等級保護關鍵技術有以下這些:
可信計算技術:可信計算/可信用計算(Trusted Computing,TC)是一項由可信計算組(可信計算集群,前稱為TCPA)推動和開發的技術。
強制訪問控制:在計算機安全領域指一種由操作系統約束的訪問控制,目標是限制主體或發起者訪問或對對象或目標執行某種操作的能力。
審計追查技術:從數據處理的結果開始逆向追溯到源數據,用于審核和發現錯誤。
結構化保護技術:對安全策略模型進行了明確的定義和形式化的描述,要求可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。
多級互聯技術:是由大量的基本交換模塊按照特定的拓撲結構相互連接構成,形成一個更大規模的能夠進行信元交換的交換網絡。
網絡安全包含網絡設備安全、網絡信息安全、網絡軟件安全,是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。
避免電腦被安裝木馬程序
安裝殺毒軟件和個人防火墻,并及時升級;可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具;不要執行任何來歷不明的軟件;對陌生郵件要殺毒后,再下載郵件中的附件;經常升級系統和更新病毒庫;非必要的網站插件不要安裝;定期使用殺毒軟件查殺電腦病毒。
日常生活中保護個人信息
不要在社交網站類軟件上發布火車票、飛機票、護照、照片、日程、行蹤等;在圖書館、打印店等公共場合,或是使用他人手機登錄賬號,不要選擇自動保存密碼,離開時記得退出賬號;從常用應用商店下載 APP, 不從陌生、不知名應用商店、網站頁面下載 APP; 填寫調查問卷、掃二維碼注冊盡可能不使用真實個人信息。
注意預防個人信息泄露
需要增強個人信息安全意識,不要輕易將個人信息提供給無關人員;妥善處置快遞單、車票、購物小票等包含個人信息的單據;個人電子郵箱、網絡支付及銀行卡等密碼要有差異。
收快遞時要撕毀快遞箱上的面單。
在注冊時,盡可能不使用個人信息 (名字、出生年月等) 作為電子郵箱地址或是用戶名,容易被撞庫破解。
防止瀏覽行為被追蹤
可以通過清除瀏覽器 Cookie 或者拒絕 Cookie 等方式防止瀏覽行為被追蹤。
在安全網站瀏覽資訊;對陌生郵件要殺毒后,再下載郵件中的附件;下載資源時,優先考慮安全性較高的綠色網站。
有一些游戲會過度收集個人信息,如:家庭地址、身份證照片、手機號等,仔細閱讀實名信息,僅填寫必要實名信息,不能為了游戲體驗而至個人信息安于不顧。
網上購物時確保你的信息安全
網上購物時,確定你采用的是安全的連接方式。你可以通過查看瀏覽器窗口角上的閉鎖圖標是否關閉來確定一個連接是否安全。在進行任何的交易或發送信息之前閱讀網站的隱私保護政策。因為有些網站會將你的個人信息出售給第三方。在線時不要向任何人透露個人信息和密碼。
防止黑客攻擊
首先,使用個人防火墻防病毒程序以防黑客攻擊和檢查黑客程序 (一個連接外部服務器并將你的信息傳遞出去的軟件)。個人防火墻能夠保護你的計算機和個人數據免受黑客入侵,防止應用程序自動連接到網站并向網站發送信息。其次,在不需要文件和打印共享時,關閉這些功能。文件和打印共享有時是非常有用的功能,但是這個特性也會將你的計算機暴露給尋找安全漏洞的黑客。一旦進入你的計算機,黑客就能夠竊取你的個人信息。
防止電腦中毒
首先,不要打開來自陌生人的電子郵件附件或打開及時通訊軟件傳來的文件。這些文件可能包含一個特洛伊木馬程序,該程序使得黑客能夠訪問你的文檔,甚至控制你的外設,你還應當安裝一個防病毒程序保護你免受病毒、特洛伊木馬程序和蠕蟲侵害。
信息系統安全等級保護應當遵循以下基本原則:
最小特權原則
最小特權原則是信息系統安全的最基本原則。最小特權原則的實質是任何實體僅擁有該主體需要完成其被指定任務所必需的特權,此外沒有更多的特權。最小特權可以盡量避免將信息系統資源暴露在侵襲之下,并減少因特別的侵襲造成的破壞。建立阻塞點原則
阻塞點就是在網絡系統對外連接通道內,可以被系統管理人員進行監控的連接控制點。在那里系統管理人員可以對攻擊者進行監視和控制。縱深防御原則
安全體系不應只依靠單一安全機制和多種安全服務的堆砌,而應該建立相互支撐的多種安全機制,建立具有協議層次和縱向結構層次的完備體系。通過多層機制互相支撐來獲取整個信息系統的安全。在網絡信息系統中常常需要建立防火墻,用于網絡內部與外部以及內部的子網之間的隔離,并滿足不同程度需求的訪問控制。但不能把防火墻作為解決網絡信息系統安全問題的唯一辦法,要知道攻擊者會使用各種手段來進行破壞,甚至有的手段是無法想象的。這就需要采用多種機制互相支持,例如,安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強保安教育和安全管理,只有這樣才能更好她抵御攻擊者的破壞。監測和消除最弱點連接原則
系統安全鏈的強度取決于系統連接的最薄弱環節的安全態勢。防火墻的堅固程度取決于它最薄弱點的堅固程度。侵襲者通常是找出系統中最弱的一個點并集中力量對其進行攻擊。系統管理人員應該意識到網絡系統防御中的弱點,以便采取措施進行加固或消除它們的存在,同時也要監測那些無法消除的缺陷的安全態勢,對待安全的各個方面要同樣重視而不能有所偏重。失效保護原則
安全保護的另一個基本原則就是失效保護原則。一旦系統運行錯誤,當其發生故障必須拒絕侵襲者的訪問,更不允許侵襲者跨人內部網絡。當然也存在一旦出現故障,可能導致合法用戶也無法使用信息資源的情況,這是確保系統安全必須付出的代價。普遍參與原則
為了使安全機制更為有效,絕大部分安全系統要求員工普遍參與,以便集思廣益來規劃網絡的安全體系和安全策略,發現問題,使網絡系統的安全設計更加完善。一個安全系統的運行需要全體人員共同維護。防御多樣化原則
像通過使用大量不同的系統提供縱深防御而獲得額外的安全保護一樣,也能通過使用大量不同類型、不同等級的系統得到額外的安全保護。如果配置的系統相同,那么只要知道如何侵入一個系統,也就會知道如何侵入所有的系統。簡單化原則
簡單化作為安全保護策略有兩方面的含義:一是讓事物簡單便于理解;二是復雜化會為所有的安全帶來隱藏的漏洞,直接威脅網絡安全。動態化原則
網絡信息安全問題是一個動態的問題,因此對安全需求和事件應進行周期化的管理,對安全需求的變化應及時反映到安全策略中去,并對安全策略的實施加以評審和審計。服務器系統部署補丁前需要準備以下這些:
閱讀補丁聲明:在運行補丁程序之前,一定要仔細閱讀有關的說明文檔,充分了解補丁的功能、用法、對應漏洞的情況,對安裝補丁后發生的后果要做到心中有數。然后根據企業的網絡環境進行分析,判斷可能產生的風險,根據漏洞的緊急情況,判斷是否需要安裝補丁。需要提前做好預備工作,確保在補丁安裝完成后出現的問題,有高效、快捷、安全的補救措施。
備份相關數據:在安裝補丁之前,最好將相關的文件進行備份,以免造成錯誤,丟失重要數據或者導致系統無法正常運行。如果是針對操作系統的補丁,則應確保補丁具備“回滾”功能。
按需下載補丁:注意補丁程序對應的操作系統和應用軟件的版本。很多補丁都是針對某個特定的操作系統和應用軟件版本而開發的,使用的時候要下載與操作系統版本、語言類型、應用程序匹配的補丁程序。
下載安全補丁:補丁的來源一定要安全,必須到可靠的平臺下載,或者到有安全認證的供應商那里獲取相關的補丁程序,防止被惡意修改,或者在補丁中嵌入了“木馬”。建議到官方的網站和信譽較好的網站下載補丁安裝或者在線安裝補丁,一方面可以保證下載的補丁是安全有效的,另外可以保證補丁安裝包的時效性。
選擇安裝模式:通常情況下,用戶可以通過在線安裝和先下載后安裝兩種方式進行系統更新。另外,對于使用Windows操作系統的局域網用戶而言,微軟還免費提供了WSUS服務,可供管理員同時管理整個網絡的計算機系統更新情況,非常方便。
計算機病毒的起源:
科學幻想起源說:1977年,美國科普作家托馬斯·丁·雷恩推出了轟動一時的《P-1的青春》一書。作者構思了一種能夠自我復制,利用信息通道傳播的計算機程序,并稱之為計算機病毒。這是世界上第一個幻想出來的計算機病毒。人類社會有許多現行的科學技術,都是在先有幻想之后才成為現實的。因此,不能否認這本書的問世對計算機病毒的產生所起的催化作用。
惡作劇起源說:惡作劇者大多是那些對計算機知識和技術均有興趣的人,并且特別熱衷那些別人認為是不可能做成的事情,因為他們認為世上沒有做不成的事。這些人或是要顯示一下自己在計算機知識方面的天賦,或是要報復一下他人或單位。這其中前者是無惡意的,所編寫的計算機病毒也大多不是惡意的,只是和對方開個玩笑,顯示一下自己的才能以達到炫耀的目的。后者的出發點則多少有些惡意成分在內,所編寫的病毒往往比前者的破壞性要大一些,世界上流行的許多計算機病毒是惡作劇者的產物。
游戲程序起源說:20世紀70年代,計算機在社會上還沒有得到廣泛的普及應用,美國貝爾實驗室的計算機程序員為了娛樂,在自己實驗室的計算機上編制吃掉對方程序的程序,看誰先把對方的程序吃光,有人猜測這是世界上第一個計算機病毒。
軟件商保護軟件起源說:計算機軟件是一種知識密集型的高科技產品,由于對軟件資源的保護不盡合理,使得許多合法的軟件被非法復制,從而使得軟件制造商的利益受到了嚴重的侵害,因此,軟件制造商為了處罰那些非法復制者,在軟件產品之中加入計算機病毒程序并由一定條件觸發并傳染。
文件共享技術容易帶來的風險包括:
安裝惡意代碼
當使用 P2P 應用程序時,很難驗證文件的來源是否可信。這些應用程序經常被攻擊者用來傳輸惡意代碼。攻擊者可能會在文件中加入間諜軟件、病毒、特洛伊木馬或蠕蟲。當我們下載文件時,計算機可能會受到感染。
暴露敏感或個人信息
通過使用 P2P 應用程序,我們可能會允許其他用戶訪問個人信息。無論是因為某些目錄可以訪問,還是因為我們向認為值得信賴的個人或組織提供了個人信息,未經授權的人可能能夠訪問我們的財務或醫療數據、個人文檔、敏感的公司信息或其他個人信息。一旦信息暴露給未經授權的人,就很難知道有多少人訪問過它。此信息的可用性可能會增加我們的身份盜用風險。
易受攻擊
某些 P2P 應用程序可能會要求打開防火墻上的某些端口以傳輸文件。但是,打開其中一些端口可能會使攻擊者訪問我們的計算機或使他們能夠利用 P2P 應用程序中可能存在的任何漏洞來攻擊我們的計算機。有一些 P2P 應用程序可以在不知情的情況下自行修改和穿透防火墻。
拒絕服務
下載文件會導致網絡上的大量流量。此活動可能會降低我們計算機上某些程序的可用性,或者可能會限制我們訪問 Internet。
法律爭議
通過 P2P 應用程序共享的文件可能包括盜版軟件、受版權保護的材料或色情內容。如果我們下載這些,即使是在不知情的情況下,我們也可能面臨罰款或其他法律訴訟。如果我們的計算機在公司網絡上并暴露了客戶信息,我們和我們的公司都可能承擔責任。
避免風險可以使用以下方法:
使用和維護防病毒軟件
防病毒軟件可識別并保護我們的計算機免受大多數已知病毒的侵害。但是,攻擊者會不斷編寫新病毒,因此讓我們的防病毒軟件保持最新非常重要。
安裝或啟用防火墻
防火墻可能能夠通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。某些操作系統實際上包含防火墻,但我們需要確保已啟用它。
針對傳感器網絡的主要攻擊手段有以下這些:
竊聽攻擊:竊聽是一種被動的信息收集方式。攻擊者隱藏在感知網絡通信范圍內,使用專用設備收集來自感知設備的信息,不論這些信息是否加密。
偽造攻擊:攻擊者使用竊聽到的信息,仿制具有相同信號的傳感器節點,并使用偽造的傳感器節點設備在系統網絡中使用。
重放攻擊:重放也稱為回放攻擊,攻擊者用特定裝置截獲合法數據,然后使用非法設備把該數據加入重發,使非法設備合法化,或者誘導其他設備進行特定數據傳輸,獲取敏感數據。
拒絕服務攻擊:攻擊者在感知網絡中注入大量的偽造數據包,占用數據帶寬,淹沒真實數據,浪費網絡中感知設備有限的數據能力,從而使真正的數據得不到服務。
通信數據流分析攻擊:攻擊者使用特殊設備分析系統網絡中的通信數據流,對信息收集節點進行攻擊,使節點癱瘓,從而導致網絡局部或者整個網絡癱瘓。
物理攻擊:傳感器設備大多部署在無人值守環境,并且為適應低成本需要,這些感知設備的外部機殼材料等都沒有太高的防護性,容易受到拆卸、損壞等物理方面的攻擊。
加強傳感器網絡安全的防護手段有以下這些:
信息加密:對通信信息進行加密,即對傳感器網絡中節點與節點之間的通信鏈路上的通信數據進行加密,不以明文數據進行傳輸,即使攻擊者竊聽或截取到數據,也不會得到真實信息。
數據校驗:數據接收端對接收到的數據進行校驗,檢測接收到的數據包是否在傳輸過程中被篡改或丟失,確保數據的完整性。優秀的校驗算法不僅能確保數據的完整性,也能夠確保攻擊者的重放攻擊,從假數據包中找到真實數據包,防御“拒絕服務”攻擊。
身份認證:為確保通信一方或雙方的真實性,要對數據的發起者或接收者進行認證。這就好比阿里巴巴的咒語,只有知道咒語的人,門才能打開。認證能夠確保每個數據包來源的真實性,防止偽造,拒絕為來自偽造節點的信息服務,防御對數據接收端的“拒絕服務”攻擊等。
擴頻與跳頻:固定無線信道的帶寬總是有限的,當網絡中多個節點同時進行數據傳輸時,將導致很大的延遲及沖突,就像單車道一樣,每次只能通過一輛車,如果車流量增大,相互搶道,那么將導致堵車;同時其信道是固定的,即使用固定的頻率進行數據的發送和接收,很容易被攻擊者發現通信的信道,并進行竊聽、截取通信信息。在無線通信中使用擴頻或跳頻,雖然兩個節點通信時還是使用單一的頻率,但是每次通信的頻率都不相同,而別的節點就可以使用不同的頻率進行通信,即增加了通信信道,可以容納更多的節點進行同時通信,減少沖突和延遲,也可以防御攻擊者對通信鏈路的竊聽和截取。在擴頻或跳頻技術中,使用“說前先聽[Listen Before Talk(LBT)]”的機制,即要發送數據之前,對準備使用的頻率進行監聽,確認沒有別的節點在使用該頻率后,才在這個信道(頻率)上發送數據,不然就監聽下個頻率,依次類推。
安全路由:傳統網絡的路由技術主要考慮路由的效率、節能需求,但是很少考慮路由的安全需求。在傳感器網絡中,節點和節點通信、節點和基站通信、基站和基站通信、基站和網關(后臺系統)通信都涉及路由技術。在傳感器網絡中要充分考慮路由安全,防止節點數據、基站數據泄露,同時不給惡意節點、基站發送數據,防止惡意數據入侵。
入侵檢測:簡單的安全技術能夠識別外來節點的入侵而無法識別那些被捕獲節點的入侵。因為這些被捕獲的節點和正常的節點一樣,具有相同的加/解密、認證、路由機制。安全防護技術要能夠實現傳感器網絡的入侵檢測,防止出現由于一個節點的暴露而導致整個網絡癱瘓的危險。
虛擬化和云計算的安全需求如下:
虛擬化帶來的虛擬機的系統安全:虛擬化在今天對于多數信息化工作者來說已經不陌生了,這道理很簡單,本來服務器主機的利用率就不是很高,如果遇到異構的環境,用虛擬機來解決是一個既經濟又便捷的方法,所以得到了多數擁躉的喜愛。但是,問題也來了,無端開了這么多虛擬機,如果一個系統感染了病毒,其他系統是否會受到牽連,隔離工作能否做好,甚至后臺的存儲與數據信息是否受影響。如果虛擬機系統崩潰了,是否會對其他虛擬機有影響,這是一個很現實的問題。
云計算如何保證自身關鍵業務數據的安全:云計算是當下最熱門的話題,把自己的業務放到云端數據中心去,系統內的用戶可以輕松共享,很方便。這看上去挺美,但是安全問題呢,萬一數據泄密呢?這是每個CIO都擔心的問題,這個問題既是安全問題,又是信息化的規劃問題,而且要相應人員熟悉云計算的方方面面,到底是拿哪一層做虛擬,怎么來做。這些問題對安全廠商來說既是機遇,又是挑戰。
電子商務的興起帶來的身份認證安全、個人信息安全和交易安全:電子商務成為互聯網的一個重要發展方向,目前,每年全國網絡產生的交易額已經占到全年所有交易總額的9%,許多貴重的大件物品也有在網絡上面交易的趨勢。因此電子商務交易安全就成為非常迫切的問題,而在這方面,用戶的安全防護卻顯得非常薄弱,個人交易密碼被盜,網站或者銀行數據庫信息泄露問題層出不窮,成為新的安全熱點。
移動用戶對傳統網絡的沖擊帶來的安全問題:隨著智能手機的普及和移動互聯網的發展,移動終端的安全問題正在挑戰傳統的網絡攻防體系。大家知道,以前傳統的安全防護是守住服務器的端口,用防火墻和流量監控等鑄成一道“馬奇諾防線”,這樣什么郵件服務器,數據庫服務器,以及外面的各種攻擊都會被拒之門外。但是,當移動互聯網融入常規網絡后,攻擊由以前的平面變成立體的了。許多郵件病毒或者攻擊程序是從手機或者PDA引入的,這使得常規的防護體系面臨巨大的挑戰。
數據中心與云存儲帶來的信息安全:十年前建設的數據中心,不但設備老化了,就是整體的架構已經不能適應發展了。每天產生的海量數據如何存儲,無限制地擴充自己的硬件設備是不現實的。那么,只能試試云存儲,但是,當數據紛紛移到云端的時候,安全問題馬上又來了。是不是傳統的數據中心要壽終正寢了?新的節能高效的數據中心如何構建,這是一個令人頭痛的問題。
計算機等級保護需要以下這些資質:
對于承建等保建設項目的公司、企業單位有要求,要求其具備《計算機信息系統企業集成資質證書》。因國家對于等級保護建設的性質定義為計算機信息系統集成類工程,所以要求等級保護承建單位必須具備該項資質認證。
對于等級保護測評服務機構或單位有要求,要求其具備認可的測評服務單位資質認證。對具備測評能力的企業授予了等級保護測評資質認證,只有具備該資質認證的企業才能對等級保護建設業主單位進行測評,所出具的測評報告才能具備等級保護測評效力。
對于測評機構的測評人員有要求,要求其具備認可的等級保護測評服務人員資格認證,并且最終的測評報告也必須由具備該項資格認證的技術人員出具才具備效力。
對于安全產品資質有要求,必須為國產品牌產品,且具備信息安全專用產品銷售許可證。只有具備頒發的信息安全專用產品銷售許可證的安全產品才能夠通過等級保護測評并進行備案。無該項資質證書的安全產品不符合國家標準,更不能通過等級保護測評。另外,安全產品的操 作系統要求符合保護等級操作系統同級要求,安全產品的操作系統也必須使用自主研發的安全操作系統,不能使用普通操作系統或未經加固的操作 系統。
對于安全產品制造廠商,雖然沒有硬性明確要求,但是考慮到等級保護建設需要安全產品廠商提供高質量的產品、技術和服務才能保障等級保護 測評的順利通過,所以一般要求安全產品制造廠商為國內主流品牌,能夠提供全面的產品線(同一品牌設備),具備安全行業內的相關資質認證。
管理員確保無線局域網接入安全的措施有以下這些:
設置SSID。SSID是無線局域網的網絡名稱,通常用于區分不同的網絡。無線設備或用戶接入網絡之前必須提供匹配的SSID,否則無法接入。SSID類似于一個簡單的口令,阻止非法用戶的接入,保障無線局域網的安全。另外,還需要禁止無線設備的SSID廣播功能。
配置MAC地址訪問控制列表。每個網絡設備或計算機的網卡都有一個唯一的MAC地址,因此通過配置MAC地址訪問控制列表,可以確保只有經過注冊的設備才可以接入網絡,阻止未經授權的無線用戶接入。
配置WEP加密。WEP加密主要是針對無線網絡中傳輸的數據而言的,可以用于保護鏈路層數據的安全。WEP使用40位鑰匙,采用RSA開發的RC4對稱加密算法,在鏈路層加密數據。
配置802.1x認證。當無線設備或用戶進入無線局域網之前,可以通過802.1x認證決定是否允許其繼續訪問。如果認證通過,則AP為無線工作站打開這個邏輯端口,否則不允許接入。
采用無線加密協議防止未授權用戶:保護無線網絡安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。許多無線設備商為了方便安裝產品,交付設備時關閉了WEP功能。
NIST云計算參考架構中定義了以下參與者:
云提供者:云提供者是負責向云消費者提供可用服務的個人、組織或實體。在SaaS層面,云提供者負責安裝、管理和維護云基礎設施中的軟件應用程序。在PaaS層面,云提供者為平臺的消費者配置和管理云基礎設施和中間件,向其提供開發、部署和管理工具。在IaaS層面,云提供者為IaaS消費者配置和管理計算資源、存儲資源、網絡資源及宿主環境等云基礎設施。
云消費者:云消費者與云提供者維持業務關系,是使用云提供者服務的個人或組織。在SaaS層面,消費者使用應用程序或操作業務流程。在PaaS層面,消費者使用服務或平臺開發、部署、測試和管理托管于云平臺中的應用程序。在IaaS層面,消費者創建、安裝、管理并監控作為IT基礎設施操作的服務。
云代理:云代理是一個能夠協調云提供者和云消費者兩者關系的實體。云代理的目標是提供給云消費者一個更加貼合需求的服務。這可以通過簡化及提升服務和契約,集合多重云服務或提供有附加價值的服務器來實現。云代理公司可以被考慮作為一個特殊的云供應商。
云審計者:云審計者是能夠對云服務棧的性能和安全性等進行中立評估的機構或實體,并且保證相應的服務水平協議是完整的。細節和審查過程范圍一般都在服務契約上有詳細說明。
云載體:云載體是云服務提供商向云消費者提供云服務時所使用的連接和傳輸媒介。
企業要改善云安全需要遵循以下規則:
不要忽視開發人員的憑證:作為每天掃描數以百萬計的公共和私人代碼存儲庫的企業,再怎么強調健全的憑證策略的重要性也不為過。企業應該確保其開發人員至少只使用短期憑證,并最終投入所需的時間來完成一個完整的設置,其中包括管理(如保險庫)和檢測。
始終查看默認配置:云計算提供商預先配置了通用的訪問控制策略。這些策略很方便,但經常會發生變化,因為正在引入新服務,它們不一定符合企業的需求。企業可以通過選擇退出不必要或未使用的服務來減少網絡攻擊面。
列出可公開訪問的存儲:很多人在新聞中了解到一些云存儲被開放并公開訪問的消息。無論企業為對象和數據選擇哪種存儲方法,需要檢查是否只有預期的組件可以公開訪問。
定期審核訪問控制:云安全與企業的身份和訪問管理策略一樣強大。基于身份的安全系統逐漸占據主導地位,形成了所謂的“零信任”策略的基礎。但就像其他事情一樣,這些政策將被修改。實施最小特權原則是一個積極的過程,涉及微調對服務、系統和網絡的訪問。企業應該定期安排人工檢查和自動檢查并嚴格執行。
利用網絡結構:同樣的規則也適用于網絡企業應該利用云計算提供商的控制來構建更好的、細粒度的策略來仔細劃分流量。
預防性記錄和監控:如果沒有強大的監控和日志記錄,就無法實現良好的安全性。基于風險的日志記錄策略是必須的,但最重要的是,企業應該確保警報不僅已啟用且正常工作,而且是可操作的,而不是在安全事件發生后查看的內容。在理想情況下,企業應該能夠通過API或其他機制在其日志系統上聚合云日志。
豐富資產清單:使用供應商的API來減輕庫存管理的艱巨任務固然不錯,但是通過有關所有權、用例和敏感性的額外信息來豐富這一點會更好。企業需要在策略中考慮它。
防止域名劫持:云服務和DNS條目之間經常存在傳遞信任。企業需要定期檢查其DNS和云配置,以防止出現接管情況。
災難恢復計劃不是可選的:云計算環境不會自動解決災難恢復(DR)問題。企業考慮什么級別的投資適合其云計算環境中的災難性事件,并且設計一個災難恢復(DR程序以從外部帳戶、提供商或語言環境中恢復。
限制人工配置:利用云原生安全工具和控制意味著自動化。需要記住,漏洞源于錯誤配置,而錯誤配置就是一種錯誤。需要完成的人工工作越多,錯誤潛入的漏洞就越多。企業需要推動其團隊實現更多自動化,盡可能使用安全即代碼并逐步強制執行不變性(不再可能人工配置)。
網絡監聽技術可以監視獲取網絡的狀態、數據流動情況以及網絡中傳輸的信息等,使得網絡管理人員可以用監聽技術來進行網絡管理、排除網絡故障。網絡監聽主要分為兩種:
主動監聽
主動株式合法監聽技術一般通過內置于通信服務提供商網絡的設備和軟件來實現,其包括安裝于傳統的 或基于軟件的 交換機、 路由器中的合法監聽模塊和中介設備 (mediation device)兩個部分.在主動式合法監聽技術中,通信服務提供商接到合法監聽指令后,會讓專業人員激活中介設備,對特定目標的通信進行監聽。被監聽的通信隨后被傳輸至中介設備,中介設備按照一定的協議將其打包并發送至執法機構。
被動監聽
被動式合法監聽技術一般通過探針(probe)來實現。探針獨立于通信服務提供商網絡,通常被安裝于網絡邊緣巾非網絡內部。 通信服務提供商接到合法監聽指令后, 會激沽探針對特定目標的通信進行監聽。探針主要針對IP通信,也可針對傳統的電路交換域。探針可針對合法監聽指令上提到的電話號碼、IP地址URL等展開搜索,也可使用深度包檢測(DPI)技術來”挑出”SIP等信令協議,抓取或映射通信元數據及通信內容。
兩種類型合法監聽技術的簡要對比
主動式合法監聽技術和被動式合法監聽技術各有千秋。例如:從成本上講,前者涉及多種類型的設備和龐大的軟硬件投資,成本較高,而后者的成本相對較低;從可擴展性上講,前者可以很容易地處理網絡速度猛增的情況, 而后者的可擴展性相對較差。
在局域網絡中使用VLAN技術具有以下重要意義:
降低移動和變更的管理成本:VLAN中的成員與其物理位置無關,既可連接至同一臺交換機,也可連接至不同交換機。當需要把一臺計算機從一個子網轉移到另一個子網時,遷移工作將只是由網絡管理員在作為網絡管理的計算機上重新定義一下VLAN成員即可。
控制廣播:由于所有的廣播都只在本VLAN內進行,而不再擴散到其他VLAN上,所以將大大減少廣播對網絡帶寬的占用,提高帶寬傳輸效率,并可有效地避免廣播風暴的產生。
增強安全性:VLAN的一個就是提高了網絡安全性。由于交換機只能在同一VLAN內的端口之間交換數據,不同VLAN的端口不能直接相互訪問。因此通過劃分VLAN,就可以在物理上防止某些非授權用戶訪問敏感數據。
網絡監督和管理的自動化。由于網絡管理員可以通過網管軟件,查到VLAN間和VLAN內通信的數據報的細目分類信息,以及應用數據報的細目分類信息,而這些信息對于確定路由系統,和經常遭到訪問的服務器的最佳配置十分有用。通過劃分VLAN,這可以使網絡管理變得更簡單、更輕松、更有效。
增強靈活性:通過虛擬局域網的技術,可以在不同地域、網絡以及客戶之間很好的集中在一起,這樣就給大家提供一個通過虛擬出來的網絡空間,它的效果可以和路由器一樣,變得方便靈活,效率高。
下面按優先級從高到低的順序總結一下各種運算符,每一條所列的各運算符具有相同的優先級,對于同一優先級的多個運算符按什么順序計算也有說明,雙目運算符就簡單地用“左結合”或“右結合”來說明。
標識符、常量、字符串和用()括號套起來的表達式是組成表達式的最基本單元,在運算中做 操作數,優先級最高。
后綴運算符,包括數組取下標[]、函數調用()、結構體取成員.、指向結構體的指針取成員- >、后綴自增++、后綴自減–。如果一個操作數后面有多個后綴,按照離操作數從近到遠的順序 (也就是從左到右)依次運算,比如a.name++,先算a.name,再++,這里的.name應該看成a的 一個后綴,而不是把. 看成雙目運算符。
單目運算符,包括前綴自增++、前綴自減–、 sizeof、類型轉換()、取地址運算&、指針間接 尋址*、正號+、負號-、按位取反~~、邏輯非! 。如果一個操作數前面有多個前綴,按照離操作數從近到遠的順序(也就是從右到左)依次運算,比如!~a,先算a,再求!。
乘*、除/、模%運算符。這三個運算符是左結合的。 5、加+、減-運算符。左結合。
移位運算符<<和>>。左結合。
關系運算符< > <= >=。左結合。
相等性運算符==和!=。左結合。
按位與&。左結合。
按位異或^。左結合。
按位或|。左結合。
邏輯與&&。左結合。
邏輯或||。左結合。
條件運算符:?。在第 2 節 “if/else語句”講過Dangling-else問題,條件運算符也有類似的問 題。例如a ? b : c ? d : e是看成(a ? b : c) ? d : e還是a ? b : (c ? d : e) ? C語言規 定是后者。
賦值=和各種復合賦值(*= /= %= += -= <<= >>= &= ^= |=)。右結合。
逗號運算符。左結合。
