三大體系:防護體系、監控體系、 信任體系。
二、“花瓶模型V3.0”的由來
1、花瓶模型(V2.0)是從時間維度去解讀信息安全架構,是以安全事件為主線,從安全事件的發生過程,給出了對應的安全措施:發生前部署防護策略,發生中監控異常與應急處理,發生後審計取證與調整升級,這是壹個可循環的、動態的安全防護體系。
2、從空間的維度看,網絡分為外部與內部,內部有分為服務區域與用戶區域,服務區域有分為服務提供區域與維護管理區域。安全架構的目標是:既要防止外部的“入侵與攻擊”,又要防止內部的“有意與無意的破壞”,安全結構分為“防護-監控-信任”三大體系,對應為邊界上的防護、內部網絡的監控、內部人員的信任管理,我們稱為“花瓶模型V3.0”
三、三大體系的具體解釋
1、防護體系:
抵禦外部的攻擊與入侵是網絡安全的基本保障基線,防護體系就是構築網絡邊防線。防護的關鍵點在網絡的“邊界”,也就是進出網絡的比經關口點,通常有下面幾個地方:
(1)網絡出入口:壹般是局域網與廣域網的接口,通常是與互聯網的出口,不僅是外部入侵的通道,還是外部攻擊(如DDOS)的通常目標。
(2)終端:用戶訪問網絡資源的入口,也是病毒、木馬傳播的匯集地。
(3)服務器:普通人員只能通過應用訪問到服務器,而維護人員則可以直接訪問服務器,尤其是大型服務器設備,廠家提供遠程管理維護,任何“誤操作”與“好奇”都可能成為“災難”擴散點,當然這裏也是高級黑客經常光顧的地方,也外部攻擊的常見目標之壹。
(4) 數據交換區:為了網絡有效隔離,建立網絡間的數據專用過渡區,成為網絡互聯的“流量凈化池”,眾矢之的,當然也是入侵者“展示”其技術的地方。
(5)安全子域的邊界:把大網絡劃分為小的區塊(常見的安全域“3+1劃分”模式:服務域、核心域、接入域、管理域),在子域邊界上安裝“安全門”,可以避免壹個區域的安全問題,波及到其它區域。
這五個“邊界點”的防護體系部署的重點,稱為“五邊界”。
防護體系的主要工作是根據安全策略,部署相應的安全措施。邊界壹般都是網絡接口,所以網絡層的安全措施為多,如FW/IPS/AV/UTM/VPN/防垃圾/網閘等,Web服務前還有WAF/防DDOS等,優化服務壹般還選擇流量控制/流量壓縮等設備;網絡防護的同時,終端與服務器上還需要安裝防病毒、防木馬等基本安全軟件;另外,終端與服務器的補丁管理(系統與應用),病毒庫、攻擊庫的及時升級,都是提供自身免疫能力的保證,在防護體系中是不可或缺的。
2、監控體系:
監控體系的任務是發現異常,揪出“黑手”,從設備狀態到網絡流量、從服務性能到用戶行為的各種“可疑”點,全局報警,及時應對。監控體系的目標是做到網絡的可控性,可控就是安全的保證。
監控的特點是點越細越好、範圍越全面越好。安全需要監控的層面很多,我們壹般采用“先中心、後邊緣,先重點,後壹般”的策略,具體監控的內容如下:
(1)入侵監控:黑客、木馬、蠕蟲、病毒是安全監控的重點,它們的特點是有“活體特征”,在沒有發作的傳播階段,就可以發現。在網絡的核心、匯聚點要部署網絡層的監控體系,同時還要對服務器、終端主機上進行監控,尤其是隱藏在應用、加密通道內部的入侵行為。網絡IDS與主機IDS是相互配合的監控體系,是不可分割的.
(2)異常監控:對“破壞行為”、“偷盜行為”的及時發現,是減少損失的前提。這裏的“異常”有兩種表現方式:壹是不合乎常規邏輯的動作,如建立妳沒有想訪問站點的連接,可能就是木馬在“回家”的操作;妳沒有網絡應用,網卡卻忙碌不止,也許是蠕蟲已經發作。二是與以前相同條件下表現的不同,如下班時間突然有訪問核心數據庫的行為,休息時間的網絡流量突然增大,異常往往是破壞行為的開始,發現越早,損失會越小。
(3)狀態監控:網絡是IT信息系統的承載,網絡設備的正常運行是業務服務正常的保障,需要了解的狀態信息有:網絡設備的狀態、服務器的狀態、終端的狀態,也包括它們運行工作的動態信息,如CPU的占有率、進程的生死、硬盤空間的剩余等.
(4)流量監控:網絡是信息流,流量的動態變化往往是網絡安全狀態的晴雨表,若能及時顯示網絡核心到匯聚的流量分布,也是業務調配管理的重要依據,這有些像城市的交通管理,流量的牽引是避免擁堵的重要手段。流量好比是網絡的公***安全,當然攻擊破壞往往也是從制造流量擁堵開始的.
(5)行為監控:這個要求主要是針對有保密信息的安全需求,多數是內部人員的監守自盜或“無意”丟失,信息泄密是保護的重點,需要安裝非法外聯、移動介質使用監控等措施。網絡數據是電子化的,數據在處理的過程中,拷貝、打印、郵件時,都可能泄露出去,所以對終端、服務器的各種外聯接口行為進行監控是必需的.
這五種行為、狀態的監控是監控體系關註的重點,我們稱為“五控點”。
監控體系是網絡的“視頻監控”系統,不僅是為了及時發現“異常”,及時調整,而且可以在處理安全事件的時候,作為即使了解現場反饋,反映網絡安全態勢的應急調度平臺。
3、信任體系:
信任體系的核心就是對每個用戶的權限進行定義,限制妳在網絡中的各種行為,超出權限的動作就是“違法”行為。信任體系面對的都是“良民”,所以網絡層面的控制措施壹般難有作為,而更多的是深入業務應用系統內的安全架構,因為目前的業務系統逐漸龐大,往往是限制妳可以訪問壹個應用的某些功能,而不是全部,後者系統的某些數據不限制妳的訪問,僅僅控制妳可訪問的服務器業務系統,已經很難到達目的了。
信任體系的起點是用戶,不是終端,這壹點與手機不壹樣。所以我們先把用戶分壹下類:
(1)普通用戶:網絡的壹般用戶,只能通過業務服務提供的通道訪問,行為上比較容易控制,主要是終端上的安全管理,由於點多人雜,管理比較復雜。
(2)特殊用戶:領導的特殊需求,或為了適應業務靈活性組成的臨時工作組(SOA架構模式下經常出現的),它們工作跨部門、跨服務,需要打通很多網絡控制,防火墻等安全防護體系對它們來說,很“合理”地穿透,安全體系上很容易產生權限定義的漏洞.
(3)系統管理員:他們是系統的特殊使用人群,不僅可以從業務訪問通道訪問業務服務器,而且可以直接登陸服務器或各種安全設備,它們有建立帳號與更改權限的特殊權利。
(4)第三方維護人員:這是壹個不可忽視的群體,IT系統比較復雜,技術含量高。廠家與開發商的維護是不可避免的,很多業務系統是邊上線使用邊開發調整的,它們壹般很容易取得系統管理員的權限,甚至更高的權限(如廠家後門、系統調試代碼等),它們在線上的誤操作可能導致整個系統的災難,它們有很多窺視保密數據的機會與時間。
信任體系是壹個過程的管理,可以分為用戶登錄、訪問控制、行為審計三個過程,用戶登錄時需要身份鑒別,驗證用戶的身份;訪問控制時需要驗證用戶的權限,驗證是否有訪問的權利;行為審計時需要驗證用戶的動作是否符合要,是否合乎規定,最後完成驗證-授權-取證的過程,我們稱為“三驗證”。
四、信息安全體系架構 花瓶的作用
從“網絡空間”上分析,安全架構為“防護-監控-信任”三大體系,防護體系分為“五邊界”部署,監控體系內含有“五控點”監控,信任體系分為“三驗證”過程。
三個體系關註安全的重點不同,使用的技術不同,大部分網絡對邊界防護比較關註,對信任體系大多停留在網絡登錄的身份認證層次上,與應用的結合、授權管理目前都處於剛起步階段;監控體系是壹個長期的、持續的、但又不容易看到效果的的工作,但隨著網絡災難的增多,全網絡的監控體系已經逐漸被人們認知。
“花瓶”模型提供了安全架構,同時體現了這三個體系的相互配合、缺壹不可。在網絡這個虛擬的、無所不在的“世界”裏,建立壹個安全的、和諧的“生活環境”,與現實社會是壹樣重要的。