物聯網主要功能如下:
聯機監控:這是物聯網最基本的功能,物聯網業務一般以集中監控為主,監控為輔。
定位追蹤:一般以GPS(例如北斗)和無線通信技術(如GPS)為基礎,或僅依靠無線通信技術的定位,例如基于移動基站的定位、RTLS等。
報警器聯系:主要是提供事件報警和提示,有時也可以根據工作流或規則引擎(Rule’sEngine)提供連動功能。
命令調度:命令、調度和發送功能,根據時間安排和事件響應規則。
預案管理:根據預先制定的規則或條例,對事件發生的事件進行處理。
安全隱私:鑒于物聯網所有權和隱私保護的重要性,物聯網系統必須提供相應的安全機制。
遠程維保:這是物聯網技術所能提供或提升的服務,主要用于企業產品的售后網絡服務。
聯機升級:這是確保物聯網系統本身正常運作的一種手段,是企業產品售后自動化服務的手段之一。
領導桌面:通過多個層次過濾得到的實時信息,從而使主管人員能夠對全局進行一目了然。
統計決策:指以數據挖掘和網絡信息統計分析為基礎,提供決策支持和統計報告功能。
信息安全管理認證遵循ISO17799、ISO13335、ISO15408等相關協議,協議是由國際標準化組織是標準化領域中的一個國際性非政府組織發布的。ISO負責當今世界上絕大部分領域的標準化活動。ISO現有165個成員(包括國家和地區)。ISO的主要功能是為人們制訂國際標準達成一致意見提供一種機制。其主要機構及運作規則都在一本名為ISO/IEC技術工作導則的文件中予以規定。
信息安全的指標包括以下這些:
保密性:在加密技術的應用下,網絡信息系統能夠對申請訪問的用戶展開刪選,允許有權限的用戶訪問網絡信息,而拒絕無權限用戶的訪問申請。
完整性:在加密、散列函數等多種信息技術的作用下,網絡信息系統能夠有效阻擋非法與垃圾信息,提升整個系統的安全性。
可用性:網絡信息資源的可用性不僅僅是向終端用戶提供有價值的信息資源,還能夠在系統遭受破壞時快速恢復信息資源,滿足用戶的使用需求。
授權性:在對網絡信息資源進行訪問之前,終端用戶需要先獲取系統的授權。授權能夠明確用戶的權限,這決定了用戶能否對網絡信息系統進行訪問,是用戶進一步操作各項信息數據的前提。
認證性:在當前技術條件下,人們能夠接受的認證方式主要有兩種,一種是實體性的認證,一種是數據源認證。之所以要在用戶訪問網絡信息系統前展開認證,是為了令提供權限用戶和擁有權限的用戶為同一對象。
抗抵賴性:網絡信息系統領域的抗抵賴性,簡單來說,任何用戶在使用網絡信息資源的時候都會在系統中留下一定痕跡,操作用戶無法否認自身在網絡上的各項操作,整個操作過程均能夠被有效記錄。這樣做能夠應對不法分子否認自身違法行為的情況,提升整個網絡信息系統的安全性,創造更好的網絡環境。
信息安全四要素:
技術
信息安全技術是指保證己方正常獲取、傳遞、處理和利用信息,而不被無權享用的他方獲取和利用己方信息的一系列技術的統稱。
制度
信息安全是指通過各種策略保證公司計算機設備、信息網絡平臺(內部網絡系統及ERP、CRM、WMS、網站、企業郵箱等)、電子數據等的安全、穩定、正常,旨在規范與保護信息在傳輸、交換和存儲、備份過程中的機密性、完整性和真實性。 為加強公司信息安全的管理,預防信息安全事故的發生,特制定本管理制度。
流程
信息安全管理流程的KPI 為了保證信息安全管理良好執行,定義以下關鍵指標, 信息安全經理: 與信息安全相關的重大事件數量; 服務信息安全達標率; 信息安全計劃的質量和更新及時率。
人
人是信息系統的主題,包括信息系統的擁有者、管理者和使用者,是信息安全保障的核心。
靜態口令會易被以下攻擊威脅:
口令監聽:很多網絡服務在詢問和驗證遠程用戶認證信息時,認證信息都是以明文形式進行傳輸的,如Telnet、FTP和HTTP等都使用明文傳輸,這意味著網絡中的竊聽者只需使用協議分析器就能查看到認證信息,從而分析出用戶的口令。如果獲取的數據包是加密的,還要使用解密算法解密。
截取/重放:有的系統會將服務器中的用戶信息加密后存放,用戶在傳輸認證信息時也先進行加密,這樣雖然能防止竊聽者直接獲得明文口令,但使用截取/重放攻擊,攻擊者只要在新的登錄請求中將截獲的信息提交給服務器,就可以冒充登錄。
窮舉攻擊:也稱為暴力破解,是字典攻擊的一種特殊形式。一般從長度為1的口令開始,按長度遞增,嘗試所有字符的組合方式進行攻擊。利用窮舉攻擊獲取密碼只是時間問題,是密碼的終結者。暴力破解理論上可以破解任何密碼,但如果密碼過于復雜,暴力破解需要的時間會很長。如果用戶口令較短,攻擊者可以使用字符串的全集作為字典,來對用戶口令進行猜測。下面簡要分析一下窮舉攻擊的難度。
簡單口令猜測:很多用戶使用自己或家人的生日、電話號碼、房間號碼、簡單數字或者身份證號碼中的幾位作為口令;也有人使用自己、孩子、配偶或寵物的名字。在詳細了解用戶的社會背景之后,黑客可以列舉出多種可能的口令,并在很短的時間內完成猜測攻擊。此外,很多用戶不更改系統或設備的默認用戶名和口令,這也使得口令很容易被破解。
字典攻擊:如果猜測攻擊不成功,黑客可以繼續擴大攻擊范圍,采用字典攻擊的方法。字典攻擊采用口令字典中事先定義的常用字符去嘗試匹配口令。口令字典是一個很大的文本文件,可以通過自己編輯或者由字典工具生成,里面包含了單詞和數字的組合,或黑客收集的一些常見口令。如果口令就是一個單詞或者是簡單的數字組合,那么破解者就可以很輕易地破解密碼。因此,許多系統都建議用戶在口令中加入特殊字符,以增加口令的安全性。
偽造服務器攻擊:攻擊者通過偽造服務器來騙取用戶認證信息,然后冒充用戶進行正常登錄。
口令泄露:攻擊者通過窺探、社會工程、垃圾搜索和植入木馬等手段,竊得用戶口令;或用戶自己不慎將口令告訴別人;或將口令寫在其他地方被別人看到,造成口令的泄露。其中,社會工程學攻擊通過人際交往這一非技術手段,以欺騙或套取的方式來獲得口令。
直接破解系統口令文件:攻擊者可以尋找目標主機的安全漏洞和薄弱環節,竊取存放系統口令的文件,然后離線破譯加密過的口令,從而得到系統中所有的用戶名和口令。
加強密碼安全的方法有以下這些:
確保服務器密碼是唯一的,保證內網每一臺服務器的登錄密碼都是唯一的,不能讓不同服務器使用相同的登錄密碼,以防止一臺設備密碼丟失連帶多臺設備;
服務器管理員在設置密碼時不能設置為自己常用的密碼,并且不能將密碼記錄在自己的移動設備上;
使用長密碼請不要使用少于12個字符的內容,密碼越短,破解它們所需的時間和精力就越少;
使用組合不要只是輸入單詞或短語,利用完整的ASCII編碼來完善密碼口令;
經常更改密碼不要長時間使用同一個密碼,要經常修改但是不要規律性修改;
不用使用服務器默認口令,服務器默認口令都是弱密碼很容易就被破解,需要及時更改;
XSS漏洞分為以下三類:
反射型XSS: 直接復制參數內容并寫入應用響應報文,而未對參數內容進行過濾時,可能導致反射型XSS。
存儲型XSS:當應用允許將輸入數據作為參數存儲在應用的數據庫中以備后用時可能導致存儲型XSS。把用戶輸入的數據”存儲“在服務器端。這種XSS具有很強的穩定性。
DOM based XSS:當參數數據能夠通過JavaScript函數導入到某個DOM元素時可能導致DOM型XSS。也是一種反射型XSS,由于歷史原因被單獨列出來了。通過修改頁面的DOM節點形成的XSS,稱之為DOM Based XSS。
防御XSSI攻擊的必要條件有以下這些:
如果網站返回“X-Content-Type-Options:nosniff”HTTP頭部的話,那么該攻擊就會偃旗息鼓了。所以,最簡單的防御措施,就是讓它返回這個頭部。服務器可以通過nosniff頭部告訴瀏覽器,“當我說將給你<Content-Type>時,就意味著這是真的<Content-Type>!”。
腳本標簽只能用于GET請求。因此,如果端點只接受POST請求,則此攻擊就無能為力了。這個要求看似簡單,但務必要小心。您可能已經設計了只接收POST請求的API,但您的內容管理系統也許仍然可以接收GET請求。
如果端點始終返回200,那么也就無法從狀態碼中竊取信息了。但是,狀態碼的存在,不要僅僅為了阻止這種攻擊而簡單粗暴地廢棄了HTTP協議的核心部分。請改用nosniff頭部來阻止該攻擊。
如果攻擊者能夠在自己的瀏覽器中加載私密信息,那么他就不需要這種攻擊了。該攻擊主要是設法讓用戶訪問攻擊者的域,然后以用戶在其他域的權限來獲取更多信息,這通常要求用戶已經經過了相應的認證。除此之外,如果您的家庭路由器有此漏洞,那么惡意公共站點可以通過它請求腳本,從而導致信息泄漏。
網絡安全等級保護定級步驟如下:
確定作為定級對象的網絡系統;
確定業務信息安全受到破壞時所侵害的客體;
根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度,根據業務信息的重要性和受到破壞后的危害性確定業務信息安全等級;
確定系統服務安全受到破壞時所侵害的客體;
根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度,根據系統服務的重要性和受到破壞后的危害性確定系統服務安全等級;
由業務信息安全等級和系統服務安全等級的較高者確定定級對象的安全保護等級。
信息安全管理認證遵循ISO17799、ISO13335、ISO15408等相關協議,協議是由國際標準化組織是標準化領域中的一個國際性非政府組織發布的。ISO負責當今世界上絕大部分領域的標準化活動。ISO現有165個成員(包括國家和地區)。ISO的主要功能是為人們制訂國際標準達成一致意見提供一種機制。其主要機構及運作規則都在一本名為ISO/IEC技術工作導則的文件中予以規定。
信息安全的指標包括以下這些:
保密性:在加密技術的應用下,網絡信息系統能夠對申請訪問的用戶展開刪選,允許有權限的用戶訪問網絡信息,而拒絕無權限用戶的訪問申請。
完整性:在加密、散列函數等多種信息技術的作用下,網絡信息系統能夠有效阻擋非法與垃圾信息,提升整個系統的安全性。
可用性:網絡信息資源的可用性不僅僅是向終端用戶提供有價值的信息資源,還能夠在系統遭受破壞時快速恢復信息資源,滿足用戶的使用需求。
授權性:在對網絡信息資源進行訪問之前,終端用戶需要先獲取系統的授權。授權能夠明確用戶的權限,這決定了用戶能否對網絡信息系統進行訪問,是用戶進一步操作各項信息數據的前提。
認證性:在當前技術條件下,人們能夠接受的認證方式主要有兩種,一種是實體性的認證,一種是數據源認證。之所以要在用戶訪問網絡信息系統前展開認證,是為了令提供權限用戶和擁有權限的用戶為同一對象。
抗抵賴性:網絡信息系統領域的抗抵賴性,簡單來說,任何用戶在使用網絡信息資源的時候都會在系統中留下一定痕跡,操作用戶無法否認自身在網絡上的各項操作,整個操作過程均能夠被有效記錄。這樣做能夠應對不法分子否認自身違法行為的情況,提升整個網絡信息系統的安全性,創造更好的網絡環境。
linux防火墻默認開放的是80端口和22端口,可以進入/etc/sysconfig/iptables查看防火墻開放的端口,正常情況下是沒有開放23端口建議使用vim命令對這個文件進行編輯來開放23端口。
當Linux打開防火墻后,你會發現,從本機登錄23端口是沒有問題的,但是如果從另一臺pc登錄該linux系統后,你會發現提示連接失敗。
URL過濾是一種針對用戶的URL請求進行上網控制的技術,通過允許或禁止用戶訪問某些網頁資源,達到規范上網行為和降低安全風險的目的。URL過濾的主要作用有三點:
限制訪問業務無關網站,提升企業工作效率、減少帶寬濫用。
限制訪問非法或包含不健康內容的網站,使上網行為合法合規。
限制訪問包含惡意軟件以及釣魚類不安全網站,避免網絡遭受攻擊。
簡單有效的計算機病毒預防措施有以下這些:
備好啟動盤,并設置寫保護。在對計算機進行檢查、修復和手工殺毒時,通常要使用無毒的啟動盤,使設備在較為干凈的環境下操作。
盡量不用軟盤、U盤、移動硬盤或其他移動存儲設備啟動計算機,而用本地硬盤啟動。
定期對重要的資料和系統文件進行備份。可以通過比照文件大小、檢查文件個數、核對文件名字來及時發現病毒。
重要的系統文件和磁盤可以通過賦予只讀功能,避免病毒的寄生和入侵。也可以通過轉移文件位置,修改相應的系統配置來保護重要的系統文件。
重要部門的計算機,盡量專機專用與外界隔絕。
盡量避免在無防毒措施的機器上使用軟盤、U盤、移動硬盤、可擦寫光盤等可移動的儲存設備。
使用新軟件時,先用殺毒程序檢查,減少中毒機會。
安裝殺毒軟件、防火墻等防病毒工具,并準備一套具有查毒、防毒、解毒及修復系統的工具軟件。并定期對軟件進行升級、對系統進行查毒。
經常升級安全補丁。80%的網絡病毒是通過系統安全漏洞進行傳播的,如紅色代碼、尼姆達等病毒,所以應定期到相關網站去下載最新的安全補丁。
使用復雜的密碼。有許多網絡病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,可大大提高計算機的安全系數。
IP地址中的一類比較特殊,被稱為私有IP地址。在現在的網絡中,IP地址分為公網IP和私有IP地址。公網IP是在Internet使用的IP地址,而私有IP地址是在局域網中使用的IP地址。專用 IP 地址被分配用于內部網。這些地址用于內部網絡,不能在外部公共網絡上路由。這些確保內部網絡之間不存在任何沖突,同時私有 IP 地址的范圍同樣可重復使用于多個內部網絡,因為它們不會“看到”彼此。
在局域網中的每臺計算機只能使用私有IP地址,如我們常見的192.168.0.*,就是私有IP地址。
私有IP地址是一段保留的IP地址。只是使用在局域網中,在Internet上是不使用的。
私有IP地址的范圍有:
A類:10.0.0.0 -10.255.255.255
B類:172.16.0.0 - 172.31.255.255
C類:192.168.0.0 - 192.168.255.255
上述的IP地址都是可以使用在局域網中的。
安全體系結構上將防火墻分為以下6種:
包過濾路由器型防火墻結構:在傳統的路由器中增加包過濾功能就能形成這種最簡單的防火墻。這種防火墻的好處是完全透明,但由于在單機上實現,形成了網絡中的“單失效點”。由于路由器的基本功能是轉發數據包,一旦過濾機能失效,就會形成網絡直通狀態,任何非法訪問都可以進入內部網絡。因此這種防火墻的失效模式不是“失效-安全”型,也違反了阻塞點原理。
雙宿主主機型防火墻結構:該結構至少由具有兩個接口(即兩塊網卡)的雙宿主主機構成。雙宿主主機一個接口接內部網絡,另一個接口接外部網絡,這種主機還可以充當與這臺主機相連的網絡之間的路由器,它能將一個網絡的IP數據包在無安全控制的情況下傳遞給另外一個網絡。但是在將一臺主機安裝到防火墻結構中時,首先要使雙宿主主機的這種路由功能失效。從一個外部網絡(如互聯網)來的IP數據包不能無條件地傳給另一個網絡(如內部網絡)。
主機過濾型防火墻結構:這種防火墻由過濾路由器和運行網關軟件的堡壘主機構成。該結構提供安全保護的堡壘主機僅與內部網絡相連,而過濾路由器位于內部網絡和外部網絡之間,該主機可完成多種代理,如FTP、Telnet、WWW,還可以完成認證和交互作用,能提供完善的Internet訪問控制。這種防火墻中的堡壘主機是網絡的“單失效點”,也是網絡黑客集中攻擊的目標,安全保障仍不夠理想。
子網過濾型防火墻結構:該防火墻是在主機過濾結構中再增加一層參數網絡的安全機制,使得內部網絡和外部網絡之間有兩層隔斷。由參數網絡的內、外部路由器分別連接內部網絡與外部網絡,用參數網絡(DMZ)來隔離堡壘主機與內部網,就能減輕入侵者沖開堡壘主機后而對內部網絡的破壞力。入侵者即使沖過堡壘主機也不能對內部網絡進行任意操作,而只可進行部分操作。
吊帶式防火墻結構:這種防火墻與子網過濾型防火墻結構的區別是,作為代理服務器和認證服務器的網關主機位于周邊網絡中。這樣,代理服務器和認證服務器是內部網絡的第一道防線,而內部路由器是內部網絡的第二道防線,而把Internet的公共服務(如FTP服務器、Telnet服務器、WWW服務器及E-mail服務器等)置于周邊網絡中,也減少了內部網絡的安全風險。
組合式防火墻安全體系結構:現實意義上的防火墻往往是將多種安全技術(包過濾路由器、代理服務器、密碼技術、審計認證)相結合,以滿足各種不同級別、不同環境的安全要求。實際構造防火墻安全系統時,一般很少采用單一的技術,通常是多種可以解決不同問題的技術的組合。這種組合主要取決于網絡向用戶提供什么樣的服務以及網絡能接受什么等級的風險。
霧節點自治安全包括以下四個方面:
發現和注冊自治:通常用以啟用資源。例如,剛上線的物聯網設備通常會首先注冊,讓云端知道它是被激活的,并且其相關功能可用。但是,當到達云端的上行鏈路網絡不可用時,可能會使設備無法上線。自治霧節點可以作為設備注冊的代理,從而允許設備在沒有后端云的情況下連入物聯網系統。
編排和管理自治:使在線服務自動化,并管理服務的生命周期運營過程。自治的編排管理機制包括多種自動化的操作。例如,實例化服務、提供服務周邊的環境信息(包括計算環境和物理環境,如天氣情況或數據流的路由)、跟蹤資源的健康狀況等。
安全自治:使設備和服務能夠聯機,根據最低限度的霧安全服務進行身份驗證,并執行其設計功能。另外,自治的安全服務可以存儲執行記錄以供將來審核,并且僅在需要的時候執行安全機制。霧節點可以自主地對不斷發展的安全威脅做出反應,比如更新病毒篩選算法、確定拒絕服務攻擊類型等,無須管理人員參與。
運營自治:主要用來支持物聯網等應用程序的運營,例如本地化決策等。傳感器提供數據,這是邊緣自主操作的基礎。如果系統層級中單個位置可以獨立做出決策,雖然與確保可靠性相悖,但是在此架構下,可以確保操作上的自主性。
信息安全等級保護實施過程中應遵循以下基本原則;
自主保護原則:信息系統的安全責任主體是信息系統運營、使用單位及其主管部門。“自主”體現在運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中,信息系統運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中,信息系統運營使用單位和主管部門按照“誰主管誰負責,誰運營誰負責”的原則開展工作,并接受信息安全監管部門對開展等級保護工作的監督。運營使用單位和主管部門是信息系統安全的第一負責人,對所屬信息安全系統安全負有直接責任;公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監督、檢查、指導,對重要信息系統安全負監管責任。由于重要信息系統的安全運行不僅影響本行業、本單位的生產和工作秩序,也影響國家安全、社會穩定、公共利益,因此,國家需要對重要信息系統的安全進行監管。
重點保護原則:重點保護就是要解決我國信息安全面臨的主要威脅和存在的主要問題,實行國家對重要信息系統進行重點安全保障的重大措施,有效體現“適度安全、保護重點”的目的,將有限的財力、物力、人力投放到重要信息系統安全保護中,依據相關標準建設安全保護體系,建立安全保護制度,落實安全責任,加強監督檢查,有效保護重要信息系統安全,有效保護重要信息系統安全,有效提高我國信息系統安全建設的整體水平。優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。
同步建設原則:信息安全建設的特點要求在信息化建設中必須同步規劃、同步實施,信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應,避免重復建設而帶來的資源浪費。
動態調整原則:跟蹤信息系統的變化,調整安全保護措施。由于信息系統的應用類型、數量、范圍等會根據實際需要而發生相應調整,當調整和變更的內容發生較大變化時,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。同時,信息安全本身也具有動態性,不是一成不變的,當信息安全技術、外部環境、安全威脅等因素發生變化時,需要信息安全策略、安全措施進行相應的調整,以滿足安全需求的變化。
以補丁來解決漏洞的問題存在以下局限性:
漏洞太多,補不勝補:當前網絡的系統軟件越來越龐大復雜,而互聯網的各類新型應用則層出不窮,相應的,系統的各類漏洞也越來越多,對應的補丁也越來越多。比如Outlook僅在2000年就發布了十多個補丁。一個大型企業一般有多種操作系統,成百上千個應用,有的軟件廠商每年都會發現幾十個漏洞,要對所有漏洞都打上補丁是一件非常繁重的工作。
補丁的發布往往要比漏洞的發現滯后一段時間:從發現漏洞到完成漏洞的修改,即補丁的發布,總是需要一些時間的,特別是對于那些復雜的大型系統軟件,定位漏洞往往費時費力。如果漏洞是被某些圖謀不軌的人先發現,那么也許還沒有相應的補丁可用,系統已經被人攻擊了。
補丁安裝不及時:補丁安裝不及時面臨的風險是可想而知的。因為,攻擊者可能在補丁發布的同時已經準備好了攻擊軟件,而且攻擊者也很好地利用了人性的懶惰性弱點。2001年7月19日,紅碼病毒攻擊了微軟的MSN服務器。具有諷刺意味的是,針對該病毒的補丁在同年6月就由微軟自行發布,時隔1個月后,微軟自己都沒有安裝!
打補丁的時機:當然,發布補丁也不是越快越好,因為補丁的成熟也需要一個過程,有時候倉促發布的補丁常常會存在很多的問題。因此選準發布補丁的時機就顯得很關鍵,但是,何時發布補丁對于專家來說都是一個難題,更別說普通的管理員了。目前,很多軟件廠商都提供了軟件自動更新升級和補丁自動安裝的服務,且往往在系統初始安裝的時候就默認開通了這項功能。這項服務可以幫助管理員節省精力,但另一方面會導致不成熟補丁的安裝。
無補丁可打:補丁并非總是可以隨時獲得的,特別是對于那些應用范圍相對較小的系統而言,生產廠商可能沒有足夠的時間和人力物力去開發補丁程序,至少是無法及時發布補丁,如微軟早就已經不再對Windows XP進行維護,但至今還有不少用戶在計算機上使用這個系統。
