安全域和安全保護等級劃分的原則如下:
按系統網絡結構和數據信息的分類分布,把一個大規模復雜系統劃分為多個實施相同安全保護等級的安全域。
安全域的劃分可以是物理的或邏輯的,兩者都應充分考慮安全保護的因素,比如,應有確定的邊界。
安全域的范圍與數據類的流動范圍應完全一致,按物理的或邏輯的結構,確定可以實施相同等級保護的安全計算域、安全用戶域和安全網絡域。安全域的范圍與數據類的流動范圍應完全一致。
按安全域中的數據類,確定該安全域應具有的安全保護等級。
高級別安全域應盡量按物理結構劃分,并在同一安全域中只有一類數據信息。
三級以下的安全域可以是嵌套結構,比如,在一個局域網組成的二級安全計算域中,可以有一個主機/服務器構成三級安全域。
需要進行較低安全保護等級保護的數據信息所涉及的范圍一般大于需要進行較高安全保護等級保護的數據信息所涉及的范圍。
需要進行高安全保護等級(如四級和五級)保護的數據信息通常應限定在較小的范圍內,就像傳統的辦公保密文件需要在保密室存檔一樣。
一個安全計算域可以由一臺主機/服務器組成,也可以由一個局域網環境組成。
安全計算域和安全用戶域可以視為安全網絡域的節點。
作為定級對象的信息系統應具有如下基本特征:
具有唯一確定的安全責任單位:作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任,則這個下級單位可以成為信息系統的安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。
具有信息系統的基本要素:作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象。
承載單一或相對獨立的業務應用:定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立,且與其他業務應用沒有數據交換,且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有少量的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網絡傳輸設備。
Linux防火墻最顯著的特點就是Linux防火墻其實是操作系統本身所自帶的一個功能模塊,不和傳統防火墻一樣有硬件支持的,就是單純的一個軟件來進行防護,從某些角度來說Linux防火墻也可以看做為包過濾防火墻的一種。在Linux防火墻中,操作系統內核對到來的每一個數據包進行檢查,從它們的包頭中提取出所需要的信息,如源IP地址、目的IP地址、源端口號、目的端口號等,再與己建立的防火規則逐條比較并執行。
防火墻的主要參數有以下這些:
吞吐量 (Throughput):吞吐量是衡量一款防火墻或者路由交換設備的最重要的指標,它是指網絡設備在每一秒內處理數據包的最大能力。吞吐量意味這臺設備在每一秒以內所能夠處理的最大流量或者說每一秒內能處理的數據包個數。設備吞吐量越高,所能提供給用戶使用的帶寬越大,就像木桶原理所描述的,網絡的最大吞吐取決于網絡中的最低吞吐量設備,足夠的吞吐量可以保證防火墻不會成為網絡的瓶頸。舉一個形象的例子,一臺防火墻下面有 100 個用戶同時上網,每個用戶分配的是 10Mbps 的帶寬,那么這臺防火墻如果想要保證所有用戶全速的網絡體驗,必須要有至少 1Gbps 的吞吐量。吞吐量的計量單位有兩種方式:常見的就是帶寬計量,單位是 Mbps (Megabits per second) 或者 Gbps (Gigabits per second),另外一種是數據包處理量計量,單位是 pps (packets per second),兩種計量方式是可以相互換算的。在進行對一款設備進行吞吐性能測試時,通常會記錄一組從 64 字節到 1518 字節的測試數據,每一個測試結果均有相對應的 pps 數。64 字節的 pps 數最大,基本上可以反映出設備處理數據包的最大能力。所以從 64 字節的這個數,基本上可以推算出系統最大能處理的吞吐量是多少。
時延 (Latency):時延是系統處理數據包所需要的時間。防火墻時延測試指的就是計算它的存儲轉發 (Store and Forward) 時間,即從接收到數據包開始,處理完并轉發出去所用的全部時間。在一個網絡中,如果我們訪問某一臺服務器,通常不是直接到達,而是經過大量的路由交換設備。每經過一臺設備,就像我們在高速公路上經過收費站一樣都會耗費一定的時間,一旦在某一個點耗費的時間過長,就會對整個網絡的訪問造成影響。如果防火墻的延時很低,用戶就完全不會感覺到它的存在,提升了網絡訪問的效率。時延的單位通常是微秒,一臺高效率防火墻的時延通常會在一百微秒以內。時延通常是建立在測試完吞吐量的基礎上進行的測試。測試時延之前需要先測出每個包長下吞吐量的大小,然后使用每個包長的吞吐量結果的 90%-100% 作為時延測試的流量大小。一般時延的測試要求不能夠有任何的丟包。因為如果丟包,會造成時延非常大,結果不準確。我們測試一般使用最大吞吐量的 95% 或者 90% 進行測試。測試結果包括最大時延,最小時延,平均時延,一般記錄平均時延。
新建連接速率 (Maximum TCP Connection Establishment Rate):新建連接速率指的是在每一秒以內防火墻所能夠處理的 HTTP 新建連連接請求的數量。用戶每打開一個網頁,訪問一個服務器,在防火墻看來會是 1 個甚至多個新建連接。而一臺設備的新建連接速率越高,就可以同時給更多的用戶提供網絡訪問。比如設備的新建連接速率是 1 萬,那么如果有 1 萬人同時上網,那么所有的請求都可以在一秒以內完成,如果有 1 萬 1 千人上網的話,那么前 1 萬人可以在第一秒內完成,后 1 千個請求需要在下一秒才能完成。所以,新建連接速率高的設備可以提供給更多人同時上網,提升用戶的網絡體驗。新建連接速率雖然英文用的是 TCP,但是為了更接近實際用戶的情況,通常會采用 HTTP 來進行測試,測試結果以連接每秒 (connections per second) 作為單位。為什么針對防火墻要測試這個數據呢?因為我們知道防火墻是基于會話的機制來處理數據包的,每一個數據包經過防火墻都要有相應的會話來對應。會話的建立速度就是防火墻對于新建連接的處理速度。新建連接的測試采用 4-7 層測試儀來進行,模擬真實的用戶和服務器之間的 HTTP 教過過程:首先建立三次握手,然后用戶到 HTTP 服務器去 Get 一個頁面,最后采用三次握手或者四次握手關閉連接。測試儀通過持續地模擬每秒大量用戶連接去訪問服務器以測試防火墻的最大極限新建連接速率。
并發連接數 (Concurrent TCP Connection Capacity):并發連接數就是指防火墻最大能夠同時處理的連接會話個數。并發連接數指的是防火墻設備最大能夠維護的連接數的數量,這個指標越大,在一段時間內所能夠允許同時上網的用戶數越多。隨著 web 應用復雜化以及 P2P 類程序的廣泛應用,每個用戶所產生的連接越來越多,甚至一個用戶的連接數就有可能上千,更嚴重的是如果用戶中了木馬或者蠕蟲病毒,更會產生上萬個連接。所以顯而易見,幾十萬的并發連接數已經不能夠滿足網絡的需求了,目前主流的防火墻都要求能夠達到幾十萬甚至上千萬的并發連接以滿足一定規模的用戶需求。并發連接數雖然英文用的是 TCP,但是為了更接近實際用戶的情況,通常會采用 HTTP 來進行測試。它是個容量的單位,而不是速度。測試結果以連接 (connections) 作為單位。基本測試的方法和 HTTP 新建連接速率基本一致,主要的區別在于新建連接測試會立刻拆除建立的連接,而并發連接數測試不會拆除連接,所有已經建立的連接會保持住直到達到設備的極限。
數據安全技術包括以下五種技術:
用戶標識和鑒別技術:該方法由系統提供一定的方式讓用戶標識自己的名字或身份。每次用戶要求進入系統時,由系統進行核對,通過鑒定后才提供系統的使用權。
存取控制技術:通過用戶權限定義和合法權檢查確保只有合法權限的用戶訪問數據庫,所有未被授權的人員無法存取數據。例如C2級中的自主存取控制(I)AC),Bl級中的強制存取控制(M.AC)。
視圖機制技術:為不同的用戶定義視圖,通過視圖機制把要保密的數據對無權存取的用戶隱藏起來,從而自動地對數據提供一定程度的安全保護。
審計技術:建立審計日志,把用戶對數據庫的所有操作自動記錄下來放人審計日志中,DBA可以利用審計跟蹤的信息,重現導致數據庫現有狀況的一系列事件,找出非法存取數據的人、時間和內容等。
數據加密技術:對存儲和傳輸的數據進行加密處理,從而使得不知道解密算法的人無法獲知數據的內容。
定性評估方法的優點是避免了定量方法的缺點,可以挖掘出一些蘊藏很深的思想,使評估的結論更全面、更深刻;但它的主觀性很強,對評估者本身的要求很高。
定性的評估方法主要根據研究者的經驗、知識、政策走向、歷史教訓及特殊變例等非量化資料對系統風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄為基本資料,之后通過一個理論推導演繹的分析框架,對資料進行編碼整理,在此基礎上做出調查結論。
定性分析方法主要有邏輯分析法、德爾斐法、因素分析法、歷史比較法。
定量的評估方法是指運用數量指標來對風險進行評估。
定量的評估方法的優點是用直觀的數據來表述評估的結果,看起來比較客觀,而且一目了然,定量分析方法的采用,可以使研究結果更嚴密,更科學,更深刻。有時,一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的;但常常為了量化,使本來比較復雜的事物簡單化、模糊化了,有的風險因素被量化以后還可能被誤解和曲解。
定量分析方法主要有等風險圖法、決策樹法、因子分析法、時序模墅、回歸模型、聚類分析法等。
在信息系統信息安全風險評估過程中,層次分析法經常被用到,它是一種綜合的評佑方法,這是一種定性與定量相結合的多目標決策分析方法,其核心是將決策者的經驗判斷給予量化,從而為決策者提供定量形式的決策依據。該方法對系統進行分層次、擬定量、規范化處理,在評估過程中經歷系統分解、安全性判斷和綜合判斷三個階段。
本地私有云
本地私有云提供了云計算的抽象和標準化優勢,盡管容量僅限于可用的基礎架構。該組織負責整個堆棧,從數據中心到硬件再到管理,以及在其上運行的應用程序代碼。私有基礎架構機架在物理上是隔離的,因此自然會分離不同的計算工作負載。因此,這些環境適用于私有云。
這些類型的本地私有云使用基于OpenStack,Eucalyptus,Nutanix或其他框架構建的通用體系結構。重虛擬化的IT系統,通常建立在VMware軟件,是常見的,提供了許多的私有云,同樣的好處,如彈性的資源消耗。
托管型私有云
市場一小部分是由托管私有云組成,典型地聯合硬件/軟件捆綁,位于用戶所在地。但與其它類型最大的不同是,它由供應商管理。在這個類型中,供應商提供支持,維護,升級甚至遠程管理私有云。這對于企業是一個方法,但將私有云責任都轉向了服務提供商。有時供應商甚至提供更進一步堆棧服務,比如管理運行在云上的軟件應用程序。
托管型私有云提供商比如:Citrix, Cisco, CSC, Dell, EMC, HP, IBM, Mirantis, Rackspace。
構建私有云
云基礎架構是指云計算所需的組件。無論是私有云、公共云還是兩者的組合,云基礎架構的基本要素都是相同的。
所有的云都需要像Linux這樣的操作系統,但其基礎架構可以包含各種裸機、虛擬化或容器軟件,它們能夠抽象、匯集和共享整個網絡中的可擴展資源。
您可以利用專有資源自己構建私有云,也可以使用預先打包的云基礎架構,如 OpenStack。
數據安全技術包括以下五種技術:
用戶標識和鑒別技術:該方法由系統提供一定的方式讓用戶標識自己的名字或身份。每次用戶要求進入系統時,由系統進行核對,通過鑒定后才提供系統的使用權。
存取控制技術:通過用戶權限定義和合法權檢查確保只有合法權限的用戶訪問數據庫,所有未被授權的人員無法存取數據。例如C2級中的自主存取控制(I)AC),Bl級中的強制存取控制(M.AC)。
視圖機制技術:為不同的用戶定義視圖,通過視圖機制把要保密的數據對無權存取的用戶隱藏起來,從而自動地對數據提供一定程度的安全保護。
審計技術:建立審計日志,把用戶對數據庫的所有操作自動記錄下來放人審計日志中,DBA可以利用審計跟蹤的信息,重現導致數據庫現有狀況的一系列事件,找出非法存取數據的人、時間和內容等。
數據加密技術:對存儲和傳輸的數據進行加密處理,從而使得不知道解密算法的人無法獲知數據的內容。
可溯源和防攻擊
IPv6的地址空間巨大,理論上不會再有IPv6地址短缺困境,也不需要廣泛使用NAT設備節省IPv6公網地址。IPv6終端之間可以直接建立點到點的連接,無需地址轉換,因此IPv6地址非常容易溯源。
IPv6地址分為64位的網絡前綴和64位的接口地址。一個64位的前綴地址支持64位的主機數量,攻擊者無法掃描一個IPv6網段內所有可能的主機。假設攻擊者以每秒掃描100萬個主機的速度掃描,大約50萬年左右才能遍歷一個64位前綴內所有的主機地址。64位的主機地址使得網絡掃描的難度和代價都大大增加,從而進一步防范了攻擊。
支持IPSec安全加密機制
IPv6協議中默認集成了IPSec安全功能,通過擴展認證報頭(AH)和封裝安全載荷報頭(ESP)實現加密和驗證功能。
AH協議實現數據完整性和數據源身份認證功能,ESP在上述功能基礎上增加安全加密功能。集成了IPSec的IPv6協議真正實現了端到端的安全,中間轉發設備只需要對帶有IPSec擴展包頭的報文進行普通轉發,而不對IPSec擴展包頭進行處理,大大減輕轉發壓力。
NDP和SEND的安全增強
在IPv6協議中,采用鄰居發現協議(NDP)取代現有IPv4中的ARP及部分ICMP控制功能。NDP協議通過在節點之間交換ICMPv6信息報文和差錯報文實現鏈路層地址及路由發現、地址自動配置等功能,并且通過維護鄰居可達狀態來加強通信的健壯性。
NDP協議獨立于傳輸介質,可以更方便地進行功能擴展。現有的IPv6協議層加密認證機制可以實現對NDP協議的保護。IPv6的安全鄰居發現協議(SEND)協議是NDP的一個安全擴展,SEND的目的是提供一種備用機制,通過獨立于IPSec的另一種加密方式保護NDP,保證了傳輸的安全性。
真實源地址驗證體系
真實源IPv6地址驗證體系結構(SAVA)分為接入網(Access Network)、區域內(Intra-AS)和區域間(Inter-AS)源地址驗證三個層次,從主機IP 地址、IP 地址前綴和自治域三個粒度構成多重監控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊,還能夠通過監控流量來實現基于真實源地址的計費和網管。
浙江等保測評公司有以下這些:
浙江省電子信息產品檢驗研究院
編號:DJCP2010330086
浙江省發展信息安全測評技術有限公司
編號:DJCP2010330087
浙江鑫諾檢測技術有限公司
編號:DJCP2010330089
浙江東安檢測技術有限公司
編號:DJCP2010330090
浙江安遠檢測技術有限公司
編號:DJCP2011330091
浙江辰龍檢測技術有限公司
編號:DJCP2014330092
浙江方圓檢測集團股份有限公司
編號:DJCP2014330093
入侵檢測的數據源或者說信息源主要有以下這些:
從網絡層收集:這一層主要包括ip地址、端口號、順序號、協議類型、網絡實體名(如服務器名)、校驗和、設置選項等;
從操作系統收集:這一層主要包括命令、庫、備份程序、登錄程序以及其他核心子系統;
從應用層收集:這一層主要包括應用程序的日志記錄,主要包括操作系統審計痕跡、系統日志和其他相關應用程序的日志。
加強大學校園網安全的措施有以下這些:
規范出口管理:實施校園網的整體安全架構,必須解決多出口的問題。對于出口進行規范統一的管理,為校園網的安全提供最基礎的保障。
配備完整系統的網絡安全設備:在網內和網外接口處配置“定的網絡安全設備就可防止大部分的攻擊和破壞,一般包括:防火墻、人侵檢測系統、漏洞掃描系統、網絡版的防病毒系統等。另外,通過配置安全產品可以實現對校園網絡進行系統的防護、預警和監控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網絡的故障可以迅速定位并排除。
解決用戶上網身份問題:建立全校統一的身份認證系統。校園網絡必須要解決用戶上網身份問題,而身份認證系統是整個校園網絡安全體系的基礎的基礎,否則即使發現了人侵行為,也確定不了肇事者。所以只有建立了基于校園網絡的全校統一身份認證系統,才能徹底的解決用戶上網身份問題,同時也為校園信息化的各項應用系統提供安全可靠的保障。
嚴格規范上網場所:對上網場所進行集中管理和監控,上網用戶不但要通過統一的身份認證系統確認,并且合法用戶上網也要受到統一的監控,上網行為日志要集中保存在中心服務器上,保證這個記錄的法律性和準確性。
出臺網絡安全管理制度:網絡安全的技術是多樣化的,網絡安全的現狀還是道高一尺魔高一丈,因此網絡安全管理的工作就愈發重要和艱巨,必須要做到及時進行漏洞修補和定期巡檢,保證對網絡的監控和管理。
軟件安全的通用安全需求有以下這些:
安全架構需求:安全架構需求是指考慮軟件系統本身的安全可靠性,系統的兼容性、經濟性,與現有IT結構的繼承性,以及定制化的靈活性。可以通過問卷調查和訪談獲取安全架構需求。
會話管理需求:會話管理需求是指,一旦會話被建立,可以保持在一種不損壞軟件安全性的狀態下進行有效會話。
錯誤和例外管理需求:錯誤和例外消息是信息泄露的潛在來源。冗長的錯誤消息和未處理的例外或異常報告會導致內部應用程序體系結構、設計和配置信息泄露。使用簡潔的錯誤消息和結構化的例外事件處理方法,可以減少安全風險。軟件安全需求文檔中要明確闡述錯誤和例外的定義及其處理方法,避免信息泄露的威脅。
配置參數管理需求:軟件配置參數和組成軟件的代碼需要被保護,以防止黑客的攻擊。例如,應用程序配置文件必須對敏感的數據庫連接和其他敏感的應用程序設置進行加密。需要謹慎而明確地對初始化和全局變量的丟棄處理活動進行監控。應用程序或會話的起始和終止事件必須包含對配置信息的安全保護。
順序和時間需求:軟件進程運行的順序和時間設計缺陷會導致競爭條件和檢查時間或者使用時間攻擊。競爭條件實際上是最常見的一種軟件設計缺陷,有時也稱為競爭風險。
公鑰密碼系統提供的安全服務有以下三種方式:
加密解密:發送方可以用接收方的公鑰加密消息。
數字簽名:發送方用其私鑰“簽署”消息,通過對消息或作為消息函數的小塊數據應用加密算法來進行簽署。
密鑰交換:兩方互相合作可以進行會話密鑰的交換。
控制目標是指企業根據具體的計算機應用,結合單位實際制定出的安全控制要求。
安全漏洞是指系統的安全薄弱環節,容易被干擾或破壞的地方。
控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。
控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效,評價企業安全措施的可依賴程度。
云計算通過引入虛擬化技術,將物理資源池化,按需分配給用戶,這里涉及到計算虛擬化、網絡虛擬化、存儲虛擬化。云服務商為用戶提供虛擬化實體,對用戶而言,以租用的形式使用的虛擬主機、網絡和存儲,傳統的網絡邊界不可見。在云計算中,傳統的安全問題仍然存在,諸如拒絕服務攻擊、中間人攻擊、網絡嗅探、端口掃描、SQL注入和跨站腳本攻擊等。
在傳統信息系統中,通過在網絡邊界部署可實現安全的防護。但在云環境中,用戶的資源通常是跨主機甚至是跨數據中心的部署,網絡邊界不可見,由物理主機之間的虛擬網絡設備構成,傳統的物理防御邊界被打破,用戶的安全邊界模糊,因此需要針對云環境的復雜結構,進一步發展傳統意義上的邊界防御手段來適應云計算的安全性。
云環境中的責任主體更加復雜,云服務商為租戶提供云服務,不可避免會接觸到用戶數據,因此云服務商內部竊密是一個很重大的安全隱患。事實上,內部竊密可分為內部工作人員無意泄露內部特權信息或者有意和外部敵手勾結竊取內部敏感信息兩種。在云計算環境下,內部人員還包括云服務商的內部人員,也包括為云服務商提供第三方服務的廠商的內部人員,這也增加了內部威脅的復雜性。因此需要采用更嚴格的權限訪問控制來限制不通級別內部用戶的數據訪問權限。
在云環境下,數據存儲在共享云基礎設施之上,當用戶數據的存儲與數據維護工作都是由云服務商來完成時,就很難分清到底是誰擁有使用這些數據的權利并對這些數據負責。需要更明確的職責劃分,更清晰的用戶協議,更強的訪問控制等多種手段來限制內部人員接觸數據并盡可能與用戶達成共識。
圍繞云安全的相關合規標準在落地過程中會遇到各種問題,采用什么樣的安全產品才能讓云以及云的用戶滿足等保相關要求,近些年才開始逐漸明確。
