保障网络安全:全面策略与实施指南
1. 网络分类与风险考量
在进行网络安全规划时,我们会逐渐意识到可能遗漏某些类型的安全需求。若未发现缺失,可能是未充分考虑系统的安全需求。网络分类方案主要受两方面因素驱动:
- 通信模式:若一台计算机无需以特定方式与另一台计算机通信,则不应被允许这样做。
- 敏感度管理:不同敏感度的计算机应采用不同的管理方式,确保一台计算机被攻破时,其他计算机不受影响。
常见的错误是未将数据库服务器与应用服务器分开考虑。使用正确编写的数据库中间件(仅调用数据库中公开的存储过程并使用最小权限)时,应用服务器的敏感度通常低于数据库服务器。对数据库服务器的无限制访问意味着可以完全访问其上的所有数据,而对应用服务器的无限制访问则仅能访问数据库提供的数据。
在网络威胁建模过程中,我们假设对特定计算机的访问级别没有差异,或者这种差异与该过程无关。尽管Windows有一定的隔离机制防止普通用户完全控制计算机,但为简化模型,我们采用最坏情况假设,即基于攻击者完全控制计算机后可能的行为来设计隔离技术。例如,若攻击者控制了协作服务器,其对数据库服务器的访问权限取决于网络管理方式(哪些用户登录协作服务器)以及两者之间允许的流量。
若分类方案无法准确反映网络现状或预期,可采取两种解决方法:修改分类方案或改变假设。分类方案可能不适合风险管理策略,此时可调整方案以匹配策略;或者发现风险管理策略在理论上可行,但实际难以实施。这是验证策略实施可行性的机会,若没有风险管理策略,应借此机会制定。
2. 设计隔离策略
当拥有合理的网络威胁模型后,即可开始推导隔离策略。该策略主要基于已识别的通信模式,应在合理范围内尽可能严格。可通