網 關
網關的用途
網關充當網絡層的數據流控制機制,也可以在開放系統互連 (OSI)模型的較高層控制數據。
部署網關
本節介紹適用于所有網關的安全控制。還應根據部署的網關類型,參考這些準則的其他方面:
1.有關不同安全域之間的連接(其中至少有一個系統是SECRET或更高版本),請參閱這些準則的跨域解決方案部分。
2.有關用于控制雙向網關中的數據流的設備,請參閱這些準則的防火墻部分。
應用安全控制
在所有情況下,網關都假定所連接的安全域具有最高的敏感度或分類。
網關體系結構和配置
網關對于控制安全域之間的數據流并防止來自外部網絡的未經授權的訪問是必要的。鑒于網關在控制安全域之間的數據流方面至關重要,任何故障,特別是在較高級別的故障,都可能產生嚴重后果。因此,提醒人員注意可能導致網絡安全事件的情況的強大機制對于網關尤其重要。
所有系統都受到一個或多個網關的保護,使其免受其他安全域中的系統的影響。
安全域之間的所有連接都實現了檢查和過濾 OSI 模型中定義的傳輸層和更高層的數據流的機制。
網關:
1.是進出內部網絡的唯一通信路徑
2.僅允許明確授權的連接
3.通過與所有連接的網絡隔離的安全路徑進行管理(物理上位于網關或專用管理網絡上)
4.記錄對其組件的所有物理和邏輯訪問
5.配置為將日志保存到安全日志記錄工具
6.測試所有安全控件,以在對其配置進行任何更改后驗證其有效性。
網關實現入口流量篩選,以檢測和防止互聯網協議(IP)源地址欺騙。
網關操作
為網關實施日志記錄和警報功能有助于檢測網絡安全事件、入侵企圖和異常使用模式。此外,將事件日志存儲在安全日志記錄工具上會增加攻擊者刪除日志記錄數據的難度,以銷毀目標網絡入侵的證據。
所有連接不同安全域中網絡的網關都經過操作,以便它們:
記錄允許通過網關的網絡流量
記錄嘗試離開網關的網絡流量
配置為將事件日志保存到安全日志記錄工具
為任何網絡安全事件、入侵企圖和異常使用模式提供實時警報。
非軍事區
非軍事區用于防止直接訪問內部網絡上的數據和服務。需要從互聯網訪問某些數據和服務的組織可以將它們放置在不太受信任的非軍事區,而不是內部網絡。
非軍事區域用于代理訪問外部實體訪問的服務,并應用機制來調解內部和外部對這些非軍事區域中托管的不太受信任的服務的訪問。
網關測試
在網關上測試安全控制有助于通過確定安全控制的有效性來了解其安全狀況。對手可能知道定期測試活動。因此,以不規則的時間間隔執行測試將降低對手利用常規測試活動的可能性。
網關經過嚴格的測試,每隔不超過六個月的時間間隔進行一次,以確定安全控制的強度。
網關管理
應盡量減少管理員權限,并應將角色分開(例如,單獨的網絡管理員和安全策略配置角色),以最大限度地降低具有網關特權訪問權限的惡意用戶帶來的安全風險。
為系統管理員提供正式培訓將確保他們充分了解并接受他們在網關管理方面的角色和責任。正式培訓可以通過商業提供者進行,也可以只是通過標準作業程序或受正式協議約束的參考文件進行。
已連接安全域的最高安全域的系統所有者負責保護最敏感的數據,因此最適合管理網關的任何共享組件。但是,如果來自不同組織的多個安全域連接到網關,則讓合格的第三方代表所有連接的組織管理網關可能更合適。
對網關管理功能的訪問僅限于安全支持網關的最低角色和特權。
系統管理員經過正式培訓,可以管理網關。
網關的所有系統管理員都將被清除,以訪問網關通信或處理的最高級別的數據。
處理"僅限澳大利亞眼睛"或"僅限澳大利亞政府訪問"數據的網關的所有系統管理員都是澳大利亞國民。
用于管理網關的角色是分開的。
對于不同安全域中的網絡之間的網關,存在一種正式的安排,即任何共享組件都由最高安全域的系統管理員或相互商定的第三方管理。
網關的共享所有權
由于對連接到網關的安全域的更改可能會影響其他已連接安全域的安全狀態,因此系統所有者應正式同意成為他們通過網關連接到的其他安全域中的活動利益干系人。
建立連接后,系統所有者將成為所有連接的安全域的利益干系人。
網關身份驗證
確保用戶和服務通過網關的身份驗證可以降低未經授權的訪問的可能性,并提供審計功能來支持網絡安全事件的調查。
通過網關訪問網絡的用戶和服務經過身份驗證。
只有經過身份驗證和授權給網關的用戶和服務才能使用該網關。
多重身份驗證用于訪問網關。
ICT設備認證
對通過網關接入的網絡進行ICT設備認證有助于防止未經授權的ICT設備連接到網絡。例如,通過使用 802.1X。
通過網關接入網絡的ICT設備經過認證。
跨域解決方案
跨域安全性簡介
跨域解決方案 (CDS) 是一個系統,包含為減輕在安全域之間訪問或傳輸數據的特定安全風險而定制的安全實施功能。CDS可以是集成的裝置,或者更常見的是,由離散技術或子系統組成,每個子系統由硬件和/或軟件組件組成。
本節介紹適用于 CDS 的安全控制,并在先前的網關部分中擴展了同樣適用的安全控制。此外,數據傳輸指南也適用于 CDS。最后,應根據部署的特定 CDS 類型,參考這些指南的其他部分。
跨域解決方案的類型
這些準則定義了兩種邏輯類型的 CDS:傳輸 CDS 和訪問 CDS。這些邏輯定義與供應商和系統集成商描述和銷售 CDS 的方式更為一致。供應商還可以提供組合的訪問和傳輸解決方案。
無論邏輯配置如何,每個 CDS 中的基礎機制都將由從低到高的數據傳輸路徑和/或從高到低的數據傳輸路徑組成。然后應用數據過濾和其他安全控制來緩解適用于系統操作環境的威脅,包括特定的數據路徑和業務案例。
傳輸 CDS 有助于在不同安全域之間以一個(單向)或多個(雙向)方向傳輸數據。
訪問 CDS 使用戶能夠從單個設備訪問多個安全域。從概念上講,Access CDS 允許與不同安全域(如"虛擬桌面")中的一個或多個系統進行遠程交互,并且不允許用戶在安全域之間移動數據。
應用安全控制
在所有情況下,網關或 CDS 都假定所連接的安全域具有最高的敏感度或分類。
何時實施跨域解決方案
通過簡單網關將 SECRET 和 TOP SECRET網絡連接到不同安全域中的任何其他網絡存在重大安全風險。
將 SECRET 或 TOP SECRET 網絡從不同的安全域連接到任何其他網絡時,將實現CDS。
實施或修改跨域解決方案時的咨詢
CDS的安全部署和管理可能很復雜,因此,網絡受損的可能性會增加。安全 CDS 實現可確保所涉及的每個安全域的安全策略在域之間連接的所有物理層和邏輯層中以可靠的方式得到維護。
在設計和部署CDS時,會通知并咨詢ACSC;并遵守ACSC提供的指示。
在引入與 CDS 的其他連接時,例如向公共網絡添加新網關時,將就 CDS 安全性的影響咨詢 ACSC;并遵守ACSC提供的指示。
數據流分離
CDS 應實現強大的安全實施功能,包括內容過濾和隔離路徑,以確保數據流得到適當控制。
CDS實現隔離的向上和向下網絡路徑。
CDS在 OSI 模型的每一層實現協議中斷。
CDS實現內容過濾,并為向上和向下的數據流分離獨立的安全實施組件。
事件記錄
除了"系統監視指南"的事件日志記錄和審核部分中列出的安全控制之外,CDS 還應具有全面的日志記錄功能,以便為用戶執行的所有操作建立問責制。有效的日志記錄做法可以增加發現未經授權的行為的可能性。
由于 CDS 提供的數據導入和導出功能至關重要,組織應根據CDS 已部署的安全策略定期評估 CDS 數據傳輸策略的性能。
CDS生成的所有與安全相關的事件都會被記錄并定期進行分析。
至少每 3 個月采集一次 CDS 生成的與數據傳輸策略實施相關的安全事件的代表性示例,并根據 CDS 負責在安全域之間實施的安全策略進行評估。
用戶培訓
用戶知道如何安全地使用 CDS 非常重要。這可以通過授予訪問權限之前的培訓來實現,并通過登錄橫幅和意識消息來加強。
在授予對 CDS 的訪問權限之前,用戶將接受有關安全使用CDS 的培訓。
防火墻
使用防火墻
當一個組織連接到另一個組織時,兩個組織都應在其網關環境中實施防火墻,以保護自己免受來自其環境外部的入侵。在共享網絡基礎結構僅用作傳輸介質并使用鏈路加密的特定情況下,此要求可能不是必需的。
在組織的網絡和公共網絡基礎結構之間使用經過評估的防火墻。
在屬于不同安全域的網絡之間使用已評估的防火墻。
使用防火墻作為網關基礎設施一部分的要求由雙方獨立滿足;共享ICT設備不能滿足雙方的要求。
二極管
使用二極管
二極管強制執行網絡流量的單向流,因此需要為傳入和傳出數據提供單獨的路徑。這使得對手更難使用相同的路徑來發起有針對性的網絡入侵并在之后泄露數據。
評估的二極管用于控制組織網絡和公共網絡基礎設施之間單向網關的數據流。
用于控制 SECRET 或 TOP SECRET 網絡與公共網絡基礎設施之間單向網關數據流的評估二極管完成了高保證評估。
評估的二極管用于控制網絡之間單向網關的數據流。
用于控制SECRET或TOP SECRET網絡與任何其他網絡之間單向網關數據流的評估二極管完成高保證評估。
卷檢查
監控通過二極管傳輸的數據量,確保其符合預期。如果數據量突然偏離常態,它還可以提醒組織潛在的惡意活動。
部署用于控制單向網關中數據流的二極管(或連接到二極管的服務器)監視正在傳輸的數據量。
網絡代理
網絡使用政策
如果組織允許用戶訪問 Web,則應定義授予的訪問范圍。這可以通過Web使用政策和用戶教育來實現。
制定并實施了 Web 使用策略。
使用網絡代理
Web 代理是執行 Web 使用策略和防止網絡安全事件的關鍵組件。
所有 Web 訪問(包括內部服務器訪問)都通過 Web 代理進行。
Web 代理身份驗證和日志記錄
在響應網絡安全事件和用戶違反 Web 使用策略時,全面的 Web 代理日志是寶貴的資產。
Web 代理對用戶進行身份驗證,并提供日志記錄,其中包括有關所訪問網站的以下詳細信息:
地址(統一資源定位器)
時間/日期
用戶
上傳和下載的數據量
內部和外部 IP 地址。
網頁內容過濾器
使用 Web 內容篩選器
有效的 Web 內容篩選器可大大降低用戶訪問惡意代碼感染或其他不當內容的可能性。如果Web 內容篩選器部署在組織的網絡上,則還可以中斷或阻止對手與其惡意代碼進行通信。
Web 內容篩選器執行的某些形式的內容篩選與其他類型的內容篩選器執行的內容篩選形式相同,而其他形式的內容篩選特定于 Web 內容篩選器。
Web內容篩選器用于篩選可能有害的基于 Web 的內容。
客戶端活動內容(如JAVA)僅限于允許的網站列表。
Web內容篩選控件在適當的情況下應用于出站 Web 流量。
傳輸層安全性篩選
由于通過超文本傳輸協議傳輸安全連接傳輸的傳輸層安全性 (TLS)Web 流量無需任何過濾即可交付內容,因此組織可以通過使用 TLS 檢查來降低此安全風險。
對于通過互聯網網關通信的TLS 流量,將實施以下任一方法:
根據內容過濾安全控制解密和檢查所有TLS流量的解決方案
允許加密連接的網站列表,所有其他TLS流量都根據內容過濾安全控制進行解密和檢查。
檢查傳輸層安全性流量
由于加密的TLS流量可能包含個人信息,建議組織就檢查此類流量是否可能違反1988年隱私法尋求法律建議。
就互聯網網關檢查TLS流量尋求法律意見。
允許訪問特定網站
定義允許的網站列表并阻止所有其他網站可有效刪除對手使用的最常見的數據傳輸和滲透技術之一。但是,如果用戶有訪問大量網站的合法要求,或者網站列表快速變化,組織應考慮此類實施的成本。
即使是相對寬松的允許網站列表,也比依賴已知惡意網站列表提供更好的安全性,或者根本沒有限制,同時仍然降低了實施成本。
使用域名或 IP 地址為所有超文本傳輸協議和超文本傳輸協議 實現允許的網站列表 通過 Inte.NET 網關通信的安全流量。
如果未實現允許的網站列表,則改為實現允許的網站類別列表。
阻止訪問特定網站
可以阻止由于其內容或惡意內容的托管而被視為不適當的網站集合,以防止它們被訪問。
有針對性的網絡入侵通常使用動態或其他域名,其中域名由于缺乏歸屬而可以免費匿名注冊。
如果未實現允許的網站列表,則改為實現阻止的網站列表。
如果實施了被阻止的網站列表,則該列表將每天更新以確保其仍然有效。
阻止嘗試通過其IP 地址而不是通過其域名訪問網站。
動態域名和其他域名可以免費匿名注冊的域名將被阻止。
內容過濾
內容過濾技術
內容篩選器通過根據定義的安全策略評估數據,降低了未經授權或惡意內容通過安全域邊界的可能性。以下技術可以幫助評估數據是否適合傳輸安全域邊界。
技術 |
目的 |
防病毒掃描 |
掃描數據以查找病毒和其他惡意代碼。 |
自動動態分析 |
在將電子郵件和 Web 內容交付給用戶之前,先分析沙盒中的電子郵件和 Web 內容。 |
數據格式檢查 |
檢查數據以確保其符合預期和允許的格式。 |
數據范圍檢查 |
檢查每個字段中的數據,以確保其落在預期和允許的范圍內。 |
數據類型檢查 |
檢查每個文件頭以確定實際的文件類型。 |
文件擴展名檢查 |
檢查文件擴展名以確定假定的文件類型。 |
關鍵字搜索 |
在數據中搜索關鍵字或“臟詞”,這些關鍵字或“臟詞”可能表明存在不適當或不需要的材料。 |
元數據檢查 |
檢查文件中在發布之前應刪除的元數據。 |
保護性標記檢查 |
驗證數據的保護性標記,以確保其正確無誤。 |
手動檢查 |
手動檢查數據以查找自動化系統可能遺漏的可疑內容,這對于傳輸多媒體或內容豐富的文件尤其重要。 |
根據文件規范進行驗證 |
驗證文件是否符合定義的文件規范,以及后續內容篩選器是否可以有效地處理該文件。 |
內容過濾
實施無法繞過的有效內容篩選器可降低惡意內容成功傳遞到安全域的可能性。只有當考慮到組織的業務流程和威脅環境,選擇并適當配置合適的組件時,內容過濾才有效。此外,當內容篩選器作為CDS的一個組件實現時,其保證要求需要嚴格的安全測試。
將數據導入安全域時,數據由為此目的設計的內容篩選器進行篩選。
CDS部署的內容篩選器需要經過嚴格的安全評估,以確保它們可以緩解基于內容的威脅,并且無法繞過。
活動、惡意和可疑內容
許多文件是可執行的,如果由用戶執行,則可能有害。許多文件類型規范允許將活動內容嵌入到文件中,這會增加攻擊面。可疑內容的定義將取決于系統的安全風險狀況以及被視為正常系統行為的內容。
所有可疑、惡意和活動內容均被阻止進入安全域。
任何被內容篩選過程標識為可疑的數據都會被阻止,直到發起方以外的受信任源進行審查并批準傳輸。
自動動態分析
分析沙盒中的電子郵件和 Web 內容是檢測可疑行為(包括網絡流量、新文件或已修改文件或其他配置更改)的高效策略。
進入安全域的電子郵件和Web 內容會自動在動態惡意軟件分析沙箱中運行,以檢測可疑行為。
內容驗證
內容驗證旨在確保收到的內容符合批準的標準。例如,內容驗證可用于識別格式錯誤的內容,從而允許阻止潛在的惡意內容。
內容驗證的示例包括:
1.確保數字字段僅包含數字
2.確保內容落在可接受的長度范圍內
3.確保將可擴展標記語言(XML)文檔與嚴格定義的XML架構進行比較。
對通過內容篩選器的所有數據執行內容驗證,這些內容未通過內容驗證被阻止。
內容轉換和轉換
內容轉換或轉換可能是通過將表示格式與數據分開來使潛在的惡意內容無害的有效方法。通過將文件轉換為其他格式,可以刪除或中斷漏洞利用、活動內容和/或有效負載。
用于緩解內容利用威脅的內容轉換和轉換示例包括:
1.將 Microsoft word文檔轉換為可移植文檔格式 (PDF) 文件
2.將 Microsoft PowerPoint演示文稿轉換為一系列圖像文件
3.將 Microsoft Excel電子表格轉換為逗號分隔值文件
4.將 PDF 文檔轉換為純文本文件。
某些文件類型(如 XML)不會從轉換中受益。將轉換過程應用于其他文件中包含的任何附件或文件(例如,存檔文件或嵌入XML中的編碼文件)可以提高內容過濾器的有效性。
對通過安全域邊界的所有入口或出口數據執行內容轉換。
內容清理
清理是嘗試通過刪除或更改活動內容,同時盡可能保持原始內容不變,使潛在惡意內容安全使用的過程。清理不如轉換那樣安全,盡管可以結合使用許多技術。檢查和過濾無關的應用程序和協議數據(包括元數據)將有助于減輕內容利用的威脅。示例包括:
1.刪除 Microsoft office文檔中的文檔屬性
2.從 PDF 文件中刪除或重命名JavaScript 部分
3.從圖像文件中刪除元數據。
如果內容轉換不適用于傳輸安全域邊界的數據,則會對合適的文件類型執行內容清理。
防病毒掃描
防病毒掃描用于防止、檢測和刪除惡意代碼,包括計算機病毒、蠕蟲、特洛伊木馬、間諜軟件和廣告軟件。
使用多個不同的掃描引擎對所有內容執行防病毒掃描。
存檔和容器文件
如果內容篩選器未正確處理文件類型和嵌入內容,則存檔和容器文件可用于繞過內容篩選過程。確保內容篩選過程識別存檔文件和容器文件將確保它們包含的嵌入文件受到與未存檔文件相同的內容篩選措施的約束。
存檔文件的構造方式可能會因處理器、內存或磁盤空間耗盡而造成拒絕服務安全風險。為了限制此類攻擊的可能性,內容篩選器可以在提取這些文件時指定資源約束/配額。如果超出這些約束,則將終止檢查,阻止內容,并向安全管理員發出警報。
從存檔/容器文件中提取內容并進行內容篩選器檢查。
對存檔/容器文件執行受控檢查,以確保內容篩選器的性能或可用性不會受到負面影響。
無法檢查的文件將被阻止并生成警報或通知。
允許訪問特定內容類型
根據業務需求和風險評估結果創建和實施允許的內容類型列表是一種強大的內容篩選方法,可以減少系統的攻擊面。舉個簡單的例子,電子郵件內容篩選器可能只允許Microsoft Office 文檔和 PDF 文件。
實現允許的內容類型的列表。
數據完整性
確保到達安全域的內容的真實性和完整性是確保其可信度的關鍵組成部分。同樣重要的是,已授權從安全域發布的內容不得修改(例如,通過添加或替換數據)。如果通過篩選器的內容包含某種形式的完整性保護(如數字簽名),則內容篩選器需要在允許內容通過之前驗證內容的完整性。如果內容未通過這些完整性檢查,則可能已被欺騙或篡改,應將其刪除。
數據完整性檢查的示例包括:
1.電子郵件服務器或內容過濾器,用于驗證受域密鑰識別郵件保護的電子郵件
2.驗證簡單對象訪問協議請求中包含的 XML 數字簽名的 Web 服務
3.根據單獨提供的哈希驗證文件
4.檢查要從安全域導出的數據是否已由發布機構進行數字簽名。
在適用的情況下,將驗證內容的完整性,并在驗證失敗時阻止。
如果對數據進行了簽名,則會在導出數據之前驗證簽名。
加密數據
如果加密內容不能接受對未加密內容執行的相同檢查,則可以使用加密來繞過內容篩選。組織應考慮解密內容的必要性,具體取決于他們正在與之通信的安全域,以及是否需要強制實施需要知道的原則。
選擇不解密內容會帶來安全風險,即惡意代碼的加密通信和數據可能會在安全域之間移動。此外,加密可能會掩蓋較高分類的數據被允許傳遞到較低分類的安全域,這可能導致數據溢出。
如果存在保護加密數據機密性的業務需求,組織可以考慮使用專用系統,以允許通過外部、邊界或外圍控制對通過外部、邊界或外圍控制對加密的內容進行解密,在這種情況下,內容在解密后應受到所有適用的內容過濾控制。
所有加密的內容、流量和數據都將被解密和檢查,以允許內容過濾。
外圍交換機
使用外圍交換機
當通過外設交換機訪問不同的系統時,在交換機的操作中保持足夠的保證以確保數據不會在不同的安全域之間傳遞,這一點很重要。因此,外設交換機所需的保證級別取決于連接到交換機的系統的靈敏度或分類差異。
當所有連接的系統都屬于同一安全域時,不需要評估外設交換機。
在系統之間共享外設時,使用經過評估的外設交換機。
用于在SECRET和TOP SECRET系統之間,或在屬于不同安全域的SECRET或TOP SECRET系統之間共享外圍設備,評估外設交換機最好完成高保證評估。
用于在SECRET或TOP SECRET系統與任何非SECRET或TOP SECRET系統之間共享外圍設備的評估外設交換機可完成高保證評估。