防火墻最長使用年限在10年左右,建議在五到六年左右進行更換,但如果防火墻可以正常使用且滿足需求是沒有必要進行更換的,建議選擇防火墻等設備時挑滿足自己需求的情況下高一個檔次以增加使用年限。
防火墻是一個由計算機硬件和軟件組成的系統,部署于網絡邊界,是內部網絡和外部網絡之間的連接橋梁,同時對進出網絡邊界的數據進行保護,防止惡意入侵、惡意代碼的傳播等,保障內部網絡數據的安全。防火墻技術是建立在網絡技術和信息安全技術基礎上的應用性安全技術,幾乎所有的企業內部網絡與外部網絡(如因特網)相連接的邊界設都會放置防火墻,防火墻能夠起到安全過濾和安全隔離外網攻擊、入侵等有害的網絡安全信息和行為
等級保護工作規定動作包括:
定級。網絡運營者根據《網絡安全等級保護定級指南》擬定網絡的安全保護等級,組織召開專家評審會,對初步定級結果的合理性進行評審,出具專家評審意見,將初步定級結果上報行業主管部門進行審核。
備案。網絡運營者將網絡定級材料向公安機關備案,公安機關對定級準確、符合要求的網絡發放備案證明。
等級測評。網絡運營者選擇符合國家規定條件的測評機構,對第三級以上網絡(含國家關鍵信息基礎設施)每年開展等級測評,查找發現問題隱患,提出整改意見。
安全建設整改。網絡運營者根據網絡的安全保護等級,按照國家標準開展安全建設整改。
監督檢查。公安機關每年對網絡運營者開展網絡安全等級保護工作的情況和網絡的安全狀況實施執法檢查。
計算機網絡領域中的“代理”通常以廣義的代理服務器的形式存在的,它可能不單獨是一臺物理服務器,也可能是運行在服務器上的一個程序。它可以分為兩類:
正向代理
正向代理通常用在局域網想訪問萬維網上某服務器的情況,例如國內用戶(墻內也是一個大的局域網)想訪問YouTube服務器,如果直接在瀏覽器中輸入www.youtube.com通常是無法訪問的。這個時候,如果存在一臺服務器,它可以訪問YouTube,你可以訪問它,那就可以把它作為一個正向代理服務器。當你想訪問YouTube的時候,你把請求發給正向代理服務器,由它轉發請求去訪問YouTube,并將響應返還給你。
反向代理
反向代理不需要在使用的電腦上配置IP和端口,它的目的剛好和正向代理類比(說相反不太恰當,因為都是為了解決跨網域問題)。例如用戶想要訪問某個公司內部局域網的某臺服務器,如果直接輸入10.10.10.10是根本行不通的。但是,如果這個公司有一臺電腦,具備公網IP,那它就可以做反向代理服務器,用戶訪問這個公網IP,由反向代理服務器去訪問內網資源,再轉發響應給用戶。
等級保護制度就是對信息系統實行分等級保護、分等級監管,是將全國的信息系統(包括網絡)按照重要性和遭受損壞后的危險程度分為五個安全保護等級,從第一級到第五級,逐級增高;等級保護制度是由于信息系統結構是分層次和級別的,而其中各種信息系統具有重要的社會和經濟價值,信息安全保護必須符合客觀存在和發展規律,其分級、分區域、分類和分階段是做好國家信息安全保護制度的前提。
信息安全等級保護實施過程中應遵循以下基本原則;
自主保護原則:信息系統的安全責任主體是信息系統運營、使用單位及其主管部門。“自主”體現在運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中,信息系統運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中,信息系統運營使用單位和主管部門按照“誰主管誰負責,誰運營誰負責”的原則開展工作,并接受信息安全監管部門對開展等級保護工作的監督。運營使用單位和主管部門是信息系統安全的第一負責人,對所屬信息安全系統安全負有直接責任;公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監督、檢查、指導,對重要信息系統安全負監管責任。由于重要信息系統的安全運行不僅影響本行業、本單位的生產和工作秩序,也影響國家安全、社會穩定、公共利益,因此,國家需要對重要信息系統的安全進行監管。
重點保護原則:重點保護就是要解決我國信息安全面臨的主要威脅和存在的主要問題,實行國家對重要信息系統進行重點安全保障的重大措施,有效體現“適度安全、保護重點”的目的,將有限的財力、物力、人力投放到重要信息系統安全保護中,依據相關標準建設安全保護體系,建立安全保護制度,落實安全責任,加強監督檢查,有效保護重要信息系統安全,有效保護重要信息系統安全,有效提高我國信息系統安全建設的整體水平。優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。
同步建設原則:信息安全建設的特點要求在信息化建設中必須同步規劃、同步實施,信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應,避免重復建設而帶來的資源浪費。
動態調整原則:跟蹤信息系統的變化,調整安全保護措施。由于信息系統的應用類型、數量、范圍等會根據實際需要而發生相應調整,當調整和變更的內容發生較大變化時,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。同時,信息安全本身也具有動態性,不是一成不變的,當信息安全技術、外部環境、安全威脅等因素發生變化時,需要信息安全策略、安全措施進行相應的調整,以滿足安全需求的變化。
數據安全審計使用方法如下:
登錄數據安全審計控制臺,在控制臺將該系統進行初始化;
在彈出的初始化窗口,選擇與需要審計的數據庫對應的地域和 VPC、子網;
重新登錄后可以在控制臺看到您已購買的數據安全審計實例,選擇任意數據安全審計實例,可以單擊進行管理;
數據審計系統一般以下三個賬號,使用不同賬號登錄有不同權限:
系統管理員:負責數據安全審計系統自身相關信息的查詢以及自身相關功能的配置,具備其他賬號的增刪改權限,該角色內置賬號 sysadmin。
審計管理員:負責數據安全審計業務,包括資源管理、規則配置、審計信息查詢等,該角色內置賬號 useradmin。
操作審計員:負責審計數據安全審計各管理員賬號的操作,防止其他管理員濫用職權進行非法操作,該角色內置賬號 sysaudit。
已完成 控制臺登錄 操作后,通過 useradmin 賬號登錄數據安全審計管理頁面選擇數據資產與 Agent > 審計的數據資產,進入審計的數據資產頁面;
在審計的數據資產頁面,單擊添加數據資產,進入添加數據資產框,輸入數據資產名稱,選擇數據資產類型和數據資產 IP 和 Port。
單擊確定,提示添加成功即可開始審計工作。
MTA / STS是電子郵件安全協議的最新改進之一,它使SMTP服務器之間的郵件能夠安全地加密傳輸。 對于要實施的郵件傳輸代理嚴格傳輸安全協議,DNS策略必須指定服務器可以從某個子域中獲取策略文件。通過HTTPS提取策略時,它將包含收件人服務器的經過身份驗證的列表。服務器連接加密的問題可能會解決,但是攻擊者仍然可以訪問服務器本身并查看有價值的信息。該問題只能通過實現端到端加密方法來解決。
PGP和OpenPGP是雙向加密協議,第二種是開放源代碼。Open Pretty Good Privacy(PGP)的工作方式與S / MIME一樣,這意味著僅加密內容,并且第三方可以收集收件人和發件人詳細信息,這些信息也構成了元數據。
配置防火墻網卡參數;
配置防火墻內外網ip地址;
指定外網地址范圍;
指定進行轉換的內部地址;
配置某些控制選項;
配置保存;
查看當前用戶模式所有可以用的命令;
查看端口狀態;
查看靜態地址映射。
信息安全審計流程如下:
策略定義
安全審計應在一定的審計策略下進行,審計策略規定哪些信息需要采集、哪些事件是危險事件、以及對這些事件應如何處理等。因而審計前應制定一定的審計策略,并下發到各審計單元。在事件處理結束后,應根據對事件的分析處理結果來檢查策略的合理性,必要時應調整審計策略。
事件采集
包含以下行為:
- 按照預定的審計策略對客體進行相關審計事件采集。形成的結果交由事件后續的各階段來處理;
- 將事件其他各階段提交的審計策略分發至各審計代理,審計代理依據策略進行客體事件采集。事件分析
包含以下行為:
- 按照預定策略,對采集到事件進行事件辨析,決定1)忽略該事件; 2)產生 審計信息; 3)產生審計信息并報警; 4)產生審計信息且進行響應聯動。
- 按照用戶定義與預定策略,將事件分析結果生成審計記錄,并形成審計報告;事件響應
包含以下行為:
- 對事件分析階段產生的報警信息、響應請求進行報警與響應;
- 按照預定策略,生成審計記錄,寫入審計數據庫,并將各類審計分析報告發送到指定的對象;
- 照預定策略對審計記錄進行備份;結果匯總
主要包含以下行為:
- 將各類審計報告進行分類匯總;
- 對審計結果進行適當的統計分析,形成分析報告;
- 根據用戶需求和事件分析處理結果形成審計策略修改意見。IP訪問策略只允許部分IP/網段訪問本服務器。要求只有部分網段可以訪問,其他網段無法訪問本服務器。
命令控制策略用于控制用戶訪問資源的關鍵操作權限,實現Linux主機運維操作的細粒度控制。
訪問時段控制在某些時間段內,部分內容禁止訪問。
降低多云環境下越權系統ID風險的手段如下:
對所有用戶使用即時權限訪問:無論在會話或任務持續期間、或是指定的時間段內,還是用戶手動重新核查配置文件,都需要對所有用戶(用戶和機器ID)使用即時(JIT)權限訪問,一旦任務完成,這些權限就被自動撤銷。
保持零常設權限:動態添加和刪除權限,使企業CloudOps團隊能夠保持零常設權限(ZSP)安全態勢。它適用于零信任概念,意味著在默認情況下,沒有任何人或設備可以一直訪問企業的云帳戶和數據。
集中和擴展權限管理:使用靜態身份時,盡量減少散亂現象是一大挑戰,如今許多CloudOps團隊在努力使用 Excel電子表格來手動管理ID和權限。集中式配置可以跨所有云資源自動執行這個過程,從而大大降低出錯、及帳戶和數據面臨更大風險的可能性。
借助高級數據分析(ADA)獲得統一的訪問可見性:ADA使團隊能夠從單一管理平臺跨所有平臺監控整個環境,這項功能可識別每個組織特定的權限訪問問題,并讓負責管理數千個用戶ID的安全團隊能夠做到心中有數。
將機密管理引入到CI/CD流程中:可以實時授予和撤銷JIT機密,這在CloudOps需要啟動臨時服務時很理想,它自動執行通過策略來調用的共享機密輪換機制,并保護和簡化入職和離職流程。有限的可見性阻礙了安全團隊,并加劇了原本很復雜的情形。擁有越權訪問的系統ID過多,意味著組織在保護多云環境時面臨重大挑戰。但是如果能定義誰在什么權限下使用特權帳戶、撤銷不必要的訪問,以及運用即時權限訪問,組織就可以保護多云環境,并放心地部署自動化流程。
個人防火墻都有以下特點:
防火墻能強化安全策略:因為Internet上每天都有上百萬人在那里收集信息、交換信息,不可避免地會出現個別品德不良的人,或違反規則的人,防火墻是為了防止不良現象發生的”交通警察”,它執行站點的安全策略,僅僅容許”認可的”和符合規則的請求通過。
防火墻能有效地記錄Internet上的活動:因為所有進出信息都必須通過防火墻,所以防火墻非常適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網絡和外部網絡之間進行記錄。
防火墻限制暴露用戶點:防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。
防火墻是一個安全策略的檢查站:所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。
防火墻可以阻斷攻擊,但不能消滅攻擊源。:“各掃自家門前雪,不管他人瓦上霜”,就是目前網絡安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋他們,但是無法清除攻擊源。即使防火墻進行了良好的設置,使得攻擊無法穿透防火墻,但各種攻擊仍然會源源不斷地向防火墻發出嘗試。例如接主干網10M網絡帶寬的某站點,其日常流量中平均有512K左右是攻擊行為。那么,即使成功設置了防火墻后,這512K的攻擊流量依然不會有絲毫減少。
防火墻不能抵抗最新的未設置策略的攻擊漏洞:就如殺毒軟件與病毒一樣,總是先出現病毒,殺毒軟件經過分析出特征碼后加入到病毒庫內才能查殺。防火墻的各種策略,也是在該攻擊方式經過專家分析后給出其特征進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網絡,那么防火墻也沒有辦法幫到您的
防火墻的并發連接數限制容易導致擁塞或者溢出:由于要判斷、處理流經防火墻的每一個包,因此防火墻在某些流量大、并發請求多的情況下,很容易導致擁塞,成為整個網絡的瓶頸影響性能。而當防火墻溢出的時候,整個防線就如同虛設,原本被禁止的連接也能從容通過了。
防火墻對服務器合法開放的端口的攻擊大多無法阻止:某些情況下,攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。由于其行為在防火墻一級看來是“合理”和“合法”的,因此就被簡單地放行了。
防火墻對待內部主動發起連接的攻擊一般無法阻止:“外緊內松”是一般局域網絡的特點。或許一道嚴密防守的防火墻內部的網絡是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式,然后由中木馬的機器主動對攻擊者連接,將鐵壁一樣的防火墻瞬間破壞掉。另外,防火墻內部各主機間的攻擊行為,防火墻也只有如旁觀者一樣冷視而愛莫能助。
防火墻本身也會出現問題和受到攻擊:防火墻也是一個os,也有著其硬件系統和軟件,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬件方面的故障。
防火墻不處理病毒:不管是funlove病毒也好,還是CIH也好。在內部網絡用戶下載外網的帶毒文件的時候,防火墻是不為所動的(這里的防火墻不是指單機/企業級的殺毒軟件中的實時監控功能,雖然它們不少都叫“病毒防火墻”)。
物聯網針對網絡主動攻擊的預防措施有以下:
代碼加固:由于遠程接入、操作等智能終端的代碼小巧,容易被傳播復用,因此首先需謹慎處理代碼,可以建立代碼的安全審查制度。其次,智能終端芯片或嵌入式模塊往往缺乏安全保護容易被逆向分析,因此需加強代碼加固手段,防止代碼被破解、分析、植入等。
通信加密:射頻、藍牙等數據通信協議通常有各種版本的實現,開發人員為了最求快速部署,常常忽略通信加密,而導致數據分組被分析破解,因此,可以采用AES、SSL/TLS等標準化的加密算法或協議,或自行研制加密方案。
安全網關:智能家居等通常直接采用無線路由的接入方式,即支持多種物聯網智能終端的快速接入,這樣的接入設備最容易遭受黑客的劫持,因此需要研制部署物聯網安全網關。
身份認證:隨著物聯網應用的普及,可能每個人都可能成為智能手環、可穿戴設備、智能鑰匙等終端節點的持有者,建立既安全又便捷的統一身份認證體系變得越來越重要。生物識別、行為大數據分析、云端認證服務等有望解決物聯網的安全認證問題。
漏洞共享:近年來爆發的視頻攝像頭遠程控制和DDoS等物聯網安全事件,很大程度上在于業界缺乏足夠的安全意識和漏洞共享平臺,因此建立完善的漏洞播報和安全快速響應機制,對物聯網安全至關重要。
態勢感知:可以預測到未來數以億計的物聯網設備將部署在我們的周圍,因此跟蹤監控這些設備,及時掌握設備運行的安全狀態,將變得更加重要。目前已出現Shadon、ZoomEye等全球物聯網設備搜索引擎,也將成為網絡空間安全的一種常態化服務平臺。
數據庫透明加密是指對庫內數據的加密和解密,對數據庫的訪問程序是完全無感知的。特別是應用系統,不需要做任何修改和編譯,就能夠直接應用到加密庫上。與透明加密相對應的,是在應用系統中對數據進行加密,然后再存儲到數據庫中。需要真實數據的時候,從數據庫中讀取密文,再解密出明文。嚴格的說,這種方式并不是數據庫加密,而是數據加密。
數據庫加密實現方式有:
全盤加密:采用全盤加密系統或者存儲加密網關系統,將數據庫文件所在的磁盤扇區進行加密。當數據庫訪問磁盤扇區的時候,對加密扇區再進行解密。這種方式對于數據庫自身來說是透明的,數據庫管理系統也感覺不到加密解密過程的存在。這種加密方式工作在存儲層,僅能防止磁盤丟失時敏感數據遭受泄漏。所有對磁盤具有訪問權限的用戶都可以訪問到真實的數據庫文件。因而,對于控制了操作系統的攻擊者來說,并沒有防護能力。
文件加密:在操作系統文件驅動層將數據庫的存儲文件經過加密后存儲到磁盤上。當數據庫訪問存儲文件的時候,再進行解密。這種方式對于數據庫自身來說也是透明的,數據庫管理系統也感覺不到加密解密過程的存在。這種加密方式能防止磁盤丟失和文件被復制導致的敏感數據泄漏。但是,對于控制了數據庫系統的攻擊者來說,文件還是開放的,因而也沒有真正的防護能力。
數據庫自帶加密:某些數據庫自身提供了加密機制,在數據庫內核實現了存儲的加密。這種加密方式能防止磁盤丟失和文件被復制導致的敏感數據泄漏。但是,對于控制了數據庫系統的攻擊者來說卻是開放的,并沒有防護能力。而且其密鑰管理通常不會對數據庫用戶開放,安全性得不到保證,也得不到國內相關評測機構的認可。
庫內擴展加密:通過使用視圖、觸發器、擴展索引等機制,實現透明加密。由于引入了獨立于數據庫的第三方程序,通過控制加密解密的權限,增加了額外的訪問控制。對于數據庫內不同的用戶,也可以控制其對加密數據的訪問。但是這種加密方式不能越過應用系統,實現應用系統用戶對敏感數據的訪問控制。而且這種加密方式依賴于數據庫系統的擴展索引機制,并不能在所有數據庫上實現。
數據庫加密網關或加密驅動:通過對數據庫前端部署數據庫加密網關,或者通過擴展數據庫訪問驅動(如JDBC驅動)實現數據庫加密。這種方式理論上能夠支持所有的數據庫,是一種通用的解決方案,且安全性更高。但是對于所有訪問語句和訪問機制卻難以全部支持,例如對于網關之后的存儲過程和觸發器都無法支持。
應用加密網關:在應用系統之前放置加密網關,進一步將數據加密的位置提前,在數據進入應用系統之前進行加密。這種加密方式可以控制應用系統的用戶對數據的訪問權限,并且真實數據對所有數據庫用戶都是不可見的,是最安全的一種加密方式。事實上,這種加密方式與具體的數據庫無關,是對立與數據庫的。但是由于應用系統的復雜性,實現的難度也較大。
VPN的主要優點有:
傳輸數據安全可靠:VPN產品均采用加密及身份驗證等安全技術,保證連接用戶的可靠性及傳輸數據的安全和保密性。
完全控制:VPN使用戶可以利用ISP的設施和服務,同時又完全掌握著自己網絡的控制權。用戶只利用ISP提供的網絡資源,對于其他的安全設置、網絡管理變化可由自己管理,在企業內部也可以自己建立VPN。
降低成本:對于企業而言,利用Internet組建私有網,將大筆的專線費用縮減為少量的市話費用和Internet費用。企業甚至可以不必建立自己的廣域網和接入網維護系統,而將這一繁重的任務交由專業的ISP來完成;VPN提高了整個企業網的互聯性,良好的擴展性使得企業更好、更快地適應Internet經濟的發展,把握商機。
可以在網絡連接中透明地配置:VPN與防火墻和代理服務器不同,大多數的VPN產品可以在網絡連接中透明地配置,而不需要修改網絡或客戶端的配置。
管理性能提高快:VPN的管理性能提高得很快,就單一廠商的環境,管理工作站可以直接提供多單元的支持。
能夠建立更加緊密的長期合作關系:對于服務提供商來說,通過向企業提供VPN這種增值服務,ISP可以與企業建立更加緊密的長期合作關系,同時充分利用現有網絡資源,提高業務量。
連接方便靈活:用戶如果想與合作伙伴連網,如果沒有VPN,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路,有了VPN之后,只需雙方配置安全連接信息即可。
操作系統產生漏洞的原因有如下四個:
操作系統陷門:一些操作系統為了安裝其他公司的軟件包而保留了一種特殊的管理程序功能,盡管此功能的調用需要以特權方式進行,但如果未受到嚴密的監控和必要的認證限制,就有可能形成操作系統陷門。
輸入輸出的非法訪問:有些操作系統一旦I/O操作被檢查通過后,該操作系統就默認繼續執行而不再進行檢查,從而造成后續操作的非法訪問。還有些操作系統使用公共系統緩沖區,任何用戶都可以搜索該緩沖區,如果該緩沖區沒有嚴格的安全措施,那么其中的機密信息(如用戶的認證數據、口令等)就有可能被泄露。
訪問控制的混亂:在操作系統中,安全訪問強調隔離和保護措施,而資源共享要求開放。如果在設計操作系統時不能處理好這二者之間的矛盾關系,就可能出現安全問題。
不完全的中介:完全的中介必須檢查每次訪問請求以進行適當的審批。而某些操作系統省略了必要的安全保護。要建立安全的操作系統,必須構造操作系統的安全模型并提供不同的實施方法。另外,還需要建立和完善操作系統的評估標準、評價方法和測試質量。
