Tianji's Blog.

安全域划分的相关问题

安全体系建设
Word count: 2,119 / Reading time: 7 min
2018/11/28 Share

须知:

原则

一切皆不可信

安全域简介

安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。
相对以上安全域的定义,广义的安全域概念是指:具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括但不仅限于:物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统……

安全域划分

通常来说,安全域可以划分为如下几个层次:

建议的划分方法是立体的,即:各个域之间不是简单的相交或隔离关系,而是在网络和管理上有不同的层次。

网络基础设施域是所有域的基础,包括所有的网络设备和网络通讯支撑设施域。网络基础设施域分为骨干区、汇集区和接入区。

支撑设施域是其他上层域需要公共使用的部分,主要包括:安全系统、网管系统和其他支撑系统等。

计算域主要是各类的服务器、数据库等,主要分为一般服务区、重要服务区和核心区。

边界接入域是各类接入的设备和终端以及业务系统边界,按照接入类型分为:互联网接入、外联网接入、内联网接入和内网接入。

原则如下: 将所有相同安全等级、具有相同安全需求的计算机划入[同一网段])内,在网段的边界处进行访问控制
一般实现方法是采用防火墙部署在边界处来实现,通过防火墙策略控制允许哪些IP访问此域、不允许哪些访问此域;允许此域访问哪些IP/网段、不允许访问哪些IP/网段。
一般将应用、服务器、数据库等归入最高安全域,办公网归为中级安全域,连接外网的部分归为低级安全域。在不同域之间设置策略进行控制。

安全域划分的必要性

企业网络的经典结构就是基于安全域的网络结构,一般包括企业数据中心,企业办公内网,DMZ区,广域网和Internet几个部分。基本结构如下图所示。

针对整个企业网络结构,什么是用户输入的内容,用户可以从哪里进行输入呢?

1、终端计算机

2、互联网出入口

3、广域网出入口

4、公司对外发布服务的DMZ服务器

5、VPN和类似远程连接设备。

一般来说,黑客提权或者拿到设备权限之后,第一件事就是想知道我们的内网是什么样子的。那么,他们一定会进行内网扫描。而网络扫描这种事情,又是一种特征非常明显的网络攻击行为,非常易于识别。这就要求我们企业安全管理人员要重点关注内网扫描,做好被攻击后的进一步防护工作。

为了保证黑客攻破某一个设备,不能直接访问我们的核心资源。因此,需要进行安全域划分。同时,我们也要在各个高风险安全域的核心交换机上部署IDS,做好网络安全监控,并且在安全域出入口处部署防火墙,针对IDS产生的报警及时切断相关网络访问路径,保障损失的最小化。

安全域划分、脆弱点及防护方法

边界接入域:

边界接入域划分:

边界接入域的划分,根据公司的实际情况,相对于ISO 13335定义的接入类型,分别有如下对应关系:
实际情况

  • 组织单独控制的连接
    内部网接入(终端接入,如办公网);业务边界(如核心服务边界)
  • 公共网络的连接
    互联网接入(如Web和邮件服务器的外部接入,办公网的Internet接入等)
  • 不同组织间的连接
    外联网接入(如各个部门间的接入等)
  • 组织内的异地连接
    内联网接入(单位接入等其他部门等通过专网接入)
  • 组织内人员从外部接入
    远程接入(如移动办公和远程维护)

边界接入域威胁分析

由于边界接入域是信息系统中与外部相连的边界,因此主要威胁有:

  • Web入侵
  • 恶意代码(病毒蠕虫)
  • 越权(非授权接入)
  • 终端违规操作

边界接入域防护手段

  • 访问控制(如防火墙)用于应对外部威胁
  • 远程接入管理,用于应对非授权接入
  • 病毒检测与防御(IDS&IPS),用于应对蠕虫病毒等
  • 恶意代码防护(防病毒),用于应对蠕虫病毒
  • 终端管理(注入控制、补丁管理、资产管理等)对终端进行合规管理

计算域:

计算域划分:

计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合,根据计算环境的行为不同和所受威胁不同,分为以下三个区:

  1. 一般服务区
    用于存放防护级别较低(资产级别小于等于3),需直接对外提供服务的信息资产,如办公服务器等,一般服务区与外界有直接连接,同时不能够访问核心区(避免被作为×××核心区的跳板);

  2. 重要服务区
    重要服务区用于存放级别较高(资产级别大于3),不需要直接对外提供服务的信息资产,如前置机等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心区;

  3. 核心区
    核心区用于存放级别非常高(资产级别大于等于4)的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。

计算域威胁分析:

由于计算域处于信息系统的内部,因此主要威胁有:

  • 内部人员越权和滥用
  • 内部人员操作失误
  • 软硬件故障
  • 内部人员篡改数据
  • 内部人员抵赖行为
  • 对外服务系统遭受攻击及非法入侵

计算域防御手段:

  • 应用和业务开发维护安全
  • 基于应用的审计
  • 身份认证与行为审计
  • 同时也辅助以其他的防护手段:
  • 对网络异常行为的检测
  • 对信息资产的访问控制

支撑设施域

支撑设施与划分

将网络管理、安全管理和业务运维(业务操作监控)放置在独立的安全域中,不仅能够有效的保护上述三个高级别信息系统,同时在突发事件中也有利于保障后备通讯能力。

其中,安全设备、网络设备、业务操作监控的管理端口都应该处于独立的管理VLAN中,如果条件允许,还应该分别划分安全VLAN、网管VLAN和业务管理VLAN。

支撑域威胁分析

  • 网络传输泄密(如网络管理人员在网络设备上窃听业务数据)
  • 非授权访问和滥用(如业务操作人员越权操作其他业务系统)
  • 内部人员抵赖(如对误操作进行抵赖等)

支撑域防护手段

  • 带外管理和网络加密
  • 身份认证和访问控制
  • 审计和检测

网络基础设施域

网络基础设施域划分

网络基础设施域威胁分析

主要威胁有:

  • 网络设备故障
  • 网络泄密
  • 物理环境威胁

网络基础设施域防护手段

  • 通过备份、冗余确保基础网络的可用性
  • 通过网络传输加密确保基础网络的保密性
  • 通过基于网络的认证确保基础网络的完整性

文章来源:

原文作者: Tianji

原文链接: https://www.tiandiwuji.top/posts/23961/

发表日期: November 28th 2018, 10:49:15 am

版权声明: 本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
  1. 1. 须知:
    1. 1.1. 原则
  2. 2. 一切皆不可信
    1. 2.1. 安全域简介
    2. 2.2. 安全域划分
  3. 3. 安全域划分的必要性
  4. 4. 安全域划分、脆弱点及防护方法
    1. 4.1. 边界接入域:
      1. 4.1.1. 边界接入域划分:
      2. 4.1.2. 边界接入域威胁分析
      3. 4.1.3. 边界接入域防护手段
    2. 4.2. 计算域:
      1. 4.2.1. 计算域划分:
      2. 4.2.2. 计算域威胁分析:
      3. 4.2.3. 计算域防御手段:
    3. 4.3. 支撑设施域
      1. 4.3.1. 支撑设施与划分
      2. 4.3.2. 支撑域威胁分析
      3. 4.3.3. 支撑域防护手段
    4. 4.4. 网络基础设施域
      1. 4.4.1. 网络基础设施域划分
      2. 4.4.2. 网络基础设施域威胁分析
      3. 4.4.3. 网络基础设施域防护手段
Total : 77
2099
2019
2018
pwn ctf web安全 ctf_php_debug 置顶 工具手册 dubbo jvm linux 运维 mysql php python python安全 前端 zookeeper 渗透测试 安全体系建设
安全