chinesezzqiang
作者chinesezzqiang2019-11-06 11:16
信息技术经理, M

企业信息安全架构之安全纵深模型设计分享

字数 7203阅读 4992评论 3赞 15

概述

随着信息技术飞速发展,已成为最活跃的生产力要素,促使生产模式发生重大的变革,引发互联网经济蓬勃发展。信息化作为企业数字化转型的基础与支撑,得到了企业高层的高度重视,云计算、大数据、物联网、边缘计算等越来越多的新技术、新架构被开发和广泛应用。

信息化在国家发展中的重要性和地位不断上升,信息安全逐渐得到国家重视,并于 2017 年 6 月发布《中华人民共和国网络安全法》,旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。

据全球知名网络安全公司 Gemalto 发布的《数据泄露水平指数》指出,仅 2018 年上半年,全球每天有超过 2500 万条个人数据遭到入侵或泄露,涉及金融、医疗、制造等多个行业。直至现在,越来越多的网络安全事件爆发,黑客攻击手法也越来越复杂和多样化。面对如何严峻的形势,我们亟需构建一套属于自己的信息安全架构,御敌于千里之外。

什么是信息安全?

对于什么是信息安全的概念,不同的人可能解释也不同。 ISO/IEC 、美国国家安全系统委员会和国际信息系统审计协会三家对信息安全的定义大同小异,其目标一致,都指出保障信息安全的最重要目的是保护信息的机密性、完整性和可用性。

定义概述为“为了保障机密性、完整性和可用性而保护信息和信息系统,以防止授权的访问、使用、泄露、中断、修改或者破坏”。

Ø 机密性:

简而言之,信息仅能够被授权的个人、组织、系统或流程访问,不应该被任何其他非授权行为获取。例如银行账户的交易流水和余额的信息,除账户持有人或经账户持有人授权的主体可以看到以外,其他人或组织不得查询或获取。

Ø 完整性:

简而言之,就是确保信息的一致性、准确性和可信赖性,不允许信息被篡改。例如用户通过银行网页提交个人信息为开通账户。数据是通过网页型式提交的,银行要通过某种措施,进行数据的校验,确保用户提交的信息和最终存储的信息的准确性。

Ø 可用性:

简而言之,就是业务连续性的体现,确保用户可以随时获得已授权的信息。例如银行要随时确保用户可以通过 ATM 、网银、柜台、移动终端等多种方式进行金融服务。

在考虑信息安全的时候,一定要把保障信息安全的三大属性作为重要的目标,从而建立完善和有效的保护措施,确保业务的可持续性和数据的安全性。

什么是信息安全纵深防御模型?

众所周知,信息安全的攻击和防护是严重不对称的,一般来说攻击要比防御容易的太多。一个组织或企业的信息安全水平遵循木桶原理,也可称为短板效应。即一只木桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。任何一个组织或者企业,可能面临的一个共同问题,即构成信息安全体系的各个环节往往是优劣不齐的,而劣势部分(安全体系最薄弱环节)往往决定整体信息安全水平的高低。


图 1- 木桶原理示意图

随着信息安全技术的不断发展进步,单一的防御措施已经不能适应新的安全形势,必须以体系化思想重新定义纵深防御,形成一个纵深的、动态的安全保障框架,亦即纵深防御体系。纵深防御体系是一种信息安全防护系统设计方法论,其基本思想是综合治理,以信息安全为中心,以多层面安全手段为基础,以流程化管控为抓手,以贯穿信息系统的生命周期为管理范畴。由于其体系较为复杂、庞大,本文仅分享基于技术层面的纵深防御模型,有兴趣了解纵深防御体系的朋友可继续关注 TWT 的官方动态。

信息安全纵深防御模型是基于一种假设,任何单一的安全措施都是不充分的,任何单一的安全措施都是可以绕过的。可以把纵深防御理解成为“剥洋葱”,是指在信息系统周边及自身实施多层次的安全防御手段,在任何一种防御措施被攻破或失效后,可以利用另外的安全防御手段来阻止进一步的危害。对攻击者而言,防御措施一层比一层严谨,一层比一层难以攻克,从而保证核心层系统的相对安全。

信息安全纵深防御模型的重要性?

给大家简述一个现实的例子,说明一下信息安全纵深防御模型与核心数据的关系。

相信大家都非常喜欢看“寻宝”类的电影,宝藏一般存放在巨兽把守、机关重重且不容易被得到的深山老林的洞穴里。洞穴周边布满天罗地网,各种陷阱。好不容易闯过,又遇到各种怪兽拦路。侥幸通过,宝藏尽在眼前之际,又被大 Boss “招待”,此时能活下来的机会已经渺茫。“猪脚”最终得到宝藏,结果还是个看不懂的地图。

本文的例子中的天罗地网、各种陷阱、巨兽及大 Boss 都是防止机密文件被窃取的防御措施。看不懂的地图可以理解为加密文件,是最后的防线,防止机密数据万一被窃取后导致的宝藏被盗(信息泄露)。


图 2- 信息安全纵深防御模型

不同的企业实况,对信息安全纵深防御模型的层级划分也不尽相同。

  1. 物理安全:物理安全又称作实体安全,是保护计算机设备、设施(网络及通信线路)等免遭地震、水灾,人为和其他环境事故中受破坏的措施和过程。
  2. 终端安全:根据知名调研机构的数据指出, 60% 的信息泄露发生在终端侧。终端安全主要是通过各种终端安全软件的协同配合,保证终端出入口的安全及数据存储的安全。
  3. 网络安全:网络安全指网络上信息的安全,也就是网络中传输和保存的数据,不受偶然或恶意的破坏、更改和泄露,网络系统能够正常运行,网络服务不中断。
  4. 系统安全:系统安全主要指的是计算机系统的安全,而计算机系统的安全主要来自于软件系统,包括操作系统的安全和数据库的安全。
  5. 数据安全:数据安全指的是用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护的过程。
  6. 应用安全:应用安全是指应用程序在使用过程中和结果的安全,它是定位于应用层的安全防护。

通过建立有效的纵深防御模型,各个层次相互联动配合,实现:

Ø 层级分明,多种防御措施结合使用,增加攻击难度,降低信息泄露可能性;
Ø 设立多级风险检查点,阻止大多数恶意病毒及威胁的入侵;
Ø 防御策略分明,利于管理员针对不同类型威胁进行策略部署及有效防御;
Ø 充分发挥不同安全厂商的产品特性和价值,术业专攻。

如果没有纵深防御体系,就难以构建真正的系统安全体系,更无法保障企业业务的连续性运转。

企业信息安全威胁

正所谓知己知彼,百战百胜。要想保护企业信息的安全,就要明确信息安全常见的威胁,对症下药,防患于未然。

威胁分析模型 -STRIDE 模型

STRIDE 威胁分析模型是微软提出的一套安全设计方法论,六个字母代表六种安全威胁,分别是:

身份假冒( Spoofing ):
身份假冒,即伪装成某对象或某人。例如,通过伪装成别人的身份进行操作。

篡改( Tampering ):
篡改,即未经授权的情况下,修改数据或者代码。例如,非授权人员通过网络抓包或者某种途径修改某个请求包,使得篡改的请求包提交成功。

抵赖( Repudiation ):
抵赖,即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如, A 攻击了某个产品,产品方并不知道是 A 做的,没有证据证明是 A 做的, A 就可以进行抵赖。

信息泄露( Information Disclosure ) :
信息泄露,即将信息暴露给未授权用户。例如,通过某种途径获取未经加密的敏感信息。

拒绝服务( Denial of Service ):
拒绝服务,即拒绝或降低有效用户的服务级别。例如,通过拒绝服务攻击,使得其他正常用户无法使用产品的相关服务功能。

特权提升( Elevation of Privilege ):
特权提升,即通过非授权方式获得更高权限。例如,试图用管理员的权限进行业务操作。


图 3-STRIDE 威胁分析模型(摘自互联网)

微软的全系产品都是基于它进行安全考虑与设计。 STRIDE 模型几乎是可以涵盖现在世界上绝大部分的安全问题。

常见信息安全威胁来源

互联网最大的好处就是拉近我们彼此之间的距离,信息可以以秒级为单位传遍全球各个角落。当然,有好的一面必然就有不好的一面。

随着信息技术的迅猛发展,全球性、互联性、信息资源和数据共享性等特点日益凸显。使其本身极易受到攻击,攻击的不可预测性、危害的连锁扩散性大大增强了信息安全问题造成的危害,信息安全已呈现出全球性、突发性、扩散性等特点。信息安全面对复杂、严峻的管理形势,已经被企业和国家所重视。

但这些威胁根据其性质,基本上可以归结为以下几个方面:

Ø 信息泄露:被保护的信息被无意或有意的泄露;
Ø 破坏信息的完整性:被保护的数据被非法篡改或破坏;
Ø 拒绝服务:非法阻止合法信息使用者对信息服务的访问;
Ø 非授权访问:受保护资源被非授权个人或组织进行使用;
Ø 窃听:利用用各种可能的非法的手段窃取系统中受保护的信息资源和敏感信息;
Ø 假冒:通过欺骗通信系统或用户,达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客攻击往往采用此方式,伪装欺骗用户,达到目的;
Ø 漏洞攻击:攻击者利用系统的安全缺陷或漏洞获得非法的权限;
Ø 内部攻击:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的;
Ø 抵赖:通常为内部攻击的分支,攻击者否认自己曾经发布过的某条消息;
Ø 计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序;
Ø 法律法规不完善:由于信息安全法规法律方面的不完善,给信息窃取、信息破坏者以可趁之机。

信息安全防御措施

通过上文了解了什么是信息安全以及信息安全的威胁源,本章主要是介绍如何通过纵深防御模型,分层次的精准部署安全策略,做到有的放矢,对信息进行保护,提升企业信息安全威胁防御能力。

安全的原则

通过信息安全业界专家和学者的多年研究,总结出 10 个最关键且有效的安全原则,分别是:

ü 纵深防御;
ü 运用戴明环模型;
ü 最小权限;
ü 白名单机制;
ü 失败安全;
ü 避免通过隐藏功能实现安全;
ü 入侵检测;
ü 不信任第三方系统;
ü 默认安全配置;
ü 业务隔离

这 10 个基本原则,基本保证了业务的基本信息安全要求:

l 纵深防御

本章主要介绍的就是纵深防御,它也是业界认可度最高,普及率最广的防御体系。

通过专项技术的分层部署,在多个层面进行控制和防御,如本篇所说的从物理层到应用层。

永远不要把所有的精力只用在某个点的防御上,某个点防御的再强,也可能会出现零 Day 漏洞,无法保证数据的安全。纵深防御理念就是层层设防,多样化,多层次、纵深的防御措施。攻破一层防护后,也无法彻底破坏整个信息基础设施或应用系统,就像剥洋葱一样,一层比一层辣眼睛。

l 运用戴明环模型( PDCA

安全运营工作是一条需要持续贯彻的原则,安全工作永远不是一劳永逸的,它不是一次性的静态过程,而是不断演进、循环发展的动态过程,需要坚持不懈的持续经营。 PDCA(Plan-Do-Check-Action) 是在管理科学中常用的迭代控制和持续改进的方法论可以有效的辅助安全运营工作的开展与改进。

l 最小化权限

最小化权限顾名思义,就是赋予合法用户、组织或程序最小化的、能完成其功能的权限。比如:

  1. 关闭不必要的对外开放的端口;
  2. 取消应用的管理员权限;
  3. 删除或者禁用系统内无关的账户;
  4. 卸载服务器上无关的软件或应用。

l 使用白名单

通过白名单机制,可以明确定义什么是被允许的,其他的均被拒绝。黑名单与白名单相对,单纯的使用黑名单机制,最显而易见的缺陷就是,在很多情况下,我们无法穷尽所有可能的威胁,从而造成“误放”。一旦“误放”,我们的系统就有极大可能被黑客攻破。白名单最多会造成“误杀”,正所谓“宁可错杀三千,也不放过一个”。此问题可以通过手动添加的方式解决,确保每条白名单均经过审核。

l 失败安全

是指在程序开发过程中要安全的处理错误。在程序设计的时候,要确保安全控制模块在发生异常时遵循禁止操作的处理逻辑。当异常发生时,避免因为异常处理代码处理不当,导致的意想不到的问题,比如权限提升、信息泄露等。这也是不懂安全的开发人员经常忽视的。

l 避免通过隐藏功能实现安全

是一种自欺欺人的方法,是试图通过对外部隐藏一些信息来实现安全。例如钱包等贵重商品放在汽车的驾驶座等透明位置,只用一张报纸掩盖,就认为它安全了。再例如我们把 Redis 的监听端口从 TCP6379 改成 TCP6380 ,但依然放在公网提供服务等等方式。

要知道,互联网上遍布无数高速和强大的扫描工具,简单的隐藏根本无法保证信息系统的安全。

l 入侵检测

是指在入侵发生后,若没有有效的入侵检测系统的支持,我们的系统可能会长时间被黑客利用而无法察觉,从而导致业务长期受到威胁。至于是网络层面入侵检测还是主机层面的入侵检测都是信息安全所必须的。

l 不信任第三方系统

现在的系统越来越复杂,很多服务和接口都是模块化、组件化的,需要引入第三方的模块或者和第三方的业务系统对接使用其提供的数据,我们无法掌控第三方系统的安全性。如果其存在漏洞被攻击,需要保证我们的系统不会因此而受到影响。

l 默认安全配置

不要认为系统默认的安全设置一定是安全的。比如一些路由器出厂默认的帐号是 admin 密码也是 admin ;很多系统默认不启用密码复杂性要求;第一次登陆系统也不会要求用户修改密码。当网络上的扫描器进行扫描时,很容易破解以上系统的账户和密码信息。

l 业务隔离

安全不是过家家,永远不要把所有鸡蛋都放在一个篮子里,就像炒股一样,越是集中,风险越大。业务隔离后,不至于一个系统被攻破就让黑客拿到了一把“万能钥匙”,可以操作所有的业务功能,导致业务系统瘫痪。

常用防御措施技术分享

通过在各层级部署防御措施,实现系统多层次、多维度的信息安全防御,构筑相对安全的信息安全纵深防御模型,提升系统整体的威胁防御能力和风险抵御能力。


图 4- 纵深防御部分技术图谱

以下是各个层级常用的一些信息安全防御技术分享,更多的安全防御技术,可以关注 TWT 后续发表的相关文章。

物理层:

  1. 租赁或自建符合国家数据中心机房建设 B 级标准或以上的机房,确保风、火、水、电等基础设施高可用;
  2. 门禁系统,授权访问;
  3. 视频监控,无死角;
  4. 专属机柜,物理上锁;

终端层:

  1. 所有终端安装防病毒客户端,防止病毒入侵;
  2. 所有终端部署 DLP 客户端,防止数据泄漏;
  3. 所有终端部署桌管软件,防止未授权外设接入;
  4. 部署网络准入系统,防止未授权客户端接入内网;

网络层:

  1. 互联网层面部署 ADS\\WAF\\IPS\\IDS ;
  2. 部署下一代防火墙,阻止南北流向的非法访问及病毒流量;
  3. 部署上网行为系统,授权用户上网,防止非法网站访问;
  4. 部署反垃圾邮件网关,阻止带有恶意 URL 及病毒的邮件;

系统层:

  1. 统一身份认证,授权访问;
  2. 部署堡垒机,实现精准授权运维;
  3. 开启系统防火墙,授权流量访问;
  4. 部署补丁管理系统,针对安全和关键补丁进行下发;

数据层:

  1. 部署数据库审计工具;
  2. 部署加密系统,对核心数据进行加密;
  3. 部署备份系统,对核心数据进行异地备份;

应用层:

  1. 部署 SSL 数字证书,实现通信加密;
  2. 部署应用防火墙,阻止 SQL 注入等恶意行为;
  3. 部署监控系统,对应用行为进行监控分析;

信息安全组织与管理

一个完整的纵深防御体系离不开技术与管理,正所谓“三分技术,七分管理”。要保障信息安全和系统安全,除了有必要的技术手段支持以外,还要考虑组织和管理的因素,也就是人、流程与制度的因素。

本文重点聚焦在技术上的纵深防御,对管理介绍较少。下文简单介绍一下,自己在信息安全管理方面的一些浅薄见解。

组建合理的安全组织架构

信息安全工作向来是一把手工程,在大中型企业往往会设立由一把手领导的信息安全小组,对集团的重大信息安全工作进行指导和推动。比如在国家层面,就是由国家主席习近平担任中央网络安全和信息化领导小组的组长,强调网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。

同时在实体职位中,会设立首席安全官( CSO ),对集团信息安全工作进行具体的规划与执行,确保信息安全战略时刻为企业商业战略而服务。

流程化管控

企业的信息安全体系按照规划建设完成,这只是安全保障的第一步,或者说是前提 。之后大部分的工作都是在信息安全运营中。结合本文提及的 PDCA ,通过迭代更新的方法论,对信息安全策略和运营进行持续化改进,增强企业信息安全的整体防御能力。

正所谓“制度管人,流程管事”。基于流程化管理,信息安全运营团队可以根据不同的安全事件、安全请求、安全变更进行快速响应和精确处理。量化信息安全事件和信息安全处理情况,为精细化运营提供佐证。

强化意识培训

其实,在十大信息安全威胁中,最难以攻克的信息安全难题就是内部人员泄密。在 IBM 公司 2018 年的信息安全调查中显示, 60% 的信息安全事件发生在终端侧。同时,终端侧也是信息安全泄露事件的重灾区。商业间谍、高级持续性威胁及各类木马等都可以导致信息泄露。

培养内部员工的信息安全意识至关重要,企业应该通过各种培训和活动使员工明白信息安全的重要性,持续教育和告诫员工把信息安全作为自身安全一样去对待。比如不随便浏览与工作无关的网站,禁止对非工作邮件内的附件进行下载;禁止点击邮件内无关的 URL ;禁止运行与工作软件的软件等;信息安全无小事,对于企业而言,无论基层员工还是领导层都应时刻谨记。

结束语

信息安全防御措施必须渗透到系统的每个环节,通过信息安全管理以确保信息安全战略与组织业务目标的一致。

信息安全纵深防御模型,就像一颗洋葱,层层包裹着核心。每层都有不同的信息安全防御措施,让黑客的攻击层层受阻。企业在规划自身的信息安全架构时,建议采用信息安全纵深防御模型,确保整体信息安全架构不出现单点安全,任何单一的安全点都是不安全的。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

15

添加新评论3 条评论

font2008font2008系统运维工程师, font
2022-05-06 10:30
讲的清晰明了,如果配图更清晰更好
hang5002hang5002网络工程师, 江苏省宏图
2020-05-07 11:14
谢谢分享,讲的很透彻。
roundtriproundtrip信息技术经理, 北京朗天鑫业信息工程技术有限公司
2019-11-14 17:17
基本上和等保的模型相一致,更加简单、实用
Ctrl+Enter 发表

本文隶属于专栏

最佳实践
不同的领域,都有先行者,实践者,用他们的最佳实践来加速更多企业的建设项目落地。

作者其他文章

相关文章

相关问题

相关资料

X社区推广