网关充当网络层的数据流控制机制,也可以在开放系统互连 (OSI)模型的较高层控制数据。
本节介绍适用于所有网关的安全控制。还应根据部署的网关类型,参考这些准则的其他方面:
1.有关不同安全域之间的连接(其中至少有一个系统是SECRET或更高版本),请参阅这些准则的跨域解决方案部分。
2.有关用于控制双向网关中的数据流的设备,请参阅这些准则的防火墙部分。
在所有情况下,网关都假定所连接的安全域具有最高的敏感度或分类。
网关对于控制安全域之间的数据流并防止来自外部网络的未经授权的访问是必要的。鉴于网关在控制安全域之间的数据流方面至关重要,任何故障,特别是在较高级别的故障,都可能产生严重后果。因此,提醒人员注意可能导致网络安全事件的情况的强大机制对于网关尤其重要。
所有系统都受到一个或多个网关的保护,使其免受其他安全域中的系统的影响。
安全域之间的所有连接都实现了检查和过滤 OSI 模型中定义的传输层和更高层的数据流的机制。
网关:
1.是进出内部网络的唯一通信路径
2.仅允许明确授权的连接
3.通过与所有连接的网络隔离的安全路径进行管理(物理上位于网关或专用管理网络上)
4.记录对其组件的所有物理和逻辑访问
5.配置为将日志保存到安全日志记录工具
6.测试所有安全控件,以在对其配置进行任何更改后验证其有效性。
网关实现入口流量筛选,以检测和防止互联网协议(IP)源地址欺骗。
为网关实施日志记录和警报功能有助于检测网络安全事件、入侵企图和异常使用模式。此外,将事件日志存储在安全日志记录工具上会增加攻击者删除日志记录数据的难度,以销毁目标网络入侵的证据。
所有连接不同安全域中网络的网关都经过操作,以便它们:
记录允许通过网关的网络流量
记录尝试离开网关的网络流量
配置为将事件日志保存到安全日志记录工具
为任何网络安全事件、入侵企图和异常使用模式提供实时警报。
非军事区用于防止直接访问内部网络上的数据和服务。需要从互联网访问某些数据和服务的组织可以将它们放置在不太受信任的非军事区,而不是内部网络。
非军事区域用于代理访问外部实体访问的服务,并应用机制来调解内部和外部对这些非军事区域中托管的不太受信任的服务的访问。
在网关上测试安全控制有助于通过确定安全控制的有效性来了解其安全状况。对手可能知道定期测试活动。因此,以不规则的时间间隔执行测试将降低对手利用常规测试活动的可能性。
网关经过严格的测试,每隔不超过六个月的时间间隔进行一次,以确定安全控制的强度。
应尽量减少管理员权限,并应将角色分开(例如,单独的网络管理员和安全策略配置角色),以最大限度地降低具有网关特权访问权限的恶意用户带来的安全风险。
为系统管理员提供正式培训将确保他们充分了解并接受他们在网关管理方面的角色和责任。正式培训可以通过商业提供者进行,也可以只是通过标准作业程序或受正式协议约束的参考文件进行。
已连接安全域的最高安全域的系统所有者负责保护最敏感的数据,因此最适合管理网关的任何共享组件。但是,如果来自不同组织的多个安全域连接到网关,则让合格的第三方代表所有连接的组织管理网关可能更合适。
对网关管理功能的访问仅限于安全支持网关的最低角色和特权。
系统管理员经过正式培训,可以管理网关。
网关的所有系统管理员都将被清除,以访问网关通信或处理的最高级别的数据。
处理"仅限澳大利亚眼睛"或"仅限澳大利亚政府访问"数据的网关的所有系统管理员都是澳大利亚国民。
用于管理网关的角色是分开的。
对于不同安全域中的网络之间的网关,存在一种正式的安排,即任何共享组件都由最高安全域的系统管理员或相互商定的第三方管理。
由于对连接到网关的安全域的更改可能会影响其他已连接安全域的安全状态,因此系统所有者应正式同意成为他们通过网关连接到的其他安全域中的活动利益干系人。
建立连接后,系统所有者将成为所有连接的安全域的利益干系人。
确保用户和服务通过网关的身份验证可以降低未经授权的访问的可能性,并提供审计功能来支持网络安全事件的调查。
通过网关访问网络的用户和服务经过身份验证。
只有经过身份验证和授权给网关的用户和服务才能使用该网关。
多重身份验证用于访问网关。
对通过网关接入的网络进行ICT设备认证有助于防止未经授权的ICT设备连接到网络。例如,通过使用 802.1X。
通过网关接入网络的ICT设备经过认证。
跨域解决方案 (CDS) 是一个系统,包含为减轻在安全域之间访问或传输数据的特定安全风险而定制的安全实施功能。CDS可以是集成的装置,或者更常见的是,由离散技术或子系统组成,每个子系统由硬件和/或软件组件组成。
本节介绍适用于 CDS 的安全控制,并在先前的网关部分中扩展了同样适用的安全控制。此外,数据传输指南也适用于 CDS。最后,应根据部署的特定 CDS 类型,参考这些指南的其他部分。
这些准则定义了两种逻辑类型的 CDS:传输 CDS 和访问 CDS。这些逻辑定义与供应商和系统集成商描述和销售 CDS 的方式更为一致。供应商还可以提供组合的访问和传输解决方案。
无论逻辑配置如何,每个 CDS 中的基础机制都将由从低到高的数据传输路径和/或从高到低的数据传输路径组成。然后应用数据过滤和其他安全控制来缓解适用于系统操作环境的威胁,包括特定的数据路径和业务案例。
传输 CDS 有助于在不同安全域之间以一个(单向)或多个(双向)方向传输数据。
访问 CDS 使用户能够从单个设备访问多个安全域。从概念上讲,Access CDS 允许与不同安全域(如"虚拟桌面")中的一个或多个系统进行远程交互,并且不允许用户在安全域之间移动数据。
在所有情况下,网关或 CDS 都假定所连接的安全域具有最高的敏感度或分类。
通过简单网关将 SECRET 和 TOP SECRET网络连接到不同安全域中的任何其他网络存在重大安全风险。
将 SECRET 或 TOP SECRET 网络从不同的安全域连接到任何其他网络时,将实现CDS。
CDS的安全部署和管理可能很复杂,因此,网络受损的可能性会增加。安全 CDS 实现可确保所涉及的每个安全域的安全策略在域之间连接的所有物理层和逻辑层中以可靠的方式得到维护。
在设计和部署CDS时,会通知并咨询ACSC;并遵守ACSC提供的指示。
在引入与 CDS 的其他连接时,例如向公共网络添加新网关时,将就 CDS 安全性的影响咨询 ACSC;并遵守ACSC提供的指示。
CDS 应实现强大的安全实施功能,包括内容过滤和隔离路径,以确保数据流得到适当控制。
CDS实现隔离的向上和向下网络路径。
CDS在 OSI 模型的每一层实现协议中断。
CDS实现内容过滤,并为向上和向下的数据流分离独立的安全实施组件。
除了"系统监视指南"的事件日志记录和审核部分中列出的安全控制之外,CDS 还应具有全面的日志记录功能,以便为用户执行的所有操作建立问责制。有效的日志记录做法可以增加发现未经授权的行为的可能性。
由于 CDS 提供的数据导入和导出功能至关重要,组织应根据CDS 已部署的安全策略定期评估 CDS 数据传输策略的性能。
CDS生成的所有与安全相关的事件都会被记录并定期进行分析。
至少每 3 个月采集一次 CDS 生成的与数据传输策略实施相关的安全事件的代表性示例,并根据 CDS 负责在安全域之间实施的安全策略进行评估。
用户知道如何安全地使用 CDS 非常重要。这可以通过授予访问权限之前的培训来实现,并通过登录横幅和意识消息来加强。
在授予对 CDS 的访问权限之前,用户将接受有关安全使用CDS 的培训。
当一个组织连接到另一个组织时,两个组织都应在其网关环境中实施防火墙,以保护自己免受来自其环境外部的入侵。在共享网络基础结构仅用作传输介质并使用链路加密的特定情况下,此要求可能不是必需的。
在组织的网络和公共网络基础结构之间使用经过评估的防火墙。
在属于不同安全域的网络之间使用已评估的防火墙。
使用防火墙作为网关基础设施一部分的要求由双方独立满足;共享ICT设备不能满足双方的要求。
二极管强制执行网络流量的单向流,因此需要为传入和传出数据提供单独的路径。这使得对手更难使用相同的路径来发起有针对性的网络入侵并在之后泄露数据。
评估的二极管用于控制组织网络和公共网络基础设施之间单向网关的数据流。
用于控制 SECRET 或 TOP SECRET 网络与公共网络基础设施之间单向网关数据流的评估二极管完成了高保证评估。
评估的二极管用于控制网络之间单向网关的数据流。
用于控制SECRET或TOP SECRET网络与任何其他网络之间单向网关数据流的评估二极管完成高保证评估。
监控通过二极管传输的数据量,确保其符合预期。如果数据量突然偏离常态,它还可以提醒组织潜在的恶意活动。
部署用于控制单向网关中数据流的二极管(或连接到二极管的服务器)监视正在传输的数据量。
如果组织允许用户访问 Web,则应定义授予的访问范围。这可以通过Web使用政策和用户教育来实现。
制定并实施了 Web 使用策略。
Web 代理是执行 Web 使用策略和防止网络安全事件的关键组件。
所有 Web 访问(包括内部服务器访问)都通过 Web 代理进行。
在响应网络安全事件和用户违反 Web 使用策略时,全面的 Web 代理日志是宝贵的资产。
Web 代理对用户进行身份验证,并提供日志记录,其中包括有关所访问网站的以下详细信息:
地址(统一资源定位器)
时间/日期
用户
上传和下载的数据量
内部和外部 IP 地址。
有效的 Web 内容筛选器可大大降低用户访问恶意代码感染或其他不当内容的可能性。如果Web 内容筛选器部署在组织的网络上,则还可以中断或阻止对手与其恶意代码进行通信。
Web 内容筛选器执行的某些形式的内容筛选与其他类型的内容筛选器执行的内容筛选形式相同,而其他形式的内容筛选特定于 Web 内容筛选器。
Web内容筛选器用于筛选可能有害的基于 Web 的内容。
客户端活动内容(如JAVA)仅限于允许的网站列表。
Web内容筛选控件在适当的情况下应用于出站 Web 流量。
由于通过超文本传输协议传输安全连接传输的传输层安全性 (TLS)Web 流量无需任何过滤即可交付内容,因此组织可以通过使用 TLS 检查来降低此安全风险。
对于通过互联网网关通信的TLS 流量,将实施以下任一方法:
根据内容过滤安全控制解密和检查所有TLS流量的解决方案
允许加密连接的网站列表,所有其他TLS流量都根据内容过滤安全控制进行解密和检查。
由于加密的TLS流量可能包含个人信息,建议组织就检查此类流量是否可能违反1988年隐私法寻求法律建议。
就互联网网关检查TLS流量寻求法律意见。
定义允许的网站列表并阻止所有其他网站可有效删除对手使用的最常见的数据传输和渗透技术之一。但是,如果用户有访问大量网站的合法要求,或者网站列表快速变化,组织应考虑此类实施的成本。
即使是相对宽松的允许网站列表,也比依赖已知恶意网站列表提供更好的安全性,或者根本没有限制,同时仍然降低了实施成本。
使用域名或 IP 地址为所有超文本传输协议和超文本传输协议 实现允许的网站列表 通过 Inte.NET 网关通信的安全流量。
如果未实现允许的网站列表,则改为实现允许的网站类别列表。
可以阻止由于其内容或恶意内容的托管而被视为不适当的网站集合,以防止它们被访问。
有针对性的网络入侵通常使用动态或其他域名,其中域名由于缺乏归属而可以免费匿名注册。
如果未实现允许的网站列表,则改为实现阻止的网站列表。
如果实施了被阻止的网站列表,则该列表将每天更新以确保其仍然有效。
阻止尝试通过其IP 地址而不是通过其域名访问网站。
动态域名和其他域名可以免费匿名注册的域名将被阻止。
内容筛选器通过根据定义的安全策略评估数据,降低了未经授权或恶意内容通过安全域边界的可能性。以下技术可以帮助评估数据是否适合传输安全域边界。
技术 |
目的 |
防病毒扫描 |
扫描数据以查找病毒和其他恶意代码。 |
自动动态分析 |
在将电子邮件和 Web 内容交付给用户之前,先分析沙盒中的电子邮件和 Web 内容。 |
数据格式检查 |
检查数据以确保其符合预期和允许的格式。 |
数据范围检查 |
检查每个字段中的数据,以确保其落在预期和允许的范围内。 |
数据类型检查 |
检查每个文件头以确定实际的文件类型。 |
文件扩展名检查 |
检查文件扩展名以确定假定的文件类型。 |
关键字搜索 |
在数据中搜索关键字或“脏词”,这些关键字或“脏词”可能表明存在不适当或不需要的材料。 |
元数据检查 |
检查文件中在发布之前应删除的元数据。 |
保护性标记检查 |
验证数据的保护性标记,以确保其正确无误。 |
手动检查 |
手动检查数据以查找自动化系统可能遗漏的可疑内容,这对于传输多媒体或内容丰富的文件尤其重要。 |
根据文件规范进行验证 |
验证文件是否符合定义的文件规范,以及后续内容筛选器是否可以有效地处理该文件。 |
实施无法绕过的有效内容筛选器可降低恶意内容成功传递到安全域的可能性。只有当考虑到组织的业务流程和威胁环境,选择并适当配置合适的组件时,内容过滤才有效。此外,当内容筛选器作为CDS的一个组件实现时,其保证要求需要严格的安全测试。
将数据导入安全域时,数据由为此目的设计的内容筛选器进行筛选。
CDS部署的内容筛选器需要经过严格的安全评估,以确保它们可以缓解基于内容的威胁,并且无法绕过。
许多文件是可执行的,如果由用户执行,则可能有害。许多文件类型规范允许将活动内容嵌入到文件中,这会增加攻击面。可疑内容的定义将取决于系统的安全风险状况以及被视为正常系统行为的内容。
所有可疑、恶意和活动内容均被阻止进入安全域。
任何被内容筛选过程标识为可疑的数据都会被阻止,直到发起方以外的受信任源进行审查并批准传输。
分析沙盒中的电子邮件和 Web 内容是检测可疑行为(包括网络流量、新文件或已修改文件或其他配置更改)的高效策略。
进入安全域的电子邮件和Web 内容会自动在动态恶意软件分析沙箱中运行,以检测可疑行为。
内容验证旨在确保收到的内容符合批准的标准。例如,内容验证可用于识别格式错误的内容,从而允许阻止潜在的恶意内容。
内容验证的示例包括:
1.确保数字字段仅包含数字
2.确保内容落在可接受的长度范围内
3.确保将可扩展标记语言(XML)文档与严格定义的XML架构进行比较。
对通过内容筛选器的所有数据执行内容验证,这些内容未通过内容验证被阻止。
内容转换或转换可能是通过将表示格式与数据分开来使潜在的恶意内容无害的有效方法。通过将文件转换为其他格式,可以删除或中断漏洞利用、活动内容和/或有效负载。
用于缓解内容利用威胁的内容转换和转换示例包括:
1.将 Microsoft word文档转换为可移植文档格式 (PDF) 文件
2.将 Microsoft PowerPoint演示文稿转换为一系列图像文件
3.将 Microsoft Excel电子表格转换为逗号分隔值文件
4.将 PDF 文档转换为纯文本文件。
某些文件类型(如 XML)不会从转换中受益。将转换过程应用于其他文件中包含的任何附件或文件(例如,存档文件或嵌入XML中的编码文件)可以提高内容过滤器的有效性。
对通过安全域边界的所有入口或出口数据执行内容转换。
清理是尝试通过删除或更改活动内容,同时尽可能保持原始内容不变,使潜在恶意内容安全使用的过程。清理不如转换那样安全,尽管可以结合使用许多技术。检查和过滤无关的应用程序和协议数据(包括元数据)将有助于减轻内容利用的威胁。示例包括:
1.删除 Microsoft office文档中的文档属性
2.从 PDF 文件中删除或重命名JavaScript 部分
3.从图像文件中删除元数据。
如果内容转换不适用于传输安全域边界的数据,则会对合适的文件类型执行内容清理。
防病毒扫描用于防止、检测和删除恶意代码,包括计算机病毒、蠕虫、特洛伊木马、间谍软件和广告软件。
使用多个不同的扫描引擎对所有内容执行防病毒扫描。
如果内容筛选器未正确处理文件类型和嵌入内容,则存档和容器文件可用于绕过内容筛选过程。确保内容筛选过程识别存档文件和容器文件将确保它们包含的嵌入文件受到与未存档文件相同的内容筛选措施的约束。
存档文件的构造方式可能会因处理器、内存或磁盘空间耗尽而造成拒绝服务安全风险。为了限制此类攻击的可能性,内容筛选器可以在提取这些文件时指定资源约束/配额。如果超出这些约束,则将终止检查,阻止内容,并向安全管理员发出警报。
从存档/容器文件中提取内容并进行内容筛选器检查。
对存档/容器文件执行受控检查,以确保内容筛选器的性能或可用性不会受到负面影响。
无法检查的文件将被阻止并生成警报或通知。
根据业务需求和风险评估结果创建和实施允许的内容类型列表是一种强大的内容筛选方法,可以减少系统的攻击面。举个简单的例子,电子邮件内容筛选器可能只允许Microsoft Office 文档和 PDF 文件。
实现允许的内容类型的列表。
确保到达安全域的内容的真实性和完整性是确保其可信度的关键组成部分。同样重要的是,已授权从安全域发布的内容不得修改(例如,通过添加或替换数据)。如果通过筛选器的内容包含某种形式的完整性保护(如数字签名),则内容筛选器需要在允许内容通过之前验证内容的完整性。如果内容未通过这些完整性检查,则可能已被欺骗或篡改,应将其删除。
数据完整性检查的示例包括:
1.电子邮件服务器或内容过滤器,用于验证受域密钥识别邮件保护的电子邮件
2.验证简单对象访问协议请求中包含的 XML 数字签名的 Web 服务
3.根据单独提供的哈希验证文件
4.检查要从安全域导出的数据是否已由发布机构进行数字签名。
在适用的情况下,将验证内容的完整性,并在验证失败时阻止。
如果对数据进行了签名,则会在导出数据之前验证签名。
如果加密内容不能接受对未加密内容执行的相同检查,则可以使用加密来绕过内容筛选。组织应考虑解密内容的必要性,具体取决于他们正在与之通信的安全域,以及是否需要强制实施需要知道的原则。
选择不解密内容会带来安全风险,即恶意代码的加密通信和数据可能会在安全域之间移动。此外,加密可能会掩盖较高分类的数据被允许传递到较低分类的安全域,这可能导致数据溢出。
如果存在保护加密数据机密性的业务需求,组织可以考虑使用专用系统,以允许通过外部、边界或外围控制对通过外部、边界或外围控制对加密的内容进行解密,在这种情况下,内容在解密后应受到所有适用的内容过滤控制。
所有加密的内容、流量和数据都将被解密和检查,以允许内容过滤。
当通过外设交换机访问不同的系统时,在交换机的操作中保持足够的保证以确保数据不会在不同的安全域之间传递,这一点很重要。因此,外设交换机所需的保证级别取决于连接到交换机的系统的灵敏度或分类差异。
当所有连接的系统都属于同一安全域时,不需要评估外设交换机。
在系统之间共享外设时,使用经过评估的外设交换机。
用于在SECRET和TOP SECRET系统之间,或在属于不同安全域的SECRET或TOP SECRET系统之间共享外围设备,评估外设交换机最好完成高保证评估。
用于在SECRET或TOP SECRET系统与任何非SECRET或TOP SECRET系统之间共享外围设备的评估外设交换机可完成高保证评估。