网络信息安全建设与管理
网络信息安全建设与管理
依据国家颁布的《网络安全法》和《信息安全等级保护管理办法》的相关规范和管理要求,参照《信息安全技术-信息安全体系管理要求 GB/T 22080-2008》各企业单位应加强网络运营体系管理系统及安全运行的防护,相关企事业单位严格按照国家网络安全等级保护进行安全建设,避免核心系统及日常办公软件系统遭受病毒、木马、黑客攻击等安全网络事件。根据以上建设背景,我们该如何做好网络的安全建设与管理呢?
一、目标
计算机网络的软件、硬件及其系统中的数据受到保护,保密信息及内部系统不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
二、安全体系设计与建设
主要从信息安全技术、统一技术管理两大内容进行安全建设体系的描述从而来达到对计算环境、区域边界、网络通信的安全保障。
安全技术建设主要包括:物理安全、网络安全、主机安全、终端安全、应用安全、数据安全六个方面的安全需求和控制措施。这其中主机安全是重点加难点。重点在于几乎所有的攻击目的都是为了获取webshell,从而控制服务器,进而获取更多的敏感数据及权限;难点在于各种攻击层出不穷,又加之服务器众多,依靠人工无法及时的监测及发现这些风险。面对这样的情况,做好主机安全建设的部署与管理就显得尤为重要了,将采取入侵检测的技术。
入侵检测的功能,主要包含暴力破解、本地提权、反弹webshell、异常登录、web后门等入侵情况进行监测,这也是日常的攻击行为中,比较遇到的比较普遍的场景,这次也只重点描述几个场景,其他有兴趣的可以继续深究。
1.暴力破解
监测原理:
- 1台主机对特定的账号短时间内进行多次尝试登录失败;
- 1台主机对不存在的账号进行尝试登录1次及以上;
- 利用多台主机分布式对一台主机进行尝试登录。(1台尝试1次错误可能不会触发规则、或者封停)。
使用场景:攻击者入侵时通过工具对服务器系统进行暴力破解,能被及时响应并作封停处理;
2.反弹webshell
监测原理:
- audit插件在监听到主机上面新的进程创建的事件后,会触发反弹shell的检测的lua脚本执行;会依据进程名称的白名单和黑名单过滤一批检测的进程;
- 依据进程的pid获取/proc/$pid/fd目录下面的0,1两个序号的文件句柄的类型,判断是是否是“socket”,“named pipe”,“char device”这几种类型;
- 如果两个文件句柄的类型都是“socket”就属于shell的反弹检测;如果两个文件句柄的类型属于“namedpipe”或 “char device” 这两种类型,就认为属于反弹木马的检测;
- 检测指定进程的stdin(0),stdout(1),stderr(2)这三个句柄是否属于tcp或者udp类型,如果当前进程检测不成功就会对对应的父进程下面的对应的句柄进行检测;
- 如果上中的stdin的检测通过, stdout或者stderr这两个有一个检测通过,就会进入到下一步,对应的句柄指向的远程的IP和端口进行检测;
- 如果检测到对应句柄指向的IP是本地IP,就继续检测端口是否合法,合法就直接返回,不进行上报,否则就获取信息, 认为属于反弹shell的检测;
使用场景:一般用于监测外部通过各种手段在web应用中留下了webshell的脚本,便于控制权限或获取数据日常内部的安全检测中,遗留下的测试脚本。
三、安全体系管理
1.对身份鉴别实行管理
- 对登录操作系统和数据库系统的用户进行身份标识和鉴别;
- 操作系统和数据库系统管理用户身份标识应设置复杂口令并定期变更;
- 对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听:
- 可以启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
- 为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
- 采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
2.访问控制管理
- 启用访问控制功能,依据安全策略控制用户对资源的访问;
- 根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
- 实现操作系统和数据库系统特权用户的权限分离;
- 严格限制默认账户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
- 及时删除多余的、过期的帐户,避免共享帐户的存在;
- 对重要信息资源设置敏感标记;
- 依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
3.入侵防范管理
- 检测重要服务器进行入侵的行为,能够记录入侵的攻击的类型、源IP、攻击的时间、攻击的目的,并在发生严重入侵事件时提供报警;对重要程序的完整性进行检测。
4.安全审计管理
- 审计内容包括重要用户行为、系统资源的异常使用和重要系统;
- 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
- 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
- 保护审计进程,避免受到未预期的中断;
- 保护审计记录,避免受到未预期的删除、修改或覆盖等。
5.资源控制管理
- 通过设定终端接入方式、网络地址范围等条件限制终端登录;
- 根据安全策略设置登录终端的操作超时锁定;
- 对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
- 限制单个用户对系统资源的最大或最小使用限度;
本篇文章主要针对以上几个内容进行简单分析,至于更深层次的技术性问题可自行查阅资料。
