IT架構互聯網化應具備以下特征:
開放:采用“平臺+應用”架構模式,提供更靈活、更個性化、更具擴展性的服務,便于應用的快速開發和接入。
敏捷:采用分布式架構、容器化等技術,實現應用及服務的自動伸縮能力,實現快速開發、部署、構建。微服務架構將業務邏輯模塊解耦,降低業務開發部署的難度,大幅提升新業務的上線能力,迅速響應客戶需求,降低試錯成本。
高效:實現資源共享、按需分配和動態調整,使服務器、存儲、網絡等 IT資源得到合理、有效利用。通過遠程及自動化等手段,實現應用系統部署、性能故障監控、資源管理和設備維護等高效運維功能。
可靠:具備負載均衡能力,包括負載的過載保護以及均衡分發能力,保證應用自身的可靠性,冗余能力、可靠運行能力、故障隔離及恢復能力。在充分保障分布式環境下高可用性的同時兼顧數據一致性的要求,保證數據最終一致。
彈性:構建統一可重用的業務能力架構,根據業務系統的性能需求彈性、靈活伸縮基礎資源。
普通互聯網和工業互聯網有以下區別:
連接對象不同:傳統互聯網的連接對象主要是人,應用場景相對簡單;工業互聯網需要連接人、機、物、系統等,連接種類和數量更多,場景十分復雜。
技術要求不同:傳統互聯網技術特點突出體現為“盡力而為”的服務,對網絡性能要求相對不高;工業互聯網則必須具有更低時延、更強可靠性和安全性,以滿足工業生產的需要。
發展模式不同:傳統互聯網應用門檻低,發展模式可復制性強,產業由互聯網企業主導推動,并且投資回報周期短,容易獲得社會資本的支持;工業互聯網行業標準多、應用專業化,難以找到普適性的發展模式,制造企業在產業推進中發揮至關重要的作用,并且工業互聯網資產專用性強,投資回報周期長,難以吸引社會資本投入。
時代機遇不同:我國的傳統互聯網起步較晚,總體上處于跟隨發展狀態;而目前全球工業互聯網產業格局未定,我國正處在大有可為的戰略機遇期。
《信息系統安全等級保護實施指南》闡述了等級保護實施的基本原則、參與角色和信息系統定級、總體安全規劃、安全設計與實施、安全運行與維護、信息系統終止等幾個主要工作階段中如何按照信息安全等級保護政策、標準要求實施等級保護工作。
其中等級保護實施的基本原則包括:
自主保護原則
等級保護對象運營、使用單位及其主管部門按照國家相關法規和標準,自主確定等級保護對象的安全保護等級,自行組織實施安全保護。
重點保護原則
根據等級保護對象的重要程度、業務特點,通過劃分不同安全保護等級的等級保護對象,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的等級保護對象。
同步建設原則
等級保護對象在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設網絡安全設施,保障網絡安全與信息化建設相適應。
動態調整原則
要跟蹤定級對象的變化情況,調整安全保護措施。由于定級對象的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定定級對象的安全保護等級,根據其安全保護等級的調整情況,重新實施安全保護。
漏洞掃描最遲是在滲透測試的信息收集階段啟動的,在滲透測試信息收集階段過程中一般采用漏洞掃描等主動掃描技術來發現漏洞為接下來的漏洞利用階段提供幫助,其中漏洞掃描在信息收集中屬于主動信息收集,通過直接訪問、掃描網站來獲得大量的網站信息。除了主動信息收集還有被動信息收集,利用第三方的服務對目標進行訪問了解,比例:Google搜索、Shodan搜索等。
滲透測試主要階段如下:
前期的交互階段:該階段通常是用來確定滲透測試的范圍和目標;
信息情報搜集階段:該階段需要采用各種方法來收集目標主機的信息包括使用社交媒體等網絡信息范圍內的已知事物,Google Hacking技術,目標系統踩點等;
威脅的建模階段:該階段主要是使用信息搜集階段所獲得的信息,來標識目標系統有存在可能存在的安全漏洞與弱點的方法之一;
漏洞分析利用階段:該階段將綜合從前面幾個環節中獲取到的信息,從中分析理解那些攻擊和用途徑是可行的,特別是需要重點分析端口和漏掃描結果,截獲到服務的重要信息,以及在信息收集環節中得到其他關鍵性的位置信息;
滲透攻擊實施階段:該階段是利用上述步驟收集的信息進行攻擊,可能是存在滲透測試過程中最吸引人的地方,然后在這種情況下,往往沒有用戶所預想的那么一帆風順,而是曲徑通幽,在攻擊目標系統主機時,一定要清晰的了解在目標系統存在這個漏洞,否則,根本無法啟動攻擊成功的步驟;
后滲透權限維持階段:該階段在任何一次滲透過程中都是一個關鍵環節,該階段將以特定的業務系統作為目標,識別出關鍵的基礎設施,并尋找客戶組織罪具有價值和嘗試進行安全保護的信息和資產;
報告階段:報告是滲透測試過程中最重要的因素,使用該報告文檔可以交流滲透測試過程中做了什么,如何做的以及最為重要的安全漏洞和弱點。
網絡配置不佳
配置越弱,攻擊成功的可能性就越大。例如,一旦控制設備由于配置不良而暴露于互聯網——攻擊者可以在網絡中獲得立足點并利用敏感資產。
工業控制系統(ICS)設備永遠不應直接連接到Internet。應該實施嚴格的網絡分割,即使為了方便,也不應該犧牲網絡的完整性。
缺少審計跟蹤
審計跟蹤對于了解任何網絡中正在發生的事情是至關重要的。然而,有些工業控制系統(ICS)環境中的日志機制并不存在或不完整。在許多情況下,安全團隊缺乏操作技術(OT)知識,無法知道如何收集日志或在何處查找日志。
保存基本的日志記錄對事件響應和攻擊調查取證都至關重要。它也是任何類型的監管合規審計所必需的。首先要了解環境的局限性,監控和收集哪些數據,包括所有日志的收集和聚合。
大多數工業控制系統(ICS)網絡都有生成審計跟蹤的組件,但這些功能往往沒有得到充分利用。所有事件都應該自動報告給安全事件響應團隊,記錄并通過實時審計機制進行關聯。
缺乏控制
許多工業控制系統(ICS)環境沒有設計基本的安全防護控制措施,因此,OT網絡中的安全防護措施通常是事后的想法,并且存在以下脆弱性:
補丁通常不能輕易部署
沒有集中的,最新的資產清單、配置、軟件版本、補丁級別等
內部安全政策沒有被監控或執行
安全模型基于“如果它有效,最好不要調整”的原則
對策
為OT網絡實施集中式自動化資產管理功能至關重要。如果沒有最新且準確的工業控制系統(ICS)資產清單,尤其是負責管理物理流程的控制器,則幾乎不可能評估風險,應用補丁以及檢測未經授權的更改和活動。
員工安全意識薄弱
正如在IT環境中一樣,員工薄弱的安全意識對OT網絡安全構成了巨大的風險。網絡釣魚攻擊、社交工程和不安全的瀏覽行為都有可能造成漏洞,攻擊者可以利用這些漏洞通過橫向移動來破壞IT、OT或兩者的網絡。
安全培訓,網絡分段和多因素身份驗證都可以防止因員工缺乏意識,違反政策或人為錯誤而導致的違規行為。
內部威脅
OT環境中的內部人員與IT環境中的安全風險相同。來源可能是惡意的,例如心懷不滿的員工,被竊取或破壞資產的內部人員,或者攻擊者與內部人員相互勾結造成的泄密。由于人為錯誤,內部威脅也可能是無意的。
執行風險評估,以識別和解決漏洞,如特權帳戶。內部人員擁有過多權限的賬戶,關閉這些賬戶是減少內部攻擊面的關鍵。了解和監控OT攻擊載體(主要是網絡和通過串口直接訪問設備)也可以應對這些威脅。網絡活動異常檢測和常規設備完整性檢查可以識別惡意活動。最后,將IT和OT安全性統一起來,因為這兩個環境通常是相互連接的,這有助于防止網絡攻擊從一個網絡橫向移動到另一個網絡。
數據采集的五種方法如下:
傳感器采集:通過例如溫濕度傳感器、氣體傳感器、視頻傳感器等方式采集數據;
爬蟲采集:通過編寫網絡爬蟲有針對性收集數據;
錄入采集:編寫系統錄入網頁將已有數據錄入到數據庫;
導入采集:開發導入工具將已有的批量數據導入系統;
接口采集:通過API接口將其他系統數據導入自己的系統中。
等級保護ASG分別是以下含義:
A:代表的是系統服務安全等級,一般配合G標準組合成GA標準即中華人民共和國公共安全行業標準;保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求。
S:代表的是業務信息安全等級,一般配合G標準組合成GS標準即德國安全性認證標準;保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權修改的信息安全類要求。
G:代表的是通用安全服務等級,一般配合其他標準使用;技術類中的安全審計、管理制度等。
CDN的全稱是Content Delivery Network,即內容分發網絡。其目的是通過在現有的Internet中增加一層新的網絡架構,將網站的內容發布到最接近用戶的網絡”邊緣”,使用戶可以就近取得所需的內容,解決Internet網絡擁塞狀況,提高用戶訪問網站的響應速度。從技術上全面解決由于網絡帶寬小、用戶訪問量大、網點分布不均等原因,解決用戶訪問網站的響應速度慢的根本原因。
目前國內CDN加速服務器有:百度云加速、阿里云CDN服務器、騰訊云CDN服務器、Ucloud、網宿云加速、安全寶、加速樂
百度云加速bai,是百度旗下為網站提供一站式加速、安全防護和搜索引擎優化的產品
百度云加速在全國骨干網上部署大量節點和帶寬資源,整合百度自有CDN技術以及防攻擊體系,為廣大網站提供加速、緩存和頁面優化等功能,顯著提高網站的訪問速度,大量節省網站自身資源。
阿里云內容分發網絡(Content Delivery Network,簡稱CDN)是由分布在不同區域的邊緣節點服務器群組成的分布式網絡。阿里云CDN將源站資源緩存至阿里云遍布全球的加速節點上,當終端用戶請求訪問和獲取該資源時,無需回源,系統自動調用離終端用戶最近的CDN節點上已緩存的資源。
騰訊云CDN是基于騰訊自建CDN打造的開放云產品,為互聯網業務提供全面穩定的CDN服務,將騰訊多年在CDN加速上積累的經驗開放給廣大互聯網業務廠商。
騰訊自建CDN于2007年啟動建設,歷經8年時間,最初服務于騰訊自身業務,于2013年開始在騰訊云(QCloud)上逐步開放給外部用戶使用,未來騰訊云CDN將開放更多的海量服務能力,為云上的用戶提供更滿足互聯網業務需求的CDN加速服務。
UCloud是基礎云計算服務提供商,長期專注于移動互聯網領域,深度了解移動互聯網業務場景和用戶需求。針對特定場景,UCloud通過自主研發提供一系列專業解決方案,包括計算資源、存儲資源和網絡資源等企業必須的基礎IT架構服務,滿足互聯網研發團隊在不同場景下的各類需求。運維團隊只需注冊UCloud云平臺,即可在管理界面中實現各服務的統一管理和使用。
QingCloud提供的CDN產品在創建時比較麻煩,需要先創建主域名,然后再創建加速域名,整體來說,流程是比較麻煩的,對于一些新手來說,容易在設置時設置錯誤。創建一個CDN時,整體時間在10分鐘左右。
網宿云加速網宿云加速的創建速度是比較快的,但到可以使用時間就比較長了。不同與其他家的自動審核,網宿的CDN加速服務似乎是人為審核的,在你創建不久之后,就會收到熱心的網宿云加速的銷售打來的電話,幫你審核域名并開通訪問。從個人的角度來說,可能會比較不舒服。
安全寶的云安全服務,直接融合了最新的動態CDN加速技術,在為用戶主動攔截黑客的入侵滲透(SQL、XSS),抵御DDoS攻擊、CC攻擊的同時,采用綜合部署在全國的極速CDN系統,顯著提升網站訪問速度,降低故障率,從而整體提升網站的用戶體驗。
加速樂是中國領先的互聯網安全提供商知道創宇推出的一款在線免費網站CDN加速、網站安全防護平臺。致力于系統化解決網站訪問速度過慢及網站反黑客問題。
防火墻的工作原理是通過設置安全策略,來進行安全防護。傳統防火墻工作層次3、4、5、7層(七層模型)。所以傳統防火墻保護3、4、5、7層。防火墻是部署在網絡出口處/服務器區(數據中心)/廣域網接入,用于防止外界黑客攻擊/保護內部網絡安全性的安全硬件。
傳統防火墻的類型
包過濾(包過濾防火墻)
工作層次:3/4層(七層模型)
工作原理:手工,類似ACL控制數據包,五元組,實現單向訪問
優點:僅處理3/4層,簡單快捷。
缺點:ACL多且復雜,手工配置,不能隨需求自動修改;不能識別通信狀態進行控制;不能防范應用層攻擊;是默認策略,沒有明顯允許就是禁止。
狀態檢測技術(狀態防火墻)
工作層次:3/4/5層
工作原理:維持會話表通信狀態。會話表包括五個元素(源目的IP,源目的端口,協議號)
優點:可以識別會話狀態控制通信;能動態生成放通回程報文的策略。
缺點:不能防范應用層攻擊、應用data不能檢測、對FTP等多連接應用兼容性差。
應用代理技術ALG(應用代理防火墻)
工作層次:3/4/5/7層
工作原理:應用數據data檢查:動態協商的端口、URL、 ftp操作指令、http請 求方法等,允許動態通道(端口都是隨機動態協商的,如FTP )的數據進入防火墻。
優點:可以檢測應用層數據,防范簡單的應用層攻擊;
缺點:軟件處理,消耗資源。
數據采集的五種方法如下:
傳感器采集:通過例如溫濕度傳感器、氣體傳感器、視頻傳感器等方式采集數據;
爬蟲采集:通過編寫網絡爬蟲有針對性收集數據;
錄入采集:編寫系統錄入網頁將已有數據錄入到數據庫;
導入采集:開發導入工具將已有的批量數據導入系統;
接口采集:通過API接口將其他系統數據導入自己的系統中。
計算機網絡系統的安全評價,通常采用美國國防部計算機安全中心制定的可信計算機系統評價準則(TCSEC)。TCSEC定義了系統安全的5個要素:系統的安全策略、系統的審計機制、系統安全的可操作性、系統安全的生命期保證以及針對以上系統安全要素而建立和維護的相關文件。
TCSEC中根據計算機系統所采用的安全策略、系統所具備的安全功能將系統分為A、B(B1、B2、B3)、C(C1、C2)和D等四類七個安全級別。
D類(最低安全保護級):該類未加任何實際的安全措施,系統軟硬件都容易被攻擊。這是安全級別最低的一類,不再分級。該類說明整個系統都是不可信任的。對于硬件來說,沒有任何保護可用;對于操作系統來說較容易受到損害;對于用戶,其存儲在計算機上的信息的訪問權限沒有身份驗證。常見的無密碼保護的個人計算機系統、MS-DOS系統、Windows系統屬于這一類。
C類(被動的自主訪問策略級),該類又分為以下兩個子類(級)。
C1級(無條件的安全保護級):這是C類中安全性較低的一級,它提供的安全策略是無條件的訪問控制,對硬件采取簡單的安全措施(如加鎖),用戶要有登錄認證和訪問權限限制,但不能控制已登錄用戶的訪問級別,因此該級也叫選擇性安全保護級。早期的SCOUNIX、NetWare V3.0以下系統均屬于該級。
C2級(有控制的訪問保護級):這是C類中安全性較高的一級,除了提供C1級中的安全策略與控制外,還增加了系統審計、訪問保護和跟蹤記錄等特性。UNIX/Xenix系統、NetWare V3.x及以上系統和Windows NT/2000系統等均屬于該級。
B類(被動的強制訪問策略級):該類要求系統在其生成的數據結構中帶有標記,并要求提供對數據流的監視。該類又分為三個子類(級)。
B1級(標記安全保護級):它是B類中安全性最低的一級。除滿足C類要求外,要求提供數據標記。B1級的系統安全措施支持多級(網絡、應用程序和工作站等)安全。“lable”(標記)是指網上的一個對象,該對象在安全保護計劃中是可識別且受保護的。該級是支持秘密、絕密信息保護的最低級別。
B2級(結構安全保護級):該級是B類中安全性居中的一級,它除滿足B1要求外,還要求計算機系統中所有設備都加標記,并給各設備分配安全級別。
B3級(安全域保護級):該級是B類中安全性最高的一級。它使用安裝硬件的辦法來加強安全域。如安裝內存管理硬件來保護安全域免遭無授權訪問或其他安全域對象的修改。
A類(驗證安全保護級):A類是安全級別最高的一級,它包含了較低級別的所有特性。該級包括一個嚴格的設計、控制和驗證過程。設計必須是從數學角度經過驗證的,且必須對秘密通道和可信任的分布進行分析。
設備不被漏洞掃描工具掃到方法如下:
關閉端口
關閉閑置和有潛在危險的端口。這個方法比較被動,它的本質是將除了用戶需要用到的正常計算機端口之外的其他端口都關閉掉。因為就黑客而言,所有的端口都可能成為攻擊的目標。可以說,計算機的所有對外通訊的端口都存在潛在的危險。
屏蔽端口
檢查各端口,有端口掃描的癥狀時,立即屏蔽該端口。這種預防端口掃描的方式通過用戶自己手工是不可能完成的,或者說完成起來相當困難,需要借助軟件。這些軟件就是我們常用的網絡防火墻。
設置白名單和黑名單
假如你的網站不想被太多的人看到(比如只想被公司內部的人看到),你可以使用白名單的方式只允許你們公司的IP訪問。假如是一個面向大眾的網站,建議檢測掃描你網站的IP,使用黑名單的方式禁掉這些IP。
建議服務器增加資源,防止被掃描導致癱瘓
即使防護做的再好,也免不了被掃描或者爬取。現在的爬蟲技術能夠輕松應對反爬蟲機制,沒有什么有效的方法能夠完全禁止被爬取或者被掃描,只有增加服務器帶寬來防止被惡意掃描時使服務暫停。
加裝防火墻等安全設備
目前市面上有一些防火墻能夠阻擋一些異常的掃描和爬取。
使用CDN作為外部服務的入口
公網服務僅允許來自CDN機房的ip進行訪問。通過CDN分流掃描器的流量,同時利用CDN的云WAF攔截功能屏蔽掃描器的訪問
對流量或者日志進行分析
目前大量的掃描器在掃描時存在特征(如使用特定的useragent或者字典生成數據包),可以通過對流量或者日志進行分析,鑒定和攔截特定的掃描器行為。
使用waf或ips等安全設備攔截攻擊payload,阻斷掃描的漏洞探測流量
IPsec(IP Security)是IETF制定的三層隧道加密協議,它為Internet上傳輸的數據提供了高質量的、可互操作的、基于密碼學的安全保證。特定的通信方之間在IP層通過加密與數據源認證等方式。IPsec具有以下優點:
支持IKE(Internet Key Exchange,因特網密鑰交換),可實現密鑰的自動協商功能,減少了密鑰協商的開銷。可以通過IKE建立和維護SA的服務,簡化了IPsec的使用和管理。
所有使用IP協議進行數據傳輸的應用系統和服務都可以使用IPsec,而不必對這些應用系統和服務本身做任何修改。
對數據的加密是以數據包為單位的,而不是以整個數據流為單位,這不僅靈活而且有助于進一步提高IP數據包的安全性,可以有效防范網絡攻擊。
兩者各有優勢按需選擇,滲透測試的目標是一個黑盒子,我們并不關心軟件產品內部的代碼結構,我們只通過對這個網站發起一些參數提交POC惡意參數,來達到我們利用某個漏洞挖掘出的一些攻擊效果屬于黑盒測試的一種,而代碼審計是直接拿到網站的源代碼進行漏洞挖掘,也稱為白盒測試,選擇哪種是根據客戶和現有資料來確定的。
滲透測試和代碼審計的關系
滲透測試:能夠相對于發現操作系統和網絡服務綜合性的安全,因為滲透測試是在已經成熟的網絡環境中去操作。(網絡架構,后臺服務器等)
代碼審計:更多的是一個靜態的代碼審計,白盒測試則是徹底地發現代碼的風險
兩者的關系
相互補充,相互強化(黑盒測試通過外層進行嗅探挖掘,白盒測試從內部充分發現源代碼中的漏洞風險)
代碼審計發現問題,滲透測試確定漏洞的可利用性
滲透測試發現問題,代碼審計確定成因
防火墻優點如下:
防止惡意流量:防火墻使用預先建立的規則審查傳入和傳出的數據,并確定流量是否合法。您的網絡具有特定位置(稱為端口),可供不同類型的數據訪問。例如,VoIP 電話流量的端口通常是開放的。您的防火墻可以設置規則:只有來自 VoIP 提供商的流量才能進入此端口,而其他流量將被拒絕。當您需要將所有人拒之門外時,還有“全部拒絕”選項。當企業正在升級系統并且面臨更多風險時,這尤其有用。
警告惡意活動:防火墻不僅跟蹤 IP,還跟蹤用于識別用戶或應用程序是否危險的簽名。它檢測符合。例如 DDoS 攻擊或其他侵入性活動的簽名。如果檢測到,防火墻不僅會阻止它們,還會通知您。對于小型企業而言,防火墻的最大好處是,如果有針對您的網絡的持續黑客活動,他們可以立即通知您,以便您的網絡安全團隊可以消除威脅并保護您的系統。
阻止內部數據外流:如果防火墻和您的防御策略不足以阻止黑客入侵,防火墻可以阻止數據外流。發生這種情況時,防火墻開始充當單向門;讓人們進來但什么都不讓出去。這在嘗試識別嘗試源自何處時特別有用,因為防火墻也可以記錄 IP 和簽名。
防范網絡釣魚攻擊:企業級防火墻可以識別您訪問的連接是否與網絡釣魚等社會工程攻擊相關聯。如果是,防火墻會立即阻止所有流出的數據并發出警告。此外,防火墻具有電子郵件過濾等選項,可分析傳入電子郵件中的網絡釣魚等危險信號,并防止可疑電子郵件到達用戶收件箱。
對內容進行安全過濾:在防火墻的幫助下,您可以控制您的員工可以訪問的內容和他們不可以訪問的內容。通過過濾掉惡意網站(請記住,許多在線網站包含惡意軟件)或僅過濾掉那些非生產性網站,企業可以提高效率和生產力。
