Solución de seguridad de red empresarial
Capítulo 1 Principios generales
Este plan es una solución de seguridad de red para una red de área local a gran escala, que incluye análisis del sistema de red original, análisis de requisitos de seguridad, establecimiento de seguridad. objetivos y diseño de la arquitectura de seguridad, espere. El objetivo de esta solución de seguridad es lograr una gestión integral de la seguridad de la LAN de una gran empresa sin afectar su negocio actual.
1. Combine políticas de seguridad, métodos de hardware y software para formar un sistema de defensa unificado, que pueda prevenir eficazmente que usuarios ilegales ingresen a la red y reducir los riesgos de seguridad de la red.
2. Realice análisis de vulnerabilidades y seguimiento de auditorías con regularidad para descubrir y resolver problemas de manera oportuna.
3. Lograr un monitoreo de seguridad en tiempo real a través de la detección de intrusiones y otros métodos, proporcionar un medio para responder rápidamente a las fallas y contar con buenas medidas de recopilación de evidencia de seguridad.
4. Permita que los administradores de red reorganicen rápidamente archivos o aplicaciones dañados. Restaurar el sistema al estado anterior al daño y minimizar las pérdidas.
5. Instale el software antivirus correspondiente en estaciones de trabajo y servidores, y contrólelos y adminístrelos de forma centralizada a través de la consola central para lograr un antivirus unificado para toda la red.
Capítulo 2 Descripción general del sistema de red
2.1 Descripción general de la red
La LAN de esta empresa es un sistema LAN Gigabit con puntos de información relativamente densos. Los miles de puntos de información existentes proporcionan una plataforma de intercambio de información rápida y conveniente para varios departamentos que trabajan dentro de toda la empresa. No solo eso, la conexión de línea dedicada a Internet ha abierto una ventana al mundo exterior y varios departamentos pueden comunicarse directamente con los usuarios de Internet, consultar información, etc. A través de servidores públicos, las empresas pueden publicar información directamente o enviar correos electrónicos al mundo exterior. La adopción de tecnología de conmutación de alta velocidad y un diseño de solución de interconexión de red flexible no solo proporciona a los usuarios una plataforma de comunicación rápida, conveniente y flexible, sino que también conlleva mayores riesgos para la seguridad de la red. Por lo tanto, implementar una solución de seguridad operativa completa en redes heredadas no sólo es factible, sino necesaria.
2.1.1 Descripción general de la red
La LAN de esta empresa tiene una extensión física pequeña. Proporciona un ancho de banda exclusivo de 1000 M en la red troncal a través de conmutadores Gigabit y se comunica con varios departamentos a través de la parte inferior. Switches de nivel. Las estaciones de trabajo y los servidores están conectados y cuentan con un ancho de banda exclusivo de 100 M. Utilizando enrutadores Cisco conectados al conmutador central, todos los usuarios pueden acceder directamente a Internet.
2.1.2 Estructura de la red
La LAN de esta empresa se puede dividir en tres áreas principales según el área de acceso: área de Internet, red interna y área de servidores públicos. La red interna se puede dividir en muchas subredes según sus departamentos, funciones e importancia de seguridad, que incluyen: subred financiera, subred de liderazgo, subred de oficina, subred del departamento de marketing, subred del servidor central, etc. En el diseño de la solución de seguridad, según la importancia de la seguridad y los objetos a proteger, podemos dividir directamente cuatro LAN virtuales (VLAN) en el switch Catalyst, a saber: subred del servidor central, subred financiera, subred de liderazgo y otras. subred. Diferentes LAN pertenecen a diferentes dominios de transmisión. Dado que la subred financiera, la subred de liderazgo y la subred del servidor central son segmentos de red importantes, estos segmentos de red se dividen en un dominio de transmisión independiente en el conmutador central y otras estaciones de trabajo se dividen en la misma red. segmento.
(Figura omitida)
2.2 Aplicaciones de red
La LAN de esta empresa puede proporcionar a los usuarios las siguientes aplicaciones principales:
1. intercambio de archivos, ofimática, servicios WWW, servicios de correo electrónico
2. Almacenamiento unificado de datos de archivos;
3. Realizar desarrollo secundario en el servidor de base de datos para aplicaciones específicas (como sistemas financieros).
4. Proporcionar acceso a Internet;
5. Publicar información corporativa, enviar correos electrónicos, etc. a través de servidores públicos;
2.3 Características de la estructura de la red
Al analizar los riesgos de seguridad de esta LAN empresarial, se deben considerar los siguientes aspectos de la red. características tomadas en consideración:
1. La red está conectada directamente a Internet, por lo que al diseñar soluciones de seguridad, se deben considerar los riesgos relacionados con la conexión a Internet, incluida la posibilidad de que se propaguen virus a través de Internet, piratas informáticos. ataques y acceso no autorizado desde Internet.
.
2. Hay servidores públicos en la red Dado que los servidores públicos deben abrir algunos servicios al mundo exterior, se debe considerar el uso de una red de servidores segura al diseñar soluciones de seguridad para evitar los riesgos de seguridad. servidores públicos se propaguen internamente.
3. Hay muchas subredes diferentes en la red interna y diferentes subredes tienen diferente seguridad. Por lo tanto, al diseñar una solución de seguridad, debe considerar separar redes con diferentes funciones y niveles de seguridad. dividiendo las VLAN a través del conmutador.
4. Hay dos servidores de aplicaciones en la red Al desarrollar aplicaciones, debe considerar fortalecer la verificación de inicio de sesión del usuario para evitar el acceso no autorizado.
En resumen, al diseñar una solución de red, se deben tener en cuenta las características de la LAN empresarial en función del rendimiento, el precio y los posibles riesgos de seguridad del producto.
Capítulo 3 Análisis de riesgos de seguridad del sistema de red
Con la rápida expansión de la red de Internet y el rápido aumento de usuarios de Internet, los riesgos se han vuelto más graves y complejos. El daño original causado por un único incidente de seguridad informática puede extenderse a otros sistemas, provocando parálisis y pérdidas generalizadas. Además, junto con la falta de mecanismos de control de seguridad y una comprensión insuficiente de las políticas de seguridad de Internet, estos riesgos son cada vez más graves.
En vista de los riesgos de seguridad que existen en esta LAN empresarial, al diseñar soluciones de seguridad, debemos considerar seriamente los siguientes riesgos de seguridad y tomar las medidas de seguridad correspondientes de acuerdo con los riesgos que enfrentamos. Los siguientes riesgos son causados por una variedad de factores, que están estrechamente relacionados con la estructura LAN de la empresa y la aplicación del sistema, la confiabilidad del servidor de red en la LAN y otros factores. Algunos de estos factores de riesgo se enumeran a continuación:
La ciberseguridad se puede entender a partir de los siguientes tres aspectos: 1. Si la red es físicamente segura 2. Si la plataforma de la red es segura 3. Si el sistema es seguro; seguro 4. Si la aplicación es segura 5. La gestión es segura. Para cada tipo de riesgo de seguridad, combinado con la situación real de esta LAN empresarial, analizaremos específicamente los riesgos de seguridad de la red.
3.1 Análisis de riesgos de seguridad física
Los riesgos de seguridad física de la red son diversos.
La seguridad física de la red se refiere principalmente a accidentes ambientales como terremotos, inundaciones e incendios; fallas de energía o errores de operación humana; robo o destrucción de equipos e intercepción de líneas; Además de hardware de alta disponibilidad, diseño de redundancia múltiple de doble máquina, entorno de sala de ordenadores y sistema de alarma, conciencia de seguridad, etc. Es el requisito previo para la seguridad de todo el sistema de red en esta área empresarial LAN, debido a la pequeña extensión física de la red, siempre que se formule un sistema de gestión de seguridad sólido, se realicen copias de seguridad y se administren los equipos de red. y se refuerzan las salas de ordenadores, se pueden evitar estos riesgos.
3.2 Análisis de riesgos de seguridad de la plataforma de red
La seguridad de la estructura de la red implica la topología de la red, el estado del enrutamiento de la red y el entorno de la red.
Amenazas a las que se enfrentan los servidores públicos
El área de servidores públicos (WWW, EMAIL y otros servidores) en la LAN empresarial sirve como plataforma de publicación de información de la empresa una vez que este último no puede funcionar y no está disponible. atacado, la reputación de la empresa se verá gravemente afectada. Al mismo tiempo, el propio servidor público debe servir al mundo exterior y debe abrir los servicios correspondientes todos los días; los piratas informáticos intentan acceder a los nodos de Internet. Si estos nodos no están atentos, es posible que ni siquiera sepan cómo entraron. e incluso pueden convertirse en piratas informáticos que invaden otros nodos de Internet. Un trampolín para el sitio. Por lo tanto, resulta muy importante que los administradores de redes relativamente grandes respondan eficazmente a los incidentes de seguridad en Internet. Es necesario que aislamos el servidor público, la red interna y la red externa para evitar la fuga de información de la estructura de la red; al mismo tiempo, debemos filtrar las solicitudes de servicio de la red externa para permitir que solo lleguen los paquetes de datos de comunicación normales; El host correspondiente y otros servicios solicitados no se recibirán hasta que lleguen. El host debería haber sido rechazado antes.
Toda la estructura de la red y el estado del enrutamiento
Las aplicaciones de seguridad a menudo se basan en sistemas de red. La madurez del sistema de red afecta directamente la construcción exitosa del sistema de seguridad. En este sistema LAN empresarial, solo se utiliza un enrutador como enrutador de borde para conectarse a Internet. La estructura de la red es relativamente simple. Se puede considerar el enrutamiento estático durante la configuración específica, lo que reduce en gran medida la cantidad de problemas causados por la estructura de la red y la red. riesgos de enrutamiento.
3.3 Análisis de riesgos de seguridad del sistema
La llamada seguridad del sistema obviamente se refiere a si todo el sistema operativo de la red LAN y la plataforma de hardware de la red son confiables y dignos de confianza.
Fiabilidad de los sistemas operativos de red y las plataformas de hardware de red: para China, me temo que no hay ningún sistema operativo absolutamente seguro para elegir, ya sea Windows NT de Microsoft o cualquier otro sistema operativo comercial UNIX, sus desarrolladores Debe haber una puerta trasera. Digámoslo de esta manera: no existe un sistema operativo completamente seguro. Sin embargo, podemos configurar de forma segura la plataforma operativa existente, controlar estrictamente las operaciones y los derechos de acceso y mejorar la seguridad del sistema. Por lo tanto, no sólo el sistema operativo y la plataforma de hardware deben ser lo más fiables posible. Además, se debe fortalecer la autenticación del proceso de inicio de sesión (especialmente la autenticación antes de llegar al host del servidor) para garantizar la legitimidad del usuario. En segundo lugar, los permisos de operación del inicio de sesión deben restringirse estrictamente y las operaciones realizadas por ellos deben limitarse; al alcance mínimo.
3.4 Análisis de riesgos de seguridad de aplicaciones
La seguridad de los sistemas de aplicaciones está relacionada con aplicaciones específicas e involucra muchos aspectos. La seguridad de los sistemas de aplicaciones es dinámica y cambia constantemente. La seguridad de las aplicaciones también implica la seguridad de la información, que incluye muchos aspectos.
La seguridad de los sistemas de aplicaciones es dinámica y cambia constantemente: La seguridad de las aplicaciones cubre una amplia gama de áreas, tomando como ejemplo el sistema de correo electrónico, que actualmente es el más utilizado en Internet, hay decenas. Los errores causados por la codificación interna e incluso el compilador del sistema rara vez son descubiertos por alguien, por lo que es bastante necesario un conjunto detallado de software de prueba. Sin embargo, los sistemas de aplicaciones están en constante desarrollo y los tipos de aplicaciones aumentan constantemente. Como resultado, las vulnerabilidades de seguridad también aumentan y se ocultan cada vez más. Por lo tanto, garantizar la seguridad de los sistemas de aplicaciones es también un proceso de mejora continua a medida que se desarrolla la red.
La seguridad de las aplicaciones implica la seguridad de la información y los datos: La seguridad de la información implica: fuga de información confidencial, acceso no autorizado, destrucción de la integridad de la información, falsificación, destrucción de la disponibilidad del sistema, etc. Dado que la extensión de esta LAN empresarial es pequeña, la mayor parte de la información importante se transmite internamente, por lo que se puede garantizar la confidencialidad e integridad de la información. Para cierta información particularmente importante que debe mantenerse confidencial internamente (como información importante transmitida por subredes de liderazgo y sistemas financieros), puede considerar cifrarla en el nivel de la aplicación y cifrarla directamente durante el desarrollo del sistema de aplicaciones para aplicaciones específicas.
3.5 Análisis de riesgos de seguridad de la gestión
La gestión es la parte más importante de la seguridad de la red
La gestión es la parte más importante de la seguridad de la red.
Las responsabilidades y poderes poco claros, la gestión caótica, los sistemas de gestión de seguridad incompletos y la falta de operatividad pueden causar riesgos de seguridad en la gestión. Las responsabilidades y derechos poco claros y la gestión caótica han llevado a algunos empleados o administradores a permitir que empleados no locales o incluso personas externas ingresen a la sala de computadoras a voluntad, o que los empleados intencionalmente o no filtren alguna información importante que conocen, pero no existe un sistema de gestión correspondiente para restringirlo.
Cuando se produce un ataque en la red o la red está sujeta a otras amenazas a la seguridad (como operaciones ilegales por parte de personas internas, etc.), no se pueden realizar detección, monitoreo, informes y alerta temprana en tiempo real. . Al mismo tiempo, cuando ocurre un accidente, es imposible proporcionar pistas de seguimiento de ataques de piratas informáticos y pruebas para resolver el caso, es decir, hay una falta de controlabilidad y revisabilidad de la red. Esto requiere que llevemos a cabo registros de varios niveles de las actividades de acceso al sitio y detectemos intrusiones ilegales de manera oportuna.
Para establecer un nuevo mecanismo de seguridad de red, debemos tener un conocimiento profundo de la red y ser capaces de proporcionar soluciones directas. Por lo tanto, el enfoque más factible es la combinación de sistemas de gestión y soluciones de gestión.
3.6 Ataques de hackers
Los hackers realizan ataques todo el tiempo, y explotarán todas las posibles vulnerabilidades del sistema y de la gestión. Un ejemplo típico de las vulnerabilidades de los servidores públicos es que los piratas informáticos pueden engañar fácilmente al software del servidor público, obtener el archivo de contraseñas de Unix y enviarlo de vuelta. Después de que un pirata informático invade un servidor UNIX, es posible modificar los privilegios de un usuario normal a un usuario avanzado. Una vez exitoso, el pirata informático puede acceder directamente al archivo de contraseña. Los piratas informáticos también pueden desarrollar programas engañosos e instalarlos en servidores UNIX para monitorear las sesiones de inicio de sesión. Cuando ve que un usuario ha iniciado sesión, comienza a almacenar un archivo para que el hacker tenga la cuenta y la contraseña de la otra persona. En este momento, para prevenir piratas informáticos, es necesario configurar un servidor público para que no salga de su propio espacio y entre a otro directorio. Además, los privilegios de grupo deben configurarse para no permitir que nadie que utilice un servidor público acceda a nada que no sea el archivo de la página WWW. En la LAN de esta empresa, podemos utilizar de manera integral tecnología de firewall, tecnología de protección de páginas web, tecnología de detección de intrusiones y tecnología de evaluación de seguridad para proteger los recursos de información en la red y prevenir ataques de piratas informáticos.
3.7 Vulnerabilidad de la interfaz de puerta de enlace común (CGI)
Un tipo de riesgo involucra los scripts de la interfaz de puerta de enlace común (CGI). Muchos archivos de páginas e hipervínculos a otras páginas o sitios. Sin embargo, algunos sitios utilizan estos hipervínculos para hacer referencia a sitios que buscan información específica. El motor de búsqueda se implementa mediante la ejecución de un script CGI. Los piratas informáticos pueden modificar estos scripts CGI para realizar sus tareas ilegales. Normalmente, estos scripts CGI sólo pueden buscar dentro de estos servidores WWW referidos, pero con algunas modificaciones, pueden buscar fuera del servidor WWW. Para evitar que ocurra este tipo de problema, estos scripts CGI deben configurarse con privilegios de usuario más bajos. Mejore las capacidades antidestrucción del sistema, mejore las capacidades de recuperación y copia de seguridad del servidor y mejore las capacidades de reparación automática y a prueba de manipulaciones del contenido del sitio.
3.8 Código malicioso
El código malicioso no se limita a virus, sino que también incluye gusanos, caballos de Troya, bombas lógicas y otro software no autorizado. Debe reforzarse la detección de códigos maliciosos.
Ataque del virus 3.9
Los virus informáticos siempre han sido una gran amenaza para la seguridad informática. Los nuevos virus que pueden propagarse por Internet, como por ejemplo a través del correo electrónico, aumentan el nivel de esta amenaza. Los tipos y modos de infección de virus también están aumentando, y el número total de virus en el espacio internacional ha alcanzado decenas de miles o más. Por supuesto, no necesita preocuparse por una infección de virus al ver documentos, explorar imágenes o completar formularios en la Web. Sin embargo, debe estar especialmente atento al descargar archivos ejecutables y recibir archivos de correo electrónico de fuentes desconocidas. de lo contrario, puede causar fácilmente daños graves al sistema. El clásico virus "CIH" es un terrible ejemplo.
3.10 Empleados internos insatisfechos
Los empleados internos insatisfechos pueden hacer pequeñas bromas o incluso sabotear el sitio WWW. De todos modos, están más familiarizados con servidores, subprogramas, scripts y vulnerabilidades del sistema. Para los empleados insatisfechos que han renunciado, este tipo de riesgo se puede reducir cambiando periódicamente las contraseñas y eliminando registros del sistema.
Pero también hay empleados actuales descontentos que pueden causar un daño mayor que los empleados que se han ido. Por ejemplo, pueden pasar información vital, filtrar información crítica para la seguridad, ingresar a bases de datos por error, eliminar datos, etc.
3.11 métodos de ataque a la red
En general, se cree que los métodos de ataque a la red actuales incluyen principalmente:
Acceso no autorizado: uso sin consentimiento previo de la red o la computadora Los recursos se consideran acceso no autorizado. Si evita intencionalmente el mecanismo de control de acceso al sistema, hace un uso anormal de los equipos y recursos de la red o amplía los permisos sin autorización, acceda a la información sin autorización. Adopta principalmente las siguientes formas: suplantación de identidad, ataque de identidad, usuarios ilegales que ingresan al sistema de red para realizar operaciones ilegales, usuarios legítimos que operan de manera no autorizada, etc.
Fuga o pérdida de información: se refiere a datos confidenciales que se filtran o se pierden de forma intencionada o no. Por lo general, incluye información que se pierde o se filtra durante la transmisión (como "hackers" que utilizan fugas electromagnéticas o escuchas ilegales). puede interceptarse mediante otros métodos, o se puede obtener información útil (como contraseñas de usuario, números de cuenta y otra información importante) analizando parámetros como el flujo de información, el tráfico, la frecuencia y la longitud de la comunicación. La información se pierde o se filtra en el almacenamiento. medio Establecer túneles ocultos para robar información sensible, etc.
Destruir la integridad de los datos: robar el derecho a utilizar datos por medios ilegales, eliminar, modificar, insertar o reenviar cierta información importante para obtener una respuesta que sea beneficiosa para el atacante, agregar o modificar datos maliciosamente, para interferir; con el uso normal de los usuarios.
Ataque de denegación de servicio: Interfiere continuamente con el sistema de servicio de red, cambia su proceso de funcionamiento normal, ejecuta programas irrelevantes, ralentiza la respuesta del sistema o incluso lo paraliza, afecta el uso de los usuarios normales e incluso excluye a los usuarios legítimos y no puede ingresar al sistema de la red informática o no puede obtener los servicios correspondientes.
Utilice la red para propagar virus: los virus informáticos que se propagan a través de la red son mucho más destructivos que los sistemas independientes y es difícil para los usuarios prevenirlos.
Capítulo 4 Requisitos de seguridad y objetivos de seguridad
4.1 Análisis de requisitos de seguridad
A través de nuestro análisis previo de la estructura de la red de área local empresarial, las aplicaciones y las amenazas a la seguridad, Se puede ver que sus problemas de seguridad se centran principalmente en la protección de seguridad de servidores, anti-hackers y virus, protección de segmentos importantes de la red y seguridad de gestión. Por lo tanto, debemos tomar las medidas de seguridad correspondientes para eliminar los riesgos de seguridad, entre las que debemos:
Exponer la protección de seguridad del servidor
Evitar que los piratas informáticos ataquen desde el exterior
Detección y monitorización de intrusiones
Auditoría y registro de información
Protección antivirus
Protección de seguridad de datos
Copia de seguridad y recuperación de datos
Gestión de seguridad de red
Según la situación real de este sistema de red de área local empresarial, el sistema debe cumplir con los siguientes requisitos al considerar cómo resolver los problemas de seguridad anteriores:
1. Mejorar sustancialmente la seguridad del sistema (centrándose en la usabilidad y controlabilidad);
2. Mantener las características de rendimiento originales de la red, es decir, que tenga buena transparencia en los protocolos y la transmisión de la red. , y se puede acceder de forma transparente, sin necesidad de cambiar la configuración de la red;
3. Fácil de operar, mantener y facilitar la administración automática, sin agregar ni agregar menos operaciones adicionales. Trate de no afectar la topología de la red original y, al mismo tiempo, facilite la expansión del sistema y las funciones del sistema.
5. El sistema de seguridad y confidencialidad tiene una buena relación rendimiento-precio. inversión de tiempo y se pueden utilizar durante mucho tiempo;
6. Los productos de seguridad tienen legalidad y están reconocidos o certificados por los departamentos de gestión nacionales pertinentes
7.
4.2 Política de seguridad de la red
La política de seguridad se refiere a las reglas que se deben seguir para garantizar un cierto nivel de protección de seguridad en un entorno específico. El modelo de política de seguridad incluye tres componentes importantes para establecer un entorno de seguridad, a saber:
Ley digna: la piedra angular de la seguridad son las leyes, regulaciones y medios sociales. Esta parte se utiliza para establecer un conjunto de gestión de la seguridad. estándares y métodos.
Es decir, al establecer leyes y reglamentos relacionados con la seguridad de la información, los elementos ilegales se asustarán ante la ley y no se atreverán a actuar precipitadamente.
Tecnología avanzada: La tecnología de seguridad avanzada es la garantía fundamental para la seguridad de la información. Los usuarios realizan evaluaciones de riesgos sobre las amenazas que enfrentan, deciden los tipos de servicios de seguridad que necesitan, seleccionan los mecanismos de seguridad correspondientes y luego integran seguridad avanzada. tecnología.
Gestión estricta: cada agencia, empresa y unidad usuaria de la red debe establecer métodos apropiados de gestión de la seguridad de la información, fortalecer la gestión interna, establecer un sistema de auditoría y seguimiento y mejorar la conciencia general sobre la seguridad de la información.
4.3 Objetivos de seguridad del sistema
Con base en el análisis anterior, creemos que la seguridad de este sistema de red LAN debe lograr los siguientes objetivos:
Establecer un completo y estrategias viables de gestión de redes y seguridad de red
Aislar eficazmente la red interna, la red de servidores públicos y la red externa para evitar la comunicación directa con redes externas
Establecer medidas de protección de seguridad para cada host y servidor del sitio web, Garantizar la seguridad de sus sistemas
Controlar el contenido de las solicitudes de servicios online para que los accesos ilegales sean rechazados antes de llegar al host
Reforzar la autenticación de acceso de los usuarios legales y el control los derechos de acceso del usuario Al nivel mínimo
Monitoreo integral del acceso a servidores públicos, detección y rechazo oportuno de operaciones inseguras y ataques de piratas informáticos
Fortalecer la auditoría de los distintos accesos y registrar en detallar el acceso a la red, revelar el comportamiento de acceso del servidor y formar un registro completo del sistema
Copia de seguridad y recuperación ante desastres: fortalezca la copia de seguridad del sistema y logre una recuperación rápida del sistema
Fortalecer la red gestión de la seguridad y mejorar la seguridad de todo el personal del sistema Tecnología de prevención y concientización sobre la seguridad de la red
Capítulo 5 Diseño general de la solución de seguridad de la red
5.1 Principios de diseño de la solución de seguridad
En el diseño de la solución de seguridad para este sistema de red LAN empresarial, al planificar, se deben seguir los siguientes principios:
Principios integrales y holísticos: aplicar perspectivas y métodos de ingeniería de sistemas para analizar la seguridad de la red y medidas específicas. Las medidas de seguridad incluyen principalmente: medios administrativos y legales, diversos sistemas de gestión (revisión de personal, flujo de trabajo, sistemas de mantenimiento y garantía, etc.) y medidas profesionales (tecnología de identificación, control de acceso, contraseñas, baja radiación, tolerancia a fallos, antivirus, y el uso de productos de alta seguridad espera). Una mejor medida de seguridad suele ser el resultado de la aplicación adecuada e integral de múltiples métodos. Una red informática que incluye individuos, dispositivos, software, datos, etc. El estado y la influencia de estos enlaces en la red sólo pueden verse y analizarse desde la perspectiva de un sistema integral, con el fin de lograr medidas efectivas y viables. Es decir, la seguridad de la red informática debe seguir el principio de seguridad general y desarrollar una arquitectura de seguridad de red razonable basada en políticas de seguridad prescritas.
El principio de equilibrar necesidades, riesgos y costos: para cualquier red, la seguridad absoluta es difícil de lograr y no es necesariamente necesaria. Realizar una investigación real en una red (incluidas tareas, rendimiento, estructura, confiabilidad, mantenibilidad, etc.), realizar un análisis cualitativo y cuantitativo de las amenazas que enfrenta la red y los riesgos que puede soportar, y luego formular especificaciones y medidas. la política de seguridad de este sistema.
Principio de coherencia: el principio de coherencia significa principalmente que los problemas de seguridad de la red deben existir al mismo tiempo que todo el ciclo de trabajo (o ciclo de vida) de la red, y la arquitectura de seguridad formulada debe ser coherente con los requisitos de seguridad de la red. . El diseño del sistema de red seguro (incluido el diseño preliminar o detallado) y los planes de implementación, verificación, aceptación, operación, etc. de la red, deben tener contenido y medidas de seguridad. De hecho, las contramedidas de seguridad de la red deben considerarse al comienzo de la construcción de la red, como. No sólo es más fácil y mucho más económico considerar medidas de seguridad una vez construida la red.
Principio de facilidad de operación: Las medidas de seguridad requieren que los humanos las completen. Si las medidas son demasiado complejas y los requisitos para las personas son demasiado altos, la seguridad en sí se reducirá. En segundo lugar, la adopción de medidas no puede afectar al normal funcionamiento del sistema.
Principio de implementación paso a paso: debido al amplio alcance de expansión de los sistemas de red y sus aplicaciones, la vulnerabilidad de la red seguirá aumentando a medida que se expanda la escala de la red y aumenten las aplicaciones.
No es realista resolver el problema de la seguridad de la red de una vez por todas. Al mismo tiempo, la implementación de medidas de seguridad de la información requiere gastos considerables. Por lo tanto, implementarlo paso a paso puede satisfacer las necesidades básicas de los sistemas de red y la seguridad de la información, y también puede ahorrar costos.
Múltiples principios de protección: Ninguna medida de seguridad es absolutamente segura y puede ser vulnerada. Pero establezca un sistema de protección múltiple, y cada capa de protección se complementará entre sí. Cuando se viola una capa de protección, otras capas de protección aún pueden proteger la seguridad de la información.
Principio de evaluabilidad: cómo evaluar previamente un diseño de seguridad y verificar la seguridad de su red. Esto debe lograrse mediante la evaluación de las agencias nacionales de evaluación y certificación de seguridad de la información de la red pertinentes.
5.2 Servicios, mecanismos y tecnologías de seguridad
Servicios de seguridad: Los servicios de seguridad incluyen principalmente: servicios de control, servicios de autenticación de objetos, servicios de confiabilidad, etc.
Seguridad; mecanismos: Mecanismo de control de acceso, mecanismo de autenticación, etc.;
Tecnología de seguridad: tecnología de firewall, tecnología de identificación, tecnología de monitoreo de auditoría, tecnología de prevención de virus, etc. En un entorno abierto seguro, los usuarios pueden utilizar diversas medidas de seguridad; aplicaciones. Las aplicaciones de seguridad son implementadas por algunos servicios de seguridad; los servicios de seguridad son implementados por varios mecanismos de seguridad o tecnologías de seguridad. Cabe señalar que en ocasiones se puede utilizar el mismo mecanismo de seguridad para implementar diferentes servicios de seguridad.
Capítulo 6 Arquitectura de Seguridad de la Red
A través de un conocimiento integral de la red, de acuerdo con los requisitos de la política de seguridad, los resultados del análisis de riesgos y los objetivos de seguridad de toda la red. red, todas las medidas de la red deben basarse en El sistema está establecido. El sistema de control de seguridad específico consta de los siguientes aspectos: seguridad física, seguridad de la red, seguridad del sistema, seguridad de la información, seguridad de las aplicaciones y gestión de la seguridad.
6.1 Seguridad física
Garantizar los sistemas de información informática. La seguridad física de diversos equipos es el requisito previo para la seguridad de todo el sistema de información informática. La seguridad física consiste en proteger los equipos, las instalaciones y otros medios de la red informática de accidentes ambientales como terremotos, inundaciones, incendios, errores o errores operativos humanos, y diversos. Delitos informáticos. El proceso de destrucción. Incluye principalmente tres aspectos:
Seguridad ambiental: la protección de seguridad del entorno donde se encuentra el sistema, como la protección regional y la protección contra desastres (consulte la norma nacional GB50173-93 "Código de diseño de salas de computadoras electrónicas"; , norma nacional GB2887-89 "Condiciones técnicas para sitios de estaciones de computación", GB9361-88 "Requisitos de seguridad para sitios de estaciones de computación"
Seguridad del equipo: incluye principalmente equipo antirrobo, antidestrucción, antielectromagnético fuga de radiación de información, prevención de interceptación de líneas e interferencias antielectromagnéticas y protección de energía, etc.
Seguridad de los medios: incluida la seguridad de los datos de los medios y la seguridad de los medios en sí. p>En términos de seguridad de la red, hay dos niveles principales a considerar. Uno es la madurez de toda la estructura de la red es principalmente optimizar la estructura de la red y, en segundo lugar, la seguridad de todo el sistema de la red
6.2.1 Estructura de la red
El sistema de seguridad se basa en el sistema de la red. La seguridad de la estructura de la red es la base para el establecimiento exitoso de un sistema de seguridad en términos de seguridad de toda la red. estructura, se debe considerar la optimización de la estructura de la red, el sistema y el enrutamiento.
El establecimiento de la estructura de la red debe considerar el entorno, la configuración del dispositivo y factores como la situación, el método de conexión en red remota y el volumen de comunicación. estimación, gestión del mantenimiento de la red, aplicación de la red y posicionamiento empresarial, etc. Una estructura de red madura debe ser abierta, estandarizada, confiable, avanzada y práctica, y debe tener un diseño estructurado, aprovechando al máximo los recursos existentes, con simplicidad de operación y. gestión y un sistema de seguridad completo La estructura de la red adopta una arquitectura en capas, que favorece el mantenimiento y la gestión, y favorece un mayor control de seguridad y desarrollo empresarial.
La optimización de la estructura de la red tiene en cuenta principalmente. enlaces redundantes en la topología de la red; configuración del firewall y monitoreo en tiempo real de la detección de intrusiones, etc.
6.2.2 Seguridad del sistema de red
6.2.2.1 Control de acceso y aislamiento de redes internas y externas
Control de acceso
Control de acceso se puede lograr Esto se logra en los siguientes aspectos:
1. Desarrollar un sistema de gestión estricto: se pueden formular las siguientes: "Reglas de implementación de autorización de usuario", "Especificaciones de administración de cuentas y contraseñas" y "Permisos". Sistema de Gestión".
2. Equipar con el equipo de seguridad correspondiente: Configurar un firewall entre la red interna y la red externa para lograr el aislamiento y control de acceso de las redes interna y externa es la forma más importante, efectiva y económica de hacerlo. proteger la seguridad de la red interna una de las medidas. Un firewall es el único punto de entrada y salida de información entre diferentes redes o dominios de seguridad de red.
El tipo principal de firewall es el filtrado de paquetes. Los firewalls de filtrado de paquetes generalmente utilizan la información del encabezado de los paquetes IP y TCP para filtrar la información de los paquetes IP que ingresan y salen de la red protegida, y pueden controlarse de acuerdo con la seguridad de la empresa. Política (permitir, rechazar, monitorear) el flujo de información dentro y fuera de la red. Al mismo tiempo, se pueden implementar funciones como traducción de direcciones de red (NAT), auditoría y alarmas en tiempo real. Debido a que este tipo de firewall se instala en el canal entre la red protegida y el enrutador, también aísla la red protegida de la red externa.
El firewall tiene las siguientes cinco funciones básicas: filtrar datos que entran y salen de la red; gestionar el comportamiento de acceso dentro y fuera de la red; bloquear ciertos servicios prohibidos; registrar el contenido de la información y las actividades que pasan a través del firewall; la red Detección y alerta de ataques.
6.2.2.2 Aislamiento y control de acceso de diferentes dominios de seguridad de red en la intranet
Aquí, la tecnología VLAN se utiliza principalmente para lograr el aislamiento físico de las subredes internas. Al dividir la VLAN en el conmutador, toda la red se puede dividir en varios dominios de transmisión diferentes para lograr el aislamiento físico entre un segmento de red interna y otro. Esto evita que los problemas que afectan a un segmento de la red se propaguen por toda la red. Para algunas redes, en algunos casos, un segmento de algunas de sus LAN es más confiable que otro, o un segmento es más sensible que otro. Al dividir los segmentos de red confiables y los segmentos de red no confiables en diferentes segmentos de VLAN, se puede limitar el impacto de los problemas de seguridad de la red local en la red global.
6.2.2.3 Detección de seguridad de la red
La seguridad del sistema de red depende del eslabón más débil del sistema de red. ¿Cómo detectar a tiempo el eslabón más débil del sistema de red? ¿Cómo maximizar la seguridad de los sistemas de red? El método más eficaz es realizar periódicamente análisis de seguridad de los sistemas de red para descubrir y corregir rápidamente las debilidades y lagunas existentes.
Una herramienta de detección de seguridad de red suele ser un software de evaluación y análisis de seguridad de red. Su función es utilizar métodos prácticos para escanear y analizar sistemas de red, verificar e informar las debilidades y lagunas del sistema y recomendar soluciones. medidas y estrategias de seguridad para lograr el propósito de mejorar la seguridad de la red. Las herramientas de detección deben tener las siguientes funciones:
Contar con funciones de monitoreo, análisis y respuesta automática de la red
Descubrir las causas raíces de los problemas frecuentes
Establecer los ciclos necesarios; El proceso garantiza que los peligros ocultos se corrijan en todo momento y se controlen diversos peligros de seguridad de la red.
Análisis y respuesta de vulnerabilidad
Análisis y respuesta de configuración
Análisis y respuesta de situación de vulnerabilidad
Certificación y análisis de tendencias
Concretamente se refleja en los siguientes aspectos:
El firewall está correctamente configurado
Las vulnerabilidades de seguridad de los sitios WEB internos y externos se reducen al mínimo
La el sistema de red logra una fuerte resistencia a los ataques
Varios sistemas operativos de servidor, como servidores E_MIAL, servidores WEB y servidores de aplicaciones, minimizarán la posibilidad de ser atacado por piratas informáticos
Responder eficazmente al acceso a la red , la protección es importante La seguridad de los datos de los sistemas de aplicaciones (como los sistemas financieros) está protegida contra ataques de piratas informáticos y operaciones incorrectas internas
6.2.2.4 Auditoría y monitoreo
La auditoría es el registro de todos actividades del usuario utilizando sistemas de redes informáticas proceso activo, es una herramienta importante para mejorar la seguridad.
No sólo identifica quién ha accedido al sistema, sino también cómo se utiliza el sistema. Para determinar si existe un ciberataque, la información de auditoría es importante para identificar el problema y el origen del ataque. Al mismo tiempo, el registro de eventos del sistema permite identificar problemas de forma más rápida y sistemática y es una base importante para la gestión de incidentes en etapas posteriores. Además, a través de la recopilación, acumulación y análisis continuos de eventos de seguridad, se realizan pistas de auditoría de forma selectiva en ciertos sitios o usuarios para proporcionar evidencia sólida de comportamientos destructivos descubiertos o posibles.
Por lo tanto, además de utilizar software de administración de red general y sistemas de administración y monitoreo de sistemas, también se deben usar equipos de monitoreo de red más maduros actualmente o equipos de detección de intrusiones en tiempo real para realizar inspecciones en tiempo real de operaciones comunes. dentro y fuera de las redes de área local a todos los niveles, monitoreo, alarmas y bloqueos para prevenir ataques y delitos en la red.
6.2.2.5 Antivirus de red
Dado que los virus informáticos tienen amenazas inconmensurables y un poder destructivo en el entorno de red, la prevención de virus informáticos es un paso importante en la construcción de la seguridad de la red. de un enlace.
La tecnología antivirus de red incluye tres tecnologías: prevención de virus, detección de virus y desinfección:
1. Tecnología de prevención de virus: Da prioridad a obtener el control del sistema a través de su propio residente. memoria del sistema, monitorear y determinar si hay virus en el sistema, y luego evitar que los virus informáticos ingresen al sistema informático y dañen el sistema. Estas tecnologías incluyen programas ejecutables cifrados, protección del sector de arranque y supervisión del sistema