網絡安全風險值的計算方法主要有以下幾種:
定性計算方法:定性計算方法是將風險評估中的資產、威脅、脆弱性等各要素的相關屬性進行主觀評估,然后再給出風險計算結果。例如,資產的保密性賦值評估為:很高、高、中等、低、很低;威脅的出現頻率賦值評估為:很高、高、中等、低、很低;脆弱性的嚴重程度賦值評估為:很高、高、中等、低、很低;定性計算方法給出的風險分析結果是:無關緊要、可接受、待觀察、不可接受。
定量計算方法:定量計算方法是將資產、威脅、脆弱性等量化為數據,然后再進行風險的量化計算,通常以經濟損失、影響范圍大小等進行呈現。但是實際上資產、威脅、脆弱性、安全事件損失難以用數據準確地量化,因而完全的定量計算方法不可行。定量計算方法的輸出結果是一個風險數值。
綜合計算方法:綜合計算方法結合定性和定量方法,將風險評估的資產、威脅、脆弱性、安全事件損失等各要素進行量化賦值,然后選用合適的計算方法進行風險計算。例如,脆弱性的嚴重程度量化賦值評估為: 5 (很高)、 4(高)、 3 (中等)、 2(低)、 1(很低) 綜合計算方法的輸出結果是一個風險數值,同時給出相應的定性結論。
國內外的網絡安全法律法規的差異,主要體現在對網絡安全的理解認識和重視程度不同、出發點、側重點、網絡應用歷史及網絡安全的經歷與經驗的積累不同、法律法規及制度的全面及完善程度也不同。我國正式發布了《國家網絡空間安全戰略》,其中明確指出,全社會的網絡安全意識、基本防護技能和利用網絡的信心大幅提升是網絡強國戰略目標的重要一環,網絡欺詐等違法犯罪活動的辨識和抵御能力,是夯實網絡安全基礎的戰略任務。
傳統的數據安全存在的問題有以下這些:
數據的流動性使安全防護困難:數據正在成為組織中重要的生產資料,并且會在流動、交換的過程中創造新的價值。傳統的數據安全防護措施更多針對靜態的數據,無法滿足流動數據的保護需求。由于數據的流動性這一特點,要求數據無論到達哪里,都必須具有相同等級的風險應對能力,否則將因為短板效應而導致該防護體系失效。
傳統的方案面臨海量數據的巨大挑戰:與傳統數據庫和文件服務器的數據分類分級不同的是,數據治理面臨的第一個問題就是數據是海量的。在數字化時代,數據存儲與傳統數據庫和文件服務系統存儲不同的是,企業級大數據在來源、種類、格式、數量和敏感性上差別很大,使用的場景各有特點,安全要求各有不同。面對規模如此龐大的數據,已經很難采用傳統的技術手段或人工的方式完成大數據平臺的數據分級。
數據種類繁多,傳統方案難以開展數據分類分級:在數字化業務環境下,數據來源非常龐雜,數據種類至少包括內部業務系統數據、外部機構數據、互聯網數據等,這為數據的分類分級工作帶來了巨大挑戰。從各種渠道和來源收集上來的數據格式千差萬別,如何對這些不同格式的數據進行歸一化處理,不僅是數據分類分級工作的基礎,也是大數據平臺數據共享開放與分析挖掘的前提。
單一安全產品難以滿足復雜應用場景下的數據安全要求:傳統的數據安全機制通常是圍繞著辦公環境、小型數據中心開展的,數據資產規模小、種類少、結構單一,強調存儲加密、脫敏、審計,數據安全體系不完整,難以滿足大數據應用場景下的數據動態安全防護。
缺乏數據的識別與管控,難以開展有效的數據安全管理:企業積累了大量的生產、經營和企業管理數據,這些數據體量大、維度多,而且數據與數據之間的聯系有強有弱。傳統方案缺乏對敏感數據的識別能力。傳統地依靠人工參與并結合自動化技術來識別敏感數據的方式,已經完全無法滿足當前在時間和效果方面的需求。因此,只能通過新的大數據分析技術與人工智能手段來達到對海量數據的敏感性識別。
訪問控制力度不足,缺乏精細化數據訪問控制能力:在大數據場景下,數據從多個渠道大量匯聚,數據類型、用戶角色和應用需求更加多樣化,多源數據的大量匯聚增加了訪問控制策略制定及授權管理的難度,導致過度授權和授權不足現象嚴重。同時,傳統訪問控制方案中往往采用基于角色的訪問控制,缺乏基于屬性的訪問控制能力,且針對用戶的權限策略相對固定,無法根據主客體的風險情況動態調整訪問控制策略,導致無法為用戶準確指定其可以訪問的數據范圍,難以滿足最小授權原則。
僵尸網絡的組成包括:
命令與控制模塊:命令與控制(C&C)模塊是整個僵尸程序的核心,用于實現與僵尸網絡控制器的交互,接收攻擊者的控制命令,進行解析和執行,并將執行結果反饋給僵尸網絡控制器。
傳播模塊:傳播模塊通過各種不同的方式將僵尸程序傳播到新的主機,使其加入僵尸網絡接受攻擊者的控制,從而擴展僵尸網絡的規模。僵尸程序可以按照傳播策略分為自動傳播型僵尸程序和受控傳播型僵尸程序兩大類,而僵尸程序的傳播方式包括通過遠程攻擊軟件漏洞傳播、掃描NetBIOS弱密碼傳播、掃描惡意代碼留下的后門進行傳播、通過發送郵件病毒傳播、通過文件系統共享傳播等。此外,最新的僵尸程序也已經開始結合即時通信軟件和P2P文件共享軟件進行傳播了。
信息竊取模塊:信息竊取模塊用于獲取受控主機信息,主要包括系統資源情況、進程列表、開啟時間、網絡帶寬和速度等。同時,搜索并竊取受控主機上有價值的敏感信息,如軟件注冊碼、電子郵件列表、賬號口令等。
主機控制模塊:僵尸網絡中的主機控制模塊是攻擊者利用受控的大量僵尸主機(肉雞)完成各種不同攻擊目標的模塊集合。目前,主流僵尸程序中實現的僵尸主機控制模塊包括DDoS攻擊模塊、架設服務模塊、發送垃圾郵件模塊及單擊欺詐模塊等。
下載與更新模塊:下載與更新模塊為攻擊者提供向受控主機注入二次感染代碼及更新僵尸程序的功能,使其能夠隨時在僵尸網絡控制的大量主機上更新和添加僵尸程序及其他惡意代碼,以實現不同攻擊目的。
繞過檢測與對抗分析模塊:繞過檢測與對抗分析模塊包括對僵尸程序的多態、變形、加密、通過Rootkit方式進行實體隱藏,以及檢查調試程序(debugger)的存在、識別虛擬機環境、殺死反病毒進程、阻止反病毒軟件升級等功能。其目標是使得僵尸程序能夠繞過受控主機的使用者和反病毒軟件的檢測,并對抗反病毒軟件的檢測,從而提高僵尸網絡的生存能力。
web應用防火墻包括以下這些類型:
云WAF類:云WAF基于云端的檢測,安裝簡單,修改DNS解析或在服務器安裝云WAF的模塊即可。
硬件WAF類:硬件WAF串聯在內網的交換機上,防護范圍大。軟件WAF安裝在服務器上,根據網站流量決定占用的內存量。
軟件WAF類:軟件WAF采用純軟件的方式實現,特點是安裝簡單,容易使用,成本低。但它的缺點也是顯而易見的,因為它必須安裝在Web應用服務器上,除了性能受到限制外,還可能會存在兼容性、安全等問題
網站內置WAF類:網站內置WAF在系統后臺內置一項安全功能以便管理者使用。在這些類別內,硬件WAF防護能力較強,當然這只是按照類別對比。
建立一個安全的 Web 站點應該做到如下幾點:
增強服務器操作系統的安全,密切關注并及時安裝系統及軟件的最新補丁,建立良好的賬號管理制度,使用足夠安全的口令,并正確設置用戶訪問權限。
恰當地配置Web服務器,只保留必要的服務,刪除和關閉無用的或不必要的服務。
對服務器進行遠程管理時,使用如SSL等安全協議,避免使用Telnet、FTP等程序,并嚴格控制遠程root身份的使用,僅在絕對需要時,才允許使用具有高授權的操作。
禁止或限制CGI程序和ASP、PHP腳本程序的使用。同時構建一個安全的服務器外部環境。
使用防火墻及壁壘主機,對數據包進行過濾,禁止某些地址對服務器的某些服務的訪問,并在外部網絡和Web服務器中建立雙層防護。利用防火墻,將服務器中沒有必要從防火墻外面訪問的服務及端口阻隔,進一步增強開放服務的安全性。
使用入侵檢測系統,監視系統、事件、安全記錄和系統日志,以及網絡中的數據包,對危險和惡店意訪問進行阻斷、報警等響應。
使用漏洞掃描和安全評估軟件,對整個網絡進行全面的掃描、分析和評估,從用戶賬號約束、口令系統、訪問控制、系統監測、數據完整、數據加密等多方面進行安全分析和審計。建立和提高用戶的安全策略,及時發現并彌補安全漏洞。
在網關和服務器上使用多層次的防病毒系統,尤其對于允許上傳和交互信息發布的服務器來說,防止病毒及木馬程序的侵入是保證服務器系統安全的一個關鍵。
邊緣計算技術要加強安全需要解決以下問題:
邊緣計算的體系結構問題:在互聯網、物聯網等網絡通信領域,對云計算、云服務出現的問題,分別提出了各自的解決方案,云服務提供商把數據中心以外的計算、存儲、服務,稱為邊緣計算。物聯網領域把物聯網終端上除了數據采樣、控制功能以外的計算、存儲、網絡傳輸功能稱為霧計算。網絡運營商把寄生在網關、路由器、交換機、通信基站的計算服務、存儲數據傳輸能力稱為移動邊緣計算、微云。
物聯網終端處理器計算能力問題:物聯網終端的處理器計算能力一般較弱,在低功耗約束條件下,完成數據采樣、計算處理、聯網通信等功能。這種資源受限的處理器,在完成邊緣計算的能力方面是較弱的。物聯網不同的應用場景,對處理器的計算能力有不同的要求。物聯網視頻應用,要求計算能力強,以減少視頻數據傳輸壓力。物聯網水表、電表,數據量很小、傳輸壓力小,對處理器的計算能力要求也不高。對資源受限的處理器,它的計算能力是實施邊緣計算要考慮的條件之一。
邊緣計算的算法與內存設計問題:邊緣(霧)計算的一個重要應用場景是將云端的智能計算能力延展到物聯網終端,即智能計算前置(下移)。目前主流的深度學習和神經網絡處理算法程序較復雜,通常在幾兆到幾百兆之間,物聯網終端處理器和內存設計要滿足這些資源要求,給微處理器設計帶來了較大挑戰。邊緣計算要進行算法模型的壓縮和智能處理算法的硬IP化,并配置到物聯網終端的微處理器上。不能硬化的算法程序,就要考慮微處理器的內存配置,在功耗允許的條件下,用好微處理器的片內存儲器和片外存儲器。
邊緣計算與云計算能力的資源協調問題:云計算是集中化的計算模式,邊緣計算本質是分布式計算模式。云計算和邊緣計算不是對立的技術架構,在一些應用場景中,運用邊緣計算在網絡邊緣做數據預處理后再傳到云端,在云端進行數據挖掘、知識提取和趨勢分析,使得云計算和邊緣計算各展所長,相互補充。和云計算相伴相生的邊緣計算,其能力的實現必須與云計算進行有效的協同,達到更好的應用效果。在云計算和邊緣計算的協同過程中,網絡負載如何分配、任務如何調度、資源如何利用等問題目前還沒有明確的解決方案。
邊緣計算的系統安全問題:由于邊緣計算與物聯網、互聯網進行網絡通信和數據傳輸,因此必然存在系統安全方面的問題。由于物聯網終端的微處理器是資源有限、計算能力較弱的計算系統,不能像普通計算系統一樣采取多層和多種安全保護措施。有些邊緣計算的終端設備直接應用于系統控制,其安全性顯得尤其重要,因此物聯網終端設備上展開的邊緣計算,其安全性尤其重要,避免有人不當操控設備。
邊緣計算發展建議采用以下對策:
加強邊緣計算的技術標準和規范建設:邊緣計算涉及海量的終端設備、邊緣節點,是數據采集、數據匯聚、數據集成和數據處理的前端,這些設備往往存在異構性,來自不同的生產廠商、不同的數據接口、不同的數據結構、不同的傳輸協議和不同的底層平臺,造成它們互不兼容。為此,統一的技術規范和標準亟待達成一致。這些標準和規范的指定將大大節約邊緣計算節點的建設成本。
邊緣計算技術的研發和應用與新一代通信技術研發計劃協同:邊緣計算是與云計算相生相伴的一種計算技術,并且與大數據、5G通信和智能信息處理技術高度耦合。在制定5G發展規劃時,應將邊緣計算研發納入進去,加快相關核心技術的研發,加快和提升邊緣計算技術的成熟度。
加強邊緣計算的開源生態建設:邊緣計算本身由海量的終端設備構成,而眾多的智能終端可采用統一的開源操作系統,以便形成開源的生態環境。這一趨勢將會給各廠商提供均等的發展機會,利用開源生態來維持核心代碼,以便形成業界認可的技術接口、關鍵功能和發展路徑。
互聯網上活躍的釣魚網站傳播途徑主要有八種:
通過QQ、MSN、阿里旺旺等客戶端聊天工具發送傳播釣魚網站鏈接;
在搜索引擎、中小網站投放廣告,吸引用戶點擊釣魚網站鏈接,此種手段被假醫藥網站、假機票網站常用;
通過Email、論壇、博客、SNS網站批量發布釣魚網站鏈接;
通過微博、Twitter中的短連接散布釣魚網站鏈接;
通過仿冒郵件,例如冒充“銀行密碼重置郵件”,來欺騙用戶進入釣魚網站;
感染病毒后彈出模仿QQ、阿里旺旺等聊天工具窗口,用戶點擊后進入釣魚網站;
惡意導航網站、惡意下載網站彈出仿真懸浮窗口,點擊后進入釣魚網站;
偽裝成用戶輸入網址時易發生的錯誤,如gogle.com、sinz.com等,一旦用戶寫錯,就誤入釣魚網站。
以下單位必須做等級保護:
政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等。
金融行業:金融監管機構、各大銀行、證券、保險公司等。
電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等。
能源行業:電力公司、石油公司、煙草公司。
企業單位:大中型企業、央企、上市公司等。
其它有信息系統定級需求的行業與單位。
安全等級保護由公安部負責具體由相關部門執行:
網絡運營者依據《GB/T 22240-2020 信息安全技術 網絡安全等級保護定級指南》,確定等級保護對象,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。
第二級以上網絡運營者在定級、撤銷或變更調整網絡安全保護等級時,在明確安全保護等級后需在 10 個工作日內,到縣級以上公安機關備案,提交相關材料。
網絡運營者根據網絡安全建設整改方案,實施安全建設工程。
公安機關對第三級以上網絡運營者每年至少開展一次安全檢查,涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,公安機關可以委托社會力量提供技術支持。
防毒墻一般用在需要對內網進行病毒防護時使用,防毒墻是指位于網絡入口處(網關),用于對網絡傳輸中的病毒進行過濾的網絡安全設備。通俗的說,防毒墻可以部署在企業局域網和互聯網交界的地方,阻止病毒從互聯網侵入內網。凡是病毒都有一定的特征。防毒墻會掃描通過網關的數據包,然后對這些數據進行病毒掃描,如果是病毒,則將其清除。理論上講,防毒墻可以阻止任何病毒從網關處侵入企業內部網絡。
防毒墻部署模式有以下這些方式:
在線部署模式:在線部署是最簡單部署模式,就是將防毒墻直接串聯在網絡中,這樣防毒墻就相當于一個過濾網,直接過濾來自網絡中的數據。
旁路部署模式:這種模式是將防毒墻和所要保護的網絡并聯起來,但通過數據鏡像后將這些鏡像后的數據傳輸給防毒墻然后防毒墻進行審核,這種模式不會直接影響網絡中的數據。
以下原因說明語音短信是最不安全的MFA方式:
從實時角度來看,SMS和語音格式無法提供滿意的用戶體驗,也無法跟上技術進步和攻擊者行為的腳步;
PSTN電話交換網系統不是100%可靠的,這意味著在需要時可能不會發出消息或呼叫;
法規變化可能會阻礙SMS的發送和撥打電話;
SMS和電話的設計之初沒有采用加密,可以被攔截(例如,通過軟件定義的無線電、femotcell、SS7攔截服務、移動惡意軟件、網絡釣魚工具等);
攻擊者可能會欺騙、賄賂或強迫運營公用電話交換網的公司的支持人員提供對受害者的SMS或語音通道的訪問(例如,通過SIM交換攻擊)。
滲透測試中獲取高級訪問憑證的方法有以下這些:
使用網絡嗅探器、鍵盤記錄器,來捕獲傳送的用戶憑證(dsniff可以用來分離正在進行的傳輸中的密碼,或者從Wireshark或tshark會話中保存的一個pcap文件)。
對本地存儲的密碼進行一個檢索。有些用戶收集電子郵件文件夾的密碼(經常被稱為password),由于密碼重復使用,簡單的密碼系統是很常見的,所以找到那些密碼,并在升級的過程中使用。
NirSoft開發了幾款免費的工具,可以上傳到入侵系統中,使用meterpreter從操作系統和緩存密碼的應用程序(郵件應用程序、遠程訪問軟件、FTP和網絡瀏覽器)中分離出密碼。
使用meterpreter等應用程序來轉儲SAM和SYSKEY文件。
當一些應用程序加載時,它們使用特殊的順序讀取動態鏈接庫(dynamic link library,DLL)文件。創建一個與合法DLL同名的假DLL文件是可能的,把它放在一個特定的目錄位置,讓應用程序加載并執行它,最終實現攻擊者的權限提升。
使用利用緩沖區溢出,或其他手段來提升權限的滲透方式。或者通過meterpreter執行getsystem腳本,自動地將管理員權限提升到系統級別。
防火墻常見的部署方法有以下這些:
橋模式:橋模式也可叫作透明模式。最簡單的網絡由客戶端和服務器組成,客戶端和服務器處于同一網段。為了安全方面的考慮,在客戶端和服務器之間增加了防火墻設備,對經過的流量進行安全控制。正常的客戶端請求通過防火墻送達服務器,服務器將響應返回給客戶端,用戶不會感覺到中間設備的存在。工作在橋模式下的防火墻沒有IP地址,當對網絡進行擴容時無需對網絡地址進行重新規劃,但犧牲了路由、VPN等功能。
網關模式:網關模式適用于內外網不在同一網段的情況,防火墻設置網關地址實現路由器的功能,為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現了安全隔離,具備了一定的私密性。
NAT模式:NAT(Network Address Translation)地址翻譯技術由防火墻對內部網絡的IP地址進行地址翻譯,使用防火墻的IP地址替換內部網絡的源地址向外部網絡發送數據;當外部網絡的響應數據流量返回到防火墻后,防火墻再將目的地址替換為內部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到內部網絡的IP地址,進一步增強了對內部網絡的安全防護。同時,在NAT模式的網絡中,內部網絡可以使用私網地址,可以解決IP地址數量受限的問題。
高可靠性設計:防火墻都部署在網絡的出入口,是網絡通信的大門,這就要求防火墻的部署必須具備高可靠性。一般IT設備的使用壽命被設計為3至5年,當單點設備發生故障時,要通過冗余技術實現可靠性,可以通過如虛擬路由冗余協議(VRRP)等技術實現主備冗余。目前,主流的網絡設備都支持高可靠性設計。
static函數是不能被其他文件直接調用的,可以用間接的方式。
方法一:通過非static函數的方式,我們可以定義一個普通的函數,讓這個普通函數調用static函數,然后在把這個普通函數在頭文件中聲明。
(1.cpp)
#include
#include "2.h"
void main()
{
struct stru stru1;
use_my_static(&stru1);
stru1.f();
}(2.cpp)
#include "2.h"
#include
static void my_static()
{
printf("我是外邊的static的函數,我被調用了\n");
}
void use_my_static(struct stru *h)
{
h->f=my_static;
};2.h頭文件
static void my_static();
struct stru{
void (*f)();
};
void use_my_static(struct stru *h);方法二:通過函數指針的方式, 我們只要得到這個函數的地址,那么就一定可以調用它,大家要知道static函數是對編譯器起作用的,在運行時根本沒有static了,有的只是函數地址,所以只要搞到函數地址管它是不是static的照調不誤。
class Hack
{
private:
int x;
public:
int get_x();
static void func(Hack * pthis); // 靜態成員函數
void func2(); // 非靜態成員函數
};
void Hack::func(Hack * pthis)
{
int y = pthis->get_x(); // 訪問對象的數據成員
}邊緣計算的通信層容易遭受的主要攻擊有:
竊聽攻擊:竊聽攻擊是指有意地監聽通信鏈接上的私密通話。若通信數據分組未加密,攻擊者可以直接獲得有價值的信息;在加密的情況下,攻擊者也有可能獲取用戶名和密碼。當數據分組包含訪問控制信息時,如邊緣設備配置、共享網絡密碼和邊緣設備標識符,通過竊聽可以捕獲關鍵信息。攻擊者可以使用這些捕獲的信息設計其他定制的攻擊,例如如果攻擊者能夠成功提取信息,將某個偽造的新邊緣設備添加到授權邊緣設備集中,那么它就能夠輕松地把一個惡意邊緣設備添加到系統中。
側信道攻擊:盡管側信道攻擊不易實現,但它們是針對加密系統的強大攻擊,能對加密系統的安全性和可靠性構成嚴重威脅。側信道攻擊也可以在邊緣設備層啟動。與邊緣設備層的攻擊不同,通信層的側信道攻擊通常是非侵入性的,它們只提取無意泄漏的信息。該攻擊的一個重要特征是它們是難以檢測的,因此,除了最小化泄漏或為泄漏的信息添加噪聲之外,目前對側信道攻擊沒有簡單可行的防御方法。
DoS攻擊:通信層的DoS攻擊的作用是阻塞無線電信號的傳輸。參考文獻定義了兩種類型的有源干擾攻擊:持續干擾,即對所有傳輸進行完全干擾;間歇性干擾,邊緣設備可以周期性地發送/接收數據分組。持續干擾的目標是阻斷所有的通信傳輸,而間歇性干擾的目標是降低通信的性能。例如一個火災探測系統原本可以探測到環境中氣體水平的異常變化,并在緊急情況下呼叫消防隊。攻擊者通過間歇性地干擾邊緣設備到邊緣設備、邊緣設備到基站的傳輸,使系統變得不可靠,在這種情況下,如果攻擊者使用持續干擾,系統將停止服務。有些文獻研究針對各種傳輸協議(包括藍牙)發起DoS攻擊的可能性和有效性。除了主動干擾攻擊外,攻擊者還可能使用惡意邊緣設備或路由器啟動DoS攻擊,攻擊者插入故意違反通信協議的邊緣設備或路由器,以產生沖突或干擾通信。惡意路由器或邊緣設備也可能拒絕路由消息或試圖誤導它們,這種DoS攻擊可以間歇地或持續地進行。持續的DoS攻擊通常較容易被檢測到,而間歇性攻擊的檢測則需要精確和高效的監視設備。
注入欺騙分組攻擊:攻擊者可以使用插入、操縱和重播3種不同的攻擊方式,將欺詐性數據分組注入通信鏈路。在插入攻擊中,攻擊者能夠生成并發送看似合法的惡意數據分組;操縱攻擊是指捕獲數據分組,然后對其進行修改(如更新報頭信息、校驗和、數據),并發送操縱的數據分組;在重播攻擊中,攻擊者捕獲之前兩個對象之間交換的數據分組,并在通信過程中重播相同的數據分組。
路由攻擊:影響消息路由方式的攻擊被稱為路由攻擊。攻擊者可以使用此類攻擊在通信層欺騙、重定向、誤導或刪除數據分組。最簡單的路由攻擊類型是更改攻擊,攻擊者通過生成路由循環或錯誤消息更改路由信息。
未授權對話攻擊:每個邊緣設備都需要與其他邊緣設備通信,以便共享數據或訪問它們的數據。但是,每個邊緣設備應該只與需要其數據的邊緣設備子集進行通信,這是物聯網系統的基本要求,特別是對于由不安全邊緣設備和安全邊緣設備組成的物聯網系統。未授權對話攻擊是獲取未授權的邊緣設備與邊緣設備之間的對話信息的一種攻擊。例如在智能家居場景中,為了在緊急情況下關閉供暖系統,恒溫器需要煙霧探測器的數據。然而,如果不安全的煙霧探測器可以共享每一個其他邊緣設備的信息,攻擊者可能通過入侵煙霧探測器的方式控制整個家庭自動化系統。
加強邊緣計算技術安全性的措施有以下這些:
數據存儲、備份和保護:實際上,網絡攻擊者僅通過從邊緣計算資源中刪除磁盤或插入U盤,就有可能竊取數據庫。由于邊緣計算設備的本地資源有限,因此備份關鍵文件也可能很困難或不可能實現,這意味著如果發生攻擊事件,組織可能沒有備份副本來恢復數據庫。所以要加強數據的備份和保護。
加強密碼安全:建議不要使用弱密碼,可以增強密碼的安全性,并且對密碼的存儲要保證存儲的安全。
增加身份驗證:由于邊緣計算技術缺乏對用戶的身份驗證,建議可以采取多因素認證或者雙因素認證等方式來加強用戶的身份認證,同時完善用戶的管理和管理員的操作。
及時更新補丁:邊緣計算設施出現安全漏洞可能會使數據中心資產的訪問憑據暴露,從而顯著增加安全漏洞的范圍。及時將這些漏洞進行修補以防止數據中心資產的暴露。
監視活動操作:監視并記錄所有邊緣計算活動,尤其是與操作和配置有關的活動。組織必須確保對邊緣計算設施的訪問權限,因為總體而言并不能保證其設施的安全。將設備放在安全籠中并在人員進入和退出時進行視頻監視是一個很好的策略,其前提是必須控制對安全籠的訪問,并且采用視頻技術可以識別訪問嘗試。打開安全籠應在組織的IT運營或安全中心觸發警報。用于這一目的的工具與用于數據中心設施安全的工具相同,都采用傳感器和警報。
