什么是日志審計
對每天所記錄的信息進行審計和檢查。
日志審計系統的基本功能
對于一個日志審計系統,從功能組成上至少應該包括信息采集、信息分析、信息存儲、信息展示四個基本功能:
1) 日志采集功能:系統能夠通過某種技術手段獲取需要審計的日志信息。對于該功能,關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度(細致程度)。
2) 日志分析功能:是指對于采集上來的信息進行分析、審計。這是日志審計系統的核心,審計效果好壞直接由此體現出來。在實現信息分析的技術上,簡單的技術可以是基于數據庫的信息查詢和比較;復雜的技術則包括實時關聯分析引擎技術,采用基于規則的審計、基于統計的審計、基于時序的審計,以及基于人工智能的審計算法,等等。
3) 日志存儲功能:對于采集到原始信息,以及審計后的信息都要進行保存,備查,并可以作為取證的依據。在該功能的實現上,關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
4) 信息展示功能:包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能,等等。這部分功能是審計效果的最直接體現,審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。
信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統安全等級保護。分級保護是國家信息安全等級保護的重要組成部分,是等級保護在涉密領域的具體體現,是針對涉密網來說。
以下是對兩者的具體介紹:
等級保護
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和儲存、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統安全等級保護。
分級保護
分級保護是國家信息安全等級保護的重要組成部分,是等級保護在涉密領域的具體體現,是針對涉密網來說。不同類別、不同層次的國家秘密信息,對于維護國家安全和利益具有不同的價值,所以需要不同的保護強度進行保護。對不同密級的信息,應當合理平衡安全風險與成本,采取不同強度的保護措施,這就是分級保護的核心思想。涉密信息系統分級保護,保護的對象是所有涉及國家秘密的信息系統,重點是黨政機關、軍隊和軍工單位,由各級保密工作部門根據涉密信息系統的保護等級實施監督管理,確保系統和信息安全,確保國家秘密不被泄漏。國家秘密信息是國家主權的重要內容,關系到國家的安全和利益,一旦泄露,必將直接危害國家的政治安全、經濟安全、國防安全、科技安全和文化安全。沒有國家秘密的信息安全,國家就會喪失信息主權和信息控制權,所以國家秘密的信息安全是國家信息安全保障體系中的重要組成部分。
內網安全設備有以下幾種:
硬件設備:都有主機(包括各種類型的計算機,通常局域網的主機是微型計算機)、網絡適配器(也是俗稱的網卡,用于實現計算機與局域網通信的接口)、傳輸介質(用于計算機和網絡設備之間的連接,它是實現高速通信的傳輸介質,如雙絞線等)、網絡連接設備(用于連接計算機或其他網絡的連接設備,通常是集線器、交換機等)。
軟件設備:都包括網絡操作系統(負責整個網絡系統的軟件資源管理、網絡通信和任務調度,提供用戶與網絡之間的接口以及網絡系統的安全性服務等)、網絡應用軟件(實現網絡服務的各種軟件集合)。
滲透測試需要遵循以下原則:
穩定性原則:穩定性原則是指滲透測試工作應該在能夠確保信息系統持續穩定運行的前提下進行。通過合理的選擇測試工具、測試方法和測試時間,將滲透測試對系統正常運行的影響降到最小。
可控性原則:可控性原則是指滲透測試工作應該控制在客戶授權許可的范圍內進行,并通知客戶提前做好系統備份,同時對滲透測試過程進行監控,記錄測試過程,確保一旦發生異常能夠及時發現并恢復。
最小影響原則:滲透測試是模擬黑客可能使用的工具和方法等對目標系統、網絡或應用進行攻擊,滲透測試過程中應遵循最小影響原則,將對業務的影響降到最低。
非破壞性原則:滲透測試并非真正的黑客攻擊,其目的在于刺探目標的薄弱環節,而非破壞測試目標系統、網絡或應用。
全面深入性原則:滲透測試中使用全面的技術對目標網絡和系統進行滲透,以最大程度地發現網絡和系統存在的安全隱患。
保密性原則:滲透測試過程中發現的系統漏洞等信息應嚴格保密,防止這些信息泄露出去后不法之徒在漏洞修補前對系統進行攻擊或非法利用。
入侵檢測的作用:
監視并分析用戶和系統的活動,查找非法用戶和合法用戶的越權操作;
檢測系統配置的正確性和安全漏洞,并提示管理員修補漏據;
對用戶的非正常活動進行統計分析,發現入侵行為的規律;
檢查系統程序和數據的一致性與正確性,如計算和比較文件系統的校驗和;
能夠實時對檢測到的入侵行為作出反應;
操作系統的審計跟蹤管理。
入侵檢測的特點:
利用網絡監控軟件或者硬件對網絡流量進行監控并分析,及時發現網絡攻擊的跡象并做出反應。
可以直接部署于受監控網絡的廣播網段,或者直接接收受監控網絡旁路過來的數據流。
能夠分析網絡上使用的各種網絡協議,識別各種網絡攻擊行為。
對網絡攻擊行為的識別通常是通過網絡入侵特征庫來實現的,這種方法有利于在出現了新的網絡攻擊手段時方便地對入侵特征庫加以更新,提高入侵檢測部件對網絡攻擊行為的識別能力。
拒絕服務攻擊有以下方式:
SYN Foold攻擊:是利用TCP協議的特性發動的,通過發送大量偽造的帶有SYN標志位的TCP報文使目標服務器連接耗盡,達到拒絕服務的目的。通過不停的循環講偽造好的數據包發送 到目的服務器。可以看到目標主機建立了很多虛假的半開連接,這耗費了目標主機大量的 連接資源。可以想象如果成千上萬臺“肉雞”對一臺服務器發動synflood攻擊威力將是非常強大。
ACK FLOOD攻擊:是利用TCP三次握手的缺陷實現的攻擊,攻擊主機偽造海量的虛假ack包發送給目標主機,目標主機每收到一個帶有ack標志位的數據包時,都會去自己的TCP連接表中查看有沒有與ack的發送者建立連接,如果有則發送三次握手的第三段ack+seq完成三次握手,成功建立TCP連接。如果沒有則發送ack+rst斷開連接。但是在這個過程中會消耗一定的CPU計算資源
CC攻擊:CC攻擊的原理是通過代理服務器或者大量“肉雞”模擬多個用戶訪問目標網站的動態頁面,制造大量的后臺數據庫查詢動作,消耗目標CPU資源,造成拒絕服務。 CC攻擊全稱ChallengeCollapsar,中文意思是挑戰黑洞,因為以前的抗DDOS攻擊的安全設備叫黑洞,顧名思義挑戰黑洞就是說黑洞拿這種攻擊沒辦法,新一代的抗DDOS設備已經改名為ADS( Anti-DDoS System),基本上已經可以完美的抵御CC攻擊了。
UDP FLOOD攻擊:UDP攻擊,又稱UDP洪水攻擊或UDP淹沒攻擊顧名思義是利用UDP協議進行攻擊的,UDP FLOOD攻擊可以是小數據包沖擊設備也可以是大數據包阻塞鏈路占盡帶寬。不過兩種方式的實現很相似,差別就在UDP的數據部分帶有多少數據。相比TCP協議的攻擊UDP的攻擊更直接更好理解,有一定規模之后更難防御,因為UDP攻擊的特點就是打出很高的流量。
反射DDOS:很多協議的請求包要遠小于回復包,以一個字節的數據換十個字節的數據回來這就是一種放大,但是你這單純的放大攻擊的是自己,所以說想要攻擊別人就要在發送請求包時把源地址寫成要攻擊的人的地址,這樣回復的大字節報文就去你要攻擊的人那里了。這里放大主要利用的是NTP的monlist(listpeers也行)、DNS的AXFR(ANY也行)、SNMP的getbulkrequest。monlist是返回最近600個與當前NTP服務器通信過的IP地址;AXFR是區域傳送(有地方叫域傳送),比如freebuf.com下的所有域名返回給請求者;SNMPV2版本中新加的getbulkrequest用于一次請求大量的信息,減少管理站與被管理設備的交互次數。
Websocket攻擊:websocket是HTML5一種新的協議,它實現了瀏覽器與服務器全雙工通信(full-duple)。目前主流的瀏覽器都能很好地支持websocket,而且用它實現DOS攻擊也并不是很難,只要在js代碼中寫入相應的代碼,當人們打開這個網頁時瀏覽器會自動執行js代碼去請求連接要攻擊的IP地址。
臨時透鏡攻擊:這種攻擊是一種典型的通過時間延時進行流量放大攻擊的方法。如果攻擊者可以控制多個時間段的多個數據包,讓它們同時到達目標,這樣就能使流量瞬間到達一個峰值,對目標造成很大危害。這個攻擊方式道理不難理解,但是實現起來可是不容易,要讓相同源和目的IP的IP報文走不同的路徑到達目的地,這一點就是要實現臨時透鏡攻擊的關鍵所在,我國的互聯網基本上是由四張網(電信、聯通、移動、教育網)通過互聯互通組成的,任意兩點之間的路徑都能有千千萬萬條,但是怎么才能有我們自己控制報文的路線呢?我想到的第一個辦法就是用IP協議的寬松源路由選項,學過或者平時比較了解TCP/IP的童鞋們可能聽說過這個寬松源路由,但我估計很少有人用。IP數據在傳輸時通常由路由器自動為其選擇路由,但是網絡工程師為了使數據繞開出錯網絡或者為了測試特定線路的吞吐率,需要在信源出控制IP數據報的傳輸路徑,源路由就是為了滿足這個要求設計的。源路由有兩種,一種叫嚴格源路由另一種就是我們要說的寬松源路由。IP選項部分可以最多帶上9個IP地址作為這個數據報要走的路徑,嚴格源路由是每一跳都必須按照指定的路由器去走,但是寬松源路由的不用這么嚴格。我國大部分運營商都禁止了源路由,不過有人說在國外不禁止源路由,國外有服務器的朋友可以去測試一下是不是真的。
慢速DDOS攻擊:一說起慢速攻擊,就要談談它的成名歷史了。HTTP Post慢速DoS攻擊第一次在技術社區被正式披露是2012年的OWASP大會上,由Wong Onn Chee和Tom Brennan共同演示了使用這一技術攻擊的威力。對任何一個開放了HTTP訪問的服務器HTTP服務器,先建立了一個連接,指定一個比較大的content-length,然后以非常低的速度發包,比如1-10s發一個字節,然后維持住這個連接不斷開。如果客戶端持續建立這樣的連接,那么服務器上可用的連接將一點一點被占滿,從而導致拒絕服務。和CC攻擊一樣,只要Web服務器開放了Web服務,那么它就可以是一個靶子,HTTP協議在接收到request之前是不對請求內容作校驗的,所以即使你的Web應用沒有可用的form表單,這個攻擊一樣有效。在客戶端以單線程方式建立較大數量的無用連接,并保持持續發包的代價非常的低廉。實際試驗中一臺普通PC可以建立的連接在3000個以上。這對一臺普通的Web server將是致命的打擊。更不用說結合肉雞群做分布式DoS了。鑒于此攻擊簡單的利用程度、拒絕服務的后果、帶有逃逸特性的攻擊方式,這類攻擊一炮而紅,成為眾多攻擊者的研究和利用對象。發展到今天,慢速攻擊也多種多樣。
ReDoS攻擊:ReDoS(Regular expression Denial of Service)正則表達式拒絕服務攻擊。開發人員使用了正則表達式來對用戶輸入的數據進行有效性校驗,當編寫校驗的正則表達式存在缺陷或者不嚴謹時, 攻擊者可以構造特殊的字符串來大量消耗服務器的系統資源,造成服務器的服務中斷或停止。正則表達式引擎分成兩類,一類稱為DFA(確定性有限狀態自動機),另一類稱為NFA(非確定性有限狀態自動機)。兩類引擎要順利工作,都必須有一個正則式和一個文本串,一個捏在手里,一個吃下去。DFA捏著文本串去比較正則式,看到一個子正則式,就把可能的匹配串全標注出來,然后再看正則式的下一個部分,根據新的匹配結果更新標注。而NFA是捏著正則式去比文本,吃掉一個字符,就把它跟正則式比較,然后接著往下干。一旦不匹配,就把剛吃的這個字符吐出來,一個一個吐,直到回到上一次匹配的地方。
防御該攻擊的辦法有以下這些:
前端代理:我們可為靜態資源準備多個站點做冗余備份,當Service Worker加載資源出錯時,可不返回錯誤給上層頁面,而是繼續從備用站點加載,直到獲得正確結果才返回。這樣,只要有一個備用站點可用,資源就不會加載失敗。
離線訪問:Service Worker 的設計初衷就是為了增強網頁的離線化體驗,因此一旦安裝即可在后臺長期運行,即使服務器關機、瀏覽器重啟,它也不會失效。
免費節點:使用冗余站點雖能提升穩定性,但攻擊者仍可對備用站點發起攻擊,尤其是惡意消耗流量費用的攻擊,導致成本大幅上升。為此,我們還可使用一種更極端的方案使用免費 CDN 作為備用站點,例如 jsdelivr.net、unpkg.com、IPFS Gateway 等等,圖片則可上傳到各大網站的相冊。
接口防御:對于純靜態資源的站點,我們可將所有資源甚至包含 HTML 文件都通過免費 CDN 加速,從而大幅降低成本、增加穩定性。
重點保護原則就是要解決我國信息安全面臨的主要威脅和存在的主要問題,實行國家對重要信息系統進行重點安全保障的重大措施,有效體現“適度安全、保護重點”的目的,將有限的財力、物力、人力投放到重要信息系統安全保護中。依據相關標準建設安全保護體系,建立安全保護制度,落實安全責任,加強監督檢查,有效保護重要信息系統安全,有效保護重要信息系統安全,有效提高我國信息系統安全建設的整體水平。
信息安全等級保護堅持以下原則:
自主保護原則:信息系統的安全責任主體是信息系統運營、使用單位及其主管部門。“自主”體現在運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中,信息系統運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中,信息系統運營使用單位和主管部門按照“誰主管誰負責,誰運營誰負責”的原則開展工作,并接受信息安全監管部門對開展等級保護工作的監督。運營使用單位和主管部門是信息系統安全的第一負責人,對所屬信息安全系統安全負有直接責任;公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監督、檢查、指導,對重要信息系統安全負監管責任。由于重要信息系統的安全運行不僅影響本行業、本單位的生產和工作秩序,也影響國家安全、社會穩定、公共利益,因此,國家需要對重要信息系統的安全進行監管。
重點保護原則:重點保護就是要解決我國信息安全面臨的主要威脅和存在的主要問題,實行國家對重要信息系統進行重點安全保障的重大措施,有效體現“適度安全、保護重點”的目的,將有限的財力、物力、人力投放到重要信息系統安全保護中,依據相關標準建設安全保護體系,建立安全保護制度,落實安全責任,加強監督檢查,有效保護重要信息系統安全,有效保護重要信息系統安全,有效提高我國信息系統安全建設的整體水平。優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。
同步建設原則:信息安全建設的特點要求在信息化建設中必須同步規劃、同步實施,信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應,避免重復建設而帶來的資源浪費。
動態調整原則:跟蹤信息系統的變化,調整安全保護措施。由于信息系統的應用類型、數量、范圍等會根據實際需要而發生相應調整,當調整和變更的內容發生較大變化時,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。同時,信息安全本身也具有動態性,不是一成不變的,當信息安全技術、外部環境、安全威脅等因素發生變化時,需要信息安全策略、安全措施進行相應的調整,以滿足安全需求的變化。
防火墻一般需要檢測以下這些掃描行為:
PortScan端口掃描:端口掃描,顧名思義,就是逐個對一段端口或指定的端口進行掃描。通過掃描結果可以知道一臺計算機上都提供了哪些服務,然后就可以通過所提供的這些服務的己知漏洞就可進行攻擊。其原理是當一個主機向遠端一個服務器的某一個端口提出建立一個連接的請求,如果對方有此項服務,就會應答,如果對方未安裝此項服務時,即使你向相應的端口發出請求,對方仍無應答,利用這個原理,如果對所有熟知端口或自己選定的某個范圍內的熟知端口分別建立連接,并記錄下遠端服務器所給予的應答,通過查看一記錄就可以知道目標服務器上都安裝了哪些服務,這就是端口掃描,通過端口掃描,就可以搜集到很多關于目標主機的各種很有參考價值的信息。
ICMPScan:ICMP(Internet Control Message Protocal,因特網控制報文協議)工作在OSI上網絡層,向數據通信中的源主機報告錯誤。ICMP就是一個“錯誤的偵測與回報機制”,目的是為了能夠檢測網絡的連續狀況,也能夠確保連續的準確性。通過實施ICMP Ping掃描,可以發現目標主機是否活動。標準的ICMP掃描是向目標主機發送ICMP Echo Request數據包,來探測目標主機是否在線,如果目標主機回復ICMP Echo Reply則表示目標主機在線。常用的發送ICMP Echo Request數據包的工具是ping,也可以使用fping來發送。
UDPScan:UDP掃描方式用于判斷UDP端口的情況。向目標主機的UDP端口發送探測包,如果收到回復“ICMP port unreachable”就說明該端口是關閉的;如果沒有收到回復,那說明UDP端口可能是開放的或屏蔽的。因此,通過反向排除法的方式來斷定哪些UDP端口是可能出于開放狀態。總的來說也是一種端口掃描方法。
漏洞掃描無法攔截只能進行防御,防御辦法如下:
關閉端口
關閉閑置和有潛在危險的端口。這個方法比較被動,它的本質是將除了用戶需要用到的正常計算機端口之外的其他端口都關閉掉。因為就黑客而言,所有的端口都可能成為攻擊的目標。可以說,計算機的所有對外通訊的端口都存在潛在的危險。
屏蔽端口
檢查各端口,有端口掃描的癥狀時,立即屏蔽該端口。這種預防端口掃描的方式通過用戶自己手工是不可能完成的,或者說完成起來相當困難,需要借助軟件。這些軟件就是我們常用的網絡防火墻。
設置白名單和黑名單
假如你的網站不想被太多的人看到(比如只想被公司內部的人看到),你可以使用白名單的方式只允許你們公司的IP訪問。假如是一個面向大眾的網站,建議檢測掃描你網站的IP,使用黑名單的方式禁掉這些IP。
加裝防火墻等安全設備
目前市面上有一些防火墻能夠阻擋一些異常的掃描和爬取。
使用CDN作為外部服務的入口
公網服務僅允許來自CDN機房的ip進行訪問。通過CDN分流掃描器的流量,同時利用CDN的云WAF攔截功能屏蔽掃描器的訪問
對流量或者日志進行分析
目前大量的掃描器在掃描時存在特征(如使用特定的useragent或者字典生成數據包),可以通過對流量或者日志進行分析,鑒定和攔截特定的掃描器行為。
使用waf或ips攔截攻擊payload
使用waf或ips等安全設備攔截攻擊payload,阻斷掃描的漏洞探測流量
遠程安全運維管理包括以下層面:
終端安全:遠程接入使用的終端分為公司統一配發和個人終端,根據公司的辦公設備使用規定,在域控接入、策略配置、反病毒終端的部署上都應滿足遠程接入的安全需求。對于允許使用個人計算機或移動設備接入的員工,應安裝公司要求的反病毒終端以及遠程準入客戶端。
賬號管理:需要通過VPN撥入辦公網絡的員工應首先提交遠程訪問申請,申請至少包括申請原因、所需權限、部門負責人的審批;對于臨時開通的賬號應按需設置賬戶過期時間。關于遠程運維的開通,在等級保護2.0標準中的安全運維管理部分中有明確的要求:應嚴格控制遠程運維的開通,經過審批后才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束后立即關閉接口或通道。分配的賬號需要遵循的原則有強制的密碼復雜度策略;強制的密碼過期時間;賬戶失敗鎖定次數設置;強制開啟雙因素認證(MFA);進行VPN接入時,VPN使用者無論身處何地,都可以隨時通過互聯網安全通信。通過VPN來實現遠程辦公的商業價值非常吸引人,許多公司都開始制定自己的戰略,利用互聯網作為主要的傳輸媒介,甚至包括商業秘密數據的傳輸。
身份認證:身份認證技術是在計算機網絡中確認操作者身份的過程中產生的有效解決方法,作為訪問控制的基礎,是解決主動攻擊威脅的重要防御措施之一。值得注意的是,目前最常見的靜態密碼方式面臨失竊、爆破、社會工程學、鍵盤監聽等風險,因此雙因素認證也就成為目前主流的認證方式。所謂雙因素就是將兩種認證方法結合起來,進一步加強認證的安全性,目前使用最為廣泛的雙因素有:動態口令+靜態密碼;USB KEY+靜態密碼;二層靜態密碼等。有些系統為提高用戶體驗,僅僅在新設備的初次登錄時啟用雙因素認證,之后則依托設備指紋、風控系統實現已登錄過(已授權)設備的單一認證。
訪問控制:訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。
操作安全:運維服務器環境通過堡壘機實現服務器的安全運維,所有變更操作都必須有經過審批的變更申請單,所有操作應遵循標準作業流程(SOP)。
操作審計:設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為進行審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行為進行事中控制;對終端指令信息能夠進行精確搜索和錄像精確定位,可用于安全分析、資源變更追蹤以及合規性審計等場景。
數據安全:遠程運維用戶基于開放的互聯網訪問應用系統,由于加密算法強度、密鑰失竊等問題,可能會造成配置數據被攻擊者破解或篡改,別有用心的運維人員甚至可能會通過截圖等方式竊取核心IT資產的關鍵配置信息等問題。數據安全治理以“數據安全使用”為愿景,覆蓋安全防護、敏感信息管理、合規三大目標。通過對數據的分級分類、使用狀況梳理、訪問控制以及定期稽核,實現數據的使用安全。
物聯網常用的四種安全問題解決方案如下:
高效的輕量級物聯網設備認證方案:由于物聯網將所有人、事物、數據和流程作為其核心組件,因此,身份驗證是最關鍵的功能之一,能夠確保這些實體之間的安全通信。在物聯網的上下鏈條、身份驗證只是指識別和驗證用戶的過程,并將智能設備、計算機和機器等連接起來。物聯網允許授權的用戶或設備訪問資源,并拒絕惡意實體訪問這些資源。它還可以限制授權用戶或設備訪問受損設備。此外,身份驗證降低了入侵者建立與網關的連接機會,由此減少DoS攻擊的風險。在安全的物聯網通信中,在兩個或多個實體之間的任何通信涉及訪問資源之前,必須對每個參與實體進行驗證,以確定其在網絡中的真實身份。它意味著每個合法的節點或實體必須有一個有效的身份,以便參與通信。因此,對于物聯網生態系統的安全有效的輕量級認證方案的需求是十分巨大且緊迫的。
靈活可靠的輕量級數據加密:輕量級加密(LWC)是一個新興的技術,用于在受限環境中開發用于實現的加密算法或協議,例如WSNs、RFID標記、智能醫療設備以及許多其他嵌入式系統。預計LWC將在確保物聯網和普遍的計算方面發揮重要作用。“輕量級”一詞可以從兩個角度來考慮,即硬件和軟件。然而,在硬件上的輕便性并不一定意味著軟件的輕便性,反之亦然。在過去的幾年里,一些輕量級的密碼已經被開發出來,用于小型嵌入式安全,包括KLEIN、PRESENT、XTEA、CLEFIA、蜂鳥2等。但事實是,大多數方法只保證了低級別的安全性,所以這種特點限制了它們的部署。由于在安全性和性能之間總是存在權衡,因此LWC的安全性和效率之間的平衡將繼續是一個挑戰。同樣,資源受限設備的功耗和與硬件重量相關的問題以及LWC的軟件權重問題急需解決,以便為物聯網應用程序開發更加健壯和靈活的LWC。
切實可行的傳感器回收計劃:物聯網的許多資源受限的設備通常部署在開放和嚴峻的環境中,在這種環境中,設備故障或被破壞并不是罕見的現象。需要設計一種機制,能夠在傳感器節點或任何其他節點工作的情況下有效地撤銷密鑰。在互聯網上,兩個或多個實體之間的安全通信依賴于數字證書的信任。客戶端可以將證書發送給服務器,反之亦然。在密碼學中,數字證書僅是一種電子文檔,它將一個屬性(如公鑰)與標識綁定在一起。公共密鑰基礎設施(PKI)是一個管理數字證書和私有密鑰的創建、分發和撤銷的系統。數字證書和秘鑰有一個有效期。它們也可以在過期之前被撤銷。
標準化安全解決方案:物聯網有很多無線通信技術,如Wi-Fi、藍牙、IEEE 802.154、ZigBee、LTE等。這種不同物理層的混合使得連接設備之間的互操作性非常困難。雖然使用不同通信技術的設備仍然可以通過IP路由器進行通信,但是當協議棧中的不兼容問題超出物理和鏈接層時,就必須使用網關,這無疑增加了部署成本,不同的無線通信技術的設備使用的安全解決方案也因此變得更加復雜,標準化的解決方案必須跨多個域使用。
SSL 協議提供的主要服務包括以下幾種:
加密處理:加密數據以防止數據中途被竊取。
維護數據的完整性:確保數據在傳輸過程中不被改變,,以用來維護數據的完整性。
認證服務:認證用戶(可選)和服務器,確保數據發送到正確的客戶機(可選)和服務器。
入侵檢測技術是一種計算機技術,是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖,是檢測和響應計算機誤用的學科,其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
入侵檢測技術的優點有以下這些:
識別黑客常用入侵與攻擊手段:入侵檢測技術通過分析各種攻擊的特征,可以全面快速地識別探測攻擊、拒絕服務攻擊、緩沖區溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段,并做相應的防范。一般來說,黑客在進行入侵的第一步探測、收集網絡及系統信息時,就會被 IDS 捕獲,向管理員發出警告。
監控網絡異常通信:IDS 系統會對網絡中不正常的通信連接做出反應,保證網絡通信的合法性;任何不符合網絡安全策略的網絡數據都會被 IDS 偵測到并警告。
鑒別對系統漏洞及后門的利用:IDS 系統一般帶有系統漏洞及后門的詳細信息,通過對網絡數據包連接的方式、連接端口以及連接中特定的內容等特征分析,可以有效地發現網絡通信中針對系統漏洞進行的非法行為。
完善網絡安全管理:IDS 通過對攻擊或入侵的檢測及反應,可以有效地發現和防止大部分的網絡犯罪行為,給網絡安全管理提供了一個集中、方便、有效的工具。使用 IDS 系統的監測、統計分析、報表功能,可以進一步完善網絡管理。
認證和授權的區別:
認證是驗證確認身份以授予對系統的訪問權限。授權確定你是否有權訪問資源。
認證是驗證用戶憑據以獲得用戶訪問權限的過程。授權是驗證是否允許訪問的過程。
認證決定用戶是否是他聲稱的用戶。授權確定用戶可以訪問和不訪問的內容。
認證所需的身份驗證通常需要用戶名和密碼。授權所需的身份驗證因素可能有所不同,具體取決于安全級別。
身份驗證是授權的第一步,因此始終是第一步。授權在成功驗證后完成。
什么是認證
認證是關于驗證你的憑據,如用戶名/郵箱和密碼,以驗證訪問者的身份。系統確定你是否就是你所說的使用憑據。在公共和專用網絡中,系統通過登錄密碼驗證用戶身份。身份認證通常通過用戶名和密碼完成,有時與認證可以不僅僅通過密碼的形式,也可以通過手機驗證碼或者生物特征等其他因素。
在某些應用系統中,為了追求更高的安全性,往往會要求多種認證因素疊加使用,這就是我們經常說的多因素認證。常見的認證方式:
什么是授權
授權發生在系統完成身份認證之后,最終會授予你訪問資源(如信息,文件,數據庫,資金,位置,幾乎任何內容)的完全權限。簡單來說,授權決定了你訪問系統的能力以及達到的程度。
授權是確定經過身份驗證的用戶是否可以訪問特定資源的過程。它驗證你是否有權授予你訪問信息,數據庫,文件等資源的權限。授權通常在驗證后確認你的權限。簡單來說,就像給予某人官方許可做某事或任何事情。
例如,驗證和確認組織中的郵箱和密碼的過程稱為認證,但確定哪個員工可以訪問哪個樓層稱為授權。假設你正在旅行而且即將登機。當你在登記前出示機票和一些身份證明時,你會收到一張登機牌,證明機場管理局已對你的身份進行了身份驗證。但那不是它。乘務員必須授權你登上你應該乘坐的航班,讓你可以進入飛機內部及其資源。
通過Web應用防御SQL注入的手段有以下這些:
添加數據記錄:如果Web應用程序需要從表單中獲取相關數據,然后往后臺數據庫的相關數據表中插入一條新的記錄,程序員可以不直接使用INSERT語句,而通過先打開記錄集對象,然后往記錄集對象中先添加一條空記錄,再將具體的數據內容寫入到記錄字段中,最后直接將記錄集更新到數據庫中。這樣就可以有效避免SQL攻擊,達到防御的目的。
修改數據:如果Web應用程序需要從表單中獲取相關數據,然后修改后臺數據庫的相關數據表中的數據記錄,程序員也可以不直接使用UPDATE語句,而通過先構造一條查詢語句,打開記錄集對象,然后找到要修改的數據記錄,再將具體的數據內容寫入到記錄字段中,最后將修改后的記錄集更新到數據庫中,這樣就可以有效避免SQL攻擊,達到防御的目的。
刪除數據:如果Web應用程序需要刪除數據記錄,程序員也可以不直接使用DELETE語句,而通過先構造一條查詢語句,打開記錄集對象,然后找到要刪除的數據記錄,將此記錄刪除,再將刪除記錄后的記錄集更新到數據庫中。刪除操作是使用rs.delete語句完成的。這樣就可以有效避免SQL攻擊,達到防御的目的。
利用視圖修改和刪除:操作視圖與操作表有許多功能是相同的,例如查詢數據。如果一個視圖是多表關聯生成的,它比直接運行多表關聯速度要快,因為視圖是提前編譯好的,SQL語句的執行首先需要編譯。與表格不同,視圖的插入、修改和刪除是有限制的,這種限制可以在一定程度上保護數據被插入、修改或刪除。
利用存儲過程進行數據的修改和刪除:利用服務器端腳本修改數據的時候,可以利用記錄集對象的一些屬性,例如記錄數(rs.recordcount)來判斷影響的行數,如果不為0可以進行修改或刪除。另外也可以利用SQL語句通過存儲過程對修改或刪除操作進行重新封裝,并利用SQL語句對參數或影響的行數進行判斷,在存儲過程中也可以同時對參數進行過濾等處理。
