浅析等保2.0下如何建立一套主动防御安全体系？

network

浅析等保2.0下如何建立一套主动防御安全体系？

怎样的一套防御体系是主动防御呢？今天不得不等谈谈自己的一些看法。
首先最传统的安全设备肯定还是得需要：防火墙和网络版杀毒软件不能少，这是最基本的，网关层的防毒墙也是有必要的。入侵检测呢肯定得换上入侵防御了，不仅要能发现攻击，更要能阻断攻击，这就要求安全厂家不断将IPS误报率降低，同时很重要的一点结合用户的实际情况合理地配置策略。做到这样也是基础的，离主动防御还有段距离。还需要加强的是明确接入网络的人员身份，明确接入系统的人员身份，防止内网有违规外联的情况，所以在等保2.0时代，我们必须要部署安全准入系统，堡垒机及双因素认证等这类设备，确保接入到网络的人员身份可信，网络出口唯一。这样才能保证后续的安全措施及安全运维能够有效地进行。另外一个基础设备是漏洞扫描器，为什么被攻击，因为我们的系统本身存在漏洞，存在可被利用的缺陷，而且绝大多数的漏洞都是已知漏洞，所以我们需要通过漏洞扫描器定期对网络对系统进行扫描，及时发现漏洞并进行修补。最后一个主动防御的基础设施，不得不等推荐数据库防火墙，以前的方案是配备数据库审计、日志审计类设备，这些是操作审计、被动类的设备，显然不满足主动防御的要求，通过数据库防火墙，我们实现对数据库的访问行为控制、危险操作阻断、可疑行为审计，从而保障数据的安全。小结下主动防御体系基本设备有：防火墙、防毒墙、网络版杀毒软件、IPS、准入系统、堡垒机、双因素认证、漏洞扫描器和数据库防火墙。
是不是有了设备就可以达到主动防御呢，不得不等认为还不够，我们还需要一些定期的安全服务，主要是：渗透测试服务，通过模拟黑客攻击来主动发现系统可利用的漏洞；系统上线前安全测试服务，在新系统上线前对系统进行全面的安全测试，及时发现系统在开发设计时就有的一些安全问题，降低系统带病上线的风险；安全运维服务，这个不是普通的驻场日常运维，而是针对我们的网络及系统定期的进行漏洞扫描，策略检查，安全加固及日志分析等服务，通过安全运维服务，及时发现潜在的安全隐患，寻找有无被黑客攻击的痕迹，及时查漏补缺。另外在系统管理上对重要的操作需要进行不同用户多重授权，杜绝超级管理员的存在，采用三权分立等管理方式，加强安全管理，三分技术，七分管理，管理也很重要。经过以上几方面安全防护体系的建设已经是可以建成一个较好的主动防御体系，能够基本达到主动发现安全隐患，及时阻断各类攻击的效果。
最后我们还想把这个主动防御体系建的更好，那还可以部署SOC平台、安全态势感知平台，从全局性角度去监测、感知、发现整体的安全趋势及可能存在的安全问题。部署防APT（高级持续性威胁）攻击的设备发现一些潜在的不定期的隐蔽的各类攻击。到这里，这个安全防护体系已经是很完善了。那么有些朋友可能会提出疑问，怎么连数据备份、容灾、网闸、加密、负载均衡等设备都没考虑，这些设备不是不要，其中一些属于必须要有的，比如数据备份；还有些属于看实际应用场景的，如网闸、负载均衡，不是所有用户都需要。那不得不等对这些设备的定位是这些不是主动防御的范畴。主动防御是去主动发现问题，解决问题，而这些设备一个共同的特点是这些设备都不是防护类设备，而是相对基础的IT设备，如果数据真的丢失或者损毁了，那么肯定是我们的主动防御体系没建好，才导致被攻击被破坏，当然物理损坏除外啊。

通过这么一套主动防御安全体系的建设最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。安全的道路很长，通往远方的道路也很多，不得不等个人的一些看法仅供大家参考交流，不作为标准答案。

network

区域边界的访问控制防护可以通过利用各区域边界交换机设置ACL（访问控制列表）实现，但该方法不便于维护管理，并且对于访问控制的粒度把控的效果较差。从便于管理维护及安全性的角度考虑，通过在关键网络区域边界部署防火墙，实现对区域边界的访问控制。访问控制措施满足以下功能需求：
a)应在网络边界部署访问控制设备，启用访问控制功能；
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；
c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；
d)应在会话处于非活跃一定时间或会话结束后终止网络连接；
e)应限制网络最大流量数及网络连接数；
f)重要网段应采取技术手段防止地址欺骗；
各安全区域针对自身业务特点设定访问控制策略

首先需要划分安全区域，根据划分的类型进行设置，比如如果是基于VLAN的，则通过ACL控制；如果是基于业务功能划分或等保级别划分，则需要防火墙、网闸或物理隔离；如果是基于用户访问划分，除了防火墙外可能还需要增加网络审计模块。