精华内容
下载资源
问答
  • 详细解释了信息安全策略的概念及内容。包括信息安全策略的制定、信息安全策略制定过程、信息安全策略框架、信息安全策略的配套标准、信息安全策略的推行、信息安全策略的推进手段等内容。
  • 信息安全方针和信息安全策略

    千次阅读 2009-12-30 11:34:00
    信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的...

    信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,而且要有足够的灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。

    安全方针属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括以下内容:
     信息安全的定义,总体目标、范围,安全对信息共享的重要性
     管理层意图、支持目标和信息安全原则的阐述。
     信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。
     信息安全管理的一般和具体责任定义,包括报告安全事故。

    信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础,安全策略的格式如下表所示:

    安全策略
    1、目标
    建立信息系统安全的总体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。
    信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。
    信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。
    2、范围
    信息安全策略应当有足够的范围广度,包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全可以定义特殊的资产,比如:组织的主站点、各种重要装置和大型系统。此外,还应包括组织所有信息资源类型的综述,例如,工作站、局域网、单机等。
    3、策略内容
     根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问,其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的,信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。
     根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标,
     例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减少错误、数据丢失或数据破坏;如果组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非授权泄露。
    4、角色责任
     信息安全策略除了要建立安全程序及程序管理职责外,还需要在组织中定义各种角色并分配责任,明确要求,比如:部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。
     在某些情况下,信息安全策略中要理顺组织中的各种个体与团体的关系,以避免在履行各自的责任与义务时发生冲突。例如,要明确规定谁应该负责批准新系统所使用的安全措施,是相关业务部门的负责人,还是内部专职信息系统人员。如果可能的话,还应该由安全程序的负责人签署授权书。
    5、执行纪律
      没有一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。对于严重安全事件,例如:盗窃、内部破坏、密谋犯罪等行为全,要执行开除、起诉等惩戒措施;对于一般安全事件,例如:使用盗版软件,要执行相应的处罚条款。
      还要考虑到有时员工违反安全策略并非是有意的,比如,由于缺乏必要的知识或训练,员工可能会有违规行为;有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况,信息安全策略要预先采取措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。
    6、专业术语
    对于信息安全策略中涉及的专业术语作必要的描述,使组织成员对策略的了解不会产生歧义。
    7、版本历史
    对策略版本在各个阶段的修订情况作出说明

    展开全文
  • 车辆信息安全策略及整车电子架构防火墙 转载于“解读:整车电子架构防火墙需求定义” 车辆与外部实现远近场通信的两种主要连接方式:如包括蓝牙、毫米波传感器、RFID及未来DoIP(Diagnostic Over Internet ...

    车辆信息安全策略及整车电子架构防火墙

    转载于“解读:整车电子架构防火墙需求定义”


    车辆与外部实现远近场通信的两种主要连接方式:如包括蓝牙、毫米波传感器、RFID及未来DoIP(Diagnostic Over Internet Protocal)在内的远程连接;外部诊断设备通过DLC口与整车CAN总线直接建立通讯的物理连接等。需要意识到的是:

    • 任何外部设备与车内子网连接的关系都会增加车辆受到安全攻击的隐患,或造成车辆远程受控,或是恶意代码的注入。
    • 任何未经授权尝试对车辆E/E电子架构访问的行为都有可能会引起致命的后果。

    车辆远程诊断

    目前整车厂所使用的两种车辆诊断,第一种是由模块软件自诊断实现的在线诊断模式(On-board Diagnostic System),第二种就外部诊断设备与DLC口相连,来对整车ECU节点进行诊断的离线诊断模式(Offboard Diagnostic System)。

    诊断设备广泛应用于工程产品开发、工厂生产制造过程EOL阶段及售后模式的诊断,由于应用场景不同,所使用的工具不同,但通讯连接原理一致。

    诊断设备Diagostic Tester(TST)通过车辆通信接口Vehicle Communication Interface(VCI)与诊断口Data Link Connector(DLC)连接。目前TST与VCI之间常见的连接方式有USB,蓝牙及WIFI,而VCI与DLC口之间则主要通过传统CAN方式及今后的Ethernet连接。

    无论外部诊断设备是通过物理连接与车辆CAN总线建立通讯或是用DoIP远程诊断的方式,两者实现目的一致:通过既有的诊断服务Service,获取车辆ECU包括故障码在内的节点信息,或是对车辆ECU的Operation Software及标定文件进行FLASH Program。
    优势是DoIP远程诊断的方式能同时实现一台服务器对多台车辆进行并行更新。

    下图是针对车辆以太网诊断结构的协议栈,其中使用的诊断规范为UDS。
    这里写图片描述

    安全诊断服务

    对于诊断工程师或诊断设备工程师而言,UDS诊断协议并不陌生,且目前在业内趋于标准化推广。需要认识的是,整车数据通讯报文可分为两类,in-vehicle communication以及diagnostic communication。

    前者是在车辆总线上传输的数据帧报文,用于模块间、子网间的通讯。而后者则指的是外部诊断设备与车辆内部子网或模块的诊断通信,所使用的服务即定义在诊断协议中。

    UDS的诊断服务如下:
    这里写图片描述
    当由外部设备对ECU节点发送物理寻址或者功能寻址的诊断服务时,对应节点会对其给出相应的反馈,正响应则会去实现对应的操作,或是由于不支持不满足条件等而会拒绝。

    那么车辆需要在什么样的条件下对外部诊断服务给出正响应呢?

    如在UDS协议中,0x28是对车内Communication进行控制的Service,在设备发送 1003使ExtensionMode 10 03 使 节 点 进 入 E x t e n s i o n M o d e 后 , 紧 接 发 送 28 03后,模块即会禁止发送及接收来自其他节点的应用报文或网络管理报文。试想,假如一辆车上并未对诊断服务进行安全策略的约束,那么在车辆高速行驶过程中,Hacker远程对TCM或者ECM发送了禁止通信的报文,车辆各模块之间在powertrain上的报文即会终止,后果可想而知。

    又如0x11Service能对ECU进行Reset,以及0x31Service用于Start对模块运行状态起作用的Routine Control等等。

    此类诊断服务若无严谨的安全诊断策略进行定义,将会使得外部发起攻击异常简单。

    几条常见安全策略

    • 安全诊断策略
      针对上面提及的不同诊断服务,定义必须满足的前置条件,如0x28的服务,可以车辆车速或轮速作为判断依据,在大于某阈值情况下,即使收到了禁止通讯的报文,亦直接拒绝而不对其做出禁应用报文的操作。
      通过对外部诊断服务的限制,可以有效提高各节点的防御能力。

    • Security Access安全访问
      传统模块端本身是存在安全访问机制的,在UDS诊断服务中可见0x27 Service。
      此服务机制是Seed-Key映射关系,原理为:外部设备给目标节点发送0x27 01服务,ECU反馈其Seed值,诊断设备拿到Seed后根据先前既定的算法进行加密后返回给ECU,两者认证后一致则模块安全访问认证通过。
      0x27服务务必作为所有会对模块功能造成变更的诊断服务及数据的基本限制条件,至于关键算法如何进行控制,字节长度以及动静态处理则应由各主机厂各自策略决定。

    • 如何保证安全策略不被泄漏
      最后一点,综上提及的及未被提及的策略,如涉及到的其中加密算法文件,如何能够保证使用者身份合法,也就是如何保证拥有这些策略的人不会泄漏相关策略。

    Domain架构概念

    宝马与奥迪目前正在进行全新End-To-End的电子架构设计,相似的是都在整车架构内采用了单个或多个高性能的中央计算单元节点(如英伟达,高通,mobileye等提供的芯片)对各功能不同的域层进行管理。同时这些节点会与各OEM云平台进行数据交互,来实现定位,通信,路径规划,以完成自动驾驶、V2X、OTA等功能。

    奥迪命名为中央计算集群(central computing cluster)
    Audi’s End-2-End Architecture
    这里写图片描述

    类似的架构宝马称之为中央计算平台(Central Computing Platform)
    BMW’s New Architecture
    这里写图片描述
    全新的域层架构设计则如下图,包括Powertrain,底盘,车身控制,娱乐信息系统,自动驾驶等功能在内的域层以以太网作为传输介质,通过车内网关来实现数据传输。

    由于此网关具有特殊功能需求,通常情况都会留有两个外部通信接口,一个用于OBD设备诊断通信使用,另一个为蜂窝移动模块,使用LTE或Wifi与云端服务器通信,用于采集如地图定位,路径规划,加密处理等。
    这里写图片描述
    为严格控制车辆架构内各安全域层之间的通信隔离,如最容易受到攻击的娱乐信息系统不允许与Powertrain等功能安全相关的Domain直接进行通讯;以及对具有安全隐患的外部请求进行身份授权认证等,架构顶层引入了网关/防火墙Firewall来确保仅相同域内的ECU节点及可靠的用户或Service才可与目标节点进行合法数据交互。

    传统IT防火墙分类

    传统IT行业的防火墙模块,会对各安全区域之间所有可能的通信通路进行可靠性管理,即在所有区域边界上,根据事件event对网络流量进行监控,并根据既定安全策略(如Whitelist)来允许指令请求的通行,能抵挡住来自不安全网络的攻击与入侵,以保障内网安全。

    • 数据包过滤防火墙
      包过滤防火墙工作在OSI模型的网络层,基于目标地址及源地址对数据包进行过滤,但对于传输层数据,只能识别出是TCP/UDP类型及所使用的端口信息。

    • 应用代理防火墙
      应用代理防火墙则是彻底隔离了内外网直接通信,当内部网络有对外通讯需求时,必须是由防火墙对外网的访问,再由防火墙转发给内网,即通信是基于应用层的代理软件实现,应用层的协议会话须符合代理的安全策略。

    • 状态检测防火墙
      与包过滤防火墙不同的是,它更注重传输层的控制能力,重点在于建立状态连接表,来跟踪每一个进出网络的会话状态信息,监控了数据包是否符合会话所处的状态。针对TCP,防火墙会对TCP头信息进行解析,用于确认是首次连接或已经建立通信,因此不仅能减少数据包穿过防火墙的时间,同时可以有效检测出DoS攻击。

    车辆防火墙需求定义

    针对汽车防火墙需求定义,首先,由于在车内的分布式总线系统上,车辆ECU对不同Domain之间通信时的响应时间有着极为严苛的要求,因此防火墙须满足执行的实时性(real-time),且在运算时必须比消费电子领域防火墙占用更少的CPU资源。

    考虑到车载网络防火墙位于整车架构最外围,如OBD口或远程通信的入口,受到攻击的频次势必最高,因此对于软件Update问题,Firewall应具备足够Flexibility,如同传统防火墙一致,车厂会要求Firewall能及时实现快速升级,完成防火墙策略及软件协议栈的更新,确保迅速修复安全漏洞以抵御快速更迭的攻击方式。软件运行于Firewall的操作系统OS之上,假如OS受到病毒攻击或非法篡改,所有安全策略都将不再适用,因此OS也应支持远程升级。

    在此过程中,任何供应商留Backdoor行为都不应被允许。最后应具备完备的Log记录功能,以对任何攻击行为进行记录并远程传输给服务器端,用于后期对攻击数据进行分析。

    防火墙硬件方面,首先需满足传统IT行业的防火墙策略规范,也就是网络通信时所应具备的安全筛选隔离功能。其次就是在汽车这个特殊场景下的需求,如作为嵌入式芯片,应满足低功耗以及适应各种极端天气下仍能正常工作的需求。能完成对Closed-loop 闭环系统的整车信息安全路由控制。

    在正常通信层面,由于Domain架构设计需求,Firewall后通常会直接连接多路总线,因此Firewall在设计数据包吞吐量时也应适应不同总线的通信速率。

    在进行防火墙芯片选择时,不同于传统消费类电子防火墙,传统OEM会对芯片有定制化需求,因此CPU负载能力,RAM大小都直接决定了防火墙的硬件成本,这里不进行讨论。

    目前传统越来越多的整车厂开始在架构设计中加入了防火墙,可见信息安全的理念逐渐开始深入。由于车辆场景太过特殊,车辆防火墙须确保整车的功能安全在驾驶过程中不受到破坏,因此其地位也将会随着车辆智能化的发展愈加重要,这就需要整车厂OEM,芯片半导体公司,软件公司的共同努力了。

    展开全文
  • 大数据时代:云安全策略哪些

    千次阅读 2018-04-08 11:34:44
    但是无论什么时候对云计算展开讨论,我们都无法回避以下问题:当在大数据使用案例中提及云安全策略时,我们希望任何安全解决方案都能够在不影响部署安全性的情况下提供与云一样的灵活性。在将大数据转移至云上时,...

    云计算与大数据的结合可以说是天作之合。大数据需要灵活的计算环境,而后者可以快速、自动地进行扩展以支持海量数据。基础设施云可以精准地提供这些需求。但是无论什么时候对云计算展开讨论,我们都无法回避以下问题:

    当在大数据使用案例中提及云安全策略时,我们希望任何安全解决方案都能够在不影响部署安全性的情况下提供与云一样的灵活性。在将大数据转移至云上时,以下四个小贴士可以让用户既能享受到云计算的灵活性又能获得严格的云安全策略。


    1、寻找在结构上能够扩展的云安全解决方案

    在大数据当中,结构的每一个组件都应该能够扩展,云安全解决方案也不例外。在选择云安全解决方案时,用户需要确保它们在所有跨地区云部署点中都能够发挥作用。此外,它们在大数据基础设施当中必须要能够高效地扩展。表面上,这并不涉及硬件问题。但是由于硬件安全模块(HSM)不具扩展能力并且无法灵活适应云模式,因此它们不适合大数据使用案例。

    为了获得必要的扩展性,建议使用专门针对云计算设计的云安全解决方案,它们的安全性可以等效(甚至是超过)基于硬件的解决方案。

    2、将敏感数据加密(强烈推荐)

    数据加密将会为你的云基础设施建起一堵“虚拟的墙”。部署云加密措施被认为是首要步骤,但是它们并不适合所有的解决方案。一些加密解决方案需要本地网关加密,这种方案在云大数据环境下无法很好的工作。还有一些解决方案(例如,由云服务提供商对数据进行加密)会迫使终端用户信任那些拥有密钥的人,而这些本身就蕴藏着危险和弱点。

    近期的一些加密技术,如分裂密钥加密,都非常适合云计算。用户在享受基础设施云解决方案提供的优势的同时又可以将密钥保存在自己手中,让密钥处于安全状态下。为了能够让你的大数据环境获得最佳的加密解决方案,建议使用分裂密钥加密。

    3、对数据安全永不妥协

    虽然云安全通常十分复杂,但是用户在大数据部署当中还是会发现一些“安全捷径”。这些“安全捷径”通常貌似能够回避一些复杂设置,同时保持大数据结构“不受伤害”。

    一些客户可能会使用免费的加密工具,并将密钥存储在硬盘(这种做法非常不安全,可能会导致加密数据被暴露在任何有访问虚拟硬盘权限的人面前),有些客户甚至不采取加密措施。这些捷径肯定并不复杂,但是很明显,它们并不安全。

    在涉及大数据安全性时,用户应当根据数据的敏感程度进行分类,然后对它们采取相应的保护措施。在一些案例当中,结果往往是戏剧性的。并不是所有的大数据基础设施是安全的,如果处于风险当中的数据非常敏感或是属于管制数据,那么用户可能需要寻找替代方案。

    4、实现最大程度的自动化

    云安全架构无法轻易扩展这一因素导致大数据云计算机的研发受挫。传统加密解决方案需要HSM(硬件)单元。勿庸置疑,硬件部署无法实现自动化。

    为了让云安全策略尽可能地实现自动化,用户应当选择虚拟工具解决方案,而不是硬件解决方案。用户需要明白可用的API(最好是闲置的API)也是云安全解决方案的一部分。虚拟工具加上闲置的API能够在云大数据使用案例中提供所需要的灵活性和自动化。

    针对大数据的云安全策略

    只有为数据建立了最为严格的安全标准,大数据才能够不断地享受着由云计算提供的可扩展性、灵活性和自动化。加密被认为是保护云(大)数据的首要步骤。分裂密钥加密和同态密钥管理等新技术应当投入到保护敏感数据当中,同时用户还需要严格遵守HIPAA、PCI等规章制度。

    Bingdata优网助帮汇聚多平台采集的海量数据,通过大数据技术的分析及预测能力为企业提供智能化的数据分析、运营优化、投放决策、精准营销、竞品分析等整合营销服务。

    北京优网助帮信息技术有限公司(简称优网助帮)是以大数据为基础,并智能应用于整合营销的大数据公司,隶属于亨通集团。Bingdata是其旗下品牌。优网助帮团队主要来自阿里、腾讯、百度、金山、搜狐及移动、电信、联通、华为、爱立信等著名企业的技术大咖,兼有互联网与通信运营商两种基因,为大数据的算法分析提供强大的技术支撑。

     

    展开全文
  • 防火墙安全策略

    万次阅读 多人点赞 2018-05-17 13:13:56
    包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定...传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...

    包过滤技术基础

    包过滤技术简介:

    对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。

    实现包过滤的核心技术是访问控制列表。

    • 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。
    • 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等,然后和预先设定的过滤规则进行匹配,并根据匹配结果对报文采取转发或丢弃处理。
    • 包过滤防火墙的转发机制是逐包匹配包过滤规则并检查,所以转发效率低下。目前防火墙基本使用状态检查机制,将只对一个连接的首包进行包过滤检查,如果这个首包能够通过包过滤规则的检查,并建立会话的话,后续报文将不再继续通过包过滤机制检测,而是直接通过会话表进行转发。

    包过滤的基础:

    这里写图片描述

    图:包过滤基础-五元素

    包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流,其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组,也是组成TCP/UDP连接非常重要的五个元素。

    防火墙安全策略:

    定义:

    1. 安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。
    2. 规则的本质是包过滤。

    主要应用:

    1. 对跨防火墙的网络互访进行控制。
    2. 对设备本身的访问进行控制。

    防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

    通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制,例如限制哪些IP地址可以通过Telnet和Web等方式登录设备,控制网管服务器、NTP服务器等与设备的互访等。

    防火墙安全策略的原理:

    过程:

    1. 入数据流经过防火墙
    2. 查找防火墙安全策略,判断是否允许下一步操作。
    3. 防火墙根据安全策略定义规则对包进行处理。

    防护墙安全策略的作用:

    根据定义的规则对经过防火墙的流量进行筛选,并根据关键字确定筛选出的流量如何进行下一步操作。

    安全策略分类:

    • 域间安全策略

      域间安全策略用于控制域间流量的转发(此时称为转发策略),适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny)或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访(此时称为本地策略),按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny),允许或拒绝与设备本身的互访。

    • 域内安全策略

      缺省情况下域内数据流动不受限制,如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,然后对流量进行安全检查。例如:市场部和财务部都属于内网所在的安全区域Trust,可以正常互访。但是财务部是企业重要数据所在的部门,需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。

    • 接口包过滤

      当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量并执行相应动作(permit/deny)。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧,可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作(permit/deny)。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度更快。

    防火墙转发原理

    防火墙域间转发:

    • 早期包过滤防火墙采取的是“逐包检测”机制,即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率,使包过滤防火墙成为网络中的转发瓶颈。
    • 于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。**“状态检测”机制以流量为单位来对报文进行检测和转发,即对一条流量的第一个报文进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发还是丢弃,而不会再次检查报文的数据内容。**这个“状态”就是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率,已经成为目前主流的包过滤机制。
    • 在防火墙一般是检查IP报文中的五个元素,又称为“五元组”,即源IP地址和目的IP地址,源端口号和目的端口号,协议类型。通过判断IP数据报文报文的五元组,就可以判断一条数据流相同的IP数据报文。
    • 其中TCP协议的数据报文,一般情况下在三次握手阶段除了基于五元组外,还会计算及检查其它字段。三次握手建立成功后,就通过会话表中的五元组对设备收到后续报文进行匹配检测,以确定是否允许此报文通过。

    查询和创建会话:

    这里写图片描述

    图:创建会话过程

    可以看出,对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。而通常情况下,通过对一条连接的首包进行检测并建立会话后,该条连接的绝大部分报文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率上有迅速提升。

    状态监测机制:

    • 状态监测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。
    • 状态监测机制关闭状态下,即使首包没有经过设备,后续好只要通过设备也可以生成会话表项。

    对于TCP报文

    • 开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已老化),则予以丢弃,也不会建立会话表项。
    • 关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。

    对于UDP报文

    • UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。

    对于ICMP报文

    • 开启状态检测机制时,没有对应会话的ICMP应答报文将被丢弃。
    • 关闭状态检测机制时,没有对应会话的应答报文以首包形式处理

    会话表项:

    这里写图片描述

    图:会话表项示例

    会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高的安全性。

    防火墙安全策略及应用

    域间安全策略的匹配规则:

    • 域间缺省包过滤

      当数据流无法匹配域间安全策略时,会按照域间缺省包过滤规则来转发或丢弃该数据流的报文。

    • 转发策略

      转发策略是指控制哪些流量可以经过设备转发的域间安全策略,对域间(除Local域外)转发流量进行安全检查,例如控制哪些Trust域的内网用户可以访问Untrust域的Internet。

    • 本地策略

      本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。

    域间安全策略业务流程:

    这里写图片描述

    图:域间安全策略业务流程

    报文入站后,将首先匹配会话表,如果命中会话表,将进入后续包处理流程,刷新会话表时间,并直接根据会话表中的出接口,转发数据。

    报文入站后,将首先匹配会话表,如果没有命中会话表,将进入首包包处理流程。依次进行黑名单检查,查找路由表,匹配域间安全策略,新建会话表,转发数据。

    黑名单的实现原理就是:设备上建立一个黑名单表。对于接收到的报文的源IP地址存在于黑名单中,就将该报文予以丢弃。

    黑名单分类:

    • 静态黑名单

      管理员可以通过命令行或Web方式手工逐个将IP地址添加到黑名单中。

    • 动态黑名单

      转发策略和缺省域间包过滤优先级

      转发策略优先于缺省域间包过滤匹配。设备将首先查找域间的转发策略,如果没有找到匹配项将匹配缺省包过滤进行处理。

    • 刷新会话表

      刷新会话表主要是刷新会话表老化时间,老化时间决定会话在没有相应的报文匹配的情况下,何时被系统删除。

    配置转发策略流程:

    这里写图片描述

    图:配置转发策略的流程图

    基于IP地址的转发策略配置示例:

    实验拓扑:

    这里写图片描述

    图:实验拓扑图

    实验要求:

    如上图,防火墙的Gi0/0/0口在Trust区域,Gi0/0/01在UNtrust区域,通过配置策略,使得内网中除了PC1:192.168.1.2可以访问服务器,其他主机都不能访问服务器。

    配置文件:

    FW配置文件:

    [FW]dis current-configuration  
    23:45:46  2018/04/26
    #
    interface GigabitEthernet0/0/0
     ip address 192.168.1.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     ip address 10.1.1.1 255.255.255.0
    #
    firewall zone local
     set priority 100
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet0/0/1
    #
    firewall zone dmz
     set priority 50
    #
     //配置地址集
    ip address-set ip_deny type object
     address 1 192.168.1.3 0
     address 2 192.168.1.4 0
    #
     sysname FW
    #
     firewall packet-filter default permit interzone local trust direction inbound
     firewall packet-filter default permit interzone local trust direction outbound
     firewall packet-filter default permit interzone local untrust direction outboun
    d
     firewall packet-filter default permit interzone local dmz direction outbound
    #
    #
     firewall statistic system enable
     //防火墙状态检测默认开启
    #
    //防火墙策略
    policy interzone trust untrust inbound
     policy 0
      action permit
      policy destination 192.168.1.2 0
    
     policy 1
      action permit
      policy source 192.168.1.2 0
    #
    policy interzone trust untrust outbound
     policy 0
      action deny
      policy source address-set ip_deny
    
     policy 1
      action permit
      policy source 192.168.1.2 0
    #
    return
    

    配置成功后测试:

    这里写图片描述

    图:PC1可以ping通服务器

    这里写图片描述

    图:PC2不能ping通服务器

    [外链图片转存失败(img-IQFcshom-1566700164525)(防火墙安全策略/策略.png)]

    图:防火墙策略

    这里写图片描述

    图:会话表


    参考文档:华为HedEx文档


    展开全文
  • 信息安全策略之四:Password Policy

    千次阅读 2006-09-29 13:16:00
    摘要:此为国外某大型企业的信息安全策略规范,涉及企业信息安全的各方面,共数十个策略,我将陆续翻译整理出来。这是第四篇:口令策略。 欢迎转载,但请注明出处及译者。请不要用于商业用途。原文: Password ...
  • 信息安全策略第一篇:Acceptable Use Policy 此为国外某大型企业的信息安全策略规范,涉及企业信息安全的各方面,共数十个策略,我将陆续翻译整理出来。这是第一篇:可接受使用策略。 欢迎转载,但请注明出处及...
  • 网络信息安全及防范策略

    万次阅读 2017-03-02 17:26:30
    但与此同时,电子政务的全面推行也使政府信息面临着各种各样的安全问题,如网站遭遇黑客攻击、网上信息泄密、数据丢失、病毒感染、不良信息的迅速传播等等,给政府机构的信息化建设带来很大影响。因此,如何加强政府机构...
  • 网络安全策略和网络安全机制

    千次阅读 2019-01-05 18:03:28
    考研初试专业课中的一个题目,考的是有关安全机制和安全策略有关的方面,在专业课教材里翻了好久没有找到相关的内容,拿到复试的教材后发现才里面有提到~于是今天拿出来总结一下好了 网络安全策略 安全策略是指在一...
  • 信息系统安全策略的概念与内容

    千次阅读 2019-09-21 15:17:49
    信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。由此可见,一个单位的安全策略一定是定制的,都...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 网络安全策略

    千次阅读 2007-12-17 15:42:00
    问题:什么是访问控制策略?...访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的
  • AD域组策略安全管理

    千次阅读 2020-12-16 09:30:43
    信息安全培训-终端安全(AD域组策略安全管理) 终端安全体系五要素: 身份认证:AD认证、身份标识、角色定义、外部纷争系统等。 准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。 安全认证:防病毒...
  • H3C防火墙基础配置2-配置安全策略

    千次阅读 2019-11-06 10:15:10
    1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。 (1)规则的名称和编号 安全策略中的每条规则都由唯一...
  • Windows Server 2008配置系统安全策略

    千次阅读 2020-02-24 10:47:17
    下面学习Windows Server 2008配置系统安全策略 在工作组中的计算机本地安全策略有 用户策略,密码策略,密码过期默认42天 服务账户设置成永不过期,帐户锁定策略,本地策略,审核策略,计算机记录哪些安全事件 ...
  • webbrowser安全策略

    千次阅读 2013-05-24 11:40:52
    实现自定义安全管理器 原文:http://msdn.microsoft.com/en-us/library/ms537182(v=vs.85).aspx 应用程序可以使用IInternetZoneManager接口来管理默认的URL安全区域设置。然而,用IInternetZoneManager作的任何...
  • HTML5安全:内容安全策略(CSP)简介

    千次阅读 2015-11-13 14:31:05
    HTML5安全:内容安全策略(CSP)简介 分类: 前端 应用开发2012-07-08 22:57 10023人阅读 评论(4) 收藏 举报 脚本浏览器javascriptgooglefunctionsafari  前言:HTML5出现后,网络安全更加受到...
  • 信息安全体系结构

    千次阅读 2020-03-16 16:04:33
    信息安全体系结构是针对信息系统而言的,一般信息系统的安全体系结构是系统信息安 全功能定义、设计、实施和验证的基础,该体系结构应该在反映整个信息系统安全策略的基 础上,描述该系统安全组件及其相关组件相互间的...
  • 同源策略以及cookie安全策略

    千次阅读 2013-04-18 11:47:08
    1、引言    跨站点请求伪造(Cross—Site Request Forgery)....是一种广泛存在的网站漏洞。...2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
  • mysql常见安全加固策略

    万次阅读 2017-01-17 21:36:50
    下面以mysql 5.7版本为例,介绍mysql常见的安全策略、配置、加固方式等等,有些策略可能只针对Linux操作系统,更多策略可以参考CIS Mysql Benchmark相关文档: 1、操作系统级别安全配置 1.1不要将数据库放在系统...
  • 1.6 安全策略的制定与实施

    千次阅读 2006-11-07 14:33:00
    安全策略模型包括建立安全环境的三个重要组成部分:威严的法律、先进的技术、严格的管理。威严的法律用于震慑非法分子;先进的技术是信息安全的根本保障;建立相宜的信息安全管理办法,加强内部管理,提高整体信息...
  • Linux安全策略机制-SELinux

    千次阅读 2017-11-14 10:44:01
    SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。 SELinux是一个内核...
  • 1.3 信息安全管理基础 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=521 一.大纲要求 1.3.1 信息安全管理制度与政策 * 熟悉...
  • 第1章:信息安全基础 1.1 信息安全概念 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=517 一.大纲要求 1.1 了解网络空间的...
  • 计算机三级信息安全知识点

    万次阅读 2021-03-26 19:23:04
    信息安全的五个基本属性 机密 可用 可控 不可否认 完整性 信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 ...
  • 线程安全策略 不可变对象 不可变对象(Immutable Objects)是指对象一旦被创建它的状态(对象的数据,也即对象属性值)就不能改变,任何对它的改变都应该产生一个新的对象。 不可变对象需要满足的条件: 对象...
  • 信息安全基础知识

    万次阅读 多人点赞 2019-06-08 17:00:00
    网络信息安全基础知识 1 计算机网络 计算机网络是利用通信线路将不同地理位置、功能不相同的 计算机和通信设备连接起来,实现资源的共享和信息的传递等目的地计算机系统。 主要有局域网、城域网、广域网等 1.2 信息...
  • 企业信息安全模型(成熟度模型)

    千次阅读 2019-12-02 09:13:18
    对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定...
  • Windows2008 Server 常规设置及基本安全策略

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 264,620
精华内容 105,848
关键字:

信息安全策略包括哪些