柔中带刚,刚中带柔,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!
全部博文(1669)
分类: 系统运维
2015-12-11 11:43:33
1 前言-信息安全管理的挑战
如何应对现在新的网络安全环境?如何在我们的网络上确保安全,及时地发现问题、跟踪定位和阻止泛滥,是每个网络管理人员所思考的问题。现在尽管采用了防火墙、虚拟专用网(VPN)、身份验证机制、入侵检测系统(IDS)和其他技术来保障网络安全,但是网络攻击的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机,就可以在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据,它们也可能会产生大量的网络流量,严重影响企业开展业务的能力,从而导致网络中断和收入损失。
因此,企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发现可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。这使得企业的安全管理人员很难确定为了购买更多的安全技术而增加预算的必要性。
有很多相关的因素共同导致了这种僵局,例如:
综合起来看,我们企业遇到的安全管理问题主要归结为一下五个方面:
近年来,企业的网络安全意识逐步提高,很多企业根据核心数据库和系统运营的需要,逐步部署了防火墙、防病毒和IDS等安全产品,并配备了相应的安全策略。有了这些措施,看起来好象一切问题都解决了,但是为什么在面对网络攻击时依然损失惨重呢?
如今,随着计算机和通讯技术的高速发展,网络的开放性、互连性、共享性程度的扩大,企业越来越依赖信息和网络技术来支持他们在全球市场中的 迅速成长和扩大。但随之而来的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒……可以说,网络从没有象今天这样脆弱不堪、危机四伏,不知道什么时候灾难 就会降临。
在黑客技术发展层面,以及越来越频繁爆发的网络危机来看,黑客们已熟悉了防火墙、IDS等安全部件执行的传统访问控制策略。他们的攻击方式己不只是针对防火墙等产品的开放端口进行扫描,而是直指应用程序层面,寻找一切可以利用的漏洞。攻击手段越发复杂隐蔽和立体,如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性,对网络安全提出了新的挑战。
从另一个角度来看,企业在网络建设初期网络安全并没有很好地规划。随着网络建设的深入,安全产品不断增加,整体缺乏统一管理,相互间没有沟通交互,信息无法有效整合,是一些信息安全的孤岛,各个应用系统之间缺乏有效联系,信息得不到整合,发挥不出其应有的价值。同样的问题放在网络安全上,这一效应就有可能放大成为风险,给企业IT系统的持续运转埋下隐患。
现在的防病毒软件有自己的管理系统,防火墙有自身管理系统,不同的系统有不同的网络管理软件,所以网络管理人员要保持对不同产品管理系统信息的检查。
其实这些来自不同安全产品的信息之间存在很大的相关性,如果分开独立地看待这些来自单一设备的信息,很有可能会忽略到一些重要的细节或关键因素,致使网络遭受重大打击。
设想,当一个攻击发生时,防病毒、防火墙、IDS产品都发出了自身的报警信息,由于缺乏事件的关联性,一个事件会引起多个或大量的安全信息。这使网络管理人员无法进行及时处理,往往顾此失彼,手足无措,无法针对事件做出及时响应,迅速地给出一个良好、有效的解决办法。
不同安全产品的管理人员处理问题往往只针对自己产品本身,而没有统一调整整个网络的防御策略,这样往往会错过处理的最佳时机,而无法使企业网络在遭受病毒或攻击的时候,最大限度地减少所遭受的损失。
如果这种状况持续下去,网络安全管理员所看到的永远只是一个相对独立的安全信息,就像是那个盲人摸象的故事。看问题只是看到了一个角,而没有看到问题的全部,那些细节和隐藏在外表下的真相可能恰恰被忽略,而它们往往是问题的关键所在。像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众 多的大型企业,这种问题尤为突出。
我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器上,作安全的事后审计。一个大型的网络,包含若干的网络产品,这些网络设备随时随地都在发送SysLog信息,每天产生的Log信息达到数万之多,任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障;即使有丰富知识的网络管理员,能通过Syslog分析得到有用的网络信息,但是响应速度也是很慢的。
不断叠加的网络设备,成几何级增长的数据,往往降低了企业对事故的响应速度。如果再加上一些莫名其妙的虚假警报,公司的网络运维人员数量将急剧增长,但这依然无法保证网络的安全,有的时候企业不得不因为某一两个人的一个微小错误或疏忽而付出高昂的代价。
这就是为什么企业在部署了众多安全设备后,依然无法有效地进行安全防范的原因。IT管理者们更希望在问题发生的时候,得到一个综合全面的安全报 告,以了解企业网络到底处于什么样的状态,遭受过什么样的攻击,正面临着什么样的危险?而不是每一个产品信息的简单罗列,企业需要一个能集中管理所有产品 信息、智能化的安全管理中心。
“安全是三分技术,七分管理。”已为大家所广泛熟知,但是怎么管理、怎么进行有效地利用,却始终困绕着众多CIO。诚然,一个良好的安全机制和策 略能给企业提供一定的安全保障,但面对网络中数目日益庞大的不同品牌和功能的安全产品,网络管理人员愈发捉襟见肘,单纯依靠人力的管理和维护不但效率低下,而且还面临很多不确定的因素和风险。
综上所述,不难看出,近年来,安全管理中心、集中安全管理平台的理念和整体解决方案越来越得到用户认可的一个深层次原因。
信息安全管理最开始是基于每一台安全设备的管理,到每一类安全设备(FW/IDS/VPN)的网元级的管理(比如Cisco的VMS),因为单独的安全设备不能解决安全的网络问题,独立的基于网元的管理更不能解决日益复杂的安全的问题,必须寻求新的方法。随着信息技术的发展,面对新一代的黑客攻击,蠕虫,病毒等安全威胁,建设安全的网络是业界目前所追求的理想目标。
那么什么是安全的网络?安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务,安全感知和管理,具有自我防御能力的网络系统。
单纯从技术的角度而言,目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上,根据对安全的期望值和目标,制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析,来发现网络中的入侵行为或异常行为,及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当发生安全事件的时候所采取的处理手段,与入侵防护和入侵检测不同,事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后,尽快恢复损失前的状态。除此之外,风险评估、安全策略和管理规定等,经常也被作为安全保障的重要部分。
但是不论有多少环节,要想实现安全的网络,风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作,有了这些准备工作,事件响应才可以及时得到各种必要的审计数据,进行准确的分析,采取措施降低损失或者追踪入侵者的来源等。因此,应急响应实际上将各个环节贯穿起来,使得不同的环节互相配合,共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应,不但取决于安全产品本身采取了什么技术,更取决于使用和管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具,可以让安全管理人员对网络的安全状态了如指掌,快速行动,真正实现安全网络。下图为安全网络系统模型,可见安全响应管理具有非常重要的作用。
安全信息管理涵盖的范围非常全面,包括风险管理,策略中心,配置管理,事件管理,响应管理、控制系统,知识和情报中心,专家系统等,每个部分都需要严密的设计,相互协作,真正实现一个高效率的,实用的,完整的安全信息集中管理平台。安全管理在安全网络建设的循环中,起到一个承前启后的作用,是实现安全网络的关键。
根据信息安全管理的功能和特性,可将其工作流程分成以下4个阶段,如下图所示,每个阶段侧重解决不同的信息安全问题、实现不同的安全目标:
配置阶段的管理目标主要是实现对安全产品的:
网络安全的设备种类和型号十分繁多,网络管理员经常会深陷于复杂的设备配置之中,尤其是采用命令行界面进行配置的时候,要熟计记繁多的命令,给网络管理人员增添了过多的工作负担。往往造成效率不高的问题。所以对于日常的网络运作,非常需要有相关的网络安全管理配置软件,将网络管理人员的工作减到最少。
网络安全管理配置软件根据其处理对象的不同,分成网元管理配置软件和网络管理配置软件。网元管理软件只管理单独的网元(网络设备),而通用网络管理软件的管理目标为一个网络。网元管理软件的特点是,专注于网络设备本身的底层的功能,进行网络监控,配置的工具。各种复杂的高层的网络管理,离不开基本的底层的设备本身的管理。
监控阶段的管理目标主要是实现对安全产品的:
网络管理员日常工作中,除了对经常增加的业务进行配置之外,另外一个主要的工作就是监控网络的正常语法。伴随着网络的正常应用流量,网络上形形色色的异常流量也随之而来,影响到网络的正常运行,威胁用户主机的安全和正常使用。这就非常需要有合适的网络安全管理监控软件,帮助网络管理员快速,有效地监控网络流量。
分析阶段的管理目标主要是实现:
谈到信息安全,用户首先想到的是要知道当前自己企业的信息安全状况如何。这就需要进行信息安全评估,但是用户都很担心安全评估是否专业,是否系统,是否会流于形式,为评估而评估,只是检查了目前的情况,却提不出针对评估发现的问题地完整的解决方案。
安全评估审计分成2类:一类是对网络设备本身的配置进行检查审计。将设备本身安全加固的配置和预定的最佳配置相比较,看是否有不足;另一类是对整个网络系统,包括对主机系统的安全漏洞进行评估审计。
信息安全管理的最高形式即是实现对安全风险的实时响应管理,即基于获取的海量安全事件,分析整个系统的安全状态和安全趋势,对危害严重的安全事件及时做出响应。这一阶段的主要目标是:
2 安全管理中心SMC的规划与建设
当前信息系统发展的一个显著特点是:资源平台化、数据集中化。信息安全保障系统作为信息系统的重要组成部分,其发展也必须符合信息系统发展趋势,目前信息安全建设对SMC安全管理中心的需求越来越强烈。安全管理中心是描述“对安全事件(Security Incident)提供检测和响应服务的所有平台”通用术语。SMC包括配置,监控,分析,响应等四个相关联的部分,分析整个系统的安全状态和安全趋势,对危害严重的安全事件及时做出反应。
SMC是安全风险管理的最高级形式-实时风险管理,SMC的建设不是部署一个能实现统一集中管理的产品,而是一个系统的规划与建设过程。企业的SMC的建立可分为四个阶段:设计阶段、基础实施阶段、SMC管理阶段和改进与提升阶段。
设计阶段的任务是要制定符合企业组织管理模式、适应企业网络环境和特点的安全管理政策,然后设计与安全管理政策相适应的防御体系,并制定制定安全防御体系失效之后的应急预案。
根据政策和企业发展战略制定企业IT资产的安全保护目标, 把整个网络系统划分为相对独立的安全域,通过对安全域的边界防护和安全域内的统一安全管理来实现安全域内的网络安全。根据企业保护原则制定安全策略,把安全策略具体实现到人和物两方面,实现策略的软硬紧密结合,协助企业进行安全策略的下发和执行,并协助企业修订和完善安全策略。
这是安全的基础建设阶段。此阶段是在企业既定的安全政策和方针指导下,选择适当的威胁防御系统技术和产品,部署在信息系统中,并恰当的配置好安全策略,以使安全措施能够发挥应有的保护和防御功能。 但前常用的安全产品有:
端点安全:端点保护使用基于行为的防御,还可防止异常行为的发生。举例来说,Web服务器一般都会响应Web HTTP的请求,但它一般不会发起这种类型的请求。如果后面这种类型的行为-发起Web 请求发生,端点安全代理就能及时阻止。
防火墙技术:集成安全网关隔离安全区域,抑制威胁扩散。
网络入侵防御系统(IPS):网络IPS在网络中充当监视和告警机制,它可监测那些已知的威胁活动,实时对这些活动做出响应。
网络异常监测:网络异常监控可以用来监测DDoS攻击和其它未知攻击行为,并阻止它们造成目标服务器和网络接入链路瘫痪。它可以保护服务器区域,并检测服务器区域内的业务流量何时超出了正常的流量模式。然后,它对流量进行过滤,在通过网络不断发送合法流量的同时,拒绝DDoS攻击流量,从而使服务器区域能够成功地持续运行。
3到7层的网络智能:威胁防御系统使用网络智能业务,以增强安全性。基于路由器的安全技术,如基于网络的访问识别(NBAR)、承诺接入速率(CAR)、服务质量(QoS)和NetFlow等,都在网络中运行,以实现流量优化和威胁检测。一些嵌入式功能,如控制平面策略、CPU/存储器阈值、AutoSecure,都增强了路由器的安全性,使之成为一个安全设备,以最好地防止非法访问。
第2层网络智能:与网络智能类似,交换机集成安全功能,可以提高交换机和整个网络的安全性。端口安全、动态主机控制协议(DHCP)监听、IP源防卫以及动态地址解析协议(ARP)检测,都可防止那些未经授权的访问或者对网络的无意更改。
内容安全:可以防止内部网络的滥用,以端口80过滤(Web流量)和互联网代理功能的形式,提供特定的Web保护。
这是CMS建设阶段中非常关键的一个环节,企业的安全政策和方针是否能够得到贯彻,部署的各种安全防护设施是否能够充分利用,是否能够降低风险,并在发生安全事件时能及时响应,真正实现有效的风险控制,依赖于我们在这个环节采取的安全技术、功能设计和实现。
在安全集中信息管理平台中,我们目前所面临的最大挑战之一是,帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击,网络入侵监测系统会报警,防火墙会报警,遭受攻击的主机会报警,相关的路由器甚至交换机都会报警,汇聚到安全管理平台就是多次报警,而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统,才可以保证安全响应的时实性,从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。
目前的SMC建设中很多安全厂商采用地称为安全信息管理(SIM)的软件技术,此技术可以搜集和分析网络所面临的各种安全事件数据,提供强大的智能分析和处理能力。SIM系统可以从多个设备接收日志数据,存储和管理所创建的大量文件,以及实现至少部分的数据证据分析。但是,SIM仍然不能解决最其中关键的几个问题:
SIM在面对安全攻击和安全事件时是一种较为被动的防御,而我们需要的是能主动地、能够减轻风险、降低损失的安全响应管理。
因此在SMC的实现上,我们需要提高网络感知能力和加快分析速度,以发现实际的网络攻击并近乎实时地制止这些攻击。这种主动地响应管理,也被称为安全威胁管理(STM)的能力必须能够自动执行大部分目前由安全分析人员完成的工作,降低对于训练有素的分析人员的需求,让安全人员可以集中精力处理实际的威胁和制定未来的策略及战略。
STM技术监控网络中的各种安全和网络产品产生的日志和报告流量,采用多种创新技术以精简庞杂的网络事件信息,为网络操作人员提供监控和阻止网络攻击所必需的信息:
STM从全面感知网络拓扑开始。随着动态主机配置协议(DHCP)和网络地址解析(NAT)的广泛采用,必须知道这些协议在哪里创建了网络地址,以便当某个攻击的源和目的地地址发生变化时继续加以跟踪。而且,简单网络管理协议(SNMP)的使用在设备的IP地址和它的固定硬件MAC地址之间提供了映射,让用户可以准确地识别网络路径上的某个设备。MARS设备可以使用来自于路由器、交换机和其他计算机的完整配置信息,以及来自于安全设备的信息建立网络的完整视图。
STM设备首先从安全设备和网络组件接收网络事件。它可以将事件信息与它的网络感知能力结合到一起,发现网络攻击活动集中的“热点”,并且可以显示攻击终端之间的网络路径。它随后可以指出操作人员可以用来制止攻击的网络或者安全设备,为阻止危险流量提供适当的设备配置信息。
图1(从上往下读图)显示了STM设备用于减少原始网络事件数据量和制止网络攻击的创新流程:
图1 从网络事件到攻击制止
作为上述流程的一个典型例子,请参考图2中的箭头所显示的攻击路径。各个网络事件会被记录在三个节点:交换机中的刀片式NIDS,防火墙,以及监控防火墙和目标之间的网络的NIDS设备。
STM设备可以接收这些事件,并利用它在不同节点的网络拓扑和NAT感知能力将这些事件汇总为单个进程。在图2中,注意攻击的目的地地址被防火墙的NAT更改。MARS设备可以将防火墙两侧的事件识别为同一个进程的不同部分――尽管存在不同的地址。
图2 进程化TM
STM设备可以根据它的内部规则比较进程的细节(进程内部关联)和其他进程的细节(进程间关联),以发现某个潜在的攻击。如果存在潜在的攻击,会根据对攻击目标的实际扫描,进行脆弱性分析,以确定潜在攻击是一个需要报告和制止的攻击,还是一个可以忽略的误报。
由于下列原因,应当在安全管理中心中部署STM技术, 在最低层次上,可以被用作一个有效的、高性能的SIM。在较高层次上,它可以用于分析以前采集的数据,以识别网络流量模式和对网络攻击进行证据分析。为安全威胁管理树立了新的标准:
因此SMC很重要的部分就是要实现对安全威胁的管理(STM),它可以用于分析以前采集的数据,以识别网络流量模式和对网络攻击进行证据分析,为安全威胁管理树立很多新的标准和方法,提高安全威胁的响应速度,从而真正实现综合统一的安全技术体系,使安全系统具有快速响应威胁的能力,实现安全网络的建设目标。
思科公司为实时STM开发了第一个专用设备MARS,该产品在STM领域,领导技术的方向和发展,能够监控网络中的各种不同厂商的安全和网络产品产生的多种日志和报告流量,为安全管理中心提供实时准确的安全报告和建议。
目前很多企业都已建立网管中心(NOC)。网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、性能管理(Performance)、安全管理(Security)等。表面上NOC有安全管理功能,似乎SMC与NOC功能重叠;实际上由于二者定位不同,功能、作用差别很大。概括起来,网管中心与安全运营中心主要区别如下:
长期以来,人们在NOC的建设、管理、维护方面积累了丰富的经验,SMC的建设和运行可以合理借鉴这些经验。例如,在组织架构和管理模式方面SMC可以参照NOC的做法;但在工作流程设计上SMC最好采用与NOC平行的模式。