浅谈网络安全策略pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范浅谈网络安全策略

浅谈网络安全策略


2009/6/27  编辑:佚名 来源:本站整理  关键词:

浅谈网络安全策略

 

年轻时唱过一首毛主席语录歌, 歌曰:政策和策略是党的生命, 各级领导同志务必充分提醒一定要注意, 万万不可粗心大意。 物类相通, 搞了几年网络net安全, 对于平安战略的体验, 竟也有相似的感觉。 为了抵御网上攻击, 维护网络net平安, 现就在几乎所有的网络net信息系统system都装备了各式各样的网络net平安设施, 诸如:加密设备、防火墙、入侵检测系统system、漏洞扫描、防治病毒软件、 VPN 平安认证系统system、平安审计系统system … 等等。 有人形象地把它称为网络net平安的十八般兵器, 但是搞好网络net平安光拥有这些兵器是不够的必需重视平安战略。 平安战略是网络net平安的生命, 灵魂。 没有对的平安战略的平安系统system就像没有灵魂的躯壳, 不能够够完成保证平安的使命的

作为例子, 想先谈谈有关联于入侵检测系统system的平安战略。

入侵检测系统system根据记录入侵检测的行为分为两种模式:异常检测和误用检测。 前者先要建立一个系统system访问正常行为的模型, 凡是访问者不符合这个模型的行为将被断定为入侵 ; 后者则相反, 先要将所有有可能发生的有利的不可接受的行为归纳建立一个模型, 凡是访问者符合这个模型的行为将被断定为入侵。 看, 这两种模式的平安战略是完全不同的而且, 各有优点和短处:异常检测的漏报率很低, 但是不符合正常行为模式的行为并不见得就是恶意攻击, 因此这种战略误报率较高 ; 误用检测由于直接匹配比对异常的不可接受的行为模式, 因此误报率较低。 但恶意行为千变万化, 有可能没有被收集就在行为模式库中, 因此漏报率就很高。 这就要求用户必需根据记录本系统system的特点和平安要求来制定策略, 选择中行为检测模式。 现就在用户都采取两种模式相结合的战略。

入侵检测系统system还是有其他平安战略, 如控制战略和响应策略。 对于控制战略, 入侵检测系统system分为集中式控制和分布式控制两种模式 ( 还是有第三种是混合式 ) 前者模式中, 只有一个中央入侵检测服务器, 分布于各个主机上的审计顺序将搜集到数据信息踪迹发送send到中央服务器集中分析处置。 这种方式可以能够节约资源, 降低本钱, 但是可伸缩性和可配置性上有弱点, 网络net一大, 就有可能形成瓶颈, 而且具有单点故障的风险 ; 分布式控制模式则将中央服务器的功能分配配置到各个节点的主机之中, 让大家都有入侵检测的功能, 这种模式显然能够防止上述弱点。 但分布式控制策略的维护利息却高了很多, 而且增加了监控主机的工作负担。

从响应战略上讲, 入侵检测系统system也分为两种模式 — 主动响应和被动相应。 前者对于搜集到不正常情况只发出告警通知, 不试图降低所造成的破坏, 也不对攻击者反击 ; 后者则有可能对被攻击系统system实施控制, 阻断或减轻攻击反应影响。 外表上看, 主动响应的功能要比主动相应强很多, 大家都选前者不就完了吗 ? 别忙, 事情还是有另一面, 网络net上的事情是比较复杂的如果没有弄清楚异常情况的根源便全自动采取反制措施, 如断开网络net连载、杀死可疑进程等, 有可能会给系统system带来严重后果。 须知正就在运行的信息系统system是连着千万个用户, 任意一个一个系统system的操作有请求需要慎之又慎。 出于这个原因, CFCA 中国金融认证中心 ) 入侵检测系统system采用了主动响应的战略。

2001 年, CFCA 入侵检测系统system曾经发现就在某个 IP 地址上发出数千个密集的异常访问。 依照行为模式, 这应该是属于恶意的拒绝服务攻击。 但监控者并没有贸然断开网络net连载, 而是做了一些深入调查。 结果发现, 本来是某家银行刚上认证业务, 正就在用 CFCA 生产系统system做压力测试, 这才形成了拒绝服务攻击 ” 假象。 可以通过与该银行电话沟通, 问题得以顺利解决处理。

所熟悉的平安认证业务中, 平安战略也具有举足轻重的地位。 如果您多家银行使用网银业务, 就能发现, 不同银行所采用的平安认证的战略有所不同。 当下, 银行一度推行的用户名 + 密码口令 ” 认证手段, 由于存就在明显的平安漏洞, 案件屡屡发生, 已经可以说是绝迹, 而纷纷改用了数字证书认证机制。 但是同样是使用数字证书认证, 不同银行的平安战略也有不同:

工商银行网银 — 客户登录网银不有请求需要数字证书, 查询余额也不有请求需要。 但来进行转帐交易时, 不论交易额大小, 均有请求需要使用数字证书认证。 大众版网银使用文件程序证书 ( 或称硬盘证书 ) 或动态口令卡 ; 专业版网银就一定要使用 U 盾 ( 即 USB Kei 数字证书密码钥匙 ) 而且要输入 PIN 码作为双重维护。 客户如不对的地输入 PIN 码, 证书就不起作用, 不能够转帐。

招商银行网银 — 大众版网银可以能够使用文件程序证书或 USB Kei 证书 ; 专业版客户要求必需下载客户端软件。 不管是查询余额还是转帐交易, 必需使用 USB Kei 但没有 PIN 维护。

兴业银行网银 — 客户第一次登录时就一定要使用 USB Kei 证书, 而且要求输入 PIN 码。 登录以后的查询交易仍有请求需要 USB Kei 但不有请求需要输入 PIN 转帐交易则两者都有请求需要。

有兴趣的话, 可以能够分析对比一下这几家银行就在平安认证上的战略, 平安性和方便性上, 各有长短。 可以能够看出, 其设计design者都是动了脑筋的使用证书认证的前提下, 以下各种措施的平安性依次递增:

文件程序证书 -->USB Kei 证书 -->USB Kei 证书 +PIN -->USB Kei 证书 +PIN+ 专用客户端认证软件。

然而, 制定网银平安战略时, 不能够一味追求平安性, 因为, 随着平安性的增高, 平安措施的利息也会随着提高, 用户使用的方便性会有所降低。 因此, 平安战略的设计design者除了考虑平安因素以外, 还将考虑到系统system效率、平安本钱、交易风险, 以及用户使用的方便性, 而对于银行业者来说, 这一切的动身点事实上是围绕着一个中心目标 — 就是提高本银行的市场竞争力和经营效益。

说到这里, 不由得想起 CFCA 初期引进国外认证产品 — Entrust/Direct 软件, 那是一个我曾经寄托了厚望, 最后却让我大伤脑筋的舶来品。

应该说, Direct 产品从设计design理念上说, 充分考虑到认证过程中方方面面的平安问题, 采用了周密严格的平安战略, 从通信到应用形成了一套完整的 Web 平安解决处理方案。 * 注:证书 +PIN 码属于双因子认证方式, 平安强度高 ; 专用客户端认证软件的平安性要高于无客户端软件 ( 只浏览器 )

最先是, 从通讯上讲, Direct 以 HTTP 协议作为基础, 对没有平安维护的 HTTP 协议通讯来进行了改造封装, 建立起一条可以通过 SPKM 协议加密的 HTTP 平安通道。

客户端与服务器的 Web 应用顺序之间建立通道之前, Direct 来进行了严格的双向身份认证过程, 其执行的查验项目多达 8 种 11 个, 除了查验服务器和客户端的用户证书之外, 还需查验它各自的 CRL 分布点、三层 CA 证书、 2 个 CA 废止列表 ( ARL OCA Polici 证书、用户的 Polici 证书等。

与相对不复杂的 SSL 协议作比较, 大多数 SSL 认证方案只查验了客户端和服务端的数字证书, 以及 CA 证书链。 对 CRL 查验只只就在少数方案中得到实现, 对 ARL Polici 证书的查验则完全缺失。

其次, Direct 提出了独特的三次签名机制:第一次是 Direct/Serv 服务端签名 ” 用以确保用户收到交易表单信息是由服务器发出的传输过程中未被篡改 ; 第二次是 Direct/Cli 客户端签名 ” 用以确保用户端接收到交易页面就在用户 IE 和传输过程中不被篡改 ; 第三次是用户确认交易后, 提交 客户端提交签名 ” 用以保证用户就在阅读了交易信息之后, 来进行了交易的确认。

Direct 三次签名的平安战略, 即便是就在今天的平安应用中, 其设计design也是独树一帜, 平安理念仍然坚持领先。 受到国外用户的广泛欢迎。

虽然 Direct 曾就在全球占有 39% 市场份额, 然而它中国却 “ 不服水土 ” 由于其复杂的平安战略, 导致系统system开销过大, 又由于它早期基于 Unix 环境展开的设计design, 不支持线程, 不支持对称多处理 ( Symmetr Multi-Process SMP 技术, 注: SMP 指就在一个电脑计算机上汇集了一组处理器 — 多 CPU, 各 CPU 之间共享内存子系统system以及总线结构。 从而 Direct/Serv 多并发情况下, 仍只能利用单 CPU 资源, 再也不能够利用多 CPU 来进行并行处置。 这使得 Direct 系统system认证效率很低, 用户等待时间过长。 Entrust 公司后来工作重点转移, 郑重宣告不会再支持 Direct 产品, 因而也没有就在 SMP 上做任意一个改进。

相比于竞争者所使用的快捷的 SSL 认证过程, Direct 饱受到客户商业银行的诟病责难, 市场和技术支持人员应接不暇苦不堪言, 这甚至反应影响到 CFCA 市场拓展, 一些商业银行因此舍 CFCA 而去。 加之 Direct 要求特殊端口访问、国外技术支持跟不上、外地化开发困难等不利因素, Entrust/Direct 认证产品终于走向了末路。

成也萧何, 败也萧何 ” 当初让 Direct 风光一时的独特的平安战略, 而后断送它前途的也正是其平安战略啊 ! 某院士就在评论此事时曾说过:平安不必求全, 够用就行。 可谓言简意赅, 一语中的

上面列举了几个针对具体系统system的平安战略的例子, 从这些例子中, 能够看到平安战略就在平安系统system建设和应用中的主导作用。 当然, 都还是属于一些局部微观方面的平安战略。 而作为整体的平安战略, 则包括的范围更广。 如 CFCA 证书认证的战略方面, 就有一整套的认证战略 CP 并就在此基础上, 撰写出 CPS 认证操作声明 ) 向外界公布, 提供给证书用户和依赖方。

如果说得更广些, 全局和总体的网络net平安战略应该包括以下三部分:

1 严肃的法律保证 —

平安的基石是法律、法规与手段。 面对日趋严重的网络net犯罪, 必需建立与网络net平安相关的法律、法规。 电脑计算机网络net是新生事物, 过去, 由于缺乏相应的法律法规, 再也不能够可依, 导致网上电脑计算机犯罪处于无序状态。 近年来, 国已经公布多种与网络net平安相关的法律、法规, 如《全国人民代表大会常务委员会有关联于维护互联网平安的决定》中华人民共和国电脑计算机信息系统system平安维护条例》中华人民共和国电子签名法》等, 将对网上电脑计算机犯罪起到极大的遏制震慑作用。

2 先进的平安技术必备工具 —

先进的平安技术是网络net平安的物质保证。 用户对于自身面临的威胁来进行风险评估, 决定其所有请求需要的平安服务种类, 选择中相应的平安机制, 集成先进的平安技术, 形成全方位的平安系统system。

3 严格的平安管理措施 —

搞好网络net平安不能够 “ 见物不见人 ” 再先进的平安系统system也是由人来控制的因此, 严格的平安管理是网络net平安的决定性因素, 信息系统system的运营者必需建立相应的网络net平安管理方法, 加强内部管理, 建立平安审核和跟踪体系, 加强平安培训, 提高整体网络net平安意识。

相关文章
  • 浅谈ThinkPHP5.0版本和ThinkPHP3.2版本的区别
  • 浅谈:安卓4.4和安卓7.0的区别是什么?
  • 阿蛮带你上王者:浅谈王者荣耀的地图机制
  • 王者荣耀:浅谈辅助的S7赛季之路
  • 浅谈网赚新人赚不到钱的几个原因
  • CF穿越火线浅谈沙漠灰的一些打法
  • 浅谈增加网站外部链接的方法
  • dnf弹药专家浅谈将军的连招
  • 被降权问题 浅谈百度网页权重
  • 浅谈网赚的价值取向
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图