黄淼婉,殷轶娜,刘丽双,刘静闻,王秀木
(辽宁省地震局,辽宁 沈阳 110034)
随着时代的发展,人们越来越依赖互联网,智慧城市、物联网、大数据、云计算、移动互联网、互联网+、区块链、人工智能、工业互联网等,各种高科技产品也如雨后春笋般涌现[1]。系统原有的安全防护已经不能满足现今的网络环境,遇到网络攻击被破解的几率逐年增高,为此更新业务系统安全防护体系需要考虑到新出现的技术及攻击手段。本文根据最新的信息安全标准[2],对业务系统进行了一次全面的信息安全测评,分析系统出现的风险并提出了具体的修复建议[3]。
为了可以真实的测试安全漏洞,搭建了一个模拟真实场景的业务平台。该业务平台按照逻辑分区可分为:外联边界区、核心区、视频会议接入区、服务器区和办公接入区。如图1所示,为该业务的简略拓扑图。
图1 业务拓扑图Fig.1 Business Topology
外联边界区通过外联边界路由器连接到了互联网,并部署了防火墙实现区域间的访问控制。核心区部署了2 台核心交换机连接系统服务器区,采用IRF 技术实现冗余,通过路由协议实现数据交换。在服务器区中,系统内部分服务器采用虚拟化方式部署,系统采用华为FusionComputer 虚拟化技术实现服务器和业务终端的虚拟化。视频会议接入区中,小鱼视频会议平台管理端对视频会议流量进行监测和管控。
业务平台的所有服务器、交换机、路由器都布置在机房,物理安全是整个业务平台安全正常运行的前提。物理层面的风险主要来源于场地安全、物理访问控制、设备安全、供电保障等几个方面[4-5]。
(1)场地安全:检查机房是否防火、防雷击、防震、防潮、防风、防雨。可以通过安装自动气体灭火系统、使用耐火的材料装修机房、测试机房防震能力、对机房窗户/屋顶/墙壁采用防水或防潮(如使用密封胶条封死窗户等)措施进行防护。
(2)设备安全:设备可能因静电累计得不到释放造成损坏,机房所有机柜和设备采用接地防静电措施。也可能因为电源线和通信设备相互干扰,从而导致系统运行故障,有条件的机房可以用强电和弱电隔离进行铺设。
(3)物理访问控制:机房出入口可以安装电子门禁系统,或者安排专人进行值守,控制、鉴别以及记录进入的人员信息,并且建议根据应用需求最小化原则设置允许进入人员名单。对于机房来访人员,必须有一套正规的申请流程,得到领导审批同意后,管理人员需要备案详细的访问记录及访问过程,防止出现问题找不到根源。
(4)供电保障:安装UPS 及发电机,所有重要设备采取双电路模式,一条连接市电,另外一条连接UPS 及发电机。
(5)环境监控:机房安装防盗报警系统或者安装视频监控系统并配备专人24 小时值守,安装空调及防水报警系统,保证机房温湿度一直在正常范围内。
物理层面固然重要,但一个安全的通信网络环境也必不可少。现在科技日新月异,攻击手段也层出不穷,下面介绍几种典型攻击手段及其应对方法。
3.1 网络攻击
受到外部的网络攻击,可以通过设置防火墙的访问控制、为系统网络分配不同的地址来防护。
(1)为防火墙设置访问控制策略,建议根据系统应用需求最小化原则设置。系统的边界区域尤为重要,如果是在边界区设置访问策略,颗粒度应达到端口级。倘若系统的防火墙存在全通策略,将无法对网络访问进行控制,容易造成网络攻击、恶意代码传播(如:服务器感染病毒被反向连接)等风险。一般防火墙就可以配置访问控制,方法比较简单。
(2)按照方便管理的原则为网络区域分配地址。如若系统内网络区域未分配地址,那么遭受恶意代码或者网络攻击的时候就极易造成风险扩散,使网络攻击、恶意代码的传播及开展变得非常容易。
为网络区域划分地址,我们可以通过划分VLAN 的方法达到这个目的。划分VLAN 有三种方式,分别是端口划分VLAN,MAC 划分VLAN,IP 地址划分VLAN,比较常用的就是按照IP 地址划分。划分VLAN 之前需要了解一下端口类型,端口一共有三种类型:Access、Trunk 及Hybrid。Access 比较死板,规定一个端口只能属于一个VLAN,经常用于连接主机设备。Trunk 规定一个端口可以属于多个VLAN,经常用在交换机与交换机之间。Hybrid 与Trunk 类似,它们接收数据的时候是一样的,发送数据的时候Hybrid 可以允许多个VLAN 报文不打标签,而Trunk 只允许缺省VLAN 的报文不打标签。
下面就以服务器汇聚交换机为例划分一下VLAN。该交换机为华为交换机,上联核心交换机,下联服务器交换机及虚拟化交换机。首先,在交换机上创建VLAN,并且把交换机的上联接口设置成Hybrid 类型,使用port hybrid tagged/untagged 语句把VLAN 加入到该端口中。之后配置下联接口信息,使用trunk allow-pass语句把VLAN 加入到接口中。接着使用ipsubnet-vlan enable 语句在上联接口中激活基于IP 子网划分VLAN 的功能,并用vlan precedence ip-subnet-vlan 设置优先使用IP 划分VLAN 功能。最后用ip-subnet-vlan+优先级+ip+ip 地址配置VLAN 与之关联的IP 地址段。优先级数字越大,优先级越高。
3.2 身份鉴别
为了减少用户名、密码流出或者被破解的几率,可以增加密码复杂度或者设置登录失败处理等功能。
(1)网络设备、安全设备、服务器、应用系统、控制台、终端、数据库等重要设备及服务建议配置口令策略。如网络设备为本地Console 管理,需要配备身份鉴别机制防止口令被恶意用户获得,合法用户身份被仿冒。
以配置办公汇聚交换机为例,该交换机为华为交换机。华为交换机用local-user 语句创建用户的时候,默认设置了口令策略(密码长度最小为8,大写字母、小写字母、数字和特殊字符中至少两种,且不能与用户名或用户名的倒写相同)。
建立用户的时候还可以设置域名、用户建立连接数目(access-limit,最小数字为1)、闲置超时时间(idle-timeout,可以具体到分、秒)、用户等级(privilege level,取值范围为0-15)、用户状态(state,激活状态为active,未激活状态为block)等。
(2)设置用户登录失败功能,限制非法登录次数、锁定时间功能,防止身份被滥用等危险。wrong-password 可以设置本地帐号在输入错误密码下的被锁定功能,retry-interval 设置输入错误密码重试时间(单位:分钟),retrytime 设置允许输入错误密码次数,block-time设置连续输入密码次数达到限制次数后,用户被锁定的时间(单位:分钟,最短为5 分钟)。
(3)安全设备、应用系统应添加SSL 数字证书,使用加密的HTTPS 协议进行数据通信。HTTPS 协议可以防止重要数据在网络传输过程中被窃听,防止应用系统账号、口令等重要数据被嗅探并盗用。使用secure-server ssl-policy http_server 语句可以为HTTP 服务器配置SSL策略,secure-server enable 语句可以开启HTTPS服务。
3.3 访问控制
安全设备、网络设备可以根据用户的实际情况分配权限,禁用或限制默认账号的访问权限。未限制默认账号的访问权限,会增加用户滥用权限从而导致系统故障的风险[6]。账号权限在建立账号的时候就可以设置,或者之后用local-user privilege level+级别也可以配置用户权限。一般缺省情况下,命令级别分为4 个等级(0-3 级)。如果需要更多级别,可以使用command-privilege level 语句,调整之后的命令级别扩展到0~15 级。倘若想要批量调整级别,可以使用command-privilege level rearrange 语句。
3.4 入侵防范
如果想要防范网络入侵,可以通过限制终端地址、修复漏洞、及时卸载多余组件等方法来进行防护。
(1)对管理终端地址进行限制,仅允许特定的地址访问,防止恶意用户使用任意终端登录,尝试非授权访问数据库。可以通过配置VLAN 实现对管理终端地址的限制。
(2)为避免多余组件服务可能存在的安全漏洞,或影响数据库性能造成业务中断,建议管理员经常查看服务器、网络设备、数据库等,及时发现并卸载多余组件/服务。
3.5 恶意代码防范
部署主机防病毒软件,采用主动免疫可信验证机制,并通过病毒监控中心对服务器病毒感染情况进行监控,定期更新防病毒软件特征库,降低主机感染病毒/木马的风险。统一的病毒监控机制将有利于管理员掌握系统内各主机操作系统的病毒防护现状,在病毒暴发时迅速采取及时的应对措施。
3.6 外包软件
对于外包的软件,建议在系统正式上线之前,对软件源代码进行一下测试,防止代码中可能存在的恶意代码或者bug。测试人员尽量不要选择开发单位的人员,可以通过第三方的检查工具或人工进行审查并保留相关检查报告。
现在社会上几乎所有的行业都涉及到了信息化,且随着科技的发展以及人们迫切的需要,信息化的程度也越来越高。高度信息化的同时,网络安全风险也越来越高,安全防护能力也需要不断地提高才能保障业务系统的安全。本文主要根据信息安全标准,全面的对系统平台的安全风险进行了分析,并针对部分风险提出了整改建议。
猜你喜欢 访问控制交换机端口 一种跨策略域的林业资源访问控制模型设计电子元器件与信息技术(2022年7期)2022-09-07面向未来网络的白盒交换机体系综述网络安全与数据管理(2022年3期)2022-05-23一种有源二端口网络参数计算方法西安航空学院学报(2021年1期)2021-07-24一种端口故障的解决方案科学家(2021年24期)2021-04-25局域网交换机管理IP的规划与配置方案的探讨数码世界(2020年11期)2020-11-23多按键情况下,单片机端口不足的解决方法电子制作(2019年13期)2020-01-14更换汇聚交换机遇到的问题网络安全和信息化(2019年7期)2019-07-10内外网隔离中ACL技术的运用网络安全技术与应用(2019年4期)2019-04-18基于地铁交换机电源设计思考电子制作(2019年24期)2019-02-23云计算访问控制技术研究综述中国新通信(2017年3期)2017-03-11