《网络安全体系结构》一1.1 网络安全是一个系统

最新推荐文章于 2022-10-12 14:54:29 发布
最新推荐文章于 2022-10-12 14:54:29 发布
阅读量1k 收藏
点赞数
文章标签: 网络 操作系统 数据库
原文链接:https://yq.aliyun.com/articles/104607
版权

本节书摘来自异步社区《网络安全体系结构》一书中的第1章,第1.1节,作者【美】Sean Convery,更多章节内容可以访问云栖社区“异步社区”公众号查看

1.1 网络安全是一个系统

网络安全体系结构
网络安全是一个系统。它不是防火墙,不是入侵检测,不是虚拟专用网,也不是认证、授权以及审计(AAA)。安全不是Cisco公司及其任何合作伙伴或竞争对手能够卖给你的任何东西。尽管这些产品与技术在其中扮演了重要角色,但是网络安全的概念更为宽泛。所有网络安全都起始于安全策略,这已经几乎成为了行业标准。此后,它还涵盖了必须遵循这些安全策略的人,以及必须实施这些策略的人。于是,它最终会使当前的网络基础设施发生变化。

我们来回忆一下始于2001年、并且没有任何减慢迹象的网络蠕虫爆发。网络蠕虫的问题可以追溯到1988年的Robert Morris Internet蠕虫,当年这些蠕虫曾经造成了巨大的损失。例如红色代码在它出现的24小时内就感染了超过34万台主机(来源:http://www.caida.org)。由于被感染的主机中,大多数正在受到防火墙的保护,因此这个情况尤其值得重视。不幸的是,大部分防火墙不会进行深度数据包检测,即使这些防火墙具备这个功能,它们也不知道碰上红色代码时要检测什么内容。当时,防火墙只能简单地识别出数据包的目的端口号是80,因此允许它们通过。鉴于内部网络往往没有部署任何网络安全控制技术,因此一旦红色代码进入内部网络,就可以轻易感染整个内部网络。红色代码带来的不良影响可以通过一个系统得到缓解,但依靠一台防火墙是无能为力的。

那么对于网络安全来说什么是系统呢?网络安全系统可以从广义上定义为:

通过相互协作的方式为信息资产提供安全保障的全体网络设备、技术以及最佳做法的集合。

上述定义中的关键词是协作_。实施基本路由器访问控制列表(ACL)、状态化防火墙ACL和基于主机的防火墙ACL能实现许多基本的访问控制,但这些称不上是一个系统。对于一个真正的网络安全系统,必须是将可以协同运作的技术应用于一种特定的威胁模式。信息安全产业中的某些人将其称为“纵深防御”。有一种实用的方法可以判断系统质量优劣,这种方法是拆分各类缓解威胁技术的数量与组成,这些技术包括保护、检测、阻止、恢复和传输。这种评价方法在网络安全系统发展早期阶段是有用的。在进入到实施阶段之后,则必须更进一步。最简单方法是逆向思维,也就是想想怎么通过自己部署的系统来缓解不同类型的网络威胁。

为了举例说清这个问题,让我们回到刚才讨论的端口80的蠕虫问题。有哪些系统元素能够缓解HTTP蠕虫对公共Web服务器制造的威胁呢?下述列表对这些系统元素进行了总结,这些内容将在第3章中进行具体的介绍。

如果对防火墙进行适当的配置,它可以防止一台遭到入侵的Web服务器继续感染不同网络中的其他系统。
私有VLAN(PVLAN,不是通常的VLAN,在第6章中会进行具体介绍)有助于防止Web服务器感染同一个网络中的其他系统。
网络IDS(NIDS)可以检测和阻止对Web服务器的感染企图。
主机IDS(HIDS)能够执行与NIDS一样的功能,但它们比后者更接近主机,这也就意味着它们能够读取更多与特定攻击有关的内容数据。
更新特征数据库可以使防病毒软件具备检测特定蠕虫和其他恶意代码的功能。
最后,虽然优秀系统管理员(sysadmin)的操作不是本书的重点,但是有许多操作行为(例如及时打补丁、定期漏洞扫描、为操作系统设置密码锁定,以及实施Web服务器最佳做法)确实能够在防止系统威胁中起到重要作用。
上面所有系统元素的协同工作可以起到缓解威胁的作用。尽管其中的任何一项技术都无法100%有效地防止基于HTTP的蠕虫攻击,但是基本的数学概率表明,针对特定威胁部署的协同技术越多,压制威胁的可能性也就越大。

如果网络遭受的是已知攻击而不是未知攻击时,那么测试网络安全系统是否完善就显得意义不大。虽然脚本小子(script kiddie)缺乏创造力,因此他们进行的攻击是可以进行预判的,但那些具有明确目的与技术的攻击者则可能拥有一些隐蔽的独特技术。

在过去的安全事件中,一定有一些给你留下过深刻的印象,比如1988年的莫里斯蠕虫、后门(root kit)、20世纪90年代的IP欺骗(第3章将进行详细介绍)、2000年的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)、2001年的HTTP蠕虫或2003年的蠕虫王(SQL Slammer)和冲击波(MS Blaster)蠕虫。只要你的系统遭到了该攻击的感染,你就可以轻松地指出该系统在安全性方面的不足。正是通过这种“吃一堑长一智”的学习过程,许多表面上不起眼的安全问题才会猛然凸显出来。

亡羊补牢的学习方式是不可避免的,但是通过设计,可以使安全系统有能力抵御大量不同类型的攻击,而不是只能防御一些特定的攻击方式,这样的设计方式可以将损失降到最低。实际上,衡量安全系统是否成功的方法之一就是计算你为了应付最新威胁而不得不进行重要修改的次数。在理想情况下,必须修改系统的频率应该非常低。

网络安全是一个系统。如果你在读完本书之后什么都没有记住,这无疑说明我的写作是失败的。但是哪怕你能记得一丁点内容,我希望这就是前面这个简单的句子。

weixin_33940102
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全网络安全体系结构
09-13
计算机网络安全体系结构网络安全最高层的抽象描述。 网络安全体系结构是应用系统工程的观点、方法来分析网络的安全,根据制定的安全策略,确定合理的网络安全体系结构
网络安全体系结构
dhv98472的博客
06-23 1837
·应用层 1、S-Http: 安全超文本传输协议(SHTTP)是一种结合 HTTP 而设计的消息的安全通信协议。 2、S/MIME: 邮件签名和加密 3、SET SET协议是一种电子支付系统的安全协议,因此它涉及加密、认证等多种技术。 ·传输层 SSL Secure Socket Layer,用以保障在Internet上数据传输之安全,利用数据加密(Encryption...
网络安全保障体系有哪些?网络安全保障需要如何实施?
热门推荐
On the way
03-17 1万+
首先网络安全保障体系架构包括五个部分: (1) 网络安全策略。以风险管理为核心理念,从长远发展规划和战略角度通盘考虑网络建设安全。此项处于整个体系架构的上层,起到总体的战略性和方向性指导的作用。 (2) 网络安全政策和标准。网络安全政策和标准是对网络安全策略的逐层细化和落实,包括管理、运作和技术三个不同层面,在每一层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,以保证其统一性和规范性。当三者发生变化时,相应的安全政策和标准也需要调整相互适应,反之,安全政策和标准也会影响管理、运作和技术。
网络安全体系
qq_53633989的博客
10-12 2359
Internet的最初的通信协议只是为了实现更快和更稳定的连接设计的,默认当前网络通信环境为可信环境,因此起初设计者对于安全方面的考虑是不周的。应用层是人机交流的地方,控制机制的实现非常的灵活,因此有的代理型防火墙,扫描检查,内部网络的安全等都建立在应用层上。特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、信息丢失、逻辑炸弹、蠕虫、内部数据泄露。从广义的角度,上四种模式都可以形成各自的VPN,从里到外,形成套接关系。用户层的控制粒度可以到用户级或者文件级,因此是用户鉴别和数据鉴别的最理想的地方。
一种多级安全网络数据库管理体系结构的研究与探讨.doc
06-04
多级数据库体系结构是一种将数据库分布在不同层次的网络中的架构,它通过分层设计来提高系统的可扩展性和安全性。这种结构允许在不同级别上实施不同的安全策略,以适应不同敏感程度的数据和用户需求。 【数据库安全...
MHWJW30-网络安全管理制度-V1.1.doc
06-20
通过这些详尽的规定,XX单位能够构建一个全面的网络安全防护体系,有效预防和应对网络安全威胁,保障业务的正常运行和数据的安全。这份制度的实施对于提升单位的网络管理水平,降低安全风险具有重要意义。
广播电视信息系统网络安全防护策略研究.pdf
09-19
硬件配置的不统一和前瞻性不足是另一个网络安全风险。系统内部的核心设备若未实现冗余备份,一旦遇到突发事件,很容易造成系统瘫痪。随着设备的超期服役和老化,硬件性能下降,安全策略的实施也受到影响。 1.5 管理...
网络安全体系结构(2).pptx
最新发布
06-09
网络安全体系结构 网络安全与管理 网络安全体系结构(2)全文共42页,当前为第1页。 1.1 网络安全模型 最常见的网络安全模型就是PDRR模型。PDRR模型是protection(防护)、detection(检测)、response(响应)、...
网络安全课程设计》课程报告——校园网安全体系的设计与实现
06-21
2.3 校园网络安全体系问题分析 6 2.3.1 总体需求分析 6 2.3.2 网络安全平台需求分析 7 2.3.3 应用环境的安全需求分析 7 2.3.4 管理安全需求分析 8 第3章 团队协作 9 3.1 团队组成 9 3.2 团队分工 9 第4章 校园网络...
计算机网络的信息安全体系结构
08-08
介绍了计算机网络中信息安全体系结构提出的背景,之后介绍了目前被广泛使用的WPDRRC模型,并介绍了一种加入人为因素的信息安全体系结构
Internet安全体系结构分析
08-19
Internet提供访问控制服务和通信安全服务的安全技术。特别要讨论防火墙技术和已经提出的网际、传输、应用等各层上的安全协议。
信息安全体系结构概论.ppt
05-22
信息安全体系结构概论.pdf 信息安全体系结构概论.pdf 信息安全体系结构概论.pdf
信息安全体系结构
11-16
信息安全体系结构的老师课件,有用的用用吧,哈哈,都是老师上课讲的东西。
计算机网络体系结构 - 网络安全
TyuIn的博客
11-21 5637
一、计算机网络面临的安全性威胁 1、典型的网络安全事件 1988年11月2日,美国康奈尔大学的学生罗伯特·莫里斯在网络上释放了Internet第一个“蠕虫”程序,几个小时之内,数千台电脑受传染,损失接近1亿美元。 2002年,黑客用Ddos攻击13个根DNS中的8个,使整个Internet的通信受到破坏 2006年,“熊猫烧香”木马致使我国数百万台计算机受感染。能终止反病毒软件进程并且会删除扩展名为gho的备份文件。 2010年,“维基解密”网站公开了多达9.2万份驻阿美军秘密文件。 2011年,CS
网络安全体系结构》一1.10 总结
weixin_33895604的博客
05-02 251
本节书摘来自异步社区《网络安全体系结构》一书中的第1章,第1.10节,作者【美】Sean Convery,更多章节内容可以访问云栖社区“异步社区”公众号查看 1.10 总结 网络安全体系结构我希望读者在阅读完这些公理后,第一感觉是它们阐述的正是你在设计部分网络时,已经意识到或非常关注的普适原则。如果确实如此,恭喜你。这些公理清楚、明白,而又直观,在应用中...
网络安全-Internet安全体系结构
vincent_duan的专栏
06-13 1362
名称 攻击 防御 物理层 1. 窃听 2. 回答(重放)3. 插入 4. 拒绝服务
二、信息安全之网络安全体系(由浅入深的笔记整理)
Doong0306的博客
05-31 1787
信息安全之网络安全体系 网络安全体系 任何一种单一技术都无法有效解决网络安全问题,必须在网络的每一层增加相应的安全功能,各层的安全功能必须相互协调,相互作用,构成有机整体且无法构建一个适用于所有网络应用环境的网络安全体系。研究网络安全体系,必须与具体的应用环境相结合 物理层安全:物理环境的安全性,包括通信线路的安全、物理设备的安全和机房安全 在物理层安全方面具体有防盗、防火、防静电、防雷击、防电磁泄漏等。 系统层安全:操作系统的安全性是整个网络与计算机系统
网络安全体系设计
qq275860560的专栏
04-02 1941
物理线路安全 网络安全 系统安全 应用安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值