中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

論封閉網絡的安全

發布時間:2020-06-25 09:18:47 來源:網絡 閱讀:721 作者:heeeeen 欄目:安全技術

這兩天Heart bleed漏洞在互聯網上掀起了軒然巨波,作為基礎安全軟件的重大漏洞,影響深遠,各大互聯網公司、甲方、乙方、白帽子甚至央視等媒體全都行動起來,同仇敵愾,競相測試、打補丁、升級、報道宣傳......,大家忙得不亦樂乎,給廣大網民很好地科普了一把信息安全。


與沸沸揚揚的互聯網安全相比,物理隔絕的企業、政府等封閉網絡似乎顯得靜悄悄,關心和了解該漏洞的人估計屈指可數,采取的行動也一定沒有互聯網來得熱烈。因為封閉,表面上沒有亂七八糟的威脅,也沒有技藝高超的黑帽子和白帽子測試帶來的壓力,封閉網絡的網管們一定沒有動力加班熬夜在第一時間補上漏洞。而這種情況,也絕不是第一次出現。


不同于開放的互聯網,物理隔絕的封閉網絡沒有那么多的用戶、沒有那么多的應用、沒有討厭的黑帽子和白帽子。然而,這并不代表封閉網絡高枕無憂,Openssl作為基礎的安全庫,很可能在操作系統、web應用、設備遠程配置、甚至應用安全網關中廣泛涉及。由于缺乏在光天化日之下的考驗,缺乏與***者的共同進化,封閉網絡存在的安全漏洞與開放網絡相比一定過之而無不及。


因此,對于封閉網絡的安全,首先需要有可控的“邪惡”力量對其內部進行***性測試,就像貓和老鼠的共同進化一樣,封閉網絡的防護也不能沒有“天敵”。至少,封閉網絡應該對照已公開的漏洞,對其進行彌補,這是封閉網絡安全的底線。遺憾的是,現實中,有的封閉網絡可能連這條底線都無法滿足,卻要追求所謂的“自主可控”,殊不知,缺乏審查和考驗的私有設計更不值得信任。


除了在威脅發作第一時間打補丁、堵漏洞、升級特征庫以外,封閉網絡的安全還應該注重基于白名單的控制方式,如對用戶進行認證授權、對終端進行準入控制、對應用進行分發管理......,非白即黑,沒被允許的即默認禁止。這也是許多封閉網絡通常所采用的。然而,這里面仍然存在著兩大難題。首先是白名單的管理問題,終端和用戶的白名單尚可解決,難得的是應用,現代操作系統之上的應用可謂汗牛充棟,一旦封閉網絡的規模和用戶大到一定程度,幾乎無法對應用實施白名單,這也不是技術上的難題,難得是安全與業務可用的平衡。更難的還是白名單的判斷問題,何為白?合法用戶、合法終端、合法應用真的就值得信任嗎?一次判斷以后是否就可以高枕無憂,這里的關鍵還在與對其異常的持續檢測,內部人員作惡、合法終端和應用帶有的0day,特別是在APT的大背景下,高價值的封閉網絡幾乎難以幸免***,這更需要對在封閉網絡中獲取各種信息進行精準分析。DARPA的主動認證項目根據用戶內部網絡中的行為如敲鍵方式、軟件操作習慣、甚至在面對異常時的反映來對用戶進行持續的認證,甚至有望取代CAC認證卡和口令,這應該是封閉網絡安全的發展方向。


最后,由于漏洞總是客觀存在,封閉網絡作為高價值目標,難以做到防護的萬無一失,轉而應該借鑒可靠性的一些設計思想,瞄準在遭受***后關鍵業務仍然可用為目標,Mitre將這方面的設計思想稱之為網絡空間彈性Cyber Resiliency。冗余、跳變、關鍵系統的分割、沙盒、對***的重定向、非持續的提供服務,都是具體的彈性機制。這方面的研究且聽下回分解。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

玛纳斯县| 黄平县| 白山市| 巴楚县| 湄潭县| 若羌县| 南充市| 年辖:市辖区| 尚义县| 温泉县| 成武县| 青浦区| 墨玉县| 文安县| 安阳市| 礼泉县| 正镶白旗| 垫江县| 冕宁县| 河东区| 清丰县| 仙桃市| 东源县| 彭山县| 双桥区| 上犹县| 金堂县| 永定县| 乌审旗| 张家口市| 白沙| 阳朔县| 营口市| 潞西市| 新邵县| 新晃| 南丰县| 鄂托克前旗| 新平| 洪泽县| 昆明市|