当前位置:安全服务 \ 安全征文作品展
四步构筑网络安全防线
新闻来源:宁波华力信息系统工程有限公司 张迪
发布人:计算机安全协会
点击率:396
发布日期:2019.09.20

今年经历了全国、全省到全市三场不同规模的HW行动的洗礼,从初时发现被攻击时的紧张,到后来的沉着应对,最后从容自若,经受住了考验。攻防之后总结各个阶段的经验,为后续常态化的网络安全防线构筑提供优化依据。

首先,整体网络架构。很多客户对自身网络没有明确的区域划分,没有严格的访问控制(ACL)策略,甚至有些客户办公网和应用服务器网段混在一起。规范的做法是根据业务数据流向,公网访问请求首先应该到DMZ区域,然后流向应用服务器区域。中间根据需求可以增设前置服务器区域,后端增加数据库区域。这样做到分区隔离,各个区域之间可以利用访问控制策略做到很好的管控。更安全的做法是数据流向定时由内往外推送到DMZ区域或前置区域,杜绝由外而内的访问请求。

其次,基础安全。据多家安全厂家攻防战后统计分析,绝大多数攻击是利用边界系统已知漏洞成功入侵,然后横向深入渗透,扩大战果。而横向深入过程中通过弱口令获得权限的情况占据90%以上,口令爆破过程中遇到多个应用系统使用相同口令的情况更是数不胜数。所以实际系统建设中建议及时修复系统及应用漏洞,停用administrator、admin、root等默认用户,口令保证8位以上字母、数字和特殊字符混合组成的复杂密码,各系统不得使用相同口令,尽可能采用多因子认证。不影响业务的前提下,建议定期全网进行漏扫,发现问题及时处置。今年HW期间就有很多单位被攻击者利用Weblogic反序列化漏洞攻破。另外各个区域系统之间互访设置严格的访问控制策略,加大攻击者横向渗透的难度。策略开通按照最小原则,格式依照源IP+端口到目的IP+端口,严禁出现any到any全通的情况。而像防火墙、交换机、路由器、数据库系统等日常访问,建议采用白名单方式,按必须原则只给必须使用的用户开放访问权限。另外针对客户端,建议集中部署杀毒软件和准入设备、并配置安全设备每天对僵尸网络进行检测。近几年勒索病毒肆虐,很多单位关键数据被锁损坏,损失惨重,而僵尸网络检测中病毒回连检测能及时发现潜伏的勒索病毒及时处置。总体来说,基线检查和加固是最基础也是最重要的安全防护手段,投资小回报大,建议重点把控并且长期进行。

再者,利用安全设备监测加固。现实情况是公网应用系统每时每刻都在遭受攻击,但很多单位没有有效的监测手段,感知不到攻击行为,任由攻击者来去自如,系统被攻破也不知道如何溯源攻击,无法复盘分析。所以建议在网络边界、主机系统、应用及数据库系统等方面全面部署IDS、WAF等安全设备进行攻击监测,部署日志审计、数据库审计等设备进行攻击溯源,部署堡垒机等进行安全运维。并且安排专人盯防,发现可疑攻击及时阻断。攻防战中大多数攻击者在情报刺探阶段会频繁尝试扫描攻击,安全设备很容易监测识别,可以联动封堵攻击地址,加大攻击者的攻击成本。设备部署方面,互联网作为最外面的接口,是重点防护区域,建议采用多层防护。最外层建议采用安全厂家的云防护系统,像360的安域、安恒的玄武盾等,内部建议采用不同品牌不同种类的安全设备。安全监测尽量做到全面覆盖,有上下级单位、业务对接平行单位的,须在互联边界部署安全监测设备,以防攻击者从其它单位迂回攻击。不影响业务的前提下,监测点越细越好、监测手段越多元化越好。年前有客户反馈WAF设备监测不到某个SQL注入攻击,到现场后发现规则库已经1年多没升级。同例,今年HW期间,有攻击队发现目标单位的安全设备正好是自家产品、且版本多年未曾更新,轻轻松松就利用已知漏洞进入内部网络。所以安全设备不是安装完就万事大吉,要及时更新规则库和版本。更新前注意备份当前配置,做好回退策略。同时要注意从原厂或可信渠道获取更新包,今年全国HW期间某安全厂家ssl vpn爆出注入漏洞,很多客户单位收到木马伪装的更新包钓鱼邮件,纷纷中招。

最后,威胁情报共享。通过与众多专业的安全厂商、运营商和集成商合作,建立漏洞及恶意IP通报机制,及时修补漏洞,封堵恶意IP。

安全防护没有终点,随着云计算、大数据、人工智能等新型技术的广泛应用,网络架构在变、技术在变、攻击手段在变,我们要立足根本,打好基础,不断适应变化,加强安全建设,建立一个全方位的立体安全防御体系。 

 

张迪  15867596401

                                     宁波华力信息系统工程有限公司

 

 

 

上一篇:壹安科技重大活动安全保障实践
下一篇:三等奖 —— 视频接入共享平台安全建设的整体思路
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com