1、第五章 集成的安全模式案例域名解析系统DNS集成安全示例中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证2 2本章将以某运营商域名解析系统(Domain Name System,DNS)集成整个安全生命周期为案例,对集成的整个环节进行介绍内容包括:符合性评估、风险评估、设计、实施、评测、监视、评审等。帮助更好的理解什么是集成的安全,以及实际环境中的运用。2摘要中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证3 3目录符合性评估风险评估集成与安全设计集成安全的实施安全运行监视安全评审安全提升中国信息安全认证中心中国信息安全认证中心信
2、息安全保障人员认证信息安全保障人员认证4 4某企业是一家电信运营商,在网络管理中心设立网络与信息安全领导小组,由网络管理中心领导层和各业务部门主管组成任务:构建一个域名解析DNS系统为该运营商管辖范围内用户提供域名解析服务,包括:小区宽带用户、专线用户、GPRS用户等处理能力需求为20万QPS(每秒查询率),并且要符合相关安全标准。案例介绍中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5 55.2 符合性评估根据信息系统安全等级保护定级指南将DNS系统安全保护等级定义为3.1需按照中华人民共和国通信行业标准第3.1级要求,包括:业务及应用安全,业务及应用系统安
3、全,设备安全,物理环境安全,灾难备份及恢复等内容。具体评测内容参考:中华人民共和国通信行业标准YD/T 22452011域名注册系统安全防护要求。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证6 6其他安全规范通用安全设备配置规范;安全域划分和边界整合技术要求;XX域名解析软件安全配置规范;工信部保201053号关于加强互联网域名系统安全保障工作的通知;YD/T 20522009域名系统安全防护要求;运营商集团关于加强互联网域名系统安全防护与维护工作的通知。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证7 75.3 风险评估风
4、险处理建议评估阶段资产信息确定DNS面临的安全风险分析:拒绝服务类数据篡改类隐私类其他类中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证8 85.3.1 拒绝服务类攻击DNS面临的安全风险分析:1.拒绝服务类攻击1.针对DNS的拒绝服务类攻击2.利用DNS的拒绝服务类攻击3.流量异常类拒绝服务类攻击4.缓冲区溢出类拒绝服务攻击2.数据篡改类攻击1.缓存中毒2.域名劫持3.中间人攻击(Man in the Middle Attack)中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证9 93.隐私类攻击4.域名安全事件1.百度域名被劫
5、持2.新浪DNS服务器出现域名无法解析故障3.某知名CDN服务商DNS故障4.CN域名遭攻击致大面积瘫痪5.境内所有通用顶级域遭DNS劫持中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证10105.3.5 资产信息确定1.环境与边界类别类别内容内容电源1)设备电源采用,独立专线电源,由机房总配电盘直接引入,与动力、照明器材或终端、复印机等机器分离;2)配置了不间断电源(UPS)以避免使用中停电造成数据丢失,或设备损坏;3)照明/动力(包括冷气/除尘/除湿机等)电源开头独立,不受电设备总电源开关控制;4)总电缆线路上配备空气保护开头和无熔丝开关等,以防止瞬间故障损
6、坏设备;5)配电箱置于机房内;6)配置了专门的地线。机房1)环境温度 1824;相对湿度 30%70%2)机房保持整洁,进入机房应更换拖鞋,定期进行全机房卫生清洁3)主机房地板采用高架防静电地板4)主机房天花板使用玻璃纤维。5)机房配置了专门的门禁系统,有专人进行值守维护空调、消防、照明1)机房配备了防静电手镯等防静电措施;2)机房配备充足的消防器材,并定期维护;3)机房安置监控摄像头、温感和烟感探测试器;4中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1111DNS系统逻辑边界中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1
7、2122.数据存储在管理服务器上的域名黑名单,用于对指定的域名进行封堵。域名黑名单数据以文本方式存在在数据库中,字段包括:IP段、域名类型、域名、请求类型、解析结果等。3.载体该DNS系统涉及的数据载体主要包括如下几类。(1)网络设备:路由器、交换机等,用于网络数据转发、路由等(2)传输载体:百兆网线、千兆光纤,用于数据传输、送达。(3)存储载体:服务器、数据库,用于数据的处理、存储、备份。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证13135.3.6 评估阶段在进行评估阶段时,以评估系统的环境与边界防护、数据安全、载体安全、管理办法等方面可能存在的风险点。
8、评估项评估项满足满足不满足不满足可能存在的风险可能存在的风险网 络 可靠性因网络中断导致业务异常网 络 可发展性业务发展收到网络瓶颈限制安 全 区域间防护未授权访问网 络 入侵防御来自网络的攻击入侵事性 能 监控网络设备运行达到负荷表5-5 环境与边界安全评估结果中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1414评估项评估项满足满足不满足不满足可能存在的风险可能存在的风险重 要 数据存储重要数据泄露重 要 数据防护网络攻击入侵表5-6 数据安全评估结果中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1515评估项评估项满足满
9、足不满足不满足可能存在的风险可能存在的风险系统版本及补丁存在缺陷或漏洞身份鉴别信息传输方式伪造源攻击,信息泄露访问控制未授权访问口令策略暴力破解攻击系统提供的服务恶意代码攻击表5-7 载体安全评估结果中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证16165.3.7 风险处理建议1.环境与边界处理建议1)安全区域防护2)边界防护2.数据安全处理建议1)数据数据存储安全存储安全2)访问访问控制控制3.载体载体安全处理建议安全处理建议1)身份鉴别信息传输方式身份鉴别信息传输方式2)访问访问控制控制3)口令口令策略策略4)系统系统提供的提供的服务服务中国信息安全认证中
10、心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证17175.4 集成与安全设计5.4.1 设计原则1.高可靠性原则2.高扩展性原则3.安全性原则4.符合性原则5.4.2 DNS系统安全目标第一,保障DNS系统自身的安全;第二,DNS服务的高可靠性、可用性、连续性;第三,为其他相关业务系统提供支持。“业务可用性、解析正确性、状态可视化”中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证18185.4.3 DNS安全体系模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证19195.4.4 网络架构中国信息安全认证中心中国
11、信息安全认证中心信息安全保障人员认证信息安全保障人员认证20205.4.5 系统部署1、业务系统部署业务系统部署 在新建的接入交换机下部署缓存、递归、授权子系统实现DNS业务需求。部署2台服务器,加载通过该运营商测试的软件来满足新建节点的缓存功能、安全防护、智能解析需求;部署2台服务器,加载通过该运营商测试的软件的来满足新建节点的授权功能需求;部署2台服务器,加载通过该运营商测试软件来满足新建节点的授权功能需求。2、网管、日志采集、第三方接口部署网管、日志采集、第三方接口部署 部署2台服务器作为采集服务器,1台服务器作为系统管理服务器,加载通过该运营商测试与DNS软件版本配套的管理软件来满足运
12、营商DNS系统的维护管理、数据采集分析需求。整合DNS网管监测统计系统,实时对域名请求、域名解析、解析成功率、解析时延、cache命中率等业务数据指标进行监控 该DNS系统全面支持数据上报、网络管控、域名备案、流量镜像等系统对接。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证21215.4.5 系统部署3、安全防护策略部署安全防护策略部署 部署4台防火墙设备,用于满足边界防护功能;部署2台流量清洗设备,用于清理来自互联网侧的异常流量;部署1台入侵检测设备,用于检测网络攻击入侵事件;部署1套进程监控系统,用于对服务器进程服务进行监控;部署1套防病毒系统,用与恶意
13、代码防护。4、智能解析策略部署智能解析策略部署 在管理服务器上部署智能软件,能够提供可配置的完善的域名解析结果定制策略,满足DNS系统的智能解析要求。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证22225.4.6 系统能力1.系统缓存功能2.安全防护功能3.网管统计4.接口扩展5.备份方案6.系统可靠性7.系统扩展性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证23231.系统缓存功能满足系统的缓存需求,功能描述如下。1.单个设备License配置的缓存处理能力为20万QPS,整系统40万QPS的处理能力;2.递归和缓存物理
14、分离,将超过95%的域名解析请求后直接响应返回,大大降低后台DNS递归服务器的系统压力;3.降低用户的域名解析平均响应时延,优化后的时延小于2ms;4.域名管控能力大幅提升:可以调整域名TTL值,可以控制特定域名的解析模式;5.缓存管控能力大幅提升:实现对缓存的控制管理,包括查询、删除、备份缓存内容、修改缓存节点资源的TTL值;6.提供缓存主动更新功能,优化了解析流程,减小了网外因素的影响,减少了ServFail量,较少了用户等待时间,提升了用户体验;中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证24242.安全防护功能通过部署在管理服务器上的安全模块,实现系
15、统的安全防护需求。实现的功能描述如下。1.能够对异常包进行过滤,并能够对IP非法、DNS非法查询包(长度异常、格式异常、内容异常)进行丢弃处理;2.监测防御各类常见的DNS DDoS攻击:a)DDoS反射攻击(入侵者伪造大量的源地址为“被攻击方”的DNS请求报文,DNS回复大量报文给“被攻击方”,导致“被攻击方”带宽、系统资源耗尽);b)伪造源IP DDoS攻击(入侵者利用“僵尸网络”,向目标地址发起访问,导致“被攻击方”带宽、系统资源耗尽);c)DNS畸形包DDoS攻击;d)DNS Query Flood攻击;e)UDP Flood攻击;f)SYN Flood攻击;g)ICMP Flood攻
16、击。3.可监测防御DNS缓存投毒攻击(入侵者修改DNS缓存中的数据,将域名指向不正确的IP地址,引导用户访问恶意站点);4.中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证25253.网管统计功能通过部署在管理服务器上的管理模块,实现的功能描述如下。1.实现对服务器以及其他设备(如:流量清洗、入侵检测设备等)的维护管理;2.通过WEB GUI界面,提供数据配置管理功能;3.通过WEB GUI界面,可实现对各网元的监控,包括:CPU利用率、内存利用率、端口流量、关键业务进程等;4.能够按照用户IP地址/目标域名进行查询量统计;5.中国信息安全认证中心中国信息安全认
17、证中心信息安全保障人员认证信息安全保障人员认证26264.接口扩展功能综合网管系统综合网管系统 支持SYSLOG、FTP、SNMP等方式对接综合网管系统,并将DNS业务指标、DNS告警信息、DNS设备状态灯信息送到综合网管。单点登录单点登录 支持网络管控系统接入,通过该系统实现单点登录。重点数据上报系统重点数据上报系统 支持基于SYSLOG、FTP方式与集团重点数据上报系统的对接要求。域名备案系统域名备案系统 支持基于FTP主动、FTP被动的方式与域名备案系统的对接要求。流量镜像系统流量镜像系统 支持针对DNS请求和DNS应答的流量镜像功能,以对接第三方流量监测系统。中国信息安全认证中心中国信
18、息安全认证中心信息安全保障人员认证信息安全保障人员认证27275.备份方案系统内系统内的备份的备份节点内节点内的备份的备份节点间节点间的备份的备份中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证28286.系统可靠性单节点内部署2台服务器,可保证1:1冗余备份;所有设备提供双电源,避免单电源故障引起系统宕机。7.系统扩展性网元易扩展。改造优化方案采用透明串接方式,对现网结构无影响,对后续三层交换交换机下设备的扩展无影响;功能易扩展。所有系统功能均由软件模块实现,系统功能扩展只需直接升级软件模块即可,无需替换或者增加硬件设备。中国信息安全认证中心中国信息安全认证中
19、心信息安全保障人员认证信息安全保障人员认证29295.4.7 安全功能设计根据信息系统安全集成模型,进行四个方面考虑。1.数据安全设计2.载体安全设计3.环境安全设计4.边界安全设计中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证30301.数据安全设计1)业务可用性集成DNS网管监测统计系统,实时对域名请求、域名解析、解析成功率、解析时延、cache命中率等业务数据指标进行监控。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证31312)数据备份每月对域名解析系统关键数据和重要信息进行备份,建立恢复的管理和控制机制。3)账号管理
20、使用集中账号管控平台进行账号管理,管理、维护人员通过短信认证方式申请、使用账号,每90天平台自动修改账号口令。4)性能监控对域名解析系统所有网络设备、安全设备及主机通过SNMP和自动巡检;脚本进行性能和运行状态监控,基于阀值进行告警;中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证32325)重点域名监控保障设定一个(或多个)域名对应的预期解析结果列表,当一个域名的解析结果和预期的不相符,会产生告警。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证33332、接入层接入层设计是一种载体安全设计。针对DNS系统承载网络的维护,按照集
21、团规范远程接入方式,严格限制远程维护通道,只允许通过网络安全管控平台登录维护系统。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证34343.防护层1)DDoS防护在省干和国干之间部署抗DDoS设备,清洗流量可以达到10G。DNS系统设置源IP、域名限速功能、超过源IP和域名限速阀值的请求进行过滤、有效的防护异常攻击请求。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证35352)防域名篡改与缓存投毒 对于1秒内返回的递归应答数大于100QPS(默认),缓存投毒告警会发出告警并丢弃;DNS系统NAP设备对报文进行合法性检查,若出现
22、非法IP、非法UDP或非法DNS报文的情况,直接丢弃,并且在MS网管界面上有相关信息的统计DNS系统对请求ID和应答ID进行效验、以增大DNS应答报文的合法性、防止域名缓存投毒、篡改。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证36363)入侵检测在DNS内部核心交换机处,部署入侵检测系统,实施检测网络流量,定期对日志进行分析。4)防病毒网关在DNS防火墙至DNS内部核心交换机间,以串联的方式部署防病毒网关,对病毒、木马进行有效过滤。5)配置合规严格按照某运营商设备安全功能和配置系列规范,定期对DNS系统每台主机进行配置加固和弱口令加固。6)漏洞评估加固定期
23、监测DNS解析软件的版本安全性,避免业已发现的漏洞造成域名劫持或域名更改等安全事件。每季度使用漏洞扫描器对DNS进行漏洞评估,针对评估结果进行加固。7)安全审计对登录、维护操作日志进行监控、记录,每周安排专门的审计人员进行审计,对不符合项,定期通报。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证37374.建立安全管理制度在以下几个方面加强制度的建立:1.人员管理制度2.机房管理制度3.系统的安全测评制度4.系统配置与补丁管理制度5.用户授权与口令管理制度6.备份与灾难恢复要求7.应急响应制度8.安全事件上报及处置制度中国信息安全认证中心中国信息安全认证中心信
24、息安全保障人员认证信息安全保障人员认证38385.5 集成安全的实施建设目标本期工程计划在枢纽大楼新建一套DNS系统,处理能力需求为20万QPS,系统需实现智能DNS、关键指标采集上报集团要求功能,该系统建成后,与原DNS系统间实现基于Anycast技术的负荷分担。网络架构中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证39391.业务系统部署基于IP Anycast架构,通过在新建的汇聚交换机下部署缓存、递归、授权子系统实现新增节点的DNS需求。部署2台缓存功能服务器,来满足新建节点的缓存功能、安全防护、智能解析需求;部署2台授权功能服务器,来满足新建节点的授
25、权功能需求;部署2台递归功能服务器,来满足新建节点的递归功能需求。2.网管、日志采集、第三方接口部署中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证40402.网管、日志采集、第三方接口部署部署2台通过测试的日志采集服务器,1台作为系统网管服务器,来满足甲方DNS系统的维护管理、数据采集分析需求。1)节点内路由方式2)节点间路由方式中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证41415.5.3 设备配置清单序号设备名称用途主要性能指标单位数量备注1.1缓存功能设备基础设备2U高度,标配双路冗余电源(另行配置,可选配冗余直流电源
26、)。三个网络扩展槽,可选配4*GE光口、8*GE光口、8*1000M电口、2*10GE光口等多种模块,标配2*1000M电口,1*带外网管口台2缓存子系统1.2冗余交流电源模块电源模块双路输入AC220V冗余交流电源模块,500W块21.3Cache Pro功能模块缓存模块乙方缓存模块,Licence:QPS=20万QPS21.4功能模块安全防护模块安全防护模块套21.5功能模块智能解析模块智能解析模块套2表5-8 设备配置清单中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证42425.5.4 项目进度安排准备阶段实施阶段系统联合测试阶段试运行以及维护阶段1、提
27、交技术文件(乙方)2、工前准备(甲方)3、安装现场验收(乙方)4、开箱验收(甲方,乙方)1.签署开工文件(甲方,乙方)2.设备上架(甲方,乙方)3.连接所有缆线至设备(甲方,乙方)4.签署设备硬件移交文件(甲方,乙方)5.安装调试单台设备(乙方)6.对所有设备进行联调(甲方,乙方)7.验收(甲方,乙方)8.签署初验报告(甲方,乙方)1、试运行观察(甲方)2、讨论修改策略(甲方,乙方)1、有关部门,人员讨论终验方案:(乙方、甲方)2、提供试运行报告(乙方)3、签署终验报告(甲方,乙方)4、进入售后服务期完成标志是现场验收报告和开箱验货报告(合格)完成标志是签署开工报告测试验收报告系统初验报告完成
28、标志是正常运行1周后完成标志签署系统终验报告2周内2周内1周6个月试运行后表5-9 项目进度安排表中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证43435.5.5 工程分工界面1.甲方职责(1)设备到货前,完成机房、机架、电源和线路准备工作;(2)设备到货后,与卖方工程师共同进行设备的开箱查验,并签署验货证明;(3)指定专门的工程管理和协调单位,提供联系人名单;负责同各节点负责人联络协调;并指定专门的技术机房人员以及技术工程师配合工程实施;2.乙方职责(1)指定专门的项目经理和技术负责人,分别负责本项目中卖方的工程协调和技术方案制定和实施;(2)按照合同设备清
29、单按时提供设备和验货清单;(3)提前提供施工计划、工程实施方案供买方讨论和审批;(4)设备到货后,协助买方工程师完成设备的开箱检验;(5)安排工程师到现场负责对DNS系统设备的安装调测,并对买方工程师进行必要的现场培训;中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证44445.6 安全运行监视DNS系统安全监控、安全事件处理、应急响应、事件追溯;对DNS系统进行定期的安全状态巡查。运行监视阶段,实施人员需利用专用工具或人工方式,对DNS系统设计完成后的效果进行验证和监测。并获取监视数据,为安全评审提供数据支撑。测 试 目测 试 目的的验证DNS设备的缓存功能:
30、对于Cache中命中的请求,Cache直接返回;没命中的请求,才到后端DNS进行递归查询,递归查询成功后返回应答报文,并在DNS的Cache中进行缓存。测试环境:测试环境:新建环境测试步骤:测试步骤:1.使用测试终端的dig程序发送对某个域名的DNS请求查询;2.使用测试终端再次发送对同一个域名的DNS请求;3.对比DNS设备现网收到DNS请求流量与发到上层bind做递归的流量,可以看出DNS设备缓存功能的效果表5-10 DNS系统缓存功能测试表中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证4545预期结果:预期结果:DNS系统能够缓存域名解析记录;对于已缓存
31、的记录,DNS系统直接返回,不到后端DNS服务器进行递归;DNS设备可以使到外部做递归的流量减少大约一个数量级设备可以使到外部做递归的流量减少大约一个数量级的规模的规模中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证4646测试目的测试目的验证设备具有基于源IP的查询限速功能:系统可以设置同一个源IP地址的最大DNS请求速率,用来防止单一用户的DNS攻击流量测试环境:测试环境:新建环境测试步骤:测试步骤:1.配置限速策略;如设置测试设备的IP地址限速为500 QPS;2.测试设备以 5000 QPS的速度发送DNS请求;3.在测试设备上查看成功查询的QPS数据;
32、4.登陆管理界面,查看统计的QPS数据 预期结果:预期结果:成功QPS值不超过500条每秒,证明限速功能生效。管理界面可以监控到500 QPS的速率表5-11 基于源IP的地址限速测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证4747测试目的测试目的验证设备具有访问控制白名单功能(ACL),这样能够确保DNS系统只针对设定的用户进行服务测试环境:测试环境:新建环境测试步骤:测试步骤:1.DNS系统设置白名单访问策略,设置测试设备的IP为白名单,并开启ACL;2.测试设备执行dig程序作DNS查询,查看结果;3.使用另外的测试设备,该设备IP不在白名单内,执
33、行dig作DNS查询,查看结果预期结果:预期结果:白名单地址的查询能正常返回结果,其他无法返回结果表5-12 DNS系统访问控制白名单功能测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证4848测试测试目的目的验证设备具有域名本地强制解析的功能:能够指定某些域名的解析结果,该域名的请求直接返回,不进行后端递归查询,从而在特定的情况下对某些重要的域名进行保护测试环境:测试环境:新建环境测试步骤:测试步骤:1.配置一个强制域名解析策略,如为8.8.8.8与9.9.9.9,TTL为999;2.测试设备对域名做一个请求;3.查看域名的解析结果预期结果:预期结果:解析
34、结果在8.8.8.8与9.9.9.9之间轮询,且TTL值为999表5-13 DNS系统强制域名解析功能测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证4949测试目的测试目的验证设备具有防护DNS投毒的功能测试环境:测试环境:新建环境测试步骤:测试步骤:1.开启DNS系统的安全防护功能;2.测试设备执行投毒程序,发送投毒流量;3.查询缓存污染告警,是否有告警信息预期结果:预期结果:有缓存污染告警表5-14 DNS系统防投毒功能测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5050测试目的测试目的验证设备具重点域名监控解析
35、的功能,即可以针对某些域名的解析结果进行监控,如果解析结果不是设定的预期值,将产生告警信息测试环境:测试环境:新建环境测试步骤:测试步骤:1.配置一个监控的域名,如,配置预期的IP为4.4.4.4;2.测试设备对进行拨测;3.查看域名监控告警,是否有该域名的告警信息预期结果:预期结果:对域名的解析结果进行告警表5-15 DNS系统域名监控功能测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5151测试目测试目的的验证设备具有特定域名监控分析的功能,即对于某些特定域名的访问量进行实时监控测试环境:测试环境:新建环境测试步骤:测试步骤:1.配置一个策略域名,如;
36、2.测试设备针对,发100个请求;3.查看策略域名分析中,有无对有针对性的分析统计预期结果:预期结果:策略域名分析中,对有特定的分析统计表5-16 DNS系统策略域名统计分析功能测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5252测试目的测试目的 验证DNS系统的针对DNS流量进行各项统计功能,各项数据统计值,都可以通过Web界面进行呈现测试环境:测试环境:新建环境测试步骤:测试步骤:1.在用户现网流量的情况下,DNS系统管理系统上查看如下统计信息:2.流量分析:3.汇总流量分析;4.按查询类型统计分析;5.按解析结果统计分析;6.解析成功率分析;7.C
37、ache命中率分析;8.过滤包统计;9.策略域名统计;10.策略IP统计预期结果:预期结果:各个统计信息都可以在Web页面上进行呈现,并且统计数据正确测试结果:测试结果:各个统计信息都可以在Web页面上进行呈现,并且统计数据正确表5-17 DNS系统流量统计功能测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5353测试目的测试目的 验证DNS网管能够对DNS的各个节点、设备进行统一管理与监控测试环境:测试环境:新建环境测试步骤:测试步骤:1.DNS网管能够新增或者删除管理节点;节点中能根据实际情况增加与删除设备,并进行DNS系统的管理配置功能;2.DNS网
38、管能够对每台设备的状态进行监控,如果设备状态不正常时将进行特殊颜色显示;3.DNS网管能够对设备的历史信息进行记录并显示预期结果:预期结果:DNS网管系统能够对设备进行管理与监控,并且以图形化的方式进行呈现表5-18 DNS系统设备管理监控功能中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5454测 试 目测 试 目的的验证DNS系统的监控、异常告警功能测试环境:测试环境:新建环境测试步骤:测试步骤:1.设置各种告警状态阈值,并使用发包机模拟各种触发告警的状态,测试如下告警:1.节点QPS量告警;2.IP限速、域名限速告警;3.解析成功率告警;4.递归查询量告
39、警;5.解析延时告警;6.设备负载告警;7.关键进程告警;8.投毒告警2.检查告警记录预期结果:预期结果:系统达到告警阈值时,触发告警表1-6-1-90-9 DNS系统异常告警测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5555测试目的测试目的验证DNS网管能够对进行用户与日志管理测试环境:测试环境:新建环境测试步骤:测试步骤:1.DNS网管能够新增或者删除用户组,每个组对于每个功能,都可以设置不同的权限;2.DNS网管能够新增或者删除用户,增加用户的时候需要指定属于哪个用户组,用户自动继承该用户组的权限;3.DNS网管能够对管理界面的操作进行记录;4.
40、DNS网管能够对用户密码的复杂度进行检查,并定期提醒用户更新密码预期结果:预期结果:DNS网管系统能够对用户与权限进行管理,并且能够记录操作日志表1-6-1-90-9 DNS网管系统用户与日志管理中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5656类别监视内容监视方式监视周期监视结果集成产品运行防火墙人工检测及验证1月符合要求流量清洗设备人工检测及验证1月符合要求进程监控系统工具检测及验证1月符合要求防病毒系统人工检测及验证1月符合要求入侵检测设备人工检测及验证1月符合要求系统业务功能系统递归功能人工检测及验证1月符合要求系统缓存功能人工检测及验证1月符合要
41、求网管统计功能人工检测及验证1月符合要求系统备份功能工具检测1月符合要求人工分析1月符合要求安全防火功能数据存储加密验证人工检测及验证1次已加密数据传输加密验证工具嗅探1周已加密异常包进行过滤人工检测及验证1周符合要求缓存投毒攻击防护工具监视1周符合要求异常进程工具监视1周符合要求安全应急措施人工检测及验证1周不符合要求安全配置及漏洞验证工具监视1次安全配置不符合要求表1-6-1-90-9 参考运行监测实施计划中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证57575.7 安全评审安全运行监视完成后,安全设计项目团队,需依据安全监视数据,对集成安全成的效果进行评
42、审,以确认信息系统是否满足安全符合性要求。在本案例中,集成项目团队,成立了安全评审小组,组织运营商负责人,项目实施公司技术团队、第三方专业信息安全人员对DNS系统设计的效果进行评审。参考ISMS手册,对本项目所见系统进行安全评审的相关表格见教材示例。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证58585.8 安全提升建立应急响应机制,制订应急响应预案。5.8.1 事件监测事件检测主要通过部署的抗拒绝服务系统、流量监控系统、DNS系统自身的监控系统、安全管理系统(SOC)、执行日常安全维护作业计划检查、日常安全工单、安全预警公告、用户投诉等手段进行安全事件发现
43、和检测。就安全应急方案启动条件而言,在安全事件监测过程中,如发现系统发生本应急方案4.1节中描述的各类安全事件时,应当立即启动本应急方案开展安全事件处理。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证59595.8.2 事件处理对于不同的攻击特征,应采取相应的处理措施,因此首先应该定位攻击的特征和类型,保证后续处理措施的有效性:1.攻击特征定位(1)判断拒绝服务的特征是什么,即是利用正常的查询造成的资源耗尽,还是利用软件漏洞造成的拒绝服务;(2)对于资源耗尽型攻击,判断被拒绝服务的对象是什么,即性能瓶颈出现在什么位置;观察操作系统CPU、内存资源使用情况,观察
44、操作系统的网卡流量是否增大,判断是否是操作系统资源耗尽型攻击;观察网络链路的流量,网络设备的CPU、内存等使用情况,判断是否是网络资源耗尽型攻击;(3)观察攻击包的源IP地址,判断是否使用了伪造的IP地址。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证60602.抑制(1)对于资源耗尽型攻击对攻击进行分析,做好取证工作,包括:攻击特征、前一时段的防火墙日志、路由器/交换机日志、流量曲线、入侵检测日志等;(2)对于利用软件漏洞造成的拒绝服务通过CVE等漏洞库查询漏洞的详细信息,并按照修补建议对软件的漏洞进行修复;对攻击进行分析,做好取证工作,包括:DNS软件的日
45、志、操作系统的运行日志、前一时段的防火墙日志、入侵检测日志等;中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证61613.根除(1)对于资源耗尽型攻击:开启抗拒绝服务设备的流量清洗功能并保持对DNS应用的攻击实时监测,待拒绝服务攻击彻底结束后关闭对DNS的流量清洗。对于真实IP地址的攻击,查询该IP地址所属的单位,联系公安机关和该单位对攻击源进行定位和分析,清除攻击源头;对于伪造IP地址的攻击,联系公安机关和其他运营商、国家安全主管机构,查找真正的攻击源,清除攻击源头;中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证6262(2)
46、对于针对应用软件漏洞的攻击:通过软件升级、补丁更新等方式消除DNS应用自身存在的BUG,;对于真实IP地址的攻击,查询该IP地址所属的单位,联系公安机关和该单位对攻击源进行定位和分析,清除攻击源头;对于伪造IP地址的攻击,联系公安机关和其他运营商、国家安全主管机构,查找真正的攻击源,清除攻击源头。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证63634.恢复消除攻击源后,恢复正常的网络和防护策略,观察DNS服务是否完全恢复正常,如果恢复则DNS应用正常运行,否则应继续进行抑制和根除。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证6464本章小结本章采用某运营商DNS系统为案例,结合信息系统安全集成模型的“集成的安全”模式的具体过程,对模式中8个环节具体实施进行了详细的阐述。本案例集成过程中的的符合性评估、风险评估、设计、实施、评测、监视、评审等过程及其例举的工程资料可供读者实际操作时参考。谢谢!
