《局域网交换机安全》一1.1 安全三要素(Security Triad)

最新推荐文章于 2022-04-28 14:58:21 发布
最新推荐文章于 2022-04-28 14:58:21 发布
阅读量328 收藏
点赞数
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/105946
版权

本节书摘来自异步社区《局域网交换机安全》一书中的第1章,第1.1节,作者【美】Eric Vyncke , Christopher Paggen, 更多章节内容可以访问云栖社区“异步社区”公众号查看

1.1 安全三要素(Security Triad)

局域网交换机安全
CIA对于大多数人来说意味着美国中央情报局(Central Intelligence Agency)。然而,对于安全从业人员来说,如图1-1所示,CIA是指:

保密性(Confidentiality)——确保数据处于隐秘状态;
完整性(Integrity)——仅允许被授权的人员变更数据;
可用性(Availability)——数据必须随时可以访问,随时准备就绪。
这一安全三要素包含三个原则:保密性、完整性以及可用性。安全必须完全覆盖这三个方面。只要该三要素没有被充分地贯彻和执行,任何系统或协议就不能被认为是安全的。只要其中的一项失效,整个系统就是不安全的。例如,若每人都可以更改某个Web站点的内容,那么该站点的价值将近乎为零。因为站点上最终会充斥着错误、模糊和虚假的数据。除此三要素之外,其他方面(比如认证和访问控制)也需要考虑,我们会在本章的后面加以阐述。

image

根据系统的用途或建设目的,三要素中的一项可能比另外一项更重要;然而绝不能忽略三要素中的任何一项。

1.1.1 保密性(Confidentiality)

保密性是最显而易见的原则。保密性是确保数据处于隐密状态的能力:除了预期的接收者外,无人可以查看该信息。军队及其将领们对它的依赖由来已久。实际上,早在公元前50年,Julius Caesar(朱利叶斯·凯撒1)就使用了一种称为Caesar Code(凯撒密码)的技术手段来确保其消息的保密性。他只是简单地把所有的字母后移三个位置。例如,在正文中用字母D来代替字母A,用字母E来代替字母B,依此类推。

保密性对于网络流量来说是必要的:相邻工作站发出的以太网帧的内容,不应被其他任何人“看”见。

确保保密性的常见技术手段如下所示。

防护箱(Protective container)。只有知道密码或有权使用该“箱(container)”的“特定”人士才能访问被保护的信息。例如,将一份秘密备忘录放入一个保险箱中。
加密保护(Cryptographic protection)。任何人都可以访问该信息的无效形式,但是只有期望的接收者可以访问该信息的有效形式。例如,特工们可以解密已加密的情报。
针对保密性的攻击(通常又称为信息揭露(disclosure))就是破坏信息的“隐密状态”。许多人错误地认为信息在跨网络发送时受到保密性的保护,事实并非如此。攻击者(或网络故障的排查者)经常使用数据包嗅探工具(sniffer)来查看网络流量,从不提供保密性的协议中(例如,Telnet协议或POP协议)提取用户的“通行证(credential)”(用户名及密码)。

保密性在军事、医疗或政府部门中通常是必需的。

1.1.2 完整性(Integrity)

完整性或许是最不明显的安全原则了。完整性被定义为数据(或其他有价值的信息)所具有的有变必知(数据只要被修改,就可以检测到)的能力。

在网络方面,一个适用于完整性的例子是对一台交换机进行配置:除非持有正确的“通行证(操作者的用户名和密码)”,任何人都不能修改该交换机的配置;而且,即便获得授权的人员对配置做出的修改,也会通过一条syslog消息留下“痕迹(trail)”。

注意:

上例也并非万无一失,一个攻击者可以蓄意删除相关的syslog消息。
上节提及的技术手段(防护箱或加密保护)也提供了完整性。因此,密码技术(cryptography)通常可以增强系统的保密性和完整性。

网页污损(Web defacing)、篡改主页面的名称(home tagging)以及改变一个以太网帧的内容都是针对完整性的攻击(也称为对数据的篡改(alteration))。

尽管完整性并非众所周知,多数行业还是认识到了其重要性。例如,一家银行绝对不期望其所有的账户资料被随意更改,一所大学也不愿意让其学生的成绩单被篡改得面目全非等。

1.1.3 可用性(Availability)

最后一个安全原则就是数据和服务的可用性。若数据不可用,机密而又未被篡改的数据又有何用?在冗余和高可用性设计应用广泛的网络业界,该原则也是众所周知的。

针对可用性的攻击称为“中断攻击(disruption)”,在网络界中则被称作拒绝服务(Denial of Service,DoS)攻击。

1.1.4 逆向安全三要素(Reverse Security Triad)

逆向安全三要素是泄密(disclosure)、篡改(alteration)以及中断(disruption),即DAD。

泄密(disclosure):机密的泄露。
篡改(alteration):数据被随意修改。
中断(disruption):业务或者数据不再可用。
图1-2所示为逆向安全三要素。
image

weixin_34292287
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco ACL应用实例
net527的专栏
10-08 1580
目录:<br />一、设置防病毒访问控制列表<br />二、ACL 防毒列表<br />三、封杀QQ 上网<br />四、屏蔽某个特定网站<br /><br /><br />Linux 技术论坛  Ubuntu安装与应用   Ubuntu冲浪   Linux网络安全<br />Linux服务器集群      <br />一、设置防病毒访问控制列表<br />      首先根据各单位的需求,制定不同的策略,比如文件的传输、游戏等。在制定策略之前,我们首先要了解什么样的文件依靠计算机上哪个端口来
密码学概论
zeroone的博客
03-28 2654
密码学发展史       密码学具有悠久的历史,起源于公元前的战争;在二战后期,计算机推动了经典密码学走向成熟。70年代中期,DES的出现带来了密码科学体系,推动了现代密码学的发展。       阿拉伯人是第一个清晰地理解密码学原理的人,设计并使用代替和换位加密,发现了字母频率分布关系,1860年,密码系统在外交通信中已得到普遍使用,一次世界大战期间,敌对双方使用加密系统用于战时通信,二十
网安技术与应用(1)——SSL验证性实验
Netceor的博客
04-28 1169
一 实验目的 通过实验,掌握SSL的基本原理,掌握扫描器的基本原理和基本工具wireshark的使用。利用wireshark抓包并分析捕获的数据包。 二 实验内容 使用wireshark工具分析TCP连接中主机和服务器之间传输SSL数据包。 回答思考题。 三 实验原理 SSL(Secure Socket Layer 安全套接层)是为网络通信提供安全及数据完整性的一种安全协议,在传输层对网络连接进行加密,位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。 SSL协议可分为两层 第一层
什么是CIA Triad
08-25 7136
CIA是confidentiality, integrity 和availability三个词的缩写。CIA是系统安全设计的最终目标,常用术语CIA Triad来表述。CIA Triad可以用下图表示: CIA三要素(CIA Triad)的第一项原则是保密性(Confidentiality)。保密性是通过什么样的手段可以保护数据、对象、资源机密性的概念,保密性的目的是组织未授权用户访问数据。加密(encryption)、访问控制(access control)、信息隐写(steganography).
信息安全基础知识(五)主动攻击与被动攻击
热门推荐
根号下的麻辣烫
12-09 5万+
一 .被动攻击    被动攻击即窃听,是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法复制等,以获取他人的信息。被动攻击又分为两类:一类是获取消息的内容,很容易理解;另一类是进行业务流分析,假如通过某种手段,比如加密,使得敌手无法从截获的消息得到消息的真实内容,然而敌手却有可能获得消息的格式、确定通信双方的位置和身份以及通信的次数和消息的长度,这些信息对通信双方来说可能是敏感的,例如
一种改进的TRIAD飞行器姿态确定方法
03-14
一种改进的TRIAD飞行器姿态确定方法
一种有色三合彩普查的有效计数方法-研究论文
05-19
三合会普查是了解网络科学中本地结构的一种重要方法,它可以对网络中三方参与者之间观察到的关系配置进行全面评估。 但是,研究人员通常对关系和分类节点属性的组合感兴趣。 在这种情况下,需要考虑三重人口普查中...
网络安全概念和术语-AxisCommunications.pdf
06-09
ISO 27000 信息保护标准提到资产保密性、 可用性和完整性 (也称为 CIA 三标准 (CIA-triad)) 。 如果您无法访问数据或服务, 将有何影响? 如果您的数据已销毁或透露给未经授权的用户, 将 有何影响? 要评估这些...
triad_openvr-master.zip
01-10
triad_openvr-master,用于htc tracker的二次开发....
Triad
10-28
Triad
无线局域网安全技术
Alex's Blog
03-02 2897
 摘要 介绍并分析了无线局域网安全技术,包括访问控制、认证、加密、数据完整性及不可否认性,介绍了目前流行的几种无线局域网安全技术标准(WEP,WPA,WAPI)并阐述了其优劣,最后对无线局域网安全测试系统进行了介绍。 1、引言 随着无线局域网应用的日益广泛,其安全问题也越来越受到人们的关注。对于有线网络,数据通过电缆传输到特定的目的地,通常在物理链路遭到破坏的情况下,数据才有可能泄露;而无线局域网
Cisco PIX中的网络访问认证相关配置实例
net527的专栏
05-08 302
第一步,配置PIX接口地址以及NAT。 pixfirewall(config)# interface e0 e="TEXT-INDENT: 2em">pixfirewall(config-if)# ip address 218.1.1.1 255.255.255.0 pixfirewall(config-if)# no shutdown pixfi
交换安全----局域网安全简介
qq_43794645的博客
07-21 6603
交换安全----局域网安全 先简单介绍一下MAC地址可能遇到的攻 MAC洪范攻击----攻击者通过不断发送合法的MAC地址,致使二层交换机的MAC表满溢,使本应单播的流量洪范,这样攻击者就可以得到想要窃取的内容 中间人攻击----将其他接口连接的主机MAC地址通过另一个接口发给交换机,毒化MAC表,使交换机错误的转发数据,从而窃取数据 MAC地址漂移----指一个MAC地址有两个出接口,后学习到的...
思科的网络安全技术
学习网络技术
07-13 2828
思科的网络安全技术   ---- 网络的稳定和速率是满足客户需求,保证客户利益、赢得客户满意,从而提高互连网公司竞争力的关键所在,因此网络安全是不可欠缺的重要考虑因素。应用的安全性同样可体现在应用的多个方面,包括机房安全、服务器安全登录、网络安全等。 用户验证软件Cisco Secure ACS ---- Cisco Secure ACS(Cisco Secure Access Co
局域网交换机安全》一1.5 总结
weixin_33725722的博客
05-02 79
本节书摘来自异步社区《局域网交换机安全》一书中的第1章,第1.5节,作者【美】Eric Vyncke , Christopher Paggen, 更多章节内容可以访问云栖社区“异步社区”公众号查看 1.5 总结 局域网交换机安全风险管理与风险分析(什么是安全暴露)以及风险控制(如何减少损失)有关。 所有系统都存在缺陷。威胁则是敌人、对手(例如,一个黑客)...
Cisco网络设备安全管理和报告
weixin_34060299的博客
10-09 99
思科VTP网络经典案例
weixin_34347651的博客
02-05 222
VTP(Vlan Trunk Protocols) NETWORKGoal: PCS communication each other via VTP network. Network map as below: Environment:Cisco Packet Tracer WorkstationSet static IP for workstaions PC0: 192....
Cisco交换机实现端口安全的方法及事项
weixin_34342992的博客
04-30 596
Cisco交换机实现端口安全的方法及事项   最近,要求做端口安全的case越来越多。这里指的端口安全主要是通过绑定客户端MAC来限制端口接入的访问,vlan间的ACL不在今天的范围。  通过几天的实际调试,借鉴了前辈的经验,同时总结自己的调试心得,总结如下:  1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。  2、 Cisco...
Cisco大型局域网方案(一)
深谷幽兰2010的专栏
10-17 841
目前在Csico公司中,用于企业局域网的最新交换机系列就是Cisco Catalyst 6500系列。这一方案中的网络结构仍参见图9-25,核心层采用同时支持第二、三和四层的电信企业级 Cisco Catalyst 65 00系列核心交换机,根据不同网络规模和应用需求,可以有3槽、6槽、9 槽和1 3槽(如图9-28所示)的机箱不同硬件和性能配置选择;骨干层也可根据不同的网络规模和应用需求可选用支持第二、三和四层的Catalyst 4500系列交换机的不同型号,如7个插槽的Cisco Catalyst 45
ERGM的R语言代码
最新发布
08-08
ERGM(Exponential Random Graph Model)是一种用于建模网络结构的统计模型。在R语言中,可以使用ergm包来实现ERGM模型的拟合和分析。下面是一个简单的ERGM模型的R语言代码示例: ```R # 安装并加载ergm包 install....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值