【NISP一級】3.3 邊界安全防護(hù)設(shè)備

1. IPS(入侵防御系統(tǒng))

• 入侵防御系統(tǒng)(IPS)是結(jié)合了入侵檢測、防火墻等基礎(chǔ)機(jī)制的安全產(chǎn)品，通過對網(wǎng)絡(luò)流量進(jìn)行分析，檢測入侵行為并產(chǎn)生響應(yīng)以中斷入侵，從而保護(hù)組織機(jī)構(gòu)信息系統(tǒng)的安全。
• 入侵防御系統(tǒng)集檢測、 防御與一體，對明確判斷為攻擊的行為,會采取措施進(jìn)行阻斷，無需人員介入，因此也可能由于誤報導(dǎo)致將正常的用戶行為進(jìn)行攔截，因此入侵防御系統(tǒng)是一種側(cè)重風(fēng)險控制的解決方案。
• 入侵防御系統(tǒng)的優(yōu)勢在于能對入侵的行為實現(xiàn)及時的阻斷。
• 傳統(tǒng)的防火墻、入侵檢測防護(hù)體系中，入侵檢測發(fā)現(xiàn)攻擊行為并產(chǎn)生報警后，還需要防火墻管理人員設(shè)置針對性的策略對攻擊源進(jìn)行封堵，整個流程使得防御相對攻擊檢測有所滯后。為了應(yīng)對這一問題，部分廠家將入侵檢測與防火墻實現(xiàn)聯(lián)動，入侵檢測發(fā)現(xiàn)的攻擊通知防火墻進(jìn)行阻斷，但是由于缺乏相應(yīng)的標(biāo)準(zhǔn)，需要安全廠商相互的協(xié)商接口，使得入侵檢測與防火墻聯(lián)動。在實際應(yīng)用中難以推廣。
• 入侵防御系統(tǒng)通常采用串接的方式部署在網(wǎng)絡(luò)中，在檢測到入侵行為時，根據(jù)策略實時對入侵的攻擊源和攻擊流量進(jìn)行阻攔，從而極大的降低了入侵的危害。

2. 網(wǎng)閘(物理隔離系統(tǒng))

• 網(wǎng)閘也稱物理隔離系統(tǒng)或安全隔離與信息交換系統(tǒng)，是為了滿足我國涉及國家秘密的計算機(jī)系統(tǒng)必須與互聯(lián)網(wǎng)物理隔離的要求的前提下，提供數(shù)據(jù)交換服務(wù)的一類安全產(chǎn)品。
• 網(wǎng)閘通常由兩個獨立的系統(tǒng)分別連接可信網(wǎng)絡(luò)(例如涉密網(wǎng))和非可信網(wǎng)絡(luò)(互聯(lián)網(wǎng))，兩個相互獨立的系統(tǒng)之間采用特定的安全隔離組件進(jìn)行連接。安全隔離組件由隔離開關(guān)和數(shù)據(jù)暫存區(qū)域構(gòu)成，隔離開關(guān)是定制研發(fā)的安全組件,將數(shù)據(jù)暫存區(qū)分別連接到可信網(wǎng)絡(luò)和非可信網(wǎng)絡(luò)。

• 隔離開關(guān)同一時間只能連接兩個獨立系統(tǒng)之一，不能同時連接兩個系統(tǒng)，并且隔離開關(guān)的連接的斷開不受任何的軟件控制，周期性的在兩個系統(tǒng)之間切換，所以網(wǎng)閘是一款能夠?qū)崿F(xiàn)物理隔離的網(wǎng)絡(luò)安全設(shè)備，符合國家保密局于2000年1月發(fā)布的《計算機(jī)信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》。

• 組成：外部處理單元、內(nèi)部處理單元、仲裁處理單元當(dāng)數(shù)據(jù)需要從外部網(wǎng)絡(luò)(非可信網(wǎng)絡(luò))傳送到內(nèi)部網(wǎng)絡(luò)(可信網(wǎng)絡(luò))時，由連接到外部網(wǎng)絡(luò)的系統(tǒng)將數(shù)據(jù)復(fù)制到數(shù)據(jù)暫存區(qū)(隔離開關(guān)將暫存區(qū)連接到非可信系統(tǒng)時)，當(dāng)一個周期結(jié)束后，隔離開關(guān)切換，將暫存區(qū)從連接非可信區(qū)域的系統(tǒng)斷開，接入到連接內(nèi)部網(wǎng)絡(luò)的系統(tǒng)中，由連接內(nèi)部網(wǎng)絡(luò)的系統(tǒng)從暫存區(qū)中將數(shù)據(jù)讀取出來，從而實現(xiàn)數(shù)據(jù)的傳遞。

• 為了保障安全，網(wǎng)閘設(shè)備通常還集成了其他的安全機(jī)制，例如集成了防病毒功能,可對交換的數(shù)據(jù)進(jìn)行檢測，避免其中攜帶的計算機(jī)病毒導(dǎo)致安全風(fēng)險，集成文件過濾機(jī)制，對交換數(shù)據(jù)的類型進(jìn)行過濾，僅允許特定類型的數(shù)據(jù)文件通過，不允許交換的數(shù)據(jù)中有可執(zhí)行程序，避免木馬病毒偽裝成數(shù)據(jù)通過網(wǎng)閘進(jìn)入可信網(wǎng)絡(luò)等。

• 網(wǎng)閘雖然最初是為物理隔離交換數(shù)據(jù)而設(shè)計，但隨著應(yīng)用的不斷發(fā)展，也逐步誕生了協(xié)議隔離等其它不同的技術(shù)，發(fā)展成為比防火墻更高安全級別的網(wǎng)絡(luò)設(shè)備，用于保護(hù)要求較高的網(wǎng)絡(luò)與其他不可信網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換。它與防火墻的定位和應(yīng)用場景不同，是互補(bǔ)的網(wǎng)絡(luò)安全產(chǎn)品而不能進(jìn)行相互取代。
• 防火墻是實現(xiàn)邏輯隔離，在數(shù)據(jù)交換時會話雙方直接或間接建立了基于通信協(xié)議的會話，防火墻僅根據(jù)規(guī)則對會話是否允許進(jìn)行管理，符合規(guī)則的情況下雙方就能進(jìn)行數(shù)據(jù)交換，會話時雙方是實時連接的。而網(wǎng)閘是物理隔離或協(xié)議隔離，網(wǎng)閘中的專有硬件將會話雙方從物理層或鏈路層斷開的，因此會話雙方是非實時連接的。
• 網(wǎng)閘的局限性：由于網(wǎng)閘的技術(shù)特點上非實時連接，需要專有硬件，因此對應(yīng)用的支持有限，通用性方面不如防火墻。
• 網(wǎng)閘的應(yīng)用定位：網(wǎng)閘作為高安全級別要求的邊界防護(hù)產(chǎn)品，更注重內(nèi)部可信網(wǎng)絡(luò)的安全防護(hù)，是風(fēng)險優(yōu)先的安全防護(hù)產(chǎn)品，目前已廣泛在公安、交警、消防、銀行、國土資源等領(lǐng)域廣泛使用。

3. 上網(wǎng)行為管理

• 上網(wǎng)行為管理是對內(nèi)部網(wǎng)絡(luò)用戶的互聯(lián)網(wǎng)行為進(jìn)行控制和管理的邊界網(wǎng)絡(luò)安全產(chǎn)品，主要為了解決日益增長的互聯(lián)網(wǎng)濫用及非法互聯(lián)網(wǎng)信息防護(hù)問題。
• 上網(wǎng)行為管理設(shè)備的作用：在組織機(jī)構(gòu)的互聯(lián)網(wǎng)出口處部署上網(wǎng)行為管理產(chǎn)品，能有效的防止內(nèi)部人員接觸非法信息、惡意信息，避免國家、企業(yè)秘密或敏感信息泄露，并可對內(nèi)部人員的互聯(lián)網(wǎng)訪問行為進(jìn)行實時監(jiān)控，對網(wǎng)絡(luò)流量資源進(jìn)行管理，對提高工作效率有極大的幫助。
• 上網(wǎng)行為管理設(shè)備的應(yīng)用：適用于需對內(nèi)部訪問外部行為進(jìn)行內(nèi)容管控與審計的機(jī)構(gòu)。
• 上網(wǎng)行為管理設(shè)備的功能:
  • 上網(wǎng)身份管控
  • 對網(wǎng)頁的訪問過濾及互聯(lián)網(wǎng)瀏覽內(nèi)容管控
  • 網(wǎng)絡(luò)應(yīng)用控制及內(nèi)容管控
  • 帶寬及流量管理
  • 互聯(lián)網(wǎng)傳輸數(shù)據(jù)審計
  • 用戶行為分析
  • ……

4. 防病毒網(wǎng)關(guān)

• 傳統(tǒng)的針對惡意代碼進(jìn)行防御的方案是在終端進(jìn)行防護(hù)，通過在計算機(jī)終端.上部署單機(jī)或企業(yè)版的防病毒軟件對進(jìn)入終端的惡意代碼進(jìn)行檢測和查殺。基于終端的病毒防護(hù)方式存在以下安全不足：
  • 特征庫升級管理問題
  • 終端防病毒存在防護(hù)短板
• 防病毒網(wǎng)關(guān)是一種對惡意代碼進(jìn)行過濾的邊界網(wǎng)絡(luò)安全防護(hù)設(shè)備，通過對進(jìn)出網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行檢測，發(fā)現(xiàn)其中存在的惡意代碼并進(jìn)行查殺，能夠阻止病毒通過網(wǎng)頁、郵件、即時通信等互聯(lián)網(wǎng)應(yīng)用進(jìn)入受保護(hù)的網(wǎng)絡(luò)中，形成與終端放病毒軟件互補(bǔ)的安全防護(hù)能力。
• 防病毒網(wǎng)關(guān)設(shè)備的優(yōu)勢
  • 病毒庫只需要更新一套
  • 很難被惡意代碼停止
  • 通過和終端保護(hù)使用不同廠商的產(chǎn)品，能夠形成異構(gòu)保護(hù)

5. UTM(統(tǒng)一威脅管理系統(tǒng))

• 統(tǒng)一威脅管理系統(tǒng)(UTM)是將防火墻、防病毒、入侵檢測、上 網(wǎng)行為管理等安全技術(shù)及功能集成于一體的網(wǎng)絡(luò)安全設(shè)備。
• UTP的優(yōu)勢：
  • 資源整合帶來的低成本
  • 模塊化管理，比較容易使用
  • 配置工作量相對較小，能夠提高安全管理人員的工作效率
• UTP的局限性:
  • 功能集成帶來了風(fēng)險集中，不符合“縱深防御"的安全管理思想
  • 功能集成帶來的性能瓶頸
  • 功能集成帶來的系統(tǒng)復(fù)雜性、不同模塊的協(xié)作問題
• UTM的應(yīng)用場景:針對預(yù)算有限，但需要較全面防護(hù)能力的中小型組織機(jī)構(gòu)。

6. 安全防護(hù)配置

• 制定操作系統(tǒng)安全策略
• 關(guān)閉操作系統(tǒng)不必要的服務(wù)
• 關(guān)閉系統(tǒng)不必要的端口
• 開啟系統(tǒng)審核策略
• 開啟操作系統(tǒng)口令策略
• 下載操作系統(tǒng)最新補(bǔ)丁
• 安裝防火墻和安裝殺毒軟件等
  • 殺毒軟件功能有監(jiān)控識別、病毒掃描和清除、數(shù)據(jù)恢復(fù)。

總結(jié)

以上是生活随笔為你收集整理的【NISP一级】3.3 边界安全防护设备的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。