一、安全设备介绍
IDS
| 安全设备 | 设备特点 | 部署特点 |
|---|---|---|
| 入侵监测系统 (IDS) | 审计类产品、不具备拦截威胁的能力 | 旁路部署方式、通过交换机的监听口进行网络报文采样、在需要监听的网络线路上放置侦听探针 |
IPS
| 安全设备 | 设备特点 | 部署特点 |
|---|---|---|
| IPS | 分析传输层和网络层的数据、主动防御已知攻击、 实施阻断各种黑客攻击、针对如缓冲区溢出、SQL注入等攻击 | 一般部署在区域和区域的连接处、部署方式多以串连为主 |
WAF
| 安全设备 | 设备特点 | 部署特点 |
|---|---|---|
| WAF | 分析Web应用层数据、解析HTTP报文头部、参数及载荷、检测常见Web漏洞、具备拦截告警功能 | 通常部署在Web服务器的前面、隔离内外网网络边界 |
流量监控
| 安全设备 | 设备特点 | 部署特点 |
|---|---|---|
| 流量监控 | 基于网络全流量分析技术、旁路采集、分析和存储网络流量、回溯分析数据包特征、异常网络行为、精准定性分析网络安全事件 | 通过探针的方式部署流量采集节点、在管理中心进行汇聚 |
蜜罐
| 安全设备 | 设备特点 | 部署特点 |
|---|---|---|
| 蜜罐 | 作为诱饵的主机、网络服务或信息、 捕获和分析攻击行为、了解攻击工具与方法、推测攻击意图和动机 | 部署在不同域之间,如DMZ区、办公区、内网核心区、在分支机构、合作机构和域与域之间也应部署相应数量的诱捕节点 |
自动化应急处置平台
搭建原则:
-
灵活策略调整功能:平台应具备根据预设规则自动进行决策的能力,能够进行灵活的策略调整。
-
丰富的告警日志收集能力:平台需要具备强大的告警日志收集功能,确保能够进行多维度的关联分析。
-
实时动态展示功能:根据收集到的日志,平台应搭建具备实时动态展示能力的大屏展示系统。
二、网络现状分析
安全域介绍:
-
边界互联区:
- 运营商接入:包括电信、联通专线接入。
- 内联网接入:指数据中心分支结构、下属分行单位及第三方合作机构专线接入。
- 外联网接入:包括人行、银联、社保、资金清算中心等相关机构的接入。
-
外网业务区(互联网区):
- 主要对外提供数据中心的业务服务,如招聘系统、客服系统、网上手机银行等。
-
内网业务区:
- 为数据中心提供基础服务,部署大部分业务服务服务器及核心数据。根据数据的重要程度,此区域分为核心内网区或核心专网。
-
办公区:
- 为单位员工日常工作提供网络支持服务,用于访问OA(办公自动化平台)、Mail(电子邮件)、Wiki(超文本系统)、内部论坛等。
-
运维管理区:
- 主要供IT运维人员使用,部署有堡垒机、运维监控系统、IT资产管理系统等,方便运维人员进行日常办公及业务管理。
风险分析:边界互联网
1. 边界互联区概述
- 运营商接入: 包括电信、联通等专线接入。
- 内联网接入: 涉及数据中心分支结构、下属分行单位、第三方合作机构专线接入。
- 外联网接入: 涉及人行、银联、社保、资金清算中心等相关机构的接入。
2. 风险类型
-
供应链攻击:
- 描述: 攻击者通过运营商专线对目标网络发起攻击。
- 风险点: 运营商专线作为关键的接入渠道,可能成为攻击的入口。
-
第三方机构沦陷:
- 描述: 攻击者通过专线侵入边界外联区,利用第三方机构的安全漏洞进行攻击。
- 风险点: 第三方机构的安全防护不足可能使得攻击者能够通过专线入侵边界外联区。
-
下属机构沦陷:
- 描述: 攻击者通过专线侵入内联区,攻击下属机构的网络。
- 风险点: 各行下属机构的安全防护不够严密,可能成为攻击的突破口,导致内联区的安全风险。
总结
对边界互联网的风险分析主要集中在供应链攻击、第三方机构安全漏洞以及下属机构的安全防护。应重点关注专线接入的安全性,确保运营商、第三方机构及下属机构的网络安全防护措施得到有效落实。
风险分析:互联网业务区
1. 互联网业务区概述
- 主要涉及对外提供的业务服务,包括数据中心的招聘系统、客服系统、网上手机银行等。
2. 风险类型
-
业务网站 Web 漏洞:
- 描述: 网站存在的安全漏洞可能被攻击者利用,导致数据泄露或系统被侵入。
- 风险点: 业务网站的代码漏洞、配置不当或缺乏适当的安全措施可能成为攻击的入口。
-
第三方开源及组件漏洞:
- 描述: 使用的开源软件或第三方组件存在已知或未知的漏洞,可能被攻击者利用。
- 风险点: 引入的开源软件和第三方组件如果没有及时更新和维护,可能会成为攻击的目标。
-
信息泄露、站点运维不当风险:
- 描述: 不当的站点运维可能导致敏感信息泄露或系统暴露于攻击风险中。
- 风险点: 站点的运维过程中存在的信息泄露、权限管理不当、配置错误等问题可能影响系统的安全性。
总结
互联网业务区的风险主要集中在业务网站的Web漏洞、第三方开源及组件的安全问题以及信息泄露与站点运维不当的风险。为了降低这些风险,应加强网站的安全性审计,及时更新和维护开源及组件,确保信息安全和良好的站点运维实践。
风险分析:内网业务区
1. 内网业务区概述
- 内网业务区运行着数据中心的核心业务系统,包括大量的核心数据库和服务器。
- 内网根据功能不同,划分为开发测试区、核心应用区、数据库区、网银交易区等。
2. 风险类型
-
开发测试区风险:
- 描述: 开发和测试环境可能不如生产环境安全,存在代码漏洞和配置不当的问题。
- 风险点: 开发测试区可能暴露敏感数据或系统漏洞,如果测试环境与生产环境相似,攻击者可能通过开发测试环境入侵核心系统。
-
核心应用区风险:
- 描述: 核心应用系统的安全性至关重要,但也容易成为攻击的主要目标。
- 风险点: 核心应用区可能受到应用程序漏洞、权限管理不当或配置错误的威胁。
-
数据库区风险:
- 描述: 数据库存储了大量核心数据,数据库的安全性直接影响到数据的保密性和完整性。
- 风险点: 数据库区可能面临SQL注入、权限配置错误、数据泄露或备份管理不当等风险。
-
网银交易区风险:
- 描述: 处理网银交易的系统需要高安全性,但可能成为针对金融交易的攻击目标。
- 风险点: 网银交易区面临数据篡改、交易欺诈、系统漏洞等风险,需要严密的安全防护措施。
总结
内网业务区的风险主要集中在开发测试区、核心应用区、数据库区和网银交易区的不同安全挑战。针对这些风险,应采取适当的安全措施,包括加强环境隔离、定期安全审计、严格权限管理以及针对性的数据保护策略。
风险分析:办公区
1. 办公区概述
- 办公区主要为单位员工提供日常网络支持服务,包括访问OA系统、邮件、Wiki、内部论坛等。
2. 风险类型
-
员工浏览钓鱼网站风险:
- 描述: 员工访问钓鱼网站可能导致办公电脑受到恶意软件攻击。
- 风险点: 钓鱼网站通常通过伪装成合法网站来窃取用户凭证或安装恶意软件,可能导致数据泄露或系统损坏。
-
员工被水坑攻击风险:
- 描述: 水坑攻击针对特定用户群体,通过在他们常用的网站或应用中嵌入恶意代码来攻击办公电脑。
- 风险点: 攻击者利用受害者的特定兴趣或常用资源来传播恶意软件,可能导致系统入侵、数据丢失或信息泄露。
-
攻击者物理攻击风险:
- 描述: 攻击者通过物理方式攻击办公区,获取电脑权限。
- 风险点: 物理访问可能让攻击者直接操作办公电脑或利用外部设备获取权限,可能导致敏感信息泄露或系统控制权被夺取。
总结
办公区的风险主要集中在钓鱼网站攻击、水坑攻击和物理攻击等方面。应采取相应的安全措施,包括员工培训、防范钓鱼和水坑攻击的技术手段、加强物理安全控制以及定期进行安全审计和监控。
风险分析:运管区
背景说明
运管区主要供单位IT运维人员使用,部署有堡垒机、运维监控系统、IT资产管理系统等,以便于运维人员进行日常办公和业务管理。
风险点
-
运维人员信息泄露
- 风险描述:运维人员的个人信息泄露可能导致其账号被窃取,从而直接获取大量系统权限。
- 潜在影响:攻击者可以利用窃取的账号进行非法操作,损害系统安全和数据完整性。
-
DMZ区被攻击
- 风险描述:如果DMZ区(隔离区)被攻击成功,攻击者可能直接连接到运维管理区。
- 潜在影响:攻击者可以绕过防护措施,获取运维管理区的访问权限,威胁系统安全。
-
运维不当
- 风险描述:由于运维人员操作不当,可能会将部分系统配置错误地暴露到互联网或办公网等非受控区域。
- 潜在影响:系统暴露在公共网络上可能遭受外部攻击,或导致敏感信息泄露。
-
弱口令与低版本组件
- 风险描述:区域内存在大量弱口令、低版本组件和默认配置。
- 潜在影响:弱口令和默认配置容易被暴力破解或利用已知漏洞攻击,低版本组件可能存在未修复的安全漏洞,增加系统被攻击的风险。
三、整体安全需求分析
设备部署原则
- 梳理业务流量,确保所有请求流量在防御体系的监控范围内。
- 合理配置设备防御能力,确保全协议(应用、网络、主机)的防御覆盖。
- 优化安全策略,为策略决策平台提供可信且可控的基础数据。
- 设备特点互补,必要时进行旁路冗余部署。
2926
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
