访问控制: 防止企业“病从口入”

network

访问控制: 防止企业“病从口入”   
      
  今年4月，CNCERT/CC发布了《2006年网络安全工作报告》。报告显示，2006年接收的网络安全事件报告有26476件，2005年为9112件，同比增长接近3倍; CNCERT/CC通过分布式蜜网捕获的新的漏洞攻击型恶意代码数量每天达96个，每天捕获次数高达3069次。金山公司发布的《2007年上半年中国电脑病毒疫情及互联网安全报告》也显示，今年上半年，全国计算机感染台数759万多台，与去年同期相比增长了12.2%。这两个报告都反映出企业网络所处的环境越来越恶劣。如何应对来势汹汹不断增长的恶意攻击，网络的访问控制是抵御“病从口入”的关键。

抵御病毒入侵应优先考虑防御，尤其是网络的访问控制。对于一个大型企业来说，网络往往是四通八达、结构繁杂的，杂乱无章的网络也会导致访问控制的臃肿和失效，并且会大幅度地增加工作的复杂和负担。因此，要做好网络安全，可以借鉴城市交通路网的规划和管理，进行网络划分，实施访问控制，优先做好以下几点:

1. 网络划分总体规划

管理好网络连接是做好网络安全的重中之重。管理员应将整个网络的拓扑图清理出来，掌握网络内部和网络之间的连接情况，按照一定的划分原则对网络进行总体规划。

首先，设立与互联网连接的统一的DMZ（Demilitarized Zone，隔离区），消除多个出口的问题。并设立与合作伙伴相连的合作区，采取合理适当的控制措施。

然后，设立不同的服务器区，可以按照业务用途、系统的重要性、管理功能等角度进行划分，但是要掌握一个度，不是划分得越细越好。如果划分过细，管理和控制的难度也会随之提高。

2. 信息系统分层规划

企业一般的做法是把信息系统安装在一台服务器上。由于运行的服务越多，遭受攻击的风险越大，因此对信息系统进行分层规划，对保护整个信息系统的安全非常重要。对信息系统进行分层划分可分为三层: Web层、APP（Application，应用）层和DB（Database，数据库）层，分别部署在不同的服务器上; 在信息系统分层的基础上，进一步把Web层、APP层和DB层划分为不同的网段。这样可以严格限制APP层和DB层的访问途径和访问来源，对于Web层则采取针对性的安全防范和安全监控措施。

3.服务端口分类规划

做过大型网络防火墙管理的工程师大多碰到过这样的困境: 如果策略限制严格，维护的策略条数就会非常多，管理极其困难; 如果策略限制宽松，控制的效果会被大打折扣。究其原因，往往是服务端口随意设置，例如Oracle DB的端口有的是1521、有的是3000、有的是4000、有的是5万。在这种情况下，如果要严格限制，在防火墙上就得有4条不同的策略。

另外，监控人员在网络监控时如果碰到问题，也很难找到与哪个服务相关，他必须找到服务器管理员、应用系统管理员，甚至软件开发人员，转一大圈才能确定症结。这不但费力，而且会失去处理时机。因此，为了确保访问控制的有效和方便，对服务端口进行分类规划相当重要。

正确的做法是制定整个企业服务端口的规范，例如Oracle DB可以使用的端口范围是1521～1529，其他服务不能使用这些端口。上面例子中的4条策略，只用一条策略就可以了。监控人员如果发现端口为1521～1529之间的问题，就可以立即定位到Oracle DB。

因此，网络划分对访问控制的影响是非常重大的。如果按照上述方法进行网络划分，实施的访问控制不但有效而且便利。（

network

企业信息安全既不是简单的安全产品堆砌，也不等同于局部的网络安全，而应是基于需求构成的以管理、技术和人员三者有机结合的立体架构。

在进行信息安全总体架构规划时，企业容易陷入两个误区: 一是罗列一堆产品和技术，把能够看到的安全产品和安全技术（防火墙、防病毒、入侵监测、加密技术、VPN、终端准入控制）都堆砌起来，以为这样就构成了全面的安全屏障; 二是把企业信息安全等同于网络安全，给出的规划也只能是局部的、残缺不全的。
要做企业信息安全总体架构规划，首先要了解企业的信息安全需求。抛开需求做规划，难免会掉进前面所讲的两种误区中。因此，做规划要从需求入手。
企业信息安全总体架构规划模型（图1）以企业信息安全的需求（保密性、完整性、可用性）为出发点，以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点，层层剖析、全面挖掘企业的信息安全需求，是一种将管理、技术和人员三者有机结合的企业信息安全保障体系。该模型均衡考虑了企业在保密性（C）、完整性（I）和可用性（A）三方面的安全需求。
企业信息安全总体架构规划模型虽然清晰地指出了规划的要点、重点和思路，但是按照此模型还是不知道如何去做，具体实施应参照一定的方法论进行。企业信息安全总体架构规划方法论（图2）融合了以管理和技术为核心的全面分析方法，以安全需求为焦点，从管理现状、技术现状和人员状况三个维度，综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段，全面深入地挖掘需求。在明确需求的前提下，借鉴同类企业成功经验并均衡考虑CIA（保密性、完整性、可用性），规划符合企业实情的信息安全保障体系。
在企业信息安全总体架构规划方法论中，重点工作的描述如下:
调查问卷
针对企业情况，信息主管应参照ISO27001/ISO13335等标准，制定相应的调查问卷，通过它全面了解企业的安全要求、安全状况、IT环境，以及企业信息系统的应用情况和已经采取的安全控制手段。
人员访谈
应选定关键领导和关键岗位，进行人员访谈，全面了解信息系统的安全需求，层层剖析、深入了解企业信息系统各层面的安全现状，包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。
现场查看
为了确保获取信息的全面性和准确性，实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况，例如设备使用状况、技术应用状况等; 另一方面是物理环境察看，例如机房、办公室、其他重要区域、门禁、监控等。
资料分析
收集企业的相关资料进行分析，重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT运行报告和IT审计报告。
技术检测
采取技术手段进行漏洞检测和分析，包括渗透测试、漏洞扫描、本地检查和手工检查等。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。
CIA均衡考虑
通过前面5种方法完成需求分析之后，CIO对信息安全的具体详细的需求就了解了。然后针对企业的信息安全需求，均衡考虑CIA三个方面设计技术、管理和人员控制措施，并将这些措施有机结合构建信息安全保障体系。
同类企业成功经验
有现成的桥，就没有必要摸着石头过河。因此，在设计信息安全保障体系时，借鉴国内企业在信息安全保障方面的成功案例，可以节约成本和少走弯路。