發(fā)布者:大客戶經(jīng)理 |
本文章發(fā)表于:2023-05-03
閱讀數(shù):2261
很多人不知道要如何學(xué)好網(wǎng)絡(luò)攻防技術(shù),真正的網(wǎng)絡(luò)安全技術(shù)指計(jì)算機(jī)用戶管理技術(shù)���,在互聯(lián)網(wǎng)時(shí)代網(wǎng)絡(luò)遭遇攻擊是隨處可見�,可能會給企業(yè)或者個人帶來嚴(yán)重的損失���,今天我們就一起來學(xué)習(xí)下網(wǎng)絡(luò)安全防御系統(tǒng)的主要問題��,知道問題所在�����,才能更好地去防御它��。
如何學(xué)好網(wǎng)絡(luò)攻防技術(shù)?
全球所有的網(wǎng)絡(luò)安全技防標(biāo)準(zhǔn)是來源于同時(shí)可以供上千人使用的多用戶計(jì)算機(jī)��,即UNIX用戶組管理技術(shù)���。
網(wǎng)絡(luò)安全基本邏輯原理
用戶訪問行為和用戶軟件不可信�����,相同數(shù)據(jù)安全等級的用戶或者相同訪問權(quán)限的用戶組網(wǎng)(Group ID安全/信道標(biāo)記,無需假設(shè)用戶可信為條件)����,任何內(nèi)外部網(wǎng)絡(luò)攻擊、或者用戶自主訪問行為不當(dāng)���,都不會造成信息數(shù)據(jù)泄密安全問題��,確保網(wǎng)絡(luò)信息的安全
UNIX 用戶組技術(shù)簡介(邏輯拓?fù)渚W(wǎng)絡(luò)管理技術(shù))
強(qiáng)制訪問控制:(GB17859-1999�����,計(jì)算機(jī)系統(tǒng)信息安全等級劃分準(zhǔn)則)
1)安全標(biāo)記/結(jié)構(gòu)化信道(邏輯網(wǎng)絡(luò)信道—安全區(qū))
按數(shù)據(jù)安全等級或用戶訪問權(quán)限構(gòu)造GROUP-ID網(wǎng)絡(luò)�����,并分配相應(yīng)的數(shù)據(jù)文件存儲共享區(qū)�����,僅允許具有相同GROUP-ID的訪問進(jìn)程可以訪問(訪問授權(quán))���。替代技術(shù):內(nèi)外物理網(wǎng)或信息孤島式物理網(wǎng)絡(luò)
2)系統(tǒng)審計(jì)
系統(tǒng)管理員審計(jì)確認(rèn)上機(jī)用戶身份安全等級�����,設(shè)置或許可上機(jī)用戶加入GROUP-ID網(wǎng)絡(luò)��,并許可訪問該信道的GID標(biāo)識的共享文件����,若加入多個不同的GROUP-ID網(wǎng)絡(luò)�,上機(jī)用戶可以訪問相應(yīng)GROUP-ID的共享文件(由系統(tǒng)強(qiáng)制用戶訪問進(jìn)程引用的同組GID標(biāo)識,用戶訪問權(quán)限相同���,保密性/完整性同時(shí)滿足)��。替代技術(shù):防火墻(入網(wǎng)身份審計(jì))�����、網(wǎng)閘(保密性)���、路由器��。并采用IP����、套接字或通訊協(xié)議來代替GROUP-ID安全/信道標(biāo)記
3)訪問驗(yàn)證
實(shí)時(shí)監(jiān)控上機(jī)用戶的通訊訪問是否符合安全標(biāo)記/結(jié)構(gòu)化信道的授權(quán)���。替代技術(shù):IDS/IPS�、蜜罐等
自主訪問控制
上機(jī)用戶在強(qiáng)制訪問控制(安全標(biāo)記/結(jié)構(gòu)化信道)許可的范圍內(nèi)����,用戶可以自主設(shè)置許可其它用戶來訪條件
局域網(wǎng)網(wǎng)絡(luò)安全
局域網(wǎng)的網(wǎng)絡(luò)安全技術(shù)本質(zhì)上是模擬UNIX用戶組管理技術(shù)�����,由于物理網(wǎng)絡(luò)難以按用戶數(shù)據(jù)的安全等級或用戶訪問權(quán)限組網(wǎng)��,所以需要大量的網(wǎng)絡(luò)安全替代技術(shù)設(shè)備。如果采用邏輯網(wǎng)絡(luò)設(shè)計(jì)就可以避免這類復(fù)雜的網(wǎng)絡(luò)安全設(shè)備����。
網(wǎng)絡(luò)安全防御系統(tǒng)的主要問題
網(wǎng)絡(luò)安全的主要問題是網(wǎng)絡(luò)安全的替代技術(shù)產(chǎn)品本質(zhì)上不能符合UNIX用戶組的功能,有其局限性���。
網(wǎng)絡(luò)安全替代技術(shù)局限性:(替代技術(shù)需要可信計(jì)算技術(shù)為基礎(chǔ))
1.用物理網(wǎng)絡(luò)來代替GROUP-ID(用戶組)邏輯網(wǎng)絡(luò)(而局域網(wǎng)若由個人用戶操作系統(tǒng)或應(yīng)用建立信道)
物理信道內(nèi)用戶計(jì)算機(jī)既無法設(shè)置安全/信道安全等級�����,又無法按用戶訪問權(quán)限組合設(shè)計(jì)保障信道
2.用依據(jù)IP���、套接字等各層級通訊協(xié)議來代替GROUP-ID標(biāo)識進(jìn)行入網(wǎng)系統(tǒng)審計(jì)和訪問授權(quán)
在具有不同訪問授權(quán)用戶或未封閉信道,即使用戶的不合法訪問行為���,業(yè)務(wù)導(dǎo)致信息安全問題�����,無法證明擴(kuò)展ACL所依據(jù)的IP或IP套接字或通訊協(xié)議可以合理替代GROUP-ID用戶身份的安全等級和訪問權(quán)限的標(biāo)識���。(加密也無法證明安全保密性/完整性同時(shí)滿足,即信道內(nèi)用戶訪問權(quán)限相同)
3.用IPS/IDS等代替基于用戶訪問權(quán)限(GROUP-ID)的訪問實(shí)時(shí)監(jiān)控驗(yàn)證
無用戶訪問授權(quán)作為用戶訪問行為合法性的判別依據(jù)�����,難以準(zhǔn)確判斷用戶的不當(dāng)訪問行為
顯然需要象UNIX用戶組的邏輯網(wǎng)絡(luò)拓?fù)湟粯樱枰蛇壿嬀W(wǎng)絡(luò)拓?fù)鋪斫鉀Q網(wǎng)絡(luò)安全問題���。能夠讓以數(shù)據(jù)安全等級或訪問權(quán)限設(shè)計(jì)的用戶信道�����。(無論是采用數(shù)據(jù)安全等級信道���,還是采用用戶訪問權(quán)限信道,本質(zhì)上需要基于VLAN的訪問控制技術(shù))
在實(shí)際按訪問用戶權(quán)限設(shè)計(jì)的信道內(nèi)(上述共七條信道)�,需要在保持?jǐn)?shù)據(jù)包VLAN標(biāo)記的條件下完成對服務(wù)器的訪問控制。很多人會聯(lián)想到私有VLAN����。但是實(shí)際上生產(chǎn)(MES)、財(cái)務(wù)(ERP)����、人事(檔案)服務(wù)器都是不同的IT業(yè)務(wù)系統(tǒng)���,需要隔離的����。私有VLAN僅隔離了用戶,未隔離IT系統(tǒng)�����。
網(wǎng)絡(luò)邏輯安全拓?fù)湫枨笕缦拢海ㄗⅲ喊ㄉ暇W(wǎng)服務(wù)也是一種通訊訪問服務(wù))
常用的網(wǎng)絡(luò)安全技術(shù)(VLAN間的訪問控制):
目前最符合用戶訪問信道要求的VLAN間訪問控制技術(shù)是VLAN 用戶組技術(shù)����。原因是采用VLANID來代替GROUP-ID用戶安全身份等級信道標(biāo)識,排除了用戶篡改IP標(biāo)識的可能�。而交叉VLAN也非常成功,但不是完整的信道架構(gòu)�。
國內(nèi)局域網(wǎng)設(shè)計(jì)能力較弱,一般采用路由技術(shù)方案���,即采用防火墻�����、路由器等�,把公網(wǎng)搬入局域網(wǎng)中��,采用擴(kuò)展ACL打造成靜態(tài)的全路由網(wǎng)。
以上就是關(guān)于如何學(xué)好網(wǎng)絡(luò)攻防技術(shù)�����,想要入門網(wǎng)絡(luò)攻防技術(shù)還是需要全面了解網(wǎng)絡(luò)安全防御系統(tǒng)的主要問題����。接下來才能更好地處理問題,學(xué)習(xí)網(wǎng)絡(luò)攻防的具體措施�,在信息時(shí)代要學(xué)會保護(hù)自己的網(wǎng)絡(luò)安全。
云安全相關(guān)活動
最新活動
閩公網(wǎng)安備 35020302000839號