29、网络安全与数据管理全解析

网络安全与数据管理全解析

一、SIEM 仪表盘与日志文件

（一）SIEM 仪表盘数据类型

SIEM（Security Information Event Management）仪表盘对安全运营中心极为有用，能实时提供信息。其包含的数据类型如下：
1. 传感器（Sensor） ：部署在网络各处，监控并收集日志文件中的变化，使事件发生时具备可见性。
2. 敏感性（Sensitivity） ：可监控个人身份信息（PII）和敏感信息，确保合规。例如，确保遵守《健康保险流通与责任法案》（HIPAA），维护个人数据泄露登记册以符合《通用数据保护条例》（GDPR）。
3. 趋势（Trends） ：能识别硬件故障和性能问题的趋势，预测未来维护需求，防止故障发生。事件分为应用、系统和安全等不同类别。
4. 警报（Alerts） ：日志文件提供主机和网络设备事件信息，但非自动化。SIEM 系统可设置警报，当特定信息出现在日志文件中时，立即通知安全团队。也可在设备上安装代理，事件触发时，SIEM 系统关联事件并实时通知。
5. 关联（Correlation） ：关联并聚合多个来源的日志文件，生成单一报告，呈现事件全貌。

（二）日志文件类型及信息

日志文件在调查中提供关键证据，不同类型的日志文件包含的信息如下：
|日志文件类型|包含信息|
| ---- | ---- |
|网络（Network）|识别连接到网络的设备的 IP 地址和 MAC 地址，NIDS 和 NIPS 的日志文件很重要，可通过代理服务器日志文件跟踪用户，识别 DDoS 流量并阻止。|
|系统（System）|包含硬件更改、设备更新、时间同步信息，记录组策略事件及其是否成功。|
|应用（Application）|包含软件应用的信息，如启动时间、是否成功，以及潜在问题或错误的警告。|
|安全（Security）|包含成功登录或未经授权尝试访问系统的信息，可识别试图登录计算机系统的攻击者。|
|Web|记录 Web 请求的多种信息，如 IP 地址请求、日期和时间、HTTP 方法（GET/POST）、使用的浏览器和 HTTP 状态代码。状态代码分为：
- 100 系列：请求已接收，如 102 处理请求。
- 200 系列：成功登录尝试。
- 300 系列：完成请求需要更多操作。
- 400 系列：客户端错误，如 403 禁止访问、404 文件未找到。
- 500 系列：服务器端错误，如 500 内部服务器错误、502 错误网关、503 服务不可用。|
|DNS|包含所有 DNS 信息，如区域传输、名称解析查询、DNS 服务器错误、DNS 缓存和 DNSSEC。|
|认证（Authentication）|提供登录事件信息，以及是否成功。在域环境中，RADIUS 服务器是认证日志文件的最佳资源之一，可记录用户登录和退出时间，还可对用户进行跟踪。认证日志文件也保存在域控制器或通过 VPN 服务器访问的远程用户设备上。|
|转储文件（Dump Files）|计算机崩溃（蓝屏死机）时，内存中的所有内容保存到转储文件（.dmp）中，可使用 Blue Screen Review 等工具进行分析。|
|VoIP 和呼叫管理器|提供呼叫信息和呼叫发起设备信息，通过记录平均意见得分（MOS）、抖动和信号丢失来衡量呼叫质量，记录每个呼叫的呼入和呼出、呼叫者和接收者。|
|会话发起协议（SIP）流量|用于基于互联网的呼叫，日志文件显示 100 事件（INVITE，连接发起），随后是 200 OK 和确认。若用户无法连接 SIP 呼叫，可使用此日志文件进行故障排除。|

二、日志管理器、带宽监控与元数据

（一）日志管理器

以下日志管理器执行基本相同的功能：
1. Syslog ：系统日志记录协议，从各种设备收集事件日志，发送到中央 Syslog 服务器。在 Linux 版本中，这些日志称为 syslogd 和 syslog 守护进程，日志文件存储在 var/log/syslog 目录中。
2. Rsyslog ：高级 Syslog 服务器，性能高，获取数据并转换后发送到 SIEM 服务器等目的地。
3. Syslog - ng ：由 Balabit IT Security Ltd 开发的免费开源协议，用于 Unix 和 Linux 系统。
4. Journalctl ：Journald 以二进制格式收集和存储日志数据，Journalctl 可查询并以可读格式显示这些日志，用于 Linux 环境。
5. Nxlog ：开源日志管理工具，帮助在 Linux/Unix 环境中识别安全风险。

（二）带宽监控

带宽监控器可用于了解网络流量，监控流量模式变化，识别导致瓶颈的设备，检测广播风暴和潜在的拒绝服务攻击。

（三）元数据类型

元数据提供关于其他数据的信息，不同类型的元数据如下：
1. 电子邮件（Email） ：邮件头包含详细信息，显示邮件来源、目的地和通过邮件提供商到收件人的路由，可用于识别钓鱼邮件的肇事者。
2. 移动（Mobile） ：电信提供商保留通话、短信、互联网使用和位置信息，可在调查中提供证据。例如，一位德国政治家起诉 T - Mobile 发布其手机元数据，这些数据可用于识别其日常活动。
3. Web ：网站元数据提供网站每个页面的信息，包括作者、创建日期、图像、视频和电子表格。
4. 文件（File） ：在调查中，文件元数据可用于跟踪信息，如作者、创建日期、修改日期和文件大小。

三、网络监控与协议分析

（一）网络监控产品

以下产品可用于网络监控：
1. Netflow ：CISCO 产品，监控网络流量，识别网络负载，有助于高效利用网络流量，在调查中可识别网络流量模式。
2. Sflow ：多供应商产品，清晰显示网络流量模式，有助于识别恶意流量，保障网络安全。
3. IP 流信息导出（IPFIX） ：可捕获节点自身的流量数据，并导出到节点内的收集器。例如，可用于识别通过交换机的数据，用于计费目的，获取 IP 流信息，格式化并转发到收集器。

（二）协议分析器输出

协议分析器（如 Wireshark）可捕获网络传输的数据，执法部门可用于重放网络设备命令，捕获和重放视频流量。

四、安全环境的缓解技术与控制

（一）应用管理

1. 应用批准列表（Application Approved List） ：使用应用白名单，列出批准的应用，未列出的应用无法启动。一些设备（如 pf - sense）有允许列表。
2. 应用阻止列表/拒绝列表（Application Block List/Deny List） ：将危险应用列入黑名单，如 Kali Linux，列入黑名单的应用被完全禁止，不能列入白名单。一些设备（如 pf - sense 防火墙）有阻止列表。

（二）隔离与防护措施

1. 隔离（Isolation） ：可能需要对研发端点进行气隙隔离，使其与网络分离，防止网络攻击。
2. 遏制（Containment） ：安全团队发现端点被入侵并可能感染病毒时，将其隔离，防止恶意软件传播。
3. 分段（Segmentation） ：可能需要使用存储分段或容器化，在移动设备上分离个人和业务数据，对易受攻击的设备（如未打补丁的打印机）进行分段。

（三）配置更改

随着新攻击的出现和新技术的实施，可能需要进行以下配置更改：
1. 防火墙规则（Firewall Rules） ：防火墙可用于阻止流量，可使用移动设备管理（MDM）解决方案或组策略更改端点设备的配置。
2. 移动设备管理（MDM） ：MDM 解决方案可将配置更改推送到移动设备，如更改密码策略或禁用手机摄像头。
3. 数据丢失预防（DLP） ：防止信用卡信息等敏感数据离开公司，可使用正则表达式确保数据不通过电子邮件泄露。
4. 内容过滤器/URL 过滤器（Content Filter/URL Filter） ：因安全事件更新代理服务器或统一威胁管理（UTM）防火墙上的内容过滤器，内容过滤器阻止目标网站，URL 过滤器防止端点访问受攻击的网站。
5. 更新或撤销证书（Update or Revoke Certificates） ：端点报告信任错误时，可能需要更新过期证书或撤销受损证书。

（四）安全编排、自动化和响应（SOAR）

• 剧本（Playbooks） ：包含一组规则和行动，使 SOAR 能够识别事件并采取预防措施。
• 运行手册（Runbooks） ：自动化剧本的多个阶段，可响应不同类型的事件。

graph LR
    A[发现漏洞] --> B[应用管理]
    A --> C[隔离与防护]
    A --> D[配置更改]
    A --> E[SOAR]
    B --> B1[应用批准列表]
    B --> B2[应用阻止列表]
    C --> C1[隔离]
    C --> C2[遏制]
    C --> C3[分段]
    D --> D1[防火墙规则]
    D --> D2[MDM]
    D --> D3[DLP]
    D --> D4[内容/URL 过滤器]
    D --> D5[更新/撤销证书]
    E --> E1[剧本]
    E --> E2[运行手册]

五、网络安全的冗余与恢复策略

（一）冗余类型

为了保护系统免受网络攻击，公司需要建立冗余或容错机制，以下是不同类型的冗余：
1. 磁盘冗余
- RAID 0 ：使用至少 2 个、最多 32 个磁盘，数据以 64KB 条带形式跨磁盘写入，称为条带集。若一个磁盘故障，所有数据将丢失，不提供容错或冗余，但读取速度快，可用于代理服务器缓存。
- RAID 1 ：由两个磁盘组成镜像集，一个原始磁盘和一个副本磁盘。具有容错能力，若 Disk 1 故障，可断开镜像并激活 Disk 2，后续再添加磁盘重新建立镜像集。
- RAID 5 ：至少需要 3 个磁盘，是带奇偶校验的条带集，数据以 64KB 条带形式跨磁盘写入，每个条带写入时，一个磁盘会有一个奇偶校验块。允许丢失一个磁盘，数据仍可恢复，但丢失两个磁盘则无法恢复。
- RAID 6 ：至少需要 4 个磁盘，配置与 RAID 5 类似，但有额外的磁盘保存另一份奇偶校验，允许丢失两个磁盘仍保持冗余。
- RAID 10 ：也称为 RAID 1 + 0，结合了镜像和条带化，只要每个镜像对中有一个磁盘正常工作，就可检索数据。
- 多路径（Multipath） ：通常用于 SAN 存储解决方案，在 SAN 存储和目标服务器之间有多个网络路径，防止单点故障，提供冗余和负载均衡能力。
2. 地理分散 ：企业多年来采用该做法，政府机构采用较慢。使用不同地区的热站点和温站点，使用不同的电源供应商，数据在同一国家的不同地区复制，确保即使一个地区发生自然灾害或停电，仍可继续运营。热站点实时复制数据，温站点通过快递传输数据，冷站点因无数据不可用。
3. 网络冗余
- 网络接口卡（NIC）组队 ：在服务器环境中，双网卡配对以提供最大吞吐量，若一个适配器故障，另一个可用于负载均衡、提高性能和吞吐量，Windows 10 具备组队能力。
- 负载均衡器（Load Balancers） ：企业级负载均衡器（如 Kemp 和 F5）可平衡多种网络流量，包括大量的 Web 和电子邮件流量，了解每个服务器的状态，在服务器故障或维护时平衡流量。
4. 电源冗余
- 不间断电源（UPS） ：本质上是备用电池，在计算机电源故障时启动，可维持系统运行几分钟，让服务器团队优雅地关闭服务器，还可净化来自电网的电力，保护服务器免受损坏。
- 发电机（Generator） ：由柴油、汽油、丙烷或天然气供电的备用设备，在电网停电时启动为公司供电，医院通常配备多个发电机以保护重症患者和手术室。
- 双电源（Dual Supply） ：大多数服务器有双电源，若一个电源单元故障，另一个可继续为服务器供电。
- 管理型电源分配单元（PDUs） ：允许远程连接和监控电源，为多个关键网络资源（如服务器、路由器、交换机和数据中心）分配清洁电力。

（二）数据复制

复制是在网络内即时传输数据和虚拟机的方法：
1. 存储区域网络（SAN）
- 主机总线适配器（HBAs） ：SAN 最便宜的冗余形式是为每个节点使用两个 HBAs，提供两条独立路径。
- SAN 结构（SAN Fabric） ：由服务器、存储、交换机和其他设备组成，可使用两个独立的 SAN 结构（Fabric 1 和 Fabric 2），SAN 节点的一个 HBA 连接到 Fabric 1，另一个连接到 Fabric 2 以提供冗余。
2. 虚拟机复制（Virtual Machine Replication） ：在另一个主机上保留虚拟机的备份副本，确保灾难发生时仍有冗余。

（三）本地与云备份

可考虑在本地使用 RAID 进行冗余，也可在云环境中复制数据，灾难发生时可快速切换到云，只需具备互联网连接。

（四）备份类型

1. 全量备份（Full Backup） ：备份所有数据，一些公司可能只能在周末进行全量备份，周中使用增量或差异备份。是最快的物理备份方式。
2. 增量备份（Incremental） ：备份自上次全量备份或上次增量备份以来更改的数据，恢复时需要从最初的全量备份开始，加上所有增量备份。
3. 差异备份（Differential） ：备份自上次全量备份以来更改的数据，随着时间推移，备份文件会逐渐变大，恢复时需要最初的全量备份和最新的差异备份。
4. 每日复制（Daily Copy） ：在任何一天复制数据，是计划磁带周期之外的额外备份。
5. 网络位置备份 ：可备份到网络服务器上的共享文件，服务器可采用 RAID 冗余或使用 SAN 存储。
6. 磁带备份 ：备份到磁带是最慢的恢复方式，可将备份磁带的副本存放在异地，以防公司发生火灾。
7. 磁盘备份 ：可备份到 USB 或可移动硬盘，也可复制到另一台服务器的磁盘。
8. 复制（Copy） ：可使用 xcopy 或 robocopy 进行网络复制，robocopy 在网络故障时能知道复制中断位置，确保数据完整传输。
9. 网络附加存储（NAS） ：当需要存储超过 5TB 数据，且通过通用命名约定（UNC）路径访问数据时使用，适用于存储空间不足的情况。
10. SAN 存储 ：适用于大量存储需求，如数据库（SQL）或电子邮件，连接速度快，云提供商使用 SAN 存储云数据。
11. 云存储 ：常见的云存储服务有 Apple 的 iCloud、Google 的 Google Drive、Microsoft 的 OneDrive 和 Dropbox 的 Dropbox，消费者版本提供有限的存储空间，可付费升级到商业版本或增加存储空间。
12. 镜像备份（Image） ：使用 Ghost 等产品捕获桌面镜像，可在约 40 分钟内重新映像桌面，而不是从头重建。
13. 在线与离线备份 ：离线备份需确保备份介质（如磁带）未过期且未损坏，在线备份恢复速度快，随时可用，只需连接网络。
14. 异地存储 ：备份到介质时，应在异地保留副本，以防自然灾害（如火灾或洪水），需确保往返异地存储的距离不过远，以免影响恢复速度。

以下是不同备份类型在数据丢失时恢复所需磁带数量的示例：
|备份类型|恢复所需磁带|
| ---- | ---- |
|全量备份|最新的全量备份（如 65GB）|
|增量备份|最初的全量备份 + 所有增量备份|
|差异备份|最初的全量备份 + 最新的差异备份|

六、数据清理与系统恢复

（一）数据清理

1. 纸质数据
   • 焚烧（Burn） ：最佳处理方式，可找第三方进行并获取销毁证书。
   • 制浆（Pulping） ：若无法焚烧，将数据制成纸浆是次优选择。
   • 粉碎（Shredding） ：交叉切割粉碎机效果最佳。
2. 媒体数据
   • 粉碎（Shredding） ：将金属硬盘粉碎成粉末是最佳方法。
   • 研磨（Pulverizing） ：用大锤将其砸成小块。
   • 消磁（Degaussing） ：通过磁盘发送电荷。若要重复使用媒体，可选择擦除或格式化。

（二）系统恢复

1. 非持久性（Non - Persistence）
   • 恢复到已知状态（Revert to Known State） ：在 Windows 环境中，可将系统状态和设置保存到可移动媒体，计算机损坏时，修复后插入媒体恢复系统状态数据。
   • 最后已知良好配置（Last Known Good Configuration） ：登录时系统记录配置状态，操作系统无法启动时，重启计算机并调用最后已知配置。
   • 实时启动媒体（Live Boot Media） ：将操作系统副本保存到 USB 闪存驱动器或 DVD，可从可移动媒体启动。
2. 高可用性（High Availability） ：可能涉及服务器之间的集群或拥有备用数据中心，可添加额外节点实现可扩展性。
3. 恢复顺序 ：在进行系统恢复时，需遵循一定的恢复顺序，先恢复关键系统和数据，再逐步恢复其他部分，确保系统尽快恢复正常运行。

graph LR
    A[数据备份] --> B[本地备份]
    A --> C[云备份]
    B --> B1[全量备份]
    B --> B2[增量备份]
    B --> B3[差异备份]
    B --> B4[每日复制]
    B --> B5[网络位置备份]
    B --> B6[磁带备份]
    B --> B7[磁盘备份]
    B --> B8[复制]
    B --> B9[NAS 存储]
    B --> B10[SAN 存储]
    C --> C1[云存储服务]
    D[数据清理] --> D1[纸质数据清理]
    D --> D2[媒体数据清理]
    E[系统恢复] --> E1[非持久性恢复]
    E --> E2[高可用性恢复]
    E --> E3[恢复顺序]

综上所述，网络安全和数据管理是一个复杂而全面的领域，涉及多个方面的技术和策略。通过合理运用 SIEM 仪表盘、日志文件管理、冗余和备份策略、数据清理和系统恢复方法等，可以有效保护网络系统和数据的安全，提高系统的可靠性和可用性，应对各种潜在的安全威胁和灾难事件。