一、基础技术篇概述
数据安全在广义上讲是一个很大的概念,依据《数据安全法》第三条,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。也就是说,一切保卫数据的安全措施,都可以看做是和数据安全有关的。
从技术层面讲,例如WAF,它有效防护了web层面的攻击,进而降低了应用被攻破的可能,避免了数据的泄露,因此WAF也可以看做是保卫数据的一种安全措施。类似的,很多传统的安全防护措施从某种意义上来说都和数据安全有关系,因此,建设数据安全也自然要考虑到它们。
本文我们主要从技术层面介绍一些常见的传统意义上的安全防护能力,它们和数据安全都有着千丝万缕的关系。
二、防火墙(FW)
防火墙是公网和内网之间的一道屏障,有硬件和软件之分,但主要功能都是隔离非授权的用户并过滤网络中有害的流量或数据包,从而降低风险。
通过利用防火墙对内部网络的划分,可以实现对内部网络中重点网段的隔离,从而限制了局部重点问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能透露了内部服务相关的线索而引起外部攻击者的兴趣,甚至可能因此而暴露内部网络的安全漏洞。此时,使用防火墙就可以隐蔽掉那些透露内部细节的服务。例如,防火墙可以隐蔽有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所知道了。
防火墙的策略可以基于源地址、目的地址、端口号、协议、应用等信息去配置,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)都配置在防火墙上。相比与将这些问题分散到各个主机上,防火墙的集中安全管理更经济。如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并生成日志,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够进行告警,并提供网络受到攻击的详细信息。
下一代防火墙(简称NG),英文为Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。这里需要注意是,人家的名字就叫【下一代防火墙】,没有指代之意。下一代防火墙的功能有:FW、IDS、IPS、AV、WAF。
NG的工作范围在2-7层。
三、入侵检测(IDS)
入侵检测是对入侵行为的检测。它通过监控和分析网络或系统的流量和日志,检查网络或系统中是否存在违反安全策略的行为或被入侵的迹象,对内部入侵、外部入侵和误操作能够及时发现并告警,从而及时发现入侵行为,避免内网失陷风险。而对网络或系统的流量和日志进行自动化监测或分析的系统,就叫入侵检测系统(IDS)。
按监测数据来源的不同,入侵检测可以分为:
● 基于主机的入侵检测(HIDS):主要是通过监控主机中的各种事件和活动来检测潜在的攻击行为,如操作系统事件日志、应用程序事件日志、系统调用日志、端口调用日志、安全审计日志等。
● 基于网络的入侵检测(NIDS):主要是通过监控网络中传输的数据包来检测潜在的攻击行为,但无法实现对加密信道数据的解密,导致对某些网络攻击的检测率较低。
● 基于混合数据源的入侵检测(HIDS+NIDS):前两种方式的混合,既可以从网络中发现攻击信息,也可以从系统日志中发现异常情况,这样就可以较大的提升检测范围,也可以提升检测的准确度和检测的效率。
入侵检测的数据监测方法可以分为:
● 异常检测:基于用户行为存在的规律性,并且可以通过分析这些行为日志总结出对应的规律,此举通常需要经过一个学习阶段,将正常行为的轮廓训练成自己的先验知识,而入侵行为通常和正常行为存在严重的差异,将采集的数据与正常行为模式进行比较,通过检查这些差异就可以判断是否为入侵。已有的异常入侵检测方法有:基于特征选择的异常检测、基于贝叶斯推理的异常检测、基于贝叶斯网络的异常检测、基于统计的异常检测、基于模式预测的异常检测、基于机器学习的异常检测、基于数据挖掘的异常检测、基于应用模式的异常检测、基于文本分类的异常检测。
● 误用检测:该方法与异常检测相反,先收集非正常操作行为特征并建立特征库,再把采集的数据与特征库中的各种攻击进行比较。当检测的用户行为与特征库的记录相匹配时,就会被认定为入侵。已有的误用入侵检测方法有:基于条件概率的误用入侵检测、基于状态迁移分析的误用入侵检测、基于键盘监控的误用入侵检测、基于规则的误用入侵检测。
IDS部署一般使用旁路部署或多点部署,通过交换机的监听口进行网络报文采样,每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量,部署在其他交换机下的主机间的流量则无法被监听。
入侵检测系统相当于网络上的监控摄像头,根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统。
IDS的工作范围在2-7层。
四、入侵防御(IPS)
与IDS的旁路部署方式不同,IPS是串行部署的。所以IPS既能发现入侵行为,又能阻止入侵行为。在检测到网络入侵后,能自动丢弃入侵报文或阻断攻击源,从而避免攻击行为。
IPS位于防火墙和网络设备之间,由于是串行部署,部署后会对网络造成一定的延时影响,当IPS出现故障宕机时,会自动启用软件Bypass,即对所有的包都不进行检测,也不进行拦截,全部放过。
由于入侵防御的特点,其不仅能实时阻断攻击,还能针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、应用漏洞等进行全方位的安全防护,同时,入侵防御不但可以防止来自于企业外部的攻击,还可以防止发自于企业内部的攻击。
IPS和IDS除了部署的方式不同外,还有一个区别是IDS是发现后告警,IPS则是发现后阻断。
IPS的工作范围在2-7层。
五、web应用防火墙(WAF)
WAF的主要作用是对Web应用程序之间的HTTP流量进行过滤、监视和阻止,虽然WAF与FW都叫防火墙,但它们之间的区别很大,WAF能够过滤特定Web应用程序的内容,而常规防火墙则是充当内网与外网之间的安全阀。WAF通过检查HTTP流量,可以防止源自Web应用程序的安全漏洞攻击,如SQL注入、跨站点脚本,文件包含等。
WAF有一般有以下几类:
● 软件WAF:以软件形式部署在服务器上,其性能取决于宿主服务器的配置;
● 硬件WAF:以硬件盒子的形式部署,其性能通常很高,检测速度很快;
● 云WAF:嵌入在云服务中,可以即买即用,性能一般不需要考虑;
● 站点内置WAF:一般是将一些过滤代码嵌入到代码包中,其通用性一般较低。
WAF一般有以下功能:
● 会话审计:用于截获满足特定协议或规则的会话;
● 访问控制:用于控制客户端对Web应用的访问;
● Web应用加固:用于屏蔽Web应用内部的安全漏洞。
WAF的防护原理一般如下:
● 异常检测:拒绝不符合HTTP标准的请求;
● 白名单/黑名单防护:采取白名单或者黑名单的方式,对HTTP内容进行验证;
● 基于规则防护:通过设定的安全规则对服务器进行防护;
● 信息泄露保护:防止服务器信息泄露;
● 扫描器识别:识别漏洞扫描器并禁止扫描。
WAF的工作范围在第7层
六、蜜罐
蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁,提取威胁特征。为更好的吸引攻击者,蜜罐需要提供强悍的攻击诱骗能力。
蜜罐可以分为以下三类:
● 低交互蜜罐:通常是最容易安装、配置、部署和维护的,它的设计和基本功能都很简单,只是模拟各种服务,攻击者仅限于与预先指定的服务进行交互。
● 中交互蜜罐:为攻击者提供了比低交互蜜罐更多的交互能力,如提高一些低交互蜜罐无法提高的响应,但比高交互蜜罐的功能少。例如,通过构建一个中交互蜜罐来模拟一个web服务器,并且呈现出蠕虫病毒攻击所需的漏洞,无论何时攻击者与蜜罐建立http连接,蜜罐都会进行响应,假如这在低交互蜜罐中,攻击者可能只会获得一个http的响应提示。
● 高交互蜜罐:可以为构建者提供大量攻击者的信息,构建和维护高交互蜜罐非常的耗费时间,而且风险极高,在高交互性的蜜罐中,攻击者可以对真实的操作系统进行访问,系统中有着最真实的漏洞,记录下的入侵信息也都是最真实的。
七、数据库审计
数据库审计系统能够实时记录数据库的活动,还能对数据库操作性能进行实时监控,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断,并且可以通过对用户访问数据库行为的记录、分析和汇报,在事后进行追根溯源,大大提高了数据资产的安全性。
数据库审计系统可审计以下风险:
● 登录风险:对IP、MAC、客户端、用户名、登录密码、时间等进行风险告警;
● 影响行风险:对超过指定行数的更新、删除、查询和导出行为进行告警;
● 权限风险:对权限相关的访问控制风险进行告警;
● 漏洞攻击:对符合CVE数据库漏洞特征的访问行为进行告警;
● SQL注入:对符合SQL注入特征的访问行为进行告警;
● SQL黑名单:对出现SQL黑名单的语句进行告警。
数据库审计系统可对数据库操作进行审计,包括以下内容:
● 用户行为:数据库用户的登录、注销;
● 数据定义语言(DDL)操作:create、alter、drop等创建、修改或删除数据库对象的SQL指令;
● 数据操作语言(DML)操作:select、delete、updata、insert等用户检索或修改数据的SQL指令;
● 数据控制语言(DCL)操作:grant、revoke定义数据库用户的权限的SQL指令;
● 其他操作:包括execute、commit、rollback等事务操作指令。
数据库审计系统对5W1H的行为审计包括:
● who(谁干的):数据库用户名、操作系统用户名、应用用户名;
● where(在什么地方):数据库客户端IP+MAC、应用客户端IP;
● when(什么时间):发生时间、耗时时长;
● what(干了些什么):操作对象是谁、操作了什么;
● how(怎么干的):SQL语句、参数;
● 结果怎么样:是否成功、影响行数、性能情况。
八、数据防泄漏(DLP)
数据防泄漏主要是为了规范和加强企业文档数据使用的安全管理,保障敏感文档数据的安全,降低泄漏的风险。这里的文档数据主要是指在企业信息系统之外的,保存在个人电脑、文件服务器、邮箱、微信、QQ 等媒介的文档数据,包括word、excel、 ppt、 pdf等。
数据防泄漏管理首先要做好组织划分,一般是由领导小组、运营小组、业务接口人小组组成。领导小组是公司数据防泄漏管理的决策组织,负责数据防泄漏管理事务的整体推进。运营小组是公司防泄漏工作的管理组织,负责统筹、协调、运营数据防泄漏工作。业务接口人是推进数据防泄漏落地的主要力量,是管理团队和业务团队的连接点。
之后需要采集企业各部门的文档数据,并将文档数据进行分类分级,一般是分为3-5级,对不同级别的文档设置不同的防护策略,例如敏感级别的文档数据禁止对外发送,而公开级别的文档数据则不做任何管理措施。
此外,还需要设置好其他策略,例如禁用U盘、网盘、聊天工具等。最后,运营小组对数据防泄漏平台做好运营即可,对于监测到的数据泄露事件及时进行跟进处理,对于不合理的防护策略及时进行优化调整。
九、总结
本文主要介绍了常见的传统意义上的安全防护产品,包括防火墙、入侵检测、入侵防御、web应用防火墙、蜜罐、数据库审计、数据防泄漏等。由于本文的主旨在于数据安全管理,因此对这些安全防护产品没有展开很详细的讲解,只进行了简单的介绍。
除了本文介绍的这些安全防护产品外,市面上存在的安全防护产品还有很多很多,它们其实也都和数据安全脱不了关系,广义上的数据安全其实就是信息安全,信息就等于数据,每一个安全防护产品基本上都能适用这个概念中。
