网络、网络安全产品及密码产品概述
网络、安全产品网络安全关注重点
网络结构
网络设备:交换机、路由器、负载均衡
安全设备:
区域边界安全类:隔离类、入侵防范、边界访问
安全服务:云流量清洗、云WAF等
网络安全知识--网络、网络安全产品及密码产品概述_实现原理" height="470" src="https://i-blog.csdnimg.cn/img_convert/b9bddea270550eb0e830bce7d70b39fe.png" width="534" />
网络及安全产品监管合规要求
公安部32号令
网络安全知识--网络、网络安全产品及密码产品概述_实现原理_02" height="448" src="https://i-blog.csdnimg.cn/img_convert/8d255ef3b9df02b424eb5b69892d93cb.png" width="569" />
网络产品:电信设备进网许可证
主要功能:提供网络互联互通功能
若提供网络安全功能,ACL,VLAN等,安全功能有效性、合理性
典型产品:华为、华三(H3C)、思科
安全产品:计算机信息系统安全专用产品销售许可证 https://ispl.mps.gov.cn
密码产品:商用密码产品认证书
网络通信层次模型
OSI七层模型
应用层:为计算机用户提供接口和服务
表示层:数据处理(编码解码、加密解密等)
会话层:管理(建立、维护、重连)通信会话
传输层:管理端到端的通信连接
数据链路层:管理相邻节点之间的数据通信
物理层:数据通信的光电物理特性
TCP/IP五层模型
应用层
传输层:四层交换机、四层的路由器
网络层:路由器、三层交换机
数据链路层:网桥、以太网交换机、网卡
物理层:中继器、集线器、双绞线
网络安全目标
可用性,保密性,完整性,不可否认性,可控性
网络安全知识--网络、网络安全产品及密码产品概述_实现原理_03" height="347" src="https://i-blog.csdnimg.cn/img_convert/1aa2570c59aebaaba6d2fe9141d60b16.png" width="696" />
密码产品概述
| 密码算法分类 | 商用密码算法 | 国际算法 | 特点及主要用途 | |
| 对称算法 | 分组加密 | SM1、SM4、SM7 | DES、3DES、IDEA、AES、RC5、RC6 | 发送方与接收方使用同一密钥,主要用于大量数据的加解密 |
| 序列加密 | ZUC(祖冲之) | RC4 | 生成一个与原文等长的密钥,通过异或对数据流进行加密,效率高。主要用于实时性要求较高的移动通信加密 | |
| 非对称算法 | 大数分解 | / | RSA | 生成一对密钥(公钥,私钥),互相加解密,效率较低。用于身份认证、签名、密钥及少量数据加密 |
| 离散对数 | SM2、SM9 | DH、DSA、ECC | ||
| 杂凑算法 | SM3 | MD5、SHA1、SHA256 | 对文件、数据等生成一个固定长度的摘要值,单项算法,不涉及密钥,用于数据完整性检查 | |
网络安全等级保护部分安全产品功能简介
区域边界安全
边界防护类产品
防火墙
网络隔离产品(协议隔离、网闸)
单项导入
防护强度:单项导入>网络隔离产品>防火墙
防火墙
主要解决等保安全区域边界:访问控制、入侵防范、恶意代码防范、安全审计;安全计算环境:防火墙自身安全的相关要求
对应标准
GB/T 20281信息安全技术防火墙安全技术要求和测试评价方法(历次版本:2006、2015、2020)
涵盖了网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙
GA/T 1177-2014信息安全技术第二代防火墙安全技术要求(NGFW)
实现原理
对通过防火墙的数据包进行检查,五元组(源/目的IP、传输层协议、源/目的端口),还包括MAC地址;现在的防火墙越来越强调应用层的检查和过滤:应用协议和应用内容
主要架构: ASIC、NP、X86
下—代互联网支持(lPv6)
主要功能性能指标
功能:网络层控制、应用层控制(入侵防御、防病毒)、攻击防护、路由控制、流量带宽控制、安全审计、自身安全功能;
性能:网络层吞吐、应用层吞吐、延迟、连接速率、并发连接数
主要解决等保中安全要求
网络安全知识--网络、网络安全产品及密码产品概述_实现原理_04" height="445" src="https://i-blog.csdnimg.cn/img_convert/11976f0cb5387bfa0e0c416ad33bd25e.png" width="1070" />
网络隔离
主要解决等保高安全等级网络边界隔离、边界通信相对简单的隔离、工业控制网络和各类专网的隔离
基本架构
双机架构、2+1
双机间私有协议传输(非TCP/IP)
实现原理
协议剥离与重组
数据摆渡
产品类型
协议隔离
网闸
主要功能
文件传输
数据库同步
通用TCP协议的端口映射
专用网络隔离:电力网闸、视频网闸等
主要应用场景
边界通信相对简单
工业控制网络、各类专网
网络安全知识--网络、网络安全产品及密码产品概述_实现原理_05" height="413" src="https://i-blog.csdnimg.cn/img_convert/640d958c12b617d5a973fc9bd1d9024a.png" width="656" />
接入控制/外联监测
主要解决等保对应基本要求中边界防护中的非授权接入、外联控制
典型产品
接入控制、外联监测、桌面管理软件
实现原理
接入控制:结合交换机通过802.1X协议实现,ARP方式阻止非授权设备接入
外联监测:路由控制、互联网IP域名探测、网卡等外围接口控制
主要解决等保中的具体要求
对应基本要求中边界防护中的非授权接入、外联控制
单向导入
主要解决等保涉密等高安全等级网络边界的隔离、边界通信流量单一的隔离
基本要求
保证物理上只有单向通道
实现原理
单光纤传输、VGA单向线路、显示屏+摄像头
优缺点
优点:安全性高、防止数据接收端的数据外流
缺点:无法保障传输数据的完整性
主要应用场景
边界通信流量单一
入侵防御/检测(IDS/IPS)
主要解决等保在非可信的网络边界镜像网络流量方式,对网络攻击行为进行阻断或报警
实现原理
分析并提取网络攻击的特征,形成签名,对网络流量进行实时分析,与签名特征进行比对,若匹配则告警(入侵检测)或/并阻断(入侵防御)。具有一定的基于行为分析能力
主要产品类型
专用的入侵防御产品:通常部署在非可信的网络边界、网络流量较大
专用的入侵检测产品:通过镜像网络流量方式,对网络攻击行为进行报警
集成在下一代防火墙中的入侵防御功能模块
主要问题
存在一定的误报,需要持续优化策略
基于特征匹配,需及时更新特征库
通过持续的扫描等方式产生大量报警来掩盖真实的攻击行为
通过各种编码变形等逃避检测
防病毒网关/恶意代码检测
主要解决等保在非可信的网络边界对网络流量进行实时分析,与签名特征进行比对,然后进行阻断。
实现原理
分析并提取病毒的特征,形成签名,对网络流量进行实时分析,与签名特征进行比对,然后进行阻断。通常仅支持http、ftp、电子邮件、文件共享等少数带文件传输类的应用协议
主要产品类型
专用防病毒网关,实际系统中使用较少
恶意代码监测产品,如趋势的TDA
集成在下一代防火墙、IPS中的防病毒功能模块
注意事项
了解其所支持的应用协议类型,若边界无其支持的应用协议类型,就无必要
基于特征匹配,需及时更新特征库
抗拒绝服务攻击(抗DoS)
主要解决等保在非可信的网络边界基于特征分析、发包频率统计、自学习等方式识别拒绝服务攻击,并阻断
实现原理
基于特征分析、发包频率统计、自学习等方式识别拒绝服务攻击,并阻断;
串接方式、或流量牵引方式
典型的拒绝服务攻击
teardrop、pingofdeath、synflood、udpflood、CC攻击。主要目的是消耗计算、带宽资源。
产品的应用
面向互联网提供、服务连续性要求较高
防不胜防,可采购运营商或者云服务商的流量清洗服务
通信网络安全
VPN
主要解决等保采用密码技术、构建加密隧道,业务通信在隧道中进行传输,实现端到网关或端到端的加密
实现原理
采用密码技术、构建加密隧道,业务通信在隧道中进行
使用的密码算法:非对称加密、对称加密、摘要算法
典型产品及用途
SSLVPN:实现端到网关的加密,主要用于远程个人的运维、内网系统访问接入
lPsecVPN:实现端到端的加密,主要用于企业各分支机构的路互联网
注意事项
密码产品属于国密局专管,需要提供VPN产品销售许可证、密码产品认证证书
原则上需要使用国密算法:SM系列
SSLVPN需要采用强身份认证方式:双因素,绑定终端特征等
VPN or专线?
网络审计
主要解决等保对网络流量进行分析,提取必要的特征字段(包括网络层、应用层),形成结构化数据并存储;提供一定的安全分析及响应机制,如告警、阻断
实现原理
对网络流量进行分析,提取必要的特征字段(包括网络层、应用层),形成结构化数据并存储;提供一定的安全分析及响应机制,如告警、阻断
典型产品
网络通信审计、数据库审计(建议在个人信息较多的系统中使用)、上网行为管理、应用审计、主机审计
安全目的
及时发现网络存在的各项恶意、异常行为,并进行告警
提供事后追溯分析
注意事项
不得侵犯个人隐私:如记录口令、聊天内容、邮件内容等
应用防护安全
WEB应用防火墙/WAF
主要解决等保对WEB应用服务器的各项请求分析并进行解码,然后基于特征进行匹配和阻断
实现原理
主要分析对WEB应用服务器的各项请求并进行解码,然后基于特征进行匹配和阻断
也有专用的WEB应用扫描防护类产品,基于扫描器指纹特征识别并阻断。
部署模式
反向代理为主、少量也支持串接部署
注意事项
根据上海等保测评的要求,对网站类系统,必须具有技术上的防篡改措施,WAF是主要手段之一
WAF不是万能的,存在较多的逃避措施
安全运维审计
堡垒机
主要解决等保实现运维用户的身份鉴别、访问控制及安全、运维行为审计及控制等。对命令行运维方式实现所有命令操作的记录、图形方式运维的录屏
实现原理
通过代理运维服务协议(SSH、TELNET、RDP、VNC)的方式,实现运维用户的身份鉴别、访问控制及安全、运维行为审计及控制等。对命令行运维方式实现所有命令操作的记录、图形方式运维的录屏
注意事项
部署上建议旁路部署(通常也支持串接部署),需结合防火墙实现运维操作被旁路,若单机部署,建议可以预留一两个IP地址应急使用
对于大规模的系统,作用明显
若存在外包人员方式运维,建议所有外部人员均需通过堡垒机进行
态势感知日志分析产品安全管理平台
安全管理平台
主要解决等保定位对网络安全产品进行集中管理,收集各设备的安全日志
日志分析产品
主要解决等保收集各计算设备的日志信息,留存并进行综合分析
态势感知产品
主要解决等保收集各计算设备日志、网络流量日志,留存并进行关联分析
实现原理
采集各设备日志信息、网络流量信息并进行存储和综合分析,发现潜在的网络安全威胁
三类产品的主要功能与区别
安全管理平台:定位对网络客全产品进行集中管理,收集各设备的安全日志
日志分析产品:主要收集各计算设备的日志信息,留存并进行综合分析。由于网安法中的要求,在测评联盟的高风险判定指引中,多条涉及安全审计要求
态势感知产品:收集各计算设备日志、网络流量日志,留存并进行关联分析
漏洞扫描
网络漏洞扫描/WEB应用扫描
主要解决等保尝试性攻击探测,,监测目标状态实现网络安全漏洞的发现
实现原理
通过探测目标系统、服务的版本信息,与内置漏洞库进行比对;尝试性攻击探测,监测目标状态,实现网络安全漏洞的发现
注意事项
扫描均具有一定的攻击性,建议在晚上或业务低谷时实施
安全扫描通常会存在一定的误报,需进行人工甄别
若人力或技术有限,建议采购对应的安全服务
其他典型产品
反垃圾邮件产品
主要解决等保通过设定一定网络访问频率控制对垃圾邮件进行有效的阻隔
数据防火墙
主要解决等保基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计
数据脱敏产品
主要解决等保对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护
网页防篡改产品
主要解决等保可对网站生成的页面进行保护,遭遇非法篡改时自动更正
信息过滤产品
主要解决等保对网站信息发布、公众信息公开申请和网站留言等模块内容实现提交时的自动过滤处理,并给用户友好的提示,同时向管理员提交报告
典型云安全服务
云流量清洗
实现对互联网网络中异常流量与攻击的拦截与清洗,自身的带宽能力与防御能力可以按需调整
云WAF
提供互联网WEB应用提供入侵、篡改、漏洞;通过大数据行为模型对黑客进行全网追溯
云漏洞扫描
习题
2.网络通信层次模型中TCP/IP五层应用模型的应用层对应OSI七层中的:会话层,表示层,应用层
3.单项导入的主要应用场景会涉及:涉密等高安全等级网络边界,边界通信流量单一
4.入侵防御/检测这类的区域边界安全设备存在的问题:
存在一定的误报,需要持续优化策略
基于特征匹配,需及时更新特征库
通过持续的扫描等方式产生大量报警来掩盖真实的攻击行为
通过各种编码变形等逃避检测
5.密码算法的分类:对称算法,非对称算法,杂凑算法
