必須知道的網路安全知識
相信現在年輕一代中,找不到一個不接觸網路的人。網路雖然是一個虛擬的世界,但是它可以很容易就讓你各種各樣的資訊暴露,甚至威脅到你的人身或財產安全!所以,學習掌握一些網路安全知識對我們來說也是很必要的!
準確地說,關於資訊保安或者資訊保障主要有兩個要素:首先,正確配置系統和網路並且保持這種正確配置,因為這一點很難做到完美;第二個要素就是清楚知道進出網路的流量。這樣的話,當發生嚴重的問題時,你就能檢測出問題錯在。因此,網路安全的主要任務主要包括以下三方面:
保護,我們應該儘可能正確地配置我們的系統和網路
檢測,我們需要確認配置是否被更改,或者某些網路流量出現問題
反應,在確認問題後,我們應該立即解決問題,儘快讓系統和網路回到安全的狀態
縱深防禦
因為我們並不能實現絕對的安全,所以我們需要接受一定級別的風險。風險的定義就是系統漏洞帶來威脅的可能性,風險是很難計算的,不過我們可以通過分析已知的攻擊面、可能被攻擊者獲取或者利用的漏洞等因素來確定大概的風險級別。漏洞掃描器或者滲透測試可以幫助我們衡量或者定義攻擊面,可以幫助我們降低風險以及改進系統安全狀況的方法就是採用多層防禦措施,主要有五種基本因素來建立縱深防禦:
縱深防禦保護方法一般都會採用防火牆將內部可信區域與外部網際網路分離,大多數安全部署都會在伺服器和計算機的郵件儲存和傳送進行防病毒檢測,這意味著所有的內部主機都受到計算機網路基礎設施的相同級別的保護。這是最常見且最容易部署的安全措施,但是從實現高水準資訊保安保障的角度來看,這也是實用率最低的方式,因為所有計算機包含的資訊資產對於企業並不是相等重要的。
受保護的領域,這意味著將內部網路分成若干個子區域,這樣網路就不是一個沒有內部保護的大區域。這可以通過防火牆、、、VLAN和網路訪問控制來實現。
資訊中心
一位早期著名的計算研究員Adm. Grace Hopper曾表示,“將來,在企業資產負債表上的大部分條目中都會出現‘資訊’這兩個字,資訊將會比處理資訊的硬體更加重要。”我們必須理解並且能夠幫助其他人理解資訊的價值。除了非常重要的智慧財產權資訊***如專利、商標、版權等***外,企業記錄資料也越來越重要。想要建立一個資訊為中心的縱深防禦架構,我們必須確定關鍵的有價值的資訊的儲存位置,並且必須確保部署了適當的保護。從過去來看,這是非常昂貴的並且通常被企業忽視這方面的保護,不過根據法律法規的修改,很多企業必須建立定位和標記所有資訊的程式。
威脅向量分析縱深防禦與資訊為中心很類似,它要求我們首先確定我們想要保護的資產***按照優先權的順序***,對威脅可能用於利用漏洞的路徑進行分析確認,並且找出如何對向量部署控制以預防威脅利用漏洞的方法。
基於角色的訪問控制***RBAC***是一種訪問許可權控制方法,企業部署這種控制主要是為了確保只有授權使用者才能訪問指定資料。與其他訪問許可權控制方法不同的是,基於角色的訪問控制為使用者分配了具體的角色,並且根據使用者的工作要求為每種角色設定了許可權。可以給使用者分配任何角色型別以幫助使用者完成每日工作任務。例如,使用者可能需要開發者角色以及分析師角色等。每個角色都會定義不同的許可權以訪問不同的物件。有了網路訪問控制,我們可以將這種控制方法從系統組群擴大到整個企業,這需要更高的配置以及更好的保護。
加密
當縱深防禦措施失效的時候,對於資料的保護就只能靠加密了。加密功能可以是非常強大的:如果企業使用的是現代演算法,且加密資訊得到了非常強大的保護,那麼加密資料就不會被攻擊。但是,我們用於管理加密的程式可能被攻擊,而這使與金鑰管理相關的程式變得非常重要。例如,很多企業購買了全盤加密解決方案,但是如果沒有金鑰的話,就無法修改加密程式。不過位於普林斯頓的研?a href='//' target='_blank'>咳嗽苯?昭芯砍雋舜?a href='//' target='_blank'>記憶體中獲取金鑰的方法,這也使很多廠商的產品受到威脅。主要有三種類型的加密演算法:祕密金鑰、公鑰和hash函式。與私鑰和公鑰演算法不同的是,hash函式***也被稱為資訊摘要或者單向加密***沒有金鑰。固定長度的hash值是基於純文字***可以涵蓋純文字的內容或者長度***來計算的。在加密學中Hash函式的主要應用應用就是資訊完整性,hash值為資訊內容提供了一個數字指紋,這能夠確保資訊不會被攻擊者、病毒或者其他物件所修改。因為兩種不同的文字產生相同的hash值的可能性是非常低的,這也使hash演算法是很有效的。
訪問許可權,身份驗證,授權
有時候也被稱為AAA或者三A,這三個是確保企業安全性的關鍵因素。訪問許可權可以確保只有正確的人才能訪問企業的計算和網路資源。由於密碼是共享的,很多企業使用物理令牌來進行身份驗證,驗證成功後,還需要確保某個使用者只能訪問允許他訪問的資源。
職責分離,服務分離
當人們在處理金錢的時候經常會採用職責分離方法,這樣就能夠減少錯誤的發生。因為資訊也可以很簡單地被購買和兜售,因此資訊也需要採用職責分離這種方式。如果你的系統管理員表示他們的職責不能分離的話,需要讓他們瞭解這樣做的重要性。在過去,伺服器是很昂貴的,通常是在一臺伺服器上執行多個服務。只要這臺伺服器崩潰,在伺服器上執行的多個服務都會失效。後來,大家開始採用一個服務一臺伺服器的方式,郵件伺服器和檔案伺服器等。現在,隨著虛擬機器和服務導向的網路架構的發展,我們又回到了一臺伺服器執行多個服務的年代,甚至執行比以前更多的服務。不過只要部署了適當的措施還是能夠避免錯誤的發生,例如操作分離、災難恢復等等。
端點安全和無處不在的網路
無線網路不斷壯大,只要使用PDA或者先進點的手機就能夠隨時連線到網路。這些裝置也可以通過藍芽與你的電腦或者筆記本進行連線。企業必須確保這些裝置的安全,這也就是所謂的端點安全。不能因為連線到受防火牆和入侵防禦解決方案保護的企業區域網絡,就認為你的處境非常安全。我們需要從無處不在的網路的角度來考慮安全問題。
Web, Web瀏覽器和AJAX
與五年前相比,現在企業可能花費了更多的錢在網路管理員和網路程式設計師身上。大多數軟體程式開發都開始集中在網路傳輸上,這意味著大多數流通於使用者計算機的資訊都是通過網路進行的。但是,很多網路瀏覽器,如IE等,都不是很安全。這也使攻擊者可能利用瀏覽器來攻擊使用者或者計算機。隨著安全成為web瀏覽軟體的關鍵要素,這種問題依然存在,尤其是使用最近開發的支援AJAX的web瀏覽器以及web2.0介面等。
SOA及未來展望
基於網路的程式是很難創造和維護的,因為它們提供非常多的功能。例如,如果你有一個網路股票交易帳戶,你可以研究、交易、執行財務報表甚至進行網上銀行業務。 為了管理複雜性並且能夠讓產品更快進入市場,企業都開始學院創造原子服務,也叫做SOA***面向服務的架構***,這也許將會成為支援關鍵應用程式的主要工具。如果你的企業需要一個服務,它將會諮詢一個稱為UDDI的目錄來找到服務。這與使用Google等搜尋引擎市議員的。
SOA比常見web伺服器提供和暴露更多的業務邏輯,如果你想要客戶端程式找到你,就需要把所有你提供的服務放入目錄中。未來的安全戰場就轉移到以SOA為中心。
總結
網路的安全問題,應該像每家每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。希望大家多多學習網路安全的知識,儘可能少的避免困擾。