【廉環話】漫談信息安全設計與治理之安全套件設計
原創【51CTO.com 原創】上次說到美劇,其實廉哥也是給追劇迷,那晚閑來無事,我一口氣擼完了美劇《黑客軍團》第一季。當看到屏幕上的命令行時,居然有一種莫名其妙的激動和共鳴。特別是第一集基本上沒什么尿點,給我印象最深的是有一幕,網站系統癱瘓了,男豬腳和同仁發現是由DDOS導致的故障,然后發現服務器里的rootkit四處散播形成僵尸網絡,緊接著集群基本都關閉,最后男主出馬,他通過改個域名服務器就改變了最后一臺感染的重啟。劇情刺激且抓人,場面扣人心弦。雖然次日反思細節,感覺理論上說:每個域名都有TTL,修改后是不可能馬上生效的。但這對于神劇的所帶來的“小確幸”來說并不重要。
安全套件設計
通過閱讀這次的開頭想必大家已然明白我這次要給大家帶來什么了吧?對,網絡安全。談到網絡安全所涉及到的產品,大家一定想到了常見的硬件產品如:防火墻(firewall),VPN網關、入侵檢測(IDS)、入侵防御(IPS)和統一威脅管理(UTM)以及下一代防火墻(NGFW)等。這些設備的基本概念和用途,小生就不在這里贅述了,需要了解的,可以出門左拐找隔壁的“度娘”。這些設備誰將取代誰的存廢之爭已討論多年,我在這里不做評判,只想跟大家漫談的是個人在所經歷的項目中的一些實施經驗和感受。
1. 傳統的將安全設備串糖葫蘆式的部署到網絡中是萬萬不可的。這樣只會造成效率較低、可視性差、管理困難。傳統的設備如防病毒、入侵檢測與防御技術都是基于模式匹配、黑名單技術來對已知攻擊進行防御技術。而如今已是云計算、大數據時代,設計與運維人員應當多都通多協作,合理化部署,在沒有任何特征庫的情況下通過海量數據來發現無規律的異常的黑客行為以及發現新的攻擊或行為,因此聯動與互補顯得尤為重要。
2. 對于絕大多數已有部分安全硬件設備的企業,無論是從信息化建設發展投資保護還是從人員維護熟練程度來說,都沒有必要一下子推倒從來,一步跨到最新的設備套件(UTM)上。
3. 對于要逐年或定期面對內審和、或外審的企業來說,IDS是絕好不過的了。你可以從其“呈現”界面,方便、快捷、豐富的獲取各種表和圖,真是誰用誰知道。
4. UTM雖然“看上去很美”但是要注意UTM模塊見是否割裂、有無聯動,不然簡單的UTM模塊堆疊會導致應用層性能下降,適得其反。
5. 正所謂道高一尺魔高一丈,隨著黑客攻擊水平的不斷進步,如今多為利用應用安全漏洞進行攻擊,因此,下一代防火墻(NGFW)、IPS基礎上的抗拒絕服務攻擊系統(Anti-DOS)、Web應用防火墻(WAF)等元素應在網絡設計和部署時適當考慮,以應對日漸多樣、復雜、易變的應用程序。
6. 常言道“師傅領進門,修行在個人。”設備縱然再先進放在那里,鮮少維護是(sang)不(xin)行(bing)的(kuang)。我們需要真正做到管理,更新和使用好各種現有的網絡安全設備,按照現有的日常操作流程進行運維,如果能建立或是部分實現企業內信息安全管理體系(Information Security Management System, ISMS乃是極好的。
讓我們再把目光回到前面我給出的整體方案上:
兩條線路接入后,考慮到這是IT系統與外界互聯網的喉舌要害,本人在此就簡單的設計部署了一套安全套件。之所以命名為安全套件,是因為隨著軟硬件技術的發展,在安全接入網關方面,各大廠商的各種設備在深入開發其本類特性的同時也不斷加權相近領域的安全概念。這便使得各類安全產品的單質性逐漸淡化,多用途的現象普遍體現。因此,本人覺得在設計和選型方面不必拘泥,完全可以根據本企業現有的網絡架構、資金預算等方面的實際情況出發,保證在功能上基本實現防火墻,IPS(入侵防護系統)特別是有Anti-DDOS(抗分布式拒絕服務)特性, IDS(入侵檢測系統),漏洞掃描,甚至可以有UTM(統一威脅管理)之類集大成設備的部署。
特別要強調的是這幾年來,見諸媒體的各大知名企業網站遭遇DDOS攻擊事件顯示出攻擊者從網絡層、傳輸層及應用層入手,進行如SYNFlood、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get Flood等拒絕服務攻擊。因此為了防止本所內部網絡以及對外服務網站因為連接耗盡而癱瘓,本人覺得應當將“抗DDOS”作為了安全套件的一項重要考量指標。
本期最后跟大家說一個廉哥我切身經歷過的安全事件吧。若干年前,我曾在一家信息安全公司給南方一個政府做信息安全的示范項目。結果某一天客戶辦公室的每臺電腦都彈出一句“It’s a test. I came, I saw, I conquered!”的小黑窗口。客戶領導大呼這是什么鬼?城里人太會玩了!后來查明是網絡攻擊安全部門的新來實習生在利用腳本模擬風暴攻擊時擅用誤接入到了正常辦公內網絡所致。哎,可惜了,這位騷年程序猿,明明可以靠測試吃飯,卻偏要靠憑這樣的“才華”出名,公司的霸道總裁只能送他兩個字“走你!”所以說咱們搞信息安全的人,一不小心把自己給整進去了,這樣真的好嗎?
【51CTO.com 原創稿件,轉載請注明作者及出處。】
