網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)
網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)
網(wǎng)絡(luò)連接的安全問(wèn)題隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展日益突出,從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō),他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫(xiě)等操作受到保護(hù)和控制,避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅,制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門(mén)來(lái)說(shuō),他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵,避免機(jī)要信息泄露,避免對(duì)社會(huì)產(chǎn)生危害,對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講,網(wǎng)絡(luò)上不健康的內(nèi)容,會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙,必須對(duì)其進(jìn)行控制。
準(zhǔn)確地說(shuō),關(guān)于信息安全或者信息保障主要有兩個(gè)要素:首先,正確配置系統(tǒng)和網(wǎng)絡(luò)并且保持這種正確配置,因?yàn)檫@一點(diǎn)很難做到完美;第二個(gè)要素就是清楚知道進(jìn)出網(wǎng)絡(luò)的流量。這樣的話,當(dāng)發(fā)生嚴(yán)重的問(wèn)題時(shí),你就能檢測(cè)出問(wèn)題錯(cuò)在。因此,網(wǎng)絡(luò)安全的主要任務(wù)主要包括以下三方面:
保護(hù),我們應(yīng)該盡可能正確地配置我們的系統(tǒng)和網(wǎng)絡(luò)
檢測(cè),我們需要確認(rèn)配置是否被更改,或者某些網(wǎng)絡(luò)流量出現(xiàn)問(wèn)題
反應(yīng),在確認(rèn)問(wèn)題后,我們應(yīng)該立即解決問(wèn)題,盡快讓系統(tǒng)和網(wǎng)絡(luò)回到安全的狀態(tài)
縱深防御
因?yàn)槲覀儾⒉荒軐?shí)現(xiàn)絕對(duì)的安全,所以我們需要接受一定級(jí)別的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的定義就是系統(tǒng)漏洞帶來(lái)威脅的可能性,風(fēng)險(xiǎn)是很難計(jì)算的,不過(guò)我們可以通過(guò)分析已知的攻擊面、可能被攻擊者獲取或者利用的漏洞等因素來(lái)確定大概的風(fēng)險(xiǎn)級(jí)別。漏洞掃描器或者滲透測(cè)試可以幫助我們衡量或者定義攻擊面,可以幫助我們降低風(fēng)險(xiǎn)以及改進(jìn)系統(tǒng)安全狀況的方法就是采用多層防御措施,主要有五種基本因素來(lái)建立縱深防御:
縱深防御保護(hù)方法一般都會(huì)采用防火墻將內(nèi)部可信區(qū)域與外部互聯(lián)網(wǎng)分離,大多數(shù)安全部署都會(huì)在服務(wù)器和計(jì)算機(jī)的郵件存儲(chǔ)和發(fā)送進(jìn)行防病毒檢測(cè),這意味著所有的內(nèi)部主機(jī)都受到計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的相同級(jí)別的保護(hù)。這是最常見(jiàn)且最容易部署的安全措施,但是從實(shí)現(xiàn)高水準(zhǔn)信息安全保障的角度來(lái)看,這也是實(shí)用率最低的方式,因?yàn)樗杏?jì)算機(jī)包含的信息資產(chǎn)對(duì)于企業(yè)并不是相等重要的。
受保護(hù)的領(lǐng)域,這意味著將內(nèi)部網(wǎng)絡(luò)分成若干個(gè)子區(qū)域,這樣網(wǎng)絡(luò)就不是一個(gè)沒(méi)有內(nèi)部保護(hù)的大區(qū)域。這可以通過(guò)防火墻、、、VLAN和網(wǎng)絡(luò)訪問(wèn)控制來(lái)實(shí)現(xiàn)。
信息中心
一位早期著名的計(jì)算研究員Adm. Grace Hopper曾表示,“將來(lái),在企業(yè)資產(chǎn)負(fù)債表上的大部分條目中都會(huì)出現(xiàn)‘信息’這兩個(gè)字,信息將會(huì)比處理信息的硬件更加重要。”我們必須理解并且能夠幫助其他人理解信息的價(jià)值。除了非常重要的知識(shí)產(chǎn)權(quán)信息(如專利、商標(biāo)、版權(quán)等)外,企業(yè)記錄數(shù)據(jù)也越來(lái)越重要。想要建立一個(gè)信息為中心的縱深防御架構(gòu),我們必須確定關(guān)鍵的有價(jià)值的信息的存儲(chǔ)位置,并且必須確保部署了適當(dāng)?shù)谋Wo(hù)。從過(guò)去來(lái)看,這是非常昂貴的并且通常被企業(yè)忽視這方面的保護(hù),不過(guò)根據(jù)法律法規(guī)的修改,很多企業(yè)必須建立定位和標(biāo)記所有信息的程序。
威脅矢量分析縱深防御與信息為中心很類似,它要求我們首先確定我們想要保護(hù)的資產(chǎn)(按照優(yōu)先權(quán)的順序),對(duì)威脅可能用于利用漏洞的路徑進(jìn)行分析確認(rèn),并且找出如何對(duì)矢量部署控制以預(yù)防威脅利用漏洞的方法。
基于角色的訪問(wèn)控制(RBAC)是一種訪問(wèn)權(quán)限控制方法,企業(yè)部署這種控制主要是為了確保只有授權(quán)用戶才能訪問(wèn)指定數(shù)據(jù)。與其他訪問(wèn)權(quán)限控制方法不同的是,基于角色的訪問(wèn)控制為用戶分配了具體的角色,并且根據(jù)用戶的工作要求為每種角色設(shè)置了權(quán)限。可以給用戶分配任何角色類型以幫助用戶完成每日工作任務(wù)。例如,用戶可能需要開(kāi)發(fā)者角色以及分析師角色等。每個(gè)角色都會(huì)定義不同的權(quán)限以訪問(wèn)不同的對(duì)象。有了網(wǎng)絡(luò)訪問(wèn)控制,我們可以將這種控制方法從系統(tǒng)組群擴(kuò)大到整個(gè)企業(yè),這需要更高的配置以及更好的保護(hù)。
加密
當(dāng)縱深防御措施失效的時(shí)候,對(duì)于數(shù)據(jù)的保護(hù)就只能靠加密了。加密功能可以是非常強(qiáng)大的:如果企業(yè)使用的是現(xiàn)代算法,且加密信息得到了非常強(qiáng)大的保護(hù),那么加密數(shù)據(jù)就不會(huì)被攻擊。但是,我們用于管理加密的程序可能被攻擊,而這使與密鑰管理相關(guān)的程序變得非常重要。例如,很多企業(yè)購(gòu)買了全盤(pán)加密解決方案,但是如果沒(méi)有密鑰的話,就無(wú)法修改加密程序。不過(guò)位于普林斯頓的研究人員近日研究出了從內(nèi)存中獲取密鑰的方法,這也使很多廠商的產(chǎn)品受到威脅。主要有三種類型的加密算法:秘密密鑰、公鑰和hash函數(shù)。與私鑰和公鑰算法不同的是,hash函數(shù)(也被稱為信息摘要或者單向加密)沒(méi)有密鑰。固定長(zhǎng)度的hash值是基于純文本(可以涵蓋純文本的內(nèi)容或者長(zhǎng)度)來(lái)計(jì)算的。在加密學(xué)中Hash函數(shù)的主要應(yīng)用應(yīng)用就是信息完整性,hash值為信息內(nèi)容提供了一個(gè)數(shù)字指紋,這能夠確保信息不會(huì)被攻擊者、病毒或者其他對(duì)象所修改。因?yàn)閮煞N不同的文本產(chǎn)生相同的hash值的可能性是非常低的,這也使hash算法是很有效的。
訪問(wèn)權(quán)限,身份驗(yàn)證,授權(quán)
有時(shí)候也被稱為AAA或者三A,這三個(gè)是確保企業(yè)安全性的關(guān)鍵因素。訪問(wèn)權(quán)限可以確保只有正確的人才能訪問(wèn)企業(yè)的計(jì)算和網(wǎng)絡(luò)資源。由于密碼是共享的,很多企業(yè)使用物理令牌來(lái)進(jìn)行身份驗(yàn)證,驗(yàn)證成功后,還需要確保某個(gè)用戶只能訪問(wèn)允許他訪問(wèn)的資源。
職責(zé)分離,服務(wù)分離
當(dāng)人們?cè)谔幚斫疱X(qián)的時(shí)候經(jīng)常會(huì)采用職責(zé)分離方法,這樣就能夠減少錯(cuò)誤的發(fā)生。因?yàn)樾畔⒁部梢院芎?jiǎn)單地被購(gòu)買和兜售,因此信息也需要采用職責(zé)分離這種方式。如果你的系統(tǒng)管理員表示他們的職責(zé)不能分離的話,需要讓他們了解這樣做的重要性。在過(guò)去,服務(wù)器是很昂貴的,通常是在一臺(tái)服務(wù)器上運(yùn)行多個(gè)服務(wù)。只要這臺(tái)服務(wù)器崩潰,在服務(wù)器上運(yùn)行的多個(gè)服務(wù)都會(huì)失效。后來(lái),大家開(kāi)始采用一個(gè)服務(wù)一臺(tái)服務(wù)器的方式,郵件服務(wù)器和文件服務(wù)器等?,F(xiàn)在,隨著虛擬機(jī)和服務(wù)導(dǎo)向的網(wǎng)絡(luò)架構(gòu)的發(fā)展,我們又回到了一臺(tái)服務(wù)器運(yùn)行多個(gè)服務(wù)的年代,甚至運(yùn)行比以前更多的服務(wù)。不過(guò)只要部署了適當(dāng)?shù)拇胧┻€是能夠避免錯(cuò)誤的發(fā)生,例如操作分離、災(zāi)難恢復(fù)等等。
端點(diǎn)安全和無(wú)處不在的網(wǎng)絡(luò)
無(wú)線網(wǎng)絡(luò)不斷壯大,只要使用PDA或者先進(jìn)點(diǎn)的手機(jī)就能夠隨時(shí)連接到網(wǎng)絡(luò)。這些設(shè)備也可以通過(guò)藍(lán)牙與你的電腦或者筆記本進(jìn)行連接。企業(yè)必須確保這些設(shè)備的安全,這也就是所謂的端點(diǎn)安全。不能因?yàn)檫B接到受防火墻和入侵防御解決方案保護(hù)的企業(yè)局域網(wǎng)絡(luò),就認(rèn)為你的處境非常安全。我們需要從無(wú)處不在的網(wǎng)絡(luò)的角度來(lái)考慮安全問(wèn)題。
Web, Web瀏覽器和AJAX
與五年前相比,現(xiàn)在企業(yè)可能花費(fèi)了更多的錢(qián)在網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)程序員身上。大多數(shù)軟件程序開(kāi)發(fā)都開(kāi)始集中在網(wǎng)絡(luò)傳輸上,這意味著大多數(shù)流通于用戶計(jì)算機(jī)的信息都是通過(guò)網(wǎng)絡(luò)進(jìn)行的。但是,很多網(wǎng)絡(luò)瀏覽器,如IE等,都不是很安全。這也使攻擊者可能利用瀏覽器來(lái)攻擊用戶或者計(jì)算機(jī)。隨著安全成為web瀏覽軟件的關(guān)鍵要素,這種問(wèn)題依然存在,尤其是使用最近開(kāi)發(fā)的支持AJAX的web瀏覽器以及web2.0界面等。
SOA及未來(lái)展望
基于網(wǎng)絡(luò)的程序是很難創(chuàng)造和維護(hù)的,因?yàn)樗鼈兲峁┓浅6嗟墓δ?。例如,如果你有一個(gè)網(wǎng)絡(luò)股票交易帳戶,你可以研究、交易、運(yùn)行財(cái)務(wù)報(bào)表甚至進(jìn)行網(wǎng)上銀行業(yè)務(wù)。 為了管理復(fù)雜性并且能夠讓產(chǎn)品更快進(jìn)入市場(chǎng),企業(yè)都開(kāi)始學(xué)院創(chuàng)造原子服務(wù),也叫做SOA(面向服務(wù)的架構(gòu)),這也許將會(huì)成為支持關(guān)鍵應(yīng)用程序的主要工具。如果你的企業(yè)需要一個(gè)服務(wù),它將會(huì)咨詢一個(gè)稱為UDDI的目錄來(lái)找到服務(wù)。這與使用Google等搜索引擎市議員的。
SOA比常見(jiàn)web服務(wù)器提供和暴露更多的業(yè)務(wù)邏輯,如果你想要客戶端程序找到你,就需要把所有你提供的服務(wù)放入目錄中。未來(lái)的安全戰(zhàn)場(chǎng)就轉(zhuǎn)移到以SOA為中心。
總結(jié)
網(wǎng)絡(luò)的安全問(wèn)題,應(yīng)該像每家每戶的防火防盜問(wèn)題一樣,做到防范于未然。甚至不會(huì)想到你自己也會(huì)成為目標(biāo)的時(shí)候,威脅就已經(jīng)出現(xiàn)了,一旦發(fā)生,常常措手不及,造成極大的損失。希望大家多多學(xué)習(xí)網(wǎng)絡(luò)安全的知識(shí),盡可能少的避免困擾。
以上就是學(xué)習(xí)啦網(wǎng)帶給大家不一樣的精彩。想要了解更多精彩的朋友可以持續(xù)關(guān)注學(xué)習(xí)啦網(wǎng),我們將會(huì)為你奉上最全最新鮮的內(nèi)容哦! 學(xué)習(xí)啦,因你而精彩。希望會(huì)對(duì)你有所幫助,想了解更多信息,就請(qǐng)繼續(xù)關(guān)注我們的學(xué)習(xí)啦。