正文

信息安全手册:网关指南

admin
admin V管理员 /0 评论 /32 阅读
1220
此篇文章发布距今已超过22天,您需要注意文章的内容或图片是否可用!

网关

网关简介

网关安全地管理来自不同安全域的连接网络之间的数据流。这样,网关就承担了连接安全域的最高敏感度或分类。

本节介绍适用于所有类型网关的控制措施。根据所部署网关的类型和所涉及的安全域,还应参考本指南的其他部分。例如,对于不同安全域之间的网关,如果至少有一个安全域被归类为机密或绝密,则应参考跨域解决方案部分。

参与网关规划、设计、实施或评估的人员还应参考澳大利亚信号局 (ASD) 的网关安全指导包

实现网关

网关对于组织降低向外部方提供网络访问权限的安全风险至关重要。为此,网关不仅应在组织的网络与公共网络基础设施之间使用,还应在属于不同安全域的组织网络之间以及通过公共网络基础设施以外的方式连接的其他组织网络之间使用。

在组织网络与公共网络基础设施之间实施网关时,组织应将外部各方需要访问的任何服务置于非军事区内。这可以减轻组织以互联网可访问的方式托管此类服务时的安全风险。

最后,在设计网关时,重要的是它们只允许明确授权的数据流。为了支持这一点,网关应该在传输层和网络层以上检查和过滤数据流。此外,网关应该能够执行入口流量过滤,以检测和防止互联网协议 (IP) 源地址欺骗。

网关在属于不同安全域的网络之间实施。

如果外部方需要访问组织的服务,则网关会实施非军事区。

网关仅允许明确授权的数据流。

网关检查和过滤传输层及以上网络层的数据流。

网关执行入口流量过滤以检测和防止 IP 源地址欺骗。

网关系统管理员

在确定网关的合适系统管理员时,重要的是个人必须符合所有公民身份要求、接受适当的就业审查,并在必要时根据网关的敏感度或分类持有适当的安全许可。例如,官方:敏感和受保护网络之间的网关的所有系统管理员都需要持有基本的安全许可。

此外,在创建特权帐户以执行管理活动时,遵循最小特权原则非常重要。反过来,这应该得到职责分离原则的支持。遵守这两个原则可以确保网关的系统管理员不会被赋予足够的特权来自行滥用网关。

最后,为关口系统管理员提供关口操作和管理方面的正式培训,确保他们充分了解并接受自己的角色和职责。为此,应通过量身定制的特权用户培训进行正式培训。

网关的系统管理员要经过适当的就业筛选,并在必要时获得适当的安全许可,具体取决于网关的敏感度或分类。

连接到仅澳大利亚人查看或可释放到网络的网关的系统管理员是澳大利亚国民。

连接到澳大利亚政府仅访问网络的网关的系统管理员是澳大利亚国民或借调的外国人。

网关的系统管理员被分配了履行其职责所需的最低权限。

在执行网关的管理活动时实施职责分离。

网关的系统管理员接受过网关操作和管理方面的正式培训。

网关系统管理

在执行网关的管理活动时,重要的是通过与所有连接网络隔离的安全路径进行这些活动。这样做可以最大限度地减少连接网络受到恶意行为者的攻击时可能带来的威胁。此外,如果网关存在于属于不同安全域的网络之间,则任何共享组件都应由更高安全域的系统管理员管理,或者,使用双方同意的第三方的系统管理员可能更合适。

网关通过与所有连接网络隔离的安全路径进行管理。

对于属于不同安全域的网络之间的网关,任何共享组件均由更高安全域的系统管理员或双方同意的第三方的系统管理员管理。

对通过网关访问的网络进行身份验证

确保用户和信息技术 (IT) 设备在通过网关访问的其他网络上进行身份验证可以减少未经授权访问的可能性。

用户通过网关对访问的其他网络进行身份验证。

IT 设备对通过网关访问的其他网络进行身份验证。

边界网关协议路由安全

资源公钥基础设施 (RPKI) 使用公钥加密来验证互联网上的路由数据。这使组织(尤其是电信运营商或云服务提供商)能够验证其接收、传输和处理的路由数据,以确定互联网流量的路由计算。通过使用 RPKI,组织可以减少与边界网关协议相关的网络威胁,例如某些类型的拒绝服务攻击、意外或故意重新路由互联网流量以及破坏基于 IP 地址的声誉服务的机会。应为组织控制或使用的公共 IP 地址配置 RPKI 路由来源授权 (ROA) 记录,该记录以网络/前缀和自治系统的形式描述路由,这些路由预计来自这些路由。还应为组织控制的未公布的 IP 地址空间配置 ROA 记录。

由组织控制或使用的公共 IP 地址由有效的 ROA 记录签名。

网关事件记录

集中记录和分析网关事件可以帮助监控网关的安全态势,检测恶意行为并有助于网络安全事件后的调查。

以下事件集中记录在网关中:

  • 允许通过网关的数据包和数据流

  • 试图离开网关的数据包和数据流

  • 对入侵企图发出实时警报。

网关评估

在配置更改后定期(间隔不超过六个月)测试网关有助于验证网关是否符合预期的安全配置。此外,网关需要接受信息安全注册评估员计划 (IRAP) 评估员的定期安全评估,以确定其安全状况和使用相关的安全风险。在 IRAP 评估员进行初步安全评估后,后续安全评估应重点关注所提供的任何新服务以及自上次安全评估以来发生的任何与安全相关的更改。

网关在配置更改后接受测试,并且每隔不超过六个月进行一次定期测试,以验证它们是否符合预期的安全配置。

网关至少每 24 个月接受一次 IRAP 评估员的安全评估。

跨域解决方案

跨域解决方案简介

跨域解决方案 (CDS) 是一个由安全执行功能组成的系统,专门用于缓解与访问或在不同安全域之间传输数据相关的特定安全风险。CDS 可以是集成设备,或者更常见的是由离散技术或子系统组成,每个子系统由硬件或软件组件组成。

本节介绍适用于 CDS 的控制措施,并扩展了之前的网关部分。根据所部署的 CDS 类型,还应参考这些指南的其他部分。

参与 CDS 规划、设计、实施或评估的人员还应参考 ASD 的《跨域解决方案简介》《跨域解决方案基础》出版物。

跨域解决方案的类型

本节定义了两种类型的 CDS,即传输 CDS 和访问 CDS。这些定义与供应商描述和销售 CDS 的方式非常相似。但请注意,供应商也可能提供组合的访问和传输 CDS。

在定义不同类型 CDS 的功能时,传输 CDS 有助于在不同安全域之间单向(单向)或多向(双向)传输数据。相比之下,访问 CDS 允许用户从单个设备访问多个安全域。但是,虽然访问 CDS 允许与不同的安全域交互,但它们不允许用户在不同安全域之间移动数据。

实施跨域解决方案

由于将机密或绝密网络连接到不同安全域的其他网络存在重大安全风险,因此需要实施 CDS。

CDS 在 SECRET 或 TOP SECRET 网络与属于不同安全域的任何其他网络之间实施。

跨域解决方案咨询

由于 CDS 的实施和安全管理非常复杂,因此当组织规划、设计、实施或引入 CDS 的额外连接时,务必咨询 ASD 并遵守 ASD 提供的任何指示。

在规划、设计、实施或引入 CDS 的额外连接时,会咨询 ASD 并遵守 ASD 提供的任何指示。

数据流分离

为了确保数据流在 CDS 内得到适当控制,必须实施独立的上行和下行网络路径。这又应由每个网络层的独立安全执行功能和协议中断提供支持。

CDS 实现隔离的上行和下行网络路径。

CDS 为上行和下行网络路径实现独立的安全强制功能。

CDS 在每个网络层实现协议中断。

跨域解决方案事件日志记录

CDS 应具有全面的事件记录功能,以确保用户对其开展的所有活动负责。此外,有效的事件记录和监控实践可以增加检测到操作故障的可能性。

此外,集中记录和分析 CDS 事件可以帮助监控 CDS 的安全态势、检测恶意行为并有助于网络安全事件后的调查。

CDS 生成的所有安全相关事件都集中记录。

至少每三个月抽取一次与数据传输政策有关的安全相关事件样本,并根据 CDS 的安全政策进行评估,以识别任何操作故障。

用户培训

为了帮助预防网络安全事件,让用户知道如何安全地使用 CDS 非常重要。这可以通过在授予访问权限之前对用户进行 CDS 安全使用培训来实现。

在授予访问权限之前,用户会接受有关 CDS 安全使用方面的培训。

防火墙

使用防火墙

在组织网络与公共网络基础设施之间实施网关时,组织应实施防火墙以保护自己免受可能来自公共网络基础设施的入侵。此外,当一个组织的网络连接到另一个组织的网络时,两个组织都应实施独立的防火墙以保护自己免受可能来自彼此网络的入侵。请注意,如果共享网络基础设施仅用作传输介质并且所有网络流量都应用加密,则可能不需要此要求。

评估的防火墙用于组织网络和公共网络基础设施之间。

评估的防火墙用于属于不同安全域的网络之间。

单向设备

使用单向设备

单向设备强制单向数据流,从而使恶意行为者更难以使用相同的网络路径发起入侵并随后窃取数据。因此,应使用单向设备来控制单向网关的数据流。

评估单向设备用于控制组织网络和公共网络基础设施之间单向网关的数据流。

用于控制机密或绝密网络与公共网络基础设施之间的单向网关数据流的评估单向设备完成了高保证评估。

评估单向设备用于控制网络之间单向网关的数据流。

用于控制 SECRET 或 TOP SECRET 网络与任何其他网络之间的单向网关数据流的评估单向设备完成了高保证评估。

Web 代理

网站使用政策

由于使用网络服务存在许多安全风险,因此组织制定、实施和维护管理其使用的网络使用政策非常重要。

制定、实施和维护网络使用政策。

使用网络代理

网络代理是执行网络使用政策和预防网络安全事件的关键组成部分。

所有网络访问(包括内部服务器的访问)都是通过网络代理进行的。

Web 代理事件日志记录

集中记录和分析网络代理事件可以帮助监控网络的安全态势、检测恶意行为并有助于网络安全事件后的调查。

对于通过 Web 代理访问的网站,以下详细信息集中记录:

  • 网址

  • 日期和时间

  • 用户

  • 上传和下载的数据量

  • 内部和外部 IP 地址。

网页内容过滤器

使用网页内容过滤器

有效的网页内容过滤器可以大大降低用户访问恶意代码或其他不当内容的可能性。此外,如果恶意行为者设法将恶意代码部署到组织的网络上,网页内容过滤器可以破坏或阻止恶意行为者与恶意代码进行通信。

实施 Web 内容过滤以过滤潜在有害的基于 Web 的内容。

客户端活动内容受 Web 内容过滤器限制,仅限于组织批准的域名列表。

在适当情况下,Web 内容过滤应用于出站 Web 流量。

传输层安全过滤

由于加密的超文本传输协议安全连接可以绕过传统的 Web 内容过滤技术,因此组织应实施传输层安全性 (TLS) 检查。请注意,组织可以选择允许某些 Web 流量(例如网上银行流量)不经检查,以保护用户的隐私。

通过网关传输的 TLS 流量被解密和检查。

允许和阻止访问域名

定义一个组织批准的域名列表并阻止所有其他域名,可以消除恶意行为者使用的最常见数据泄露路径之一。这样一来,即使是一个相对宽松的允许域名列表,例如整个澳大利亚顶级域名(“*.au”)或 Alexa 网站排名的前 1,000 个网站,也能比仅仅依赖恶意域名列表提供更好的安全性。

此外,如果组织选择实施相对宽松的允许域名列表或网站类别列表,则可以通过阻止动态域名或可以免费匿名注册的域名来进一步降低安全风险,因为这些域名由于缺乏归属而经常被恶意行为者使用。最后,由于用户很少需要通过其 IP 地址而不是域名访问网站,因此此类活动的存在可能表明恶意代码试图与恶意行为者的命令和控制基础设施进行通信,应予以阻止。

为通过网关传输的所有超文本传输协议和超文本传输协议安全流量实施组织批准的域名列表或网站类别列表。

恶意域名、动态域名和可以免费匿名注册的域名会被网页内容过滤器阻止。

尝试通过 IP 地址而不是域名访问网站的行为会被网页内容过滤器阻止。

内容过滤

内容过滤技术

以下内容过滤技术应被视为组织针对网关和 CDS 实施内容过滤的一部分:

  • 防病毒扫描:扫描文件中是否存在病毒和其他恶意代码。

  • 自动动态分析:分析在沙箱中运行的可执行文件以检测可疑行为。

  • 文件扩展名检查:检查文件扩展名以确定所称的文件类型。

  • 文件格式检查:检查文件是否符合定义的文件格式规范。

  • 文件类型检查:检查文件头以确定实际文件类型。

  • 关键字检查:检查文件中是否存在可能表示不良内容的关键字。

  • 元数据检查:检查文件是否存在应删除的元数据。

  • 保护标记检查:检查文件是否存在可能指示不良内容的保护标记。

  • 人工检查:涉及人工检查文件中是否存在自动化系统可能遗漏的可疑或不良内容,这对于多媒体和内容丰富的文件尤为重要。

执行内容过滤

内容过滤器在网关和 CDS 中发挥着重要作用,可以降低未经授权的内容或恶意代码进入或离开网络的可能性。在执行内容过滤检查时,某些内容很容易被识别为恶意内容,或者无法检查,而其他内容(例如活动内容)则可能被视为可疑内容,具体取决于组织内通过网关和 CDS 的内容的正常行为。最后,当 CDS 使用内容过滤器时,其保证要求需要进行严格的安全测试,以确保它们按预期运行并且无法被绕过。

通过网关或 CDS 导入或导出的文件要经过内容过滤检查。

内容过滤检查识别为恶意或无法检查的文件将被阻止。

内容过滤检查识别为可疑的文件将被隔离,直到经过审查并随后获得批准或不批准发布。

CDS 使用的内容过滤器经过严格的安全测试,以确保它们按预期运行并且无法被绕过。

加密文件

由于加密可用于绕过内容过滤检查,因此这会带来安全风险,因为恶意代码可能会进入网络,或者数据可能会从网络中泄露,而未被发现。此外,加密文件可能会以比授权通过网关或 CDS 的级别更高的级别隐藏数据,这可能会导致数据泄露。因此,加密文件应该解密才能进行内容过滤检查。

请注意,如果需要保护加密文件的机密性,组织可以考虑使用专用系统,以便对加密文件在进行所有适用的内容过滤检查之前,在适当安全的环境中进行解密。

通过网关或 CDS 导入或导出的加密文件需要解密才能进行内容过滤检查。

存档文件

如果内容过滤器无法正确处理存档文件,则可以使用存档文件绕过内容过滤检查。确保内容过滤器识别存档文件将确保其中包含的嵌入文件与未存档文件一样受到相同的内容过滤检查。

存档文件的构建方式可能会因处理器、内存或磁盘空间耗尽而导致内容过滤器拒绝服务。为了限制此类情况发生的可能性,内容过滤器可以在解压存档文件时指定资源限制。如果超出这些限制,则应终止内容过滤检查。

通过网关或 CDS 导入或导出的存档文件会被解压以进行内容过滤检查。

存档文件以受控方式解压,以确保内容过滤器性能或可用性不会受到不利影响。

防病毒扫描

可以使用防病毒扫描来检测恶意文件。在此过程中,应使用多个不同的扫描引擎来增加识别任何恶意文件的可能性。

通过网关或 CDS 导入或导出的文件会使用多个不同的扫描引擎进行防病毒扫描。

自动动态分析

分析沙箱中的可执行文件是检测文件执行时可疑行为(例如网络流量、文件的创建或修改或系统配置更改)的有效方法。

通过网关或 CDS 导入的可执行文件会在沙箱中自动执行,以检测任何可疑行为。

允许特定内容类型

创建并执行组织批准的允许文件类型列表可以减少网络的攻击面。例如,电子邮件网关中的内容过滤器可能只允许 Microsoft Office 文件和可移植文档格式 (PDF) 文件。

通过网关或 CDS 导入或导出的文件会根据允许的文件类型进行过滤。

内容验证

内容验证(例如文件格式检查)旨在确保文件符合定义的文件格式规范。在执行内容验证时,任何格式错误的内容都可能表明存在未经授权的内容或恶意代码,例如旨在利用操作系统或应用程序中已知漏洞的代码。

通过网关或 CDS 导入或导出的文件要经过内容验证。

内容转换

内容转换是一种有效的方法,通过将一种文件类型转换为另一种文件类型,可以使恶意代码无害。但请注意,某些文件类型不会从内容转换中受益。内容转换的示例包括:

  • 将 Microsoft Word 文档转换为 PDF 文件

  • 将 Microsoft PowerPoint 演示文稿转换为图像文件

  • 将 Microsoft Excel 电子表格转换为逗号分隔值文件

  • 将 PDF 文档转换为纯文本文件。

通过网关或 CDS 导入或导出的文件会经过内容转换。

内容净化

内容清理是通过删除或更改活动内容同时尽可能保持原始内容完整来使文件安全的过程,例如从 Microsoft Office 文件中删除宏或从 PDF 文件中删除 JavaScript 部分。

通过网关或 CDS 导入或导出的文件要经过内容清理。

验证文件完整性

如果通过网关或 CDS 的文件包含某种形式的完整性保护,例如数字签名或加密校验和,内容过滤器应验证其完整性。在此过程中,任何完整性检查失败都可能表明文件已被篡改。

通过网关或 CDS 导入或导出的具有数字签名或加密校验和的文件已经过验证。

外围交换机

使用外围交换机

当通过外围交换机访问不同的系统时,重要的是在其操作中获得足够的保证,以确保数据不会在连接的系统之间传递。因此,外围交换机所需的保证级别取决于它们所连接的系统的敏感度或分类差异。请注意,当所有连接的系统都属于同一安全域时,无需使用经过评估的外围交换机。

在系统之间共享外围设备时使用评估的外围设备开关。

用于在 SECRET 和 TOP SECRET 系统之间或属于不同安全域的 SECRET 或 TOP SECRET 系统之间共享外围设备的评估外围设备交换机最好完成高保证评估。

用于在机密或绝密系统与任何非机密或绝密系统之间共享外围设备的评估外围设备交换机完成了高保证评估。

— 欢迎关注


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网