세 가지 주요 시스템: 보호 시스템, 모니터링 시스템, 신뢰 시스템.
둘째, "꽃병 모드 V3.0" 의 기원
1, 꽃병 모델 (V2.0) 은 시간 차원에서 정보 보안 아키텍처를 해석하고, 보안 이벤트를 주선으로 하며, 보안 이벤트 발생 과정에서 적절한 보안 조치를 제공합니다. 발생 전 보호 정책 배포, 발생 시 예외 및 비상 처리 모니터링, 발생 후 감사 포렌식 및 업그레이드 조정, 재활용 가능한 동적 보안 시스템입니다.
2. 공간 차원에서 네트워크는 외부와 내부로, 내부는 서비스 영역과 사용자 영역으로, 서비스는 서비스 제공 영역과 유지 관리 영역으로 구분됩니다. 보안 아키텍처의 목표는 외부 "침입 및 공격" 과 내부 "의도적이고 의도하지 않은 파괴" 를 방지하는 것입니다. 보안 아키텍처는 경계 보호, 인트라넷 모니터링 및 내부 인력 신뢰 관리에 해당하는 "보호-모니터링-신뢰" 의 세 가지 시스템으로 나뉩니다. 우리는 이것을 "꽃병 모델 V3.0" 이라고 부릅니다.
셋째, 세 가지 시스템의 구체적인 해석
1, 시스템 보호:
외부 공격과 침입에 저항하는 것은 네트워크 보안의 기본 보증선이며, 보호 체계는 네트워크 경계 방어선을 구축하는 것이다. 보호의 초점은 네트워크의 "경계", 즉 네트워크에 드나드는 교차점에 있으며, 일반적으로 다음과 같은 곳이 있습니다.
(1) 네트워크 출입구: 일반적으로 LAN 과 WAN 의 인터페이스이며, 일반적으로 인터넷 출구이며 외부 침입 채널이자 DDOS 와 같은 외부 공격의 일반적인 대상입니다.
(2) 터미널: 사용자가 네트워크 리소스에 액세스하는 입구이자 바이러스, 트로이 목마가 전파되는 모임 장소입니다.
(3) 서버: 일반인은 어플리케이션을 통해서만 서버에 액세스할 수 있고, 유지 관리 담당자는 서버, 특히 대형 서버 장치에 직접 액세스할 수 있습니다. 제조업체는 원격 관리 및 유지 관리를 제공하며, 어떤' 오작동' 과' 호기심' 도' 재난' 의 확산점이 될 수 있다. 물론 고급 해커들이 자주 찾는 곳이자 외부 공격의 흔한 목표 중 하나다.
(4) 데이터 교환 구역: 네트워크를 효과적으로 격리하기 위해 전용 네트워크 간 데이터 전환 구역을 구축하고 네트워크 상호 연결의' 트래픽 정화 풀' 이 되는 것은 물론 침입자' 쇼' 기술의 장소이기도 하다.
(5) 보안 하위 도메인 경계: 대형 네트워크를 작은 블록 (일반적인 보안 도메인 "3+ 1" 구분 모드: 서비스 도메인, 코어 도메인, 액세스 도메인, 관리 도메인) 으로 나누고 하위 도메인 경계에 "보안 문" 을 설치하면 하나를 피할 수 있습니다
이 다섯 가지' 국경점' 의 방호체계 배치 중점은' 5 면' 이라고 불린다.
보호 시스템의 주요 업무는 보안 정책에 따라 적절한 보안 조치를 배포하는 것입니다. 경계는 일반적으로 네트워크 인터페이스이므로 네트워크 계층에는 FW/IPS/AV/UTM/VPN/ 스팸/게이트웨이 등과 같은 많은 보안 조치가 있습니다. , 그리고 WAF/ 안티 DDOS 등. 웹 서비스를 시작하기 전에 일반적으로 흐름 제어/흐름 압축 등의 장치를 선택하여 서비스를 최적화합니다. 네트워크 보호와 함께 터미널과 서버에는 안티바이러스, 트로이 방지 등의 기본 보안 소프트웨어가 필요합니다. 또한 터미널 및 서버의 패치 관리 (시스템 및 애플리케이션), 바이러스 라이브러리 및 공격 라이브러리의 적시 업그레이드는 자체 면역력을 제공하는 데 필수적인 보호 시스템입니다.
2. 모니터링 시스템:
모니터링 시스템의 임무는 예외를 발견하고,' 검은 손', 전체 경보를 찾아내며, 디바이스 상태에서 네트워크 트래픽까지, 서비스에서 사용자 행동에 이르는 다양한' 의심스러운' 점을 적시에 처리하는 것이다. 모니터링 시스템의 목표는 네트워크를 제어할 수 있게 하는 것이고, 통제할 수 있게 하는 것은 안전보증이다.
모니터링의 특징은 점이 가늘수록 범위가 좋다는 것이다. 안전감시에는 여러 가지 수준이 있는데, 우리는 일반적으로' 선중심, 후변, 우선 중점, 후일반' 전략을 채택한다. 구체적인 모니터링 내용은 다음과 같습니다.
(1) 침입 모니터링: 해커, 트로이 목마, 웜, 바이러스가 보안 모니터링의 초점입니다. 그들의 특징은' 살아있는 특징' 으로, 전파 단계에서 발견할 수 있고 폭발하지 않는다. 네트워크 계층의 모니터링 시스템은 네트워크의 핵심 및 컨버전스에 구축되어야 하며 서버와 터미널 호스트, 특히 애플리케이션 및 암호화 채널에 숨겨진 침입을 모니터링해야 합니다. 네트워크 IDS 와 호스트 IDS 는 서로 협력하는 모니터링 시스템이므로 분리할 수 없습니다.
(2) 이상 감시:' 파괴' 와' 절도' 를 적시에 발견하는 것은 손실을 줄이기 위한 전제 조건이다. 여기서' 이상' 은 두 가지 표현이 있다. 하나는 방문하지 않을 사이트에 대한 연결을 설정하는 것과 같이 일반적인 논리에 맞지 않는 동작이다. 이것은 트로이 목마가' 집으로 돌아가는' 동작일 수 있다. 너는 인터넷 앱은 없지만, 네트워크 카드는 바쁘다. 아마도 벌레 한 마리가 터졌을 것이다. 둘째, 이전과 동등한 조건 하에서의 성과와는 다르다. 예를 들어 퇴근 시간에는 핵심 데이터베이스에 대한 갑작스러운 방문이 있고, 휴식 시간에는 인터넷 트래픽이 갑자기 증가한다. 변칙은 종종 파괴적인 행동의 시작이다. 빨리 발견할수록 손실은 작아진다.
(3) 상태 모니터링: 네트워크는 IT 정보 시스템의 호스트이며, 네트워크 장비의 정상적인 작동은 정상적인 비즈니스 서비스를 보장합니다. 알아야 할 상태 정보에는 네트워크 장치 상태, 서버 상태, 터미널 상태 및 CPU 사용률, 프로세스의 생사, 남은 하드 디스크 공간 등과 같은 동적 정보가 포함됩니다.
(4) 트래픽 모니터링: 네트워크는 정보 흐름이며, 트래픽의 동적 변화는 종종 네트워크 보안 상태의 청우계입니다. 네트워크 코어에서 집계에 이르는 트래픽 분포를 적시에 표시할 수 있다면 비즈니스 배포 관리의 중요한 토대이기도 하며, 도시 교통 관리와 비슷하다. 교통 견인은 혼잡을 피하는 중요한 수단이다. 트래픽은 인터넷의 공안과 같다. 물론, 공격과 파괴는 종종 교통 체증 제조로 시작된다.
(5) 행동 모니터링: 이 요구 사항은 주로 기밀 정보의 보안 요구 사항을 대상으로 하며, 대부분 내부 직원이 훔치거나 "의도하지 않은" 손실입니다. 정보 유출은 보호의 중점이며 불법 홍보, 모바일 미디어 사용 모니터링 등의 조치가 필요합니다. 네트워크 데이터는 전자적이며 복사, 인쇄, 메일 전송 시 유출될 수 있으므로 터미널과 서버의 다양한 외부 인터페이스 동작을 모니터링해야 합니다.
이러한 다섯 가지 행동과 상태에 대한 모니터링은 모니터링 시스템의 초점이며, 이를 "5 개의 제어점" 이라고 합니다.
모니터링 시스템은 네트워크의 "비디오 감시" 시스템으로, "예외" 를 적시에 발견하고 적시에 조정하기 위해서뿐만 아니라 보안 이벤트를 처리할 때도 네트워크 보안 상태를 비상 스케줄링 플랫폼으로 반영할 수 있습니다.
3. 신뢰 시스템:
신뢰 체계의 핵심은 각 사용자의 권한을 정의하여 네트워크에서 다양한 행동을 제한하는 것이다. 권한을 초월하는 행위는' 위법' 행위에 속한다. 신뢰 시스템은' 양민' 을 마주하고 있기 때문에 인터넷 차원의 통제 조치는 일반적으로 하기 어렵고, 더 많은 것은 업무 응용 시스템의 보안 구조에 깊이 파고드는 것이다. 현재의 업무 시스템이 점점 커지기 때문에, 왕왕 네가 한 응용 프로그램의 일부 기능에 액세스하는 것을 제한할 수 있기 때문이다. 후자의 시스템에 대한 일부 데이터는 액세스를 제한하지 않고 액세스 할 수있는 서버 비즈니스 시스템을 제어하는 것입니다.
신뢰 체계의 출발점은 단말기가 아니라 사용자이며, 휴대폰과는 다르다. 따라서 사용자를 다음 범주로 나누겠습니다.
(1) 일반 사용자: 네트워크의 일반 사용자는 비즈니스 서비스가 제공하는 채널을 통해서만 액세스할 수 있으며, 그 동작은 비교적 쉽게 제어할 수 있습니다. 주로 터미널의 보안 관리이며, 사용자가 많기 때문에 복잡합니다.
(2) 특별 사용자: 리더십의 특수한 요구 사항 또는 비즈니스 유연성에 맞게 구성된 임시 워크그룹 (SOA 아키텍처 모델로 나타나는 경우가 많음). 그들은 부서 간 서비스 간 업무로 많은 네트워크를 통해 통제해야 한다. 그들에게 방화벽과 같은 보안 시스템은 "합리적인" 침투이며, 보안 시스템은 권한 정의에 취약합니다.
(3) 시스템 관리자: 비즈니스 액세스 채널에서 비즈니스 서버에 액세스할 수 있을 뿐만 아니라 서버 또는 다양한 보안 장치에 직접 로그인하여 계정을 설정하고 권한을 변경할 수 있는 특별한 권한을 가진 시스템의 특수 사용자입니다.
(4) 제 3 자 유지 관리 직원: 이것은 무시할 수 없는 집단으로, IT 시스템이 복잡하고 기술 함량이 높다. 제조업체와 개발자의 유지 관리는 불가피합니다. 많은 업무 시스템은 인터넷에서 사용할 때 개발되고 조정되었다. 일반적으로 시스템 관리자의 권한이나 더 높은 권한 (예: 공급업체 뒷문, 시스템 디버그 코드 등) 을 쉽게 얻을 수 있습니다. ). 그들의 온라인 오작동은 전체 시스템의 재난을 초래할 수 있으며, 그들은 기밀 데이터를 엿보기 위한 많은 기회와 시간을 가지고 있다.
신뢰 시스템은 사용자 로그인, 액세스 제어 및 동작 감사의 세 가지 프로세스로 구성된 프로세스 관리입니다. 사용자가 로그인할 때 id 인증을 위해 id 인증이 필요합니다. 액세스 제어에는 사용자의 권한과 액세스 권한이 있는지 확인해야 합니다. 행동 감사는 사용자의 행동이 요구 사항 및 규정을 충족하는지 확인하고, 최종적으로 검증-승인-포렌식 프로세스를 완료해야 합니다. 이를' 3 검증' 이라고 합니다.
넷째, 정보 보안 아키텍처 꽃병의 역할
사이버 공간 분석에서 보안 아키텍처는 보호, 모니터링 및 신뢰의 세 가지 주요 시스템으로 나뉩니다. 보호 시스템은 5 개의 경계로 나뉘어 있고, 모니터링 시스템에는 5 개의 제어 지점이 있으며, 신뢰 시스템은 3 개의 인증 프로세스로 나뉩니다.
세 시스템은 보안에 대한 관심이 다르고 사용하는 기술도 다르다. 대부분의 네트워크는 경계 보호에 더 많은 관심을 기울이고, 대부분의 신뢰 시스템은 네트워크 로그인의 인증 수준에 머물러 있습니다. 어플리케이션과의 결합 및 라이센스 관리는 모두 초기 단계에 있습니다. 모니터링 시스템은 장기적이고 지속적인 작업이지만 효과를 보는 것은 쉽지 않다. 그러나 사이버 재해가 증가함에 따라 전체 네트워크 모니터링 시스템이 점차 인식되고 있습니다.
꽃병 모드는 이 세 시스템의 상호 협력을 반영하는 보안 프레임워크를 제공합니다. 가상적이고 어디에나 있는 인터넷' 세계' 에서 안전하고 조화로운' 생활환경' 을 세우는 것은 현실 사회만큼이나 중요하다.