来谈隔离的。没有联网的概念就没有隔离的必要。两个独立的主机,根本就没有联网,就没必要搞隔离。两个完全独立的网络,完全不相关,也没有联网,也没有什么必要搞隔离。离开网络来谈隔离是没有意义的。其次,没有信息交换或资源共亭的概念,也谈不上隔离。两个完全独立的网络,一不需要信患交换,二不需要共享资源,本身就是完全不相关也没有联系的,既不需要联网也不需要踊离。因此,隔离的本质是在需要交换信息甚至是共享资源的情况下才出现,既要信息交换或共享资源,也要隔离。三是物理隔离和安全隔离无法给出一个技术上的精确定义。四是网络隔离可以给出一个完整准确的技术定义。
网络隔离是一项网络安全技术,它消除了基于网络和基于协议的安全威胁,但网络隔离技术也存在局限性,对非网络的威胁如内容安全,就无法从理论上彻成排除,就像人工拷盘一样,交换的数据本身可能带有病毒,即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题,不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的,那么网络隔离是用户解决网络安全问题的最佳选择。
网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了几代隔离技术不断的实践和理论相结合后得来的。
· 第一代隔离技术:完全地隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
· 第二代隔离技术:硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
· 第三代隔离技术:数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
· 第四代隔离技术:空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。
· 第五代隔离技术:安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访向控制列表技术。网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路和数据包的流向。早期的网络安全控制方面基本上是防火墙。但是,防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。值得一提的是防火墙中的NAT技术。地址翻译可以隐藏内网的IP地址,很多人把它当作一种安全的防护,认为没有路由就是足够安全的。地址翻译其实是代理服务器技术的一种,不让业务访问直接通过是在安全上前进了一步,但目前应用层的绕过,NAT技术很普遍,隐藏地址只是相对的。目前很多攻击技术是针对防火墙的,尤其防火墙对于应用层没有控制,方便了木马的进入。进入到内网的木马看到的是内网地址,直接报告给外网的攻击者, NAT的安全作用就不大了。
新一代防火墙技术多重安全网关通过架设更多的关卡来处理不同类别的事务。但是其基本的策略都是架桥的策略,主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,从客户应用上来看,没有不同。
网闸的设计形象的借鉴了船闸的概念,设计采用"代理+摆渡"。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有代理,这个代理不只是协议代理,而是数据的"拆卸"把数据还原成原始的面貌,拆除各种通信协议添加的"包头包尾"。很多攻击是通过对数据的拆装来隐藏自己的,没有了这些"通信外衣"攻击者就很难藏身了。网闸的安全理念是:网络隔离一一一"过河用船不用桥":用"摆渡方式"来隔离网络。协议隔离一一"禁止采用集装箱运输"通讯协议落地,用专用协议或存储等方式阻断通讯协议的连接,用代理方式支持上层业务。
按国家安全要求是需要涉密网络与非涉密网络互联的时候,要采用网闸隔离;若非涉密网络与互联两连通时,采用单向网闸,若非涉密网络与互联网不连通时,采用双向网闸。
交换网络的模型来源于银行系统的Clark-Wilson模型,主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个数据交换区域,负责业务数据交换(单向或双向)。交换网络的两端可以采用多重网关,也可以采用网闹。在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。交换网络的核心也是业务代理。客户业务要经过接入缓冲区的申请代理,到业务缓冲区的业务代理,才能进入生产网络。网闸与交换网络技术都是采用渡船策略,延长数据通信"里程"增加安全保障措施。
网络隔离技术的安全要点概括有如下几点:
(1)要具有高度的自身安全性。隔离产品要保证自身具有高度的安全性,在技术实现上,除了对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,如此,即使黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。
(2) 要确保网络之间是隔离的。保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。
(3)要保证网间交换的只是应用数据。既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop 、Land 、Smurf 和SYN Flood 等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。
(4)要对网间的访问进行严格的控制和检查。作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术,保证每一次数据交换过程都是可信的,并且内容是可控制的,可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。
(5)要在坚持隔离的前提下保证网络畅通和应用透明。隔离产品会部署在多种多样的复杂网络环境中,并且往往是数据交换的关键点,因此,产品要具有很高的处理性能,不能够成为网络交换的瓶颈,要有很好的稳定性:不能够出现时断时续的情况,要有很强的适应性,能够透明接入网络,并且透明支持多种应用。
网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。由于通信使件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是追过软件来实现的。因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的阿间数据交换。
安全监控
系统安全监控是指对系统的运行状况和系统中的用户的行为进行监视、控制和记录。通过系统安全监控,安全管理人员可以有效地监视、控制和评估信息系统的安全运行状况,并为进一步提高系统安全性提供参考和依据。
安全监控通过实时监控网络或主机活动,监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计和跟踪,识别违反安全法规的行为,使用诱骗服务器记录黑客行为等功能,使得管理员能够更有效地监视、控制和评估网络或主机系统。
安全监控可以分为网络安全监控和主机安全监控两大类。
1.网络安全监控
网络安全监控主要实现以下几种功能:
(1)全面的网络安全控制:除了简单的访问控制意外,还应该有入侵检测等功能。
(2) 细粒度的控制:除了根据数据抱头为依据,还应该对应用层协议和数据包内容进行过滤。
(3)网络审计:对所有网络活动进行跟踪,对应用层协议(如HTTP, FTP、 SMTP、POP3 、TELNET等)会话过程进行实时与历史的重现。
(4) 其他:包括日志、报警、报告和拦截等功能。
2. 主机安全监控
主机安全监控主要实现以下几种功能:
(1)访问控制:加强用户访问系统资源及服务时的安全控制,防止非法用户的入侵及合法用户的非法访问。
(2) 系统监控:实时监控系统的运行状态,包括运行进程、系统设备、系统资源和网络服务等,判断在线用户的行为,禁止其非法操作。
(3)系统审计:对用户的行为及系统事件进行记录审计。
(4) 系统漏洞检查:检测主机系统的安全漏洞,防止因主机设置不当带来的安全隐患。
安全监控的内容主要包括以下几点:
(1)主机系统监视:通过系统状态监视可以实现对主机当前用户信息、系统信息、设备信息、系统进程、系统服务、系统事件、系统窗口、安装程序以及实时屏幕等信息的监视和记录。
(2) 网络状态监视:查看受控主机当前活动的网络连接、开放的系统服务以及端口,从而全面了解主机的网络状态。
(3)用户操作监视:对用户的系统配置和操作、应用程序操作和文件操作等进行监视和记录。
(4) 主机应用监控:对主祝中的进程、服务和应用程序窗口进行控制。
(5) 主机外设监视:对受控主机的USB端口、串行端口、并行端口等外设接口,以及USB盘、软驱、光驱等外设实施存取控制。
(6) 网络连接监控:实现对非法主机接入的隔离和对合法主机网络行为的管控。一方面对非法接入的主机进行识别、报警和隔离;另一方面实现对合法主机网络访问行为的监控,包括网络地址端口控制、网络URL控制、邮件控制、拨号连接控制、网络共享控制以及网络邻居控制等。
