El título de mi tesis es "Diseño y análisis de redes a nivel empresarial"
Análisis de los principios de diseño y sistemas de prevención de seguridad de redes empresariales
1. Introducción
Con la profundización del proceso de informatización y el rápido desarrollo de Internet, las redes Con la tendencia de desarrollo de la informatización empresarial, los recursos de información también se comparten en mayor medida. Sin embargo, los problemas de seguridad de la red que siguen al desarrollo de la informatización se han vuelto cada vez más prominentes. Los problemas de seguridad de la red se han convertido en un desafío común que enfrenta la humanidad en la era de la información. Los problemas de seguridad de la información de la red se han convertido en una prioridad absoluta. debe serlo obstaculizará el progreso del desarrollo de la informatización.
2. Ataques a la seguridad, mecanismos de seguridad y servicios de seguridad
El estándar ITU-T X.800 define lógicamente lo que solemos llamar "seguridad de red". ataque de seguridad) se refiere a cualquier comportamiento que dañe la seguridad de la información propiedad de una organización; un mecanismo de seguridad (mecanismo de seguridad) se refiere a un mecanismo diseñado para detectar, prevenir ataques de seguridad o restaurar el sistema de seguridad; un servicio que utiliza uno o más mecanismos de seguridad para resistir ataques de seguridad y mejorar la seguridad del sistema de procesamiento de datos y la seguridad de la transmisión de información de una organización. La relación entre los tres se muestra en la Tabla 1.
3. Estructura del marco del sistema de prevención de seguridad de la red
Para comprender eficazmente las necesidades de seguridad de los usuarios y seleccionar diversos productos y estrategias de seguridad, es necesario establecer algunos métodos sistemáticos para la red. seguridad. El carácter científico y la viabilidad del sistema de prevención de seguridad de la red son la garantía para su buena implementación. La Figura 1 muestra la estructura del marco de un sistema de tecnología de prevención de seguridad tridimensional basado en la extensión DISSP. La primera dimensión son los servicios de seguridad, que proporcionan ocho atributos de seguridad (ITU-T REC-X.800-199103-I). La segunda dimensión es la unidad del sistema, que da la composición del sistema de red de información. La tercera dimensión es el nivel estructural, que presenta y amplía el modelo de Interconexión de Sistemas Abiertos (OSI) de la Organización Internacional de Normalización ISO.
Cada unidad del sistema en la estructura del marco corresponde a un determinado nivel de protocolo y se requieren varios servicios de seguridad para garantizar la seguridad de la unidad del sistema. La plataforma de red debe tener autenticación y control de acceso entre los nodos de la red. La plataforma de aplicación debe tener autenticación y control de acceso para los usuarios. Debe tener funciones de auditoría y antirepudio. Debe garantizar la disponibilidad y confiabilidad del sistema de aplicación. Para un sistema de red de información, si cada unidad del sistema tiene las medidas de seguridad correspondientes para satisfacer sus necesidades de seguridad, consideramos que la red de información es segura.
4. Niveles del sistema de prevención de seguridad de la red
Como sistema de prevención de seguridad de la red integral y general, también se divide en diferentes niveles que reflejan diferentes problemas de seguridad. la red, según la situación actual y la estructura de la red, dividimos los niveles del sistema de prevención de seguridad (ver Figura 2) en seguridad de la capa física, seguridad de la capa del sistema, seguridad de la capa de red, seguridad de la capa de aplicación y gestión de seguridad.
1. Seguridad del entorno físico (seguridad de la capa física)
Este nivel de seguridad incluye la seguridad de las líneas de comunicación, la seguridad de los equipos físicos, la seguridad de las salas de ordenadores, etc. . La seguridad de la capa física se refleja principalmente en la confiabilidad de las líneas de comunicación (respaldo de líneas, software de administración de red, medios de transmisión), la seguridad de los equipos de software y hardware (reemplazo de equipos, desmontaje de equipos, adición de equipos), respaldo de equipos, prevención de desastres. capacidades y capacidades antiinterferencias, el entorno operativo del equipo (temperatura, humedad, humo y polvo), garantía de suministro de energía ininterrumpida, etc.
2. La seguridad del sistema operativo (seguridad de la capa del sistema)
Los problemas de seguridad en este nivel provienen de la seguridad del sistema operativo utilizado en la red, como por ejemplo Windows NT. , Windows 2000, etcétera. Se manifiesta principalmente en tres aspectos. Primero, los factores de inseguridad causados por los defectos del propio sistema operativo, que incluyen principalmente autenticación de identidad, control de acceso, vulnerabilidades del sistema, etc. El segundo es la configuración de seguridad del sistema operativo. El tercero es la amenaza de virus al sistema operativo.
3. Seguridad de la red (seguridad de la capa de red)
Los problemas de seguridad en este nivel se reflejan principalmente en la seguridad de la red, incluida la autenticación de identidad de la capa de red y el control de acceso a los recursos de la red, la confidencialidad y la seguridad. integridad de la transmisión de datos, seguridad del acceso remoto, seguridad del sistema de nombres de dominio, seguridad del sistema de enrutamiento, medios de detección de intrusos, antivirus de las instalaciones de la red, etc.
4. Seguridad de la aplicación (seguridad de la capa de aplicación)
Los problemas de seguridad en este nivel son causados principalmente por la seguridad del software de la aplicación y los datos utilizados para proporcionar servicios, incluidos los servicios web y el sistema de correo electrónico. , DNS, etc Además, también se incluyen amenazas al sistema por parte de virus.
5. Gestión de seguridad (gestión de seguridad)
La gestión de seguridad incluye la gestión de tecnología y equipos de seguridad, sistemas de gestión de seguridad, reglas organizativas para departamentos y personal, etc. La institucionalización de la gestión afecta en gran medida la seguridad de toda la red. Los sistemas de gestión de seguridad estrictos, la división clara de las responsabilidades de seguridad departamentales y la configuración razonable de las funciones del personal pueden reducir en gran medida las vulnerabilidades de seguridad en otros niveles.
V. Lineamientos de diseño del sistema de prevención de seguridad de la red
Con base en los requisitos de seguridad para prevenir ataques a la seguridad, los objetivos de seguridad que se deben alcanzar, los servicios de seguridad requeridos por los mecanismos de seguridad correspondientes. y otros factores, consulte SSE: los estándares internacionales como CMM ("Modelo de madurez de capacidad de ingeniería de seguridad del sistema") e ISO17799 (Estándar de gestión de seguridad de la información) consideran de manera integral aspectos como la implementabilidad, la capacidad de administración, la escalabilidad, la integridad integral y el equilibrio de la red del sistema. prevención de seguridad El sistema debe seguir los siguientes 9 principios en el proceso de diseño general:
1. El principio del barril de madera de la seguridad de la información de la red
El principio del barril de madera de la seguridad de la información de la red se refiere a un enfoque equilibrado y completo de la información para la protección. "El volumen máximo de un barril depende del trozo de madera más corto." El sistema de información de la red es un sistema informático complejo. Sus diversas vulnerabilidades físicas, operativas y de gestión constituyen la vulnerabilidad de seguridad del sistema, especialmente la complejidad y el intercambio de recursos del sistema de red multiusuario es imposible de prevenir. El "principio de penetración más fácil" utilizado por los atacantes debe atacar el punto más débil del sistema. Por lo tanto, el análisis, la evaluación y la detección (incluidos ataques simulados) completos, integrales y completos de las vulnerabilidades y amenazas de seguridad del sistema son requisitos previos necesarios para diseñar sistemas de seguridad de la información. El objetivo principal del diseño del mecanismo de seguridad y del servicio de seguridad es prevenir los métodos de ataque más utilizados, y el objetivo fundamental es mejorar el rendimiento de seguridad del "mínimo de seguridad" de todo el sistema.
2. El principio de integridad de la seguridad de la información de la red
Requiere que cuando la red es atacada o destruida, los servicios del centro de información de la red deben restaurarse lo más rápido posible para reducirlos. pérdidas. Por lo tanto, el sistema de seguridad de la información debe incluir mecanismos de protección de la seguridad, mecanismos de detección de seguridad y mecanismos de recuperación de la seguridad. Los mecanismos de protección de la seguridad son medidas de protección correspondientes que se toman en función de diversas amenazas a la seguridad existentes en un sistema específico para evitar ataques ilegales. El mecanismo de detección de seguridad consiste en detectar el funcionamiento del sistema y descubrir y detener rápidamente varios ataques al sistema. El mecanismo de recuperación de seguridad consiste en realizar un procesamiento de emergencia y restaurar la información lo más rápido posible y de manera oportuna para reducir el grado de daño al suministro cuando falla el mecanismo de protección de seguridad.
3. Principio de equilibrio y evaluación de la seguridad
Para cualquier red, la seguridad absoluta es difícil de lograr y no es necesariamente necesaria, por lo que es necesario establecer una evaluación razonable de la seguridad práctica y necesidades del usuario y sistema equilibrado. El diseño del sistema de seguridad debe manejar correctamente la relación entre requisitos, riesgos y costos, garantizar que la seguridad y la disponibilidad sean compatibles y ser ejecutable organizacionalmente. No existen criterios absolutos ni indicadores de medición para evaluar si la información es segura o no. Solo puede determinarse por las necesidades del usuario del sistema y el entorno de aplicación específico, que depende de la escala y el alcance del sistema, la naturaleza del mismo. sistema y la importancia de la información.
4. Principios de estandarización y coherencia
El sistema es un gran proyecto de sistema y el diseño de su sistema de seguridad debe seguir una serie de estándares para garantizar la coherencia de cada subsistema. para que todo el sistema pueda interconectarse y compartir información de forma segura.
5. Principio de combinación de tecnología y gestión
El sistema de seguridad es un proyecto de sistema complejo que involucra personas, tecnología, operaciones y otros elementos. Es imposible depender únicamente de la tecnología o de la gestión. solo. Por lo tanto, es necesario combinar diversas tecnologías de seguridad con mecanismos de gestión de operaciones, educación ideológica y técnica del personal y la elaboración de normas y reglamentos de seguridad.
6. Planificación general y principios de implementación paso a paso
Debido a regulaciones de políticas y requisitos de servicio poco claros, cambios en el entorno, las condiciones y el tiempo, así como avances en el ataque. métodos, la protección de seguridad es imposible En un solo paso, primero se puede establecer un sistema de seguridad básico de acuerdo con las necesidades reales de la red bajo un plan de seguridad relativamente integral para garantizar la seguridad básica y necesaria. A medida que la escala de la red se expanda y las aplicaciones aumenten en el futuro, y las aplicaciones y la complejidad de la red cambien, la vulnerabilidad de la red seguirá aumentando. La protección de la seguridad deberá ajustarse o mejorarse para garantizar las necesidades de seguridad más fundamentales de toda la red.
7. Principio jerárquico
El principio jerárquico se refiere al nivel de seguridad y al nivel de seguridad. Un buen sistema de seguridad de la información debe dividirse en diferentes niveles, incluida la clasificación de la confidencialidad de la información, la clasificación de los permisos de operación del usuario, la clasificación de la seguridad de la red (subredes de seguridad y zonas de seguridad) y la clasificación de la estructura de implementación del sistema (capa de aplicación, capa de red, enlace). capa, etc.), proporcionando así algoritmos de seguridad y sistemas de seguridad completos y opcionales para diferentes niveles de objetos de seguridad para satisfacer diversas necesidades reales en diferentes niveles de la red.
8. Principio de desarrollo dinámico
Las medidas de seguridad deben ajustarse continuamente de acuerdo con los cambios en la seguridad de la red, adaptarse al nuevo entorno de la red y satisfacer las nuevas necesidades de seguridad de la red.
9. Principio de facilidad de operación
En primer lugar, las medidas de seguridad deben completarse manualmente. Si las medidas son demasiado complejas y los requisitos para las personas son demasiado altos, la seguridad. mismo se reducirá. En segundo lugar, la adopción de medidas no puede afectar al normal funcionamiento del sistema.
VI.Conclusión
Debido a la apertura de Internet y las fallas de seguridad de los protocolos de comunicación, así como a las características distribuidas del almacenamiento, acceso y procesamiento de la información de datos en el entorno de red. , en línea La información de datos transmitida se filtra y destruye fácilmente y la red está sujeta a ataques de seguridad muy graves. Por lo tanto, es más urgente establecer un sistema eficaz de prevención de seguridad de la red.
De hecho, para garantizar la seguridad de la red, no solo necesitamos hacer referencia a varios estándares de seguridad de la red para formar criterios de evaluación razonables, sino que, lo que es más importante, debemos aclarar el sistema marco de seguridad de la red, la jerarquía de seguridad y los principios básicos del diseño del sistema, y Analice el sistema de red. Encuentre lagunas de seguridad en cada enlace inseguro y sea atacado.