X0_0X 的所有回復(713)
排序:
排序:
評論于 1年前,獲得 0 個贊
評論于 1年前,獲得 0 個贊
滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法,是指滲透人員在不同的位置利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
滲透測試是為了證明網絡防御按照預期計劃正常運行而提供的一種機制,具體流程階段如下:
前期交互階段。
該階段通常是用來確定滲透測試的范圍和目標。
情報收集階段。
該階段需要采用各種方法來收集目標主機的信息。
威脅建模階段。
該階段主要是使用信息搜集階段所獲得的信息,來標識目標系統有存在可能存在的安全漏洞與弱點的方法之一。
漏洞分析階段。
該階段將綜合從前面幾個環節中獲取到的信息,從中分析理解那些攻擊和用途徑是可行的,特別是需要重點分析端口和漏掃描結果,截獲到服務的重要信息,以及在信息收集環節中得到其他關鍵性的位置信息。
滲透攻擊階段。
該階段可能是存在滲透測試過程中最吸引人的地方,然后在這種情況下,往往沒有用戶所預想的那么一帆風順,而是曲徑通幽,在攻擊目標系統主機時,一定要清晰的了解在目標系統存在這個漏洞,否則,根本無法啟動攻擊成功的步驟。
后滲透測試階段。
該階段在任何一次滲透過程中都是一個關鍵環節,該階段將以特定的業務系統作為目標,識別出關鍵的基礎設施,并尋找客戶組織罪具有價值和嘗試進行安全保護的信息和資產。
滲透測試報告。
報告是滲透測試過程中最重要的因素,使用該報告文檔可以交流滲透測試過程中國做了什么,如何做的以及最為重要的安全漏洞和弱點。
評論于 2年前,獲得 0 個贊
想知道怎么繞過WAF就要先知道什么是WAF吧,WAF就是Web應用防火墻,Web Application Firewall的簡稱。WAF雖強但不是無懈可擊的,作為攻擊者,我們要清楚我們利用哪方面來進行繞過,無非就是Web容器的特性、Web應用層的問題、WAF自身的問題、數據庫的一些特性這個幾個點。我這里就不具體介紹過程了,給你介紹幾個思路你去試一下,第一可以從數據提取方式存在缺陷,某些WAF從數據包中提取檢測特征的方式存在缺陷,如正則表達式不完善,某些攻擊數據因為某些干擾字符的存在而無法被提取。第二就是從數據清洗方式不正確,當攻擊者提交的參數值中存在大量干擾數據時,如大量空格、TAB、 換行、%0C、 注釋等,WAF需要對其進行清洗,但是,如果清洗方式不正確,會導致真正的攻擊部分被清洗,然后拿去檢測的是不含有攻擊向量的數據,從而被繞過。最后就是從規則通用性問題入手,比如對SQL注入數據進行清洗時,WAF一般不能知道后端數據庫是MySQL還是SQL Server,那么對于MySQL 的!50001Select來說,這是一個Select的命令,而對于SQL Server來說,這只不過是一個注釋而已,注釋 的內容為50001Select。尤其是對于通用性WAF,這一點相當難做,很難去處理不同數據庫的特性之間的問題。基本從這三個思路入手通用性WAF繞過難度不是很大,但是要是專殺WAF那可能會有點難度但是也不是不能繞過,就看你想不想細細琢磨。
研究WAF的繞過手段,是為了更好的提升WAF的防御能力。而不是為了進行攻擊,這里說幾種防止繞過的幾種辦法,第一種就是Baypass waf這個還是很常用的具體去百度一下。第二種技術就是Defense,這里常用的是Type繞過防御機制,其他的還有很多也可以去研究一下。
評論于 2年前,獲得 0 個贊
第一步,需要準備一個存在后門的Powershell腳本,將其上傳到VT(virustotal.com)進行掃描,有29個AV引擎報毒。
第二步使用Xencrypt進行免殺處理,首先載入Xencrypt腳本,輸入命令“Import-Module xencrypt.ps1”,Xencrypt載入。
第三步開始免殺處理“Invoke-Xencrypt -InFile .\payload.ps1 -outfiletest.ps1”,對“payload.ps1”腳本進行免殺處理,輸出免殺之后的腳本“test.ps1”。
免殺之后的腳本“test.ps1”生成后,將其上傳到VT進行檢測,僅僅2個AV引擎報毒,其效果還是非常不錯的
評論于 1年前,獲得 0 個贊
用于事后分析的入侵檢測方法是完整性分析。入侵檢測一般通過三種技術手段進行分析模式匹配,統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測以前從未出現過的黑客攻擊手段。
統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值如果超過了正常值范圍,就認為有入侵發生。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,這在前面入侵檢測的分類中已經提到。下面只對統計分析的模型做以介紹。
完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被修改成類似特洛伊木馬的應用程序方面特別有效。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是有入侵行為導致了文件或其他對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用于實時響應。
評論于 11個月前,獲得 0 個贊
應用層網關代理的缺點有四點:
處理效率慢
斷掉所有的連接,由防火墻重新建立連接,理論上可以使應用代理防火墻具有極高的安全性。但是實際應用中并不可行,因為對于內網的每個Web訪問請求,應用代理都需要開一個單獨的代理進程,它要保護內網的Web服務器、數據庫服務器、文件服務器、郵件服務器,及業務程序等,就需要建立一個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內網用戶的正常Web訪問不能及時得到響應。
難于配置
由于每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,并能合理的配置安全策略,由于配置繁瑣,難于理解,容易出現配置失誤,最終影響內網的安全防范能力。
局限性大
應用層防火墻對每個協議(如HTTP、MTP等)都需要單獨的代理程序,因此它對新的網絡程序或網絡協議的支持很有局限性。雖然大多數防火墻廠商為了應對未定義的網絡協議或應用程序都提供了一般的代理程序,但在這種情況下,它往往會完全允許流量通過防火墻,而忽略很多應用層防火墻應做的操作。相比之下,狀態包檢測防火墻和包過濾防火墻一樣,只會對網絡性能造成很小的影響,因而可以實現對應用程序的透明和獨立。隨著客戶端或代理數目的增加,可擴充性也成為了的問題。應用層防火墻通常需要網絡中的客戶端安裝專門的軟件或更改某些配置,以便能夠連接到應用代理。這在一個大的網絡里會造成非常大的影響。為了減輕防火墻的負載壓力,在對那些及時性要求不高的服務(如e-mail服務以及大部分的網絡流量)進行安全處理的時候,可能會需要對部署專門的代理服務器,從而也增加了全部費用。
資源占用多
如果所有進站和出站的網絡流量都需要在應用層上進行檢測,那么數據在檢測前就必須首先通過OSI的七層,而包過濾型和全狀態包檢測型防火墻在只網絡層對流量進行檢測。由于防火墻對數據包進行讀取和解析必然消耗CPU周期,尤其是解析過程特別耗費CPU資源,所以很有可能形成網絡性能的障礙。這也意味著應用層防火墻更容易受到分布式拒絕服務攻擊,因此不太適合高帶寬或實時應用程序。而它也很可能會成為操作系統里的安全漏洞。
應用層網關代理的優點
應用代理網關防火墻徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火墻對外網的訪問,然后再由防火墻轉發給內網用戶。其優勢是可以檢查應用層、傳輸層和網絡層的協議特征,對數據包的檢測能力比較強。應用層防火墻可以檢測數據包的有效荷載根據這些實際內容作出相應決定,還能提供更好的內容過濾能力。它們還可以審查完整的網絡數據包,而不僅僅是網絡地址和端口,這就使得它們有更強大的日志記錄功能,例如可以記錄某個特定程序發出的命令這樣的日志事件,這對于處理突發安全事件和實施安全策略提供了很有價值的信息。
什么是應用層網關
ALG-是英語Application Layer Gateway,或application-level gateway,簡稱為ALG,中文意思:應用層網關是一種NAT穿透技術。就應用層面來說,它允許修改匣道上的NAT traversal的過濾規則,完成特定網絡傳輸協議上的地址和端口的轉換。舉例來說,像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323,這些都可以使用ALG來針對應用程序在地址及端口轉換上的需求。在RFC 2663中定義了這個功能。應用層網關 (ALG) 是一種安全軟件或設備,代表網絡上的應用服務器運行,保護服務器和應用免受可能惡意的流量的影響。是用于管理SIP(會話發起協議)和FTP(文件傳輸協議)等特殊應用協議的軟件組件。ALG 充當 Internet 和應用服務器之間的中介,可以處理相應的協議,并充當端點,控制對應用服務器的訪問權限。為此,攔截和分析相應的網絡流量,分配資源并定義允許通過網關訪問的動態規則。
評論于 8個月前,獲得 0 個贊
工業企業的數據安全防護尚不到位具體表現在以下三個方面:
制度建設缺失,導致工業數據安全防護責任不明確、流程不清晰、重點不突出。
技術手段落后,部分工業企業不具備漏洞挖掘、風險研判、威脅分析等技術手段,無法實現工業數據安全風險的有效防范、及時發現和快速應對。
工業數據防護策略不足,對不同來源、不同用途、不同重要性的工業數據均采取一般性的、無差別的防護措施,對與生產制造過程直接相關的重要數據的安全防護不充分。
工業企業應該從以下方面開展數據安全防護工作:
設備安全:工業企業需根據自身需求,使用采取措施對設備固件進行安全加固的設備,并建立設備、操作系統漏洞發現和補丁更新機制,確保及時發現相關安全漏洞、進行補丁升級。必要時,采用基于硬件的可信驗證技術,為設備的安全啟動以及數據傳輸機密性和完整性保護提供支持。
網絡分區與邊界隔離:針對網絡融合帶來的風險,企業應根據業務開展需求和相應風險評估結論,優化網絡結構設計,調整網絡安全區域,重新定義網絡邊界及防護策略以適應網絡結構變化。并且在網絡接入認證,重要數據傳輸加密等方面加大投入力度,確保網絡通信的安全性。
控制安全與防護:對于控制安全與防護,主要應從控制協議、控制軟件和控制功能入手。加強認證授權、協議加密、協議過濾和惡意篡改等方面技術,并在使用前確保開展控制協議健壯性測試、軟件安全測試及加固等工作。在惡意代碼防護、補丁升級和漏洞修復方面還應建立切實可行的防護機制,確保落實到位。
數據保護:對于工業互聯網的數據安全防護,工業企業可采取數據加密、訪問控制、身份認證、數據脫敏及業務數據隔離等多種防護措施協同聯動的方式進行防護,覆蓋包括數據收集、傳輸、存儲、處理、脫敏和銷毀等全生命周期。
應用防控與檢測:工業互聯網應用安全需從工業互聯網平臺與工業應用程序兩方面進行防護。對于工業互聯網平臺,可采取的安全措施包括安全審計、身份認證、訪問授權、抗 DDoS 攻擊等。對于工業應用程序,可采用全生命周期的安全防護,在應用程序的開發過程中進行代碼審計,以減少漏洞的引入和安全功能缺陷;“運維” 過程中需定期進行漏洞檢測、流程審核及滲透測試等安全測試和功能測試,及時針對安全漏洞和后門進行評估與修復。
監測感知:工業企業可部署所需的監測措施,針對典型網絡攻擊(病毒傳播、DoS)、異常網絡行為、設備非授權接入、APT 攻擊、關鍵操作指令、關鍵工藝參數等進行分析,發現工業控制系統內部及外部存在的安全威脅。可與邊界防護措施形成互補、聯動,也可為安全事件分析提供證據支撐,進而有效提高整體網絡安全防護水平。
評論于 5個月前,獲得 0 個贊
內網有以下安全隱患:
惡意攻擊:此類攻擊可分為兩類:一是主動攻擊,對局域網進行全面破壞,致使局域網部分或全面癱瘓。另一類是被動攻擊,只是窺探、竊取重要信息,但不影響局域網的正常工作。
人為失誤:網絡管理員安全意識不強,用戶的口令選擇不慎,將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
軟件本身的漏洞:網絡軟件中往往存在一些安全漏洞,而這些漏洞恰恰是黑客攻擊的首選自標。
計算機病毒的破壞:編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。
網絡管理員工作量過大、部分網絡管理員專業水平不夠高、工作責任心差。
用戶操作失誤,可能會損壞網絡設備如主機硬件等,誤刪除文件和數據、誤格式化硬盤等。
內部的網絡攻擊。有的員工為了泄私憤、或被策反成為敵方間諜,成為單位泄密者或破壞者。由于這些員工對單位內部的網絡架構熟悉,可利用管理上的漏洞,侵入他人計算機進行破壞。
移動存儲介質的無序管理。
使用盜版軟件、游戲等,造成病毒傳播。
用戶和用戶組權限分配不合理。
賬號及口令管理不嚴及設置不合理。
過多開設服務端口。
對于內網安全的防范建議:
采用防外與防內相結合的策略,內網的邊界要劃清,邊界安全要有防護措施。
對于涉密信息系統,特別是用戶違規連接互聯網要有安全監控,不能打開“缺口”。
內網內部要有身份認證、授權管理、責任認定等安全措施。
最重要的是要建立以數據加密為核心的內網安全防護體系,使黑客“進不來”,受保護的信息“出不去”,拿出去“的信息看不懂”。
評論于 3個月前,獲得 0 個贊
黑客入侵攻擊的步驟包括以下九個步驟:
踩點:踩點的主要目的是獲取目標主機的信息,比如網絡域名、網絡地址分配、域名服務器、郵件交換主機、網關等關鍵系統的位置及軟硬件信息等。
掃描:掃描通過踩點已獲得了目標主機的一定信息,下一步需要確定目標網絡范圍內哪些主機是“活動”的,以及它們提供哪些服務,以便集中精力在最有希望的攻破的點上發動攻擊。
查點:查點就是根據掃描到的目標主機采用的不同操作系統進一步確定其上用戶和用戶組名、路由表、SNMP信息、共享資源、服務程序及旗標等信息。
獲取訪問權:在搜集到目標系統的足夠信息后,下一步要完成的工作自然是設法獲得目標系統的訪問權,為進一步的入侵創造條件。
權限提升:攻擊者通過前面的步驟獲得的系統訪問權往往是最普通的使用權限,但是卻能使攻擊者接觸到更多的信息,此時攻擊者往往會利用這些信息(如存放密碼的文件等)獲得更高權限的用戶的密碼,或者將已經獲得的普通用戶權限提升至超級用戶權限,以便完成對系統的完全控制。
竊取:此時黑客就會對其感興趣的信息進行竊取。
掩蓋蹤跡:上述的工作中,黑客必然會留下痕跡。此時,黑客需要做的首要工作就是清除所有入侵痕跡,避免自己被檢測出來,以便能夠繼續保持對被入侵系統的控制。
創建后門:好的管理員往往會定期更換現有以后的密碼,為了不在管理員更改密碼后失去對被入侵主機的控制。黑客往往會在被入侵主機上創建一些后門及陷阱,以便更好的控制被入侵主機。
拒絕服務攻擊:而如果黑客的目的是破壞,那么現在他就能發起最可怕的攻擊。拒絕服務攻擊,從而使受害主機徹底失去提供服務的能力。
評論于 1周前,獲得 0 個贊
信息系統的安全保護等級分為五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
評論于 2年前,獲得 0 個贊
H3C SecPath F1020
H3C F1000-S-G3
H3C F100-C-G3
H3C SecPath F1000-AK145
H3C SecPath F1000-S-AI
H3C SecPath F1000-AK115
H3C F100-E-G3
H3C F1000-C-G3
H3C SecPath F100-C-G2
H3C SecPath F1000-AK135
H3C SecPath F1000-C
H3C SecPath F1000-AK125
H3C F100-S-G3
H3C SecPath F1070
H3C SecPath F1030
H3C SecPath F1000-AK108
H3C SecPath F100-S-G
H3C SecPath F1050
H3C SecPath F5030
H3C SecPath F1080
H3C SecPath F100-M-G
H3C F100-C-A5
H3C SecPath F1010
H3C SecPath F1000-AK109
評論于 11個月前,獲得 0 個贊
加強無線接入點安全的措施有以下這些:
修改AP登錄密碼:首先,要保證無線局域網安全就必須更改無線AP或無線寬帶路由器的默認設置密碼。最好將默認的登錄密碼改為自己易記的密碼,以防非法用戶輕易對無線AP或無線寬帶路由器進行控制。
修改SSID標識:在初次安裝好無線局域網時,必須及時登錄到無線網絡節點的管理頁面,修改默認的SSID初始化字符串,并且在條件允許的前提下,取消SSID的網絡廣播,從而將黑客入侵的機會降到最低限度。
禁止SSID廣播:在默認情況下,SSID采用廣播方式通知客戶端。為了保證無線網絡安全,應當禁止SSID廣播,這樣,由于非授權客戶端無法通過廣播獲得SSID,從而無法連接到無線網絡。否則,再復雜的SSID設置也沒有任何意義。
設置MAC過濾:因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。MAC地址控制可以有效地防止未經過授權的用戶非法接入無線網絡。雖然攻擊者通過將自己設備的MAC地址修改成合法設備的MAC地址,有可能出現MAC地址欺騙,但這種方法仍然可以使對網絡的攻擊變得困難。
設置WEP加密傳輸:利用自動無線網絡配置,可以指定進入網絡時用于身份驗證的網絡密鑰,也可以指定使用哪個網絡密碼來對通過該網絡傳輸的數據進行加密。啟用數據加密時,生成共享加密密鑰,并由源臺和目標臺來改變幀位,因而可避免泄露給偷聽者。因此通過加密可以保證數據的安全,但加密后,傳輸速率將會有所降低。
禁用DHCP服務:如果啟用無線AP的DHCP,那么惡意用戶將能夠自動獲取IP地址信息,從而輕松地接入到無線網絡。如果禁用無線AP的DHCP功能,那么惡意用戶將不得不猜測和破譯IP地址、子網掩碼、默認網關等一切所需的TCP/IP參數。
合適放置無線AP和天線:由于無線AP是有線信號和無線信號的轉換點,無線AP以及無線的類型和位置,不但能夠決定無線局域網信號的傳輸速度、通信信號強弱,而且還能影響無線網絡的通信安全。因此,無線AP擺放的位置很重要。當局域網中安裝了接入點時,整個網絡都處于風險之中。網絡中不受保護的接入點就像一扇打開的大門,將吸引攻擊者進入。因此,需要把接入點放在網絡中一個風險盡可能小的地方(攻擊者很難修改或者篡改接入點設置的位置)。
評論于 1年前,獲得 0 個贊
沒有普及數據加密技術的原因如下:
加密的復雜性:要完成數據的加密,首先發現敏感和重要的數據的存放位置,這就需要人工手動操作或使用專業工具。因為數據的產生是持續不斷的,尤其在大數據背景下,海量數據的產生,持續重復這個流程會消耗大量資源,甚至無法實現。
密鑰管理問題:涉及到密鑰自身的保護問題、密鑰與其加密數據的同步(包括同步銷毀)、以及為修復漏洞而不斷進行的密鑰更新等,這些都需要傾心打造并維護一個專業的密鑰管理平臺。
加密對內部威脅作用有限:加密的安全性并不比數據訪問身份的安全性更高。以愛德華?斯諾登的活動為例,加密數據對他不起作用。他不需要破解加密,而只需要拿到訪問加密數據的管理員權限,就可以熟練地完成了這項工作。
效率和風險:對于數據的使用者而言,搜索和索引本地存儲或云上存儲的數據是一個經常性活動。而加密數據無法正常完成這類操作,這對使用者來說是一個大難題。頻繁地對數據進行解密不僅增加系統資源的消耗和時間消耗,也增加了黑客獲取解密數據的機會。
性能代價:加密數據通常是無法直接使用的,需要對其解密后才可使用,并且對于運行結果可能還需要加密保護。這些運算都可能導致系統變慢,甚至影響系統正常運行。
評論于 5個月前,獲得 0 個贊
內網和外網互通確保數據安全的措施如下:
采用安全交換機:由于內網的信息傳輸采用廣播技術,數據包在廣播域中很輕易受到監聽和截獲,因此需要使用安全交換機,利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源,以加強內網的安全性。
操作系統的安全:從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,并建立和實施有效的用戶口令和訪問控制等制度。
對重要資料進行備份:在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。
使用代理網關:使用代理網關的好處在于,網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關,進而才能訪問到Internet ,這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。在代理服務器兩端采用不同協議標準,也可以阻止外界非法訪問的入侵。還有,代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。
設置防火墻:防火墻的選擇應該適當,對于微小型的企業網絡,可從Norton Internet Security 、 PCcillin 、天網個人防火墻等產品中選擇適合于微小型企業的個人防火墻。而對于具有內部網絡的企業來說,則可選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對于幾乎所有的路由器產品而言,都可以通過內置的防火墻防范部分的攻擊,而硬件防火墻的應用,可以使安全性得到進一步加強。
信息保密防范:為了保障網絡的安全,也可以利用網絡操作系統所提供的保密措施。以Windows為例,進行用戶名登錄注冊,設置登錄密碼,設置目錄和文件訪問權限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設置用戶級訪問控制,以及通過主機訪問Internet等。同時,可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由于文件組織形式的數據缺乏共享性,數據庫現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有非凡的保密措施,而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密也要采取相應的方法。電子郵件是企業傳遞信息的主要途徑,電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網絡部件的泄密渠道,如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等,也可以采取相應的保密措施。
防范計算機病毒:從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依靠互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點:與Internet和Intranet更加緊密地結合,利用一切可以利用的方式(如郵件、局域網、遠程治理、即時通信工具等)進行傳播;所有的病毒都具有混合型特征,集文件傳染、蠕蟲、木馬、黑客程序的特點于一身,破壞性大大增強;因為其擴散極快,不再追求隱藏性,而更加注重欺騙性;利用系統漏洞將成為病毒有力的傳播方式。
評論于 1年前,獲得 0 個贊
零信任安全的原則如下:
持續監控和驗證
零信任網絡背后的理念是假設網絡內部和外部都有攻擊者,所以沒有用戶或機器應該被自動信任。零信任驗證用戶身份和權限,以及設備身份和安全。在登錄和建立連接后,經過一段時間就會超時,迫使用戶和設備不斷重新驗證。
最低權限
零信任安全的另一原則是最低權限訪問。也就是說,僅向用戶授予必要的訪問權限,就像軍隊中的將領僅在必要之時將信息告知士兵一樣。這樣能最大程度減少各個用戶接觸網絡敏感部分的機會。
實施最低權限涉及謹慎管理用戶權限。VPN 不太適合用于最低權限的授權方式,因為登錄 VPN 后,用戶可以訪問連接的整個網絡。
設備訪問控制
除了用戶訪問控制外,零信任還要求對設備訪問進行嚴格控制。零信任系統需要監控有多少不同的設備在嘗試訪問他們的網絡,確保每個設備都得到授權,并評估所有設備以確保它們沒有被入侵。這進一步減少了網絡的攻擊面。
微分段
零信任網絡也利用微分段。微分段是一種將安全邊界劃分為小區域的做法,以分別維護對網絡各個部分的訪問。例如,將文件存放在利用微分段的單個數據中心的網絡可能包含數十個單獨的安全區域。未經單獨授權,有權訪問其中一個區域的個人或程序將無法訪問任何其他區域。
防止橫向移動
在網絡安全領域,“橫向移動”是指攻擊者進入網絡后在該網絡內移動。即使攻擊者的進入點被發現,橫向移動也難以檢測到,因為攻擊者會繼續入侵網絡的其他部分。
零信任旨在遏制攻擊者,使他們無法橫向移動。由于零信任訪問是分段的且必須定期重新建立,因此攻擊者無法移動到網絡中的其他微分段。一旦檢測到攻擊者的存在,就可以隔離遭入侵的設備或用戶帳戶,切斷進一步的訪問。(在城堡和護城河模型中,如果攻擊者可以橫向移動,則隔離原始遭入侵設備或用戶幾乎沒有效果,因為攻擊者已經到達了網絡的其他部分。)
多因素身份驗證 (MFA)
多因素身份驗證 (MFA) 也是零信任安全的核心價值觀。MFA 意味著需要多個證據來對用戶進行身份驗證;僅輸入密碼不足以獲得訪問權限。MFA 的一種常見應用是 Facebook 和 Google 等在線平臺上使用的雙因素授權 (2FA)。除了輸入密碼之外,對這些服務啟用 2FA 的用戶還必須輸入發送到其他設備(例如手機)的代碼,從而提供兩個證據來證明自己是聲稱的身份。
