`
love~ruby+rails
  • 浏览: 852749 次
  • 性别: Icon_minigender_1
  • 来自: lanzhou
社区版块
存档分类
最新评论

安全管理员必读:深入浅出的网络安全基础知识

阅读更多

 准确地说,关于信息安全或者信息保障主要有两个要素:首先,正确配置系统和网络并且保持这种正确配置,因为这一点很难做到完美;第二个要素就是清楚知道进出网络的流量。这样的话,当发生严重的问题时,你就能检测出问题错在。因此,网络安全的主要任务主要包括以下三方面:

  • 保护,我们应该尽可能正确地配置我们的系统和网络

  • 检测,我们需要确认配置是否被更改,或者某些网络流量出现问题

  • 反应,在确认问题后,我们应该立即解决问题,尽快让系统和网络回到安全的状态

  纵深防御

  因为我们并不能实现绝对的安全,所以我们需要接受一定级别的风险。风险的定义就是系统漏洞带来威胁的可能性,风险是很难计算的,不过我们可以通过分析已知的攻击面、可能被攻击者获取或者利用的漏洞等因素来确定大概的风险级别。漏洞扫描器或者渗透测试可以帮助我们衡量或者定义攻击面,可以帮助我们降低风险以及改进系统安全状况的方法就是采用多层防御措施,主要有五种基本因素来建立纵深防御:

  • 纵深防御保护方法一般都会采用防火墙将内部可信区域与外部互联网分离,大多数安全部署都会在服务器和计算机的邮件存储和发送进行防病毒检测,这意味着所有的内部主机都受到计算机网络基础设施的相同级别的保护。这是最常见且最容易部署的安全措施,但是从实现高水准信息安全保障的角度来看,这也是实用率最低的方式,因为所有计算机包含的信息资产对于企业并不是相等重要的。

  • 受保护的领域,这意味着将内部网络分成若干个子区域,这样网络就不是一个没有内部保护的大区域。这可以通过防火墙、VPN、VPN、VLAN和网络访问控制来实现。

  • 信息中心。 一位早期著名的计算研究员Adm. Grace Hopper曾表示,“将来,在企业资产负债表上的大部分条目中都会出现‘信息’这两个字,信息将会比处理信息的硬件更加重要。”我们必须理解并且能够帮助其他人理解信息的价值。除了非常重要的知识产权信息(如专利、商标、版权等)外,企业记录数据也越来越重要。想要建立一个信息为中心的纵深防御架构,我们必须确定关键的有价值的信息的存储位置,并且必须确保部署了适当的保护。从过去来看,这是非常昂贵的并且通常被企业忽视这方面的保护,不过根据法律法规的修改,很多企业必须建立定位和标记所有信息的程序。

  • 威胁矢量分析纵深防御与信息为中心很类似,它要求我们首先确定我们想要保护的资产(按照优先权的顺序),对威胁可能用于利用漏洞的路径进行分析确认,并且找出如何对矢量部署控制以预防威胁利用漏洞的方法。

  • 基于角色的访问控制(RBAC)是一种访问权限控制方法,企业部署这种控制主要是为了确保只有授权用户才能访问指定数据。与其他访问权限控制方法不同的是,基于角色的访问控制为用户分配了具体的角色,并且根据用户的工作要求为每种角色设置了权限。可以给用户分配任何角色类型以帮助用户完成每日工作任务。例如,用户可能需要开发者角色以及分析师角色等。每个角色都会定义不同的权限以访问不同的对象。有了网络访问控制,我们可以将这种控制方法从系统组群扩大到整个企业,这需要更高的配置以及更好的保护。

  加密

  当纵深防御措施失效的时候,对于数据的保护就只能靠加密了。加密功能可以是非常强大的:如果企业使用的是现代算法,且加密信息得到了非常强大的保护,那么加密数据就不会被攻击。但是,我们用于管理加密的程序可能被攻击,而这使与密钥管理相关的程序变得非常重要。例如,很多企业购买了全盘加密解决方案,但是如果没有密钥的话,就无法修改加密程序。不过位于普林斯顿的研究人员近日研究出了从内存中获取密钥的方法,这也使很多厂商的产品受到威胁。主要有三种类型的加密算法:秘密密钥、公钥和hash函数。与私钥和公钥算法不同的是,hash函数(也被称为信息摘要或者单向加密)没有密钥。固定长度的hash值是基于纯文本(可以涵盖纯文本的内容或者长度)来计算的。在加密学中Hash函数的主要应用应用就是信息完整性,hash值为信息内容提供了一个数字指纹,这能够确保信息不会被攻击者、病毒或者其他对象所修改。因为两种不同的文本产生相同的hash值的可能性是非常低的,这也使hash算法是很有效的。

  访问权限,身份验证,授权

  有时候也被称为AAA或者三A,这三个是确保企业安全性的关键因素。访问权限可以确保只有正确的人才能访问企业的计算和网络资源。由于密码是共享的,很多企业使用物理令牌来进行身份验证,验证成功后,还需要确保某个用户只能访问允许他访问的资源。

  职责分离,服务分离

  当人们在处理金钱的时候经常会采用职责分离方法,这样就能够减少错误的发生。因为信息也可以很简单地被购买和兜售,因此信息也需要采用职责分离这种方式。如果你的系统管理员表示他们的职责不能分离的话,需要让他们了解这样做的重要性。在过去,服务器是很昂贵的,通常是在一台服务器上运行多个服务。只要这台服务器崩溃,在服务器上运行的多个服务都会失效。后来,大家开始采用一个服务一台服务器的方式,邮件服务器和文件服务器等。现在,随着虚拟机和服务导向的网络架构的发展,我们又回到了一台服务器运行多个服务的年代,甚至运行比以前更多的服务。不过只要部署了适当的措施还是能够避免错误的发生,例如操作分离、灾难恢复等等。

  端点安全和无处不在的网络

  无线网络不断壮大,只要使用PDA或者先进点的手机就能够随时连接到网络。这些设备也可以通过蓝牙与你的电脑或者笔记本进行连接。企业必须确保这些设备的安全,这也就是所谓的端点安全。不能因为连接到受防火墙和入侵防御解决方案保护的企业局域网络,就认为你的处境非常安全。我们需要从无处不在的网络的角度来考虑安全问题。

  Web, Web浏览器和AJAX

  与五年前相比,现在企业可能花费了更多的钱在网络管理员和网络程序员身上。大多数软件程序开发都开始集中在网络传输上,这意味着大多数流通于用户计算机的信息都是通过网络进行的。但是,很多网络浏览器,如IE等,都不是很安全。这也使攻击者可能利用浏览器来攻击用户或者计算机。随着安全成为web浏览软件的关键要素,这种问题依然存在,尤其是使用最近开发的支持AJAX的web浏览器以及web2.0界面等。

  SOA及未来展望

  基于网络的程序是很难创造和维护的,因为它们提供非常多的功能。例如,如果你有一个网络股票交易帐户,你可以研究、交易、运行财务报表甚至进行网上银行业务。 为了管理复杂性并且能够让产品更快进入市场,企业都开始学院创造原子服务,也叫做SOA(面向服务的架构),这也许将会成为支持关键应用程序的主要工具。如果你的企业需要一个服务,它将会咨询一个称为UDDI的目录来找到服务。这与使用Google等搜索引擎市议员的。

  SOA比常见web服务器提供和暴露更多的业务逻辑,如果你想要客户端程序找到你,就需要把所有你提供的服务放入目录中。未来的安全战场就转移到以SOA为中心。

分享到:
评论

相关推荐

    网络安全涉及到保护网络系统的硬件、软件及其数据免受破坏、更改和泄露

    1.网络安全基础课程:提供了网络安全的基础知识和技术,帮助初学者建立网络安全意识。 2.网络攻防实战课程:介绍了网络攻击和防御的基本原理和实战技巧,适合进阶学习。 3.技术论坛和社区: 1.基地(Hackbase):...

    HP9000系统管理员必读

    《HP9000系统管理员必读》是一本专为HP-UX初学者设计的指导书籍,它深入浅出地介绍了HP9000系统管理的各个方面,旨在帮助读者快速掌握这一高端UNIX系统的运维技能。HP9000是惠普公司推出的一种高性能计算机系统,...

    深入浅出android

    《深入浅出Android》 Android开发平台是全球最受欢迎的移动操作系统之一,由Google主导并开源,为开发者提供了丰富的工具和资源来构建各种应用程序。本文将深入探讨Android开发的基础概念、核心组件以及实际应用,...

    Java核心技术卷I基础知识第10版高清完整版

    这本书深入浅出地介绍了Java语言的核心概念,为读者提供了扎实的理论基础和实践经验。第10版更是对之前的版本进行了更新和完善,以适应现代软件开发的需求。 在Java编程中,基础知识涵盖了以下几个关键领域: 1. *...

    java自学必读书目

    - **主要内容:** 本书是一本非常全面且深入浅出的Java入门书籍,适合初学者以及希望进一步提高的开发者阅读。 - **涵盖知识点:** - Java语言基础 - 面向对象编程原则 - 集合框架 - 泛型与类型安全 - 异常...

    透视Java_反编译-电子版

    通过深入浅出的讲解,这些书籍能够帮助读者系统地掌握网络管理员所需的知识和技能。书籍的设计也非常注重实用性,每个章节都紧密结合实际应用场景,提供了一系列具体的案例和实践经验分享。 ### 3. 技术书籍的质量...

    谢希仁 计算机网络 光盘

    该教材深入浅出地讲解了计算机网络的基本概念、原理和应用,是许多大学计算机科学专业学生的必读教材,也是IT从业者自我提升的重要参考书。 光盘中的内容可能包括以下几个方面: 1. **理论课件**:可能包含PPT形式...

    计算机必看书籍清单!!!!!

    《算法导论》深入浅出地介绍了排序、搜索、图论等核心算法,是提高编程能力的必备读物。 3. **《编译原理》**:理解编译器的工作原理能帮助你更好地编写代码。《编译原理》详尽地探讨了词法分析、语法分析、语义...

    计算机图书推荐-续

    14. 《软件测试原理与实践》:深入浅出地介绍了软件测试的基础理论和实际操作。 15. 《软件测试与持续质量改进》(William E. Lew):强调了持续改进在软件测试中的重要性,提供了实用的质量保证策略。 16. 《微软...

    《Java核心技术 卷1 基础知识(原书第9版)》(完整中文版)

    这本书深入浅出地讲解了Java语言的核心特性,为读者提供了坚实的理论基础和实践指导。以下将详细阐述其中的重要知识点。 1. **Java简介**:首先,本书会介绍Java的历史、特点和应用领域,包括其跨平台能力、面向...

    CoreJava课程学习资料--Java核心技术(第8版)

    2. **面向对象编程**:讲解了类、对象的概念,封装、继承、多态等面向对象的核心原则,并通过实例深入浅出地展示了如何设计和实现类。 3. **异常处理**:详述了Java的异常体系,如何抛出和捕获异常,以及如何编写...

    thinking in java

    本书不仅深入浅出地介绍了Java语言的基础知识,还涵盖了面向对象编程的核心概念,并且探讨了如何有效地利用Java进行软件设计与开发。 #### 核心章节内容解析 ##### 第一部分:Java入门基础 - **第1章:Java入门**...

    effective.rar

    在C++编程领域,效率和性能是至关重要的因素。"Effective C++" 和 "More Effective C++" 是两本极具影响力的书籍,...通过深入学习和实践这些知识点,你将在C++编程中展现出更高的专业水平,提升开发效率和代码质量。

    JAVA核心技术(卷1&卷2)

    这两卷书籍深入浅出地讲解了Java开发中的关键知识点,旨在帮助读者从入门到精通,全面提升编程技能。 卷1主要关注Java语言的基础和核心概念,包括: 1. **Java简介**:介绍Java的历史、平台和开发环境,如JDK和IDE...

    Linux 从菜鸟到高手进阶书单

    “鸟哥”林育荣的这本著作深入浅出,涵盖了Linux的基础知识、系统管理、网络安全等内容。特别适合对Linux感兴趣的初学者,也适合想巩固基础的中级用户。 3. **《Linux系统管理技术手册》** 本书全面讲解了Linux...

    进入IT企业必读的200个+.NET面试题.pdf )

    - 本章深入探讨了.NET类型语法的基础知识,包括类型和语法的基本概念、内存管理、面向对象编程的原则等。 #### 第4章 字符串、集合和流的使用 **4.1 字符串处理** - **4.1.1 System.String是值类型还是引用类型?...

    java基础篇,开发指南

    "java基础篇,开发指南" 提供了深入浅出的Java学习资源,旨在帮助程序员提升技能,理解核心概念,从而在实际开发中得心应手。 Java基础篇涵盖的内容广泛,包括但不限于以下几个关键知识点: 1. **Java简介**:Java...

    Thingking in java

    这本书深入浅出地介绍了Java语言的核心概念和技术,为读者提供了全面而深刻的Java编程知识。 "第二版的"标签表明我们讨论的是该书的一个早期版本,虽然Java语言已经发展到多个新版本,但第二版仍然包含了Java基础的...

Global site tag (gtag.js) - Google Analytics