• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      零信任架構(gòu)構(gòu)建安全網(wǎng)絡(luò)環(huán)境

      2020-12-29 18:53:19云南王軍峰
      網(wǎng)絡(luò)安全和信息化 2020年5期
      關(guān)鍵詞:威脅信任網(wǎng)絡(luò)安全

      ■ 云南 王軍峰

      編者按:如今傳統(tǒng)的網(wǎng)絡(luò)安全邊界變得越來越模糊,目前的網(wǎng)絡(luò)防御技術(shù)存在諸多漏洞,為黑客攻擊提供了極大的便利。隨著網(wǎng)絡(luò)攻擊演變得更加復(fù)雜,新的網(wǎng)絡(luò)安全防御思維應(yīng)運而生。

      由公安部第三研究所網(wǎng)絡(luò)安全法律研究中心與百度聯(lián)合發(fā)布的2019年《網(wǎng)絡(luò)犯罪治理防范白皮書》中披露,每分鐘因網(wǎng)絡(luò)犯罪導(dǎo)致的經(jīng)濟損失高達290萬美元,每分鐘泄露的可標識數(shù)據(jù)記錄為8100條,數(shù)據(jù)表明,33.9%數(shù)據(jù)泄露事件與內(nèi)部威脅有關(guān)。

      認識到了現(xiàn)有安全防御的不足以及應(yīng)對愈趨嚴峻的安全態(tài)勢,我們需要更好的東西,而零信任模型恰好就能得到最好的結(jié)果。

      網(wǎng)絡(luò)先天存在的缺陷

      1.網(wǎng)絡(luò)協(xié)議的缺陷

      TCP/IP協(xié)議是建立在可信的環(huán)境之下,由于在其設(shè)計初期人們過分強調(diào)其開發(fā)性和便利性,沒有仔細考慮其安全性,因此很多的網(wǎng)絡(luò)協(xié)議都存在嚴重的安全漏洞,給Internet留下了許多安全隱患。

      2.終端系統(tǒng)漏洞

      互聯(lián)網(wǎng)的飛速發(fā)展打破了常規(guī)的時間、空間限制,使我們可以服務(wù)的人群變得無限多。然而,互聯(lián)網(wǎng)帶來無限多客戶的同時也帶來了無限多的黑客。在黑客面前,任何細微漏洞都可能被捕獲,導(dǎo)致安全風(fēng)險被無限放大。特別是兩個基本假設(shè)的成立讓我們無所適從:

      任何應(yīng)用程序都會存在漏洞;黑客總是比用戶更早地發(fā)現(xiàn)漏洞。

      3.邊界防火墻的缺陷

      由于傳統(tǒng)的防御體系側(cè)重于互聯(lián)網(wǎng)、第三方等邊界的網(wǎng)絡(luò)安全防護,認為只要構(gòu)筑了企業(yè)的數(shù)字護城河,通過防火墻、WAF、IPS等邊界安全產(chǎn)品或方案,就能實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

      這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認了內(nèi)網(wǎng)比外網(wǎng)更安全,在某種程度上預(yù)設(shè)了對內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任,從而忽視內(nèi)網(wǎng)安全措施的加強。網(wǎng)絡(luò)邊界的安全防護一旦被突破,即使只有一臺計算機被攻陷,攻擊者也能夠在安全的網(wǎng)絡(luò)中心內(nèi)部自由移動。

      網(wǎng)絡(luò)安全面臨的重大挑戰(zhàn)

      在網(wǎng)絡(luò)新時代,網(wǎng)絡(luò)攻擊給我們帶來了新威脅和大挑戰(zhàn),主要面臨著6大新威脅。

      第一,網(wǎng)絡(luò)攻擊正在威脅國家安全。敵對勢力通過網(wǎng)絡(luò)攻擊可以在敵對國家內(nèi)部的網(wǎng)絡(luò)空間搞破壞,最終達到影響民意等目的,甚至實現(xiàn)“顏色革命”。

      第二,網(wǎng)絡(luò)戰(zhàn)威脅國防安全。網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為國際沖突的常見形式,網(wǎng)絡(luò)戰(zhàn)時時刻刻都在發(fā)生,網(wǎng)絡(luò)戰(zhàn)會成為未來戰(zhàn)爭的首選,給國家國防安全帶來了嚴重威脅。

      第三,網(wǎng)絡(luò)攻擊也在威脅國家關(guān)鍵基礎(chǔ)設(shè)施安全。物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)正在把虛擬世界和物理世界打通,所有原先虛擬世界的攻擊都可以直接影響現(xiàn)實物理世界,通過網(wǎng)絡(luò)就可以破壞水、電、氣、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施。

      第四,網(wǎng)絡(luò)攻擊威脅社會穩(wěn)定和公共安全?,F(xiàn)在整個社會的運轉(zhuǎn)、公共服務(wù)、老百姓的吃喝玩樂都建立在網(wǎng)絡(luò)之上。一旦遭受網(wǎng)絡(luò)攻擊,社會秩序就會混亂。

      第五,網(wǎng)絡(luò)攻擊威脅金融和經(jīng)濟安全?;ヂ?lián)網(wǎng)金融已經(jīng)深入大眾生活,而針對金融系統(tǒng)的網(wǎng)絡(luò)攻擊也層出不窮,威脅金融和經(jīng)濟安全。例如區(qū)塊鏈的火熱也讓虛擬貨幣已經(jīng)成為黑客攻擊的新目標。

      第六,網(wǎng)絡(luò)攻擊威脅用戶個人安全。數(shù)據(jù)顯示,網(wǎng)絡(luò)犯罪正在成為第一大犯罪類型,未來絕大多數(shù)犯罪都可能借助網(wǎng)絡(luò)實施。網(wǎng)絡(luò)犯罪除了造成用戶隱私泄露、財產(chǎn)損失外,甚至也在影響人身安全。

      傳統(tǒng)的可信任網(wǎng)絡(luò)體系面臨巨大挑戰(zhàn),無法滿足安全的需求。我們需要構(gòu)建零信任體系,以管理戰(zhàn)略情報的思維來管理數(shù)據(jù)。

      零信任網(wǎng)絡(luò)構(gòu)建提升網(wǎng)絡(luò)安全

      互聯(lián)網(wǎng)給我們帶來了很多的安全方面的經(jīng)驗教訓(xùn),人們意識到舊的網(wǎng)絡(luò)防護體系需要打破。

      2010年John Kindervag提出信任網(wǎng)絡(luò)(亦稱零信任架構(gòu))模型,零信任是一個安全概念,中心思想是不應(yīng)自動信任內(nèi)部或外部的任何人/事/物,應(yīng)在授權(quán)前對任何試圖接入內(nèi)部系統(tǒng)的人/事/物進行驗證。

      簡言之,零信任的策略就是不相信任何人。除非網(wǎng)絡(luò)明確知道接入者的身份,否則任誰都別想進入。什么IP地址、主機之類的,不知道用戶身份或者不清楚授權(quán)途徑的,統(tǒng)統(tǒng)不放進來。

      零信任架構(gòu)假設(shè)網(wǎng)絡(luò)自始至終充滿外部和內(nèi)部威脅,不能僅憑網(wǎng)絡(luò)位置來評估信任,從傳統(tǒng)的以網(wǎng)絡(luò)為中心轉(zhuǎn)變?yōu)橐陨矸轂橹行倪M行訪問控制,這種轉(zhuǎn)變的必然性是因為網(wǎng)絡(luò)邊界正在瓦解,已經(jīng)無法區(qū)分內(nèi)外網(wǎng),因此,索性將內(nèi)網(wǎng)按照互聯(lián)網(wǎng)安全的思路進行建設(shè),而互聯(lián)網(wǎng)對業(yè)務(wù)的安全防護的典型解決方案就是基于身份與訪問控制。因此,零信任安全自然而然的將身份和訪問控制作為信任重建的基石。

      1.加強用戶身份驗證

      每個人都有身份,它是現(xiàn)實社會中個體的象征,是個體進行社會活動的基礎(chǔ),在網(wǎng)絡(luò)系統(tǒng)中,身份就是社會人/用戶所對應(yīng)的數(shù)字個體的標識,是用戶在網(wǎng)絡(luò)系統(tǒng)中活動的基礎(chǔ)。認證對于零信任網(wǎng)絡(luò)至關(guān)重要,它是強制行為,在現(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)中主要包括密碼認證、生物特征認證和安全令牌認證。

      密碼是常用的認證機制,安全性高的密碼需要具備以下的特征。

      長度足夠長:最近的NIST密碼標準建議密碼長度最小為8位,但是具有高度安全意識的個人通常使用的密碼長度為20位以上。

      難以猜測:最好利用隨機數(shù)生成器生成的數(shù)值作為密碼,每個應(yīng)用和服務(wù)都選用不同的、位數(shù)足夠長且難以猜測的密碼。

      生物特征識別更加便捷安全,如指紋、虹膜掃描、掌紋、人臉識別等技術(shù)。雖然生物特征識別有助于提高系統(tǒng)安全性,但是這種機制的一些天然缺陷也不可忽略:生物特征認證極大依賴于物理特征的精準度量,攻擊者可能欺騙傳感器;另一個缺點是它們不可變更。

      安全令牌是一種應(yīng)用于用戶認證的硬件設(shè)備,隨做安全企業(yè)的發(fā)展,越來越多的企業(yè)傾向于使用硬件機制認證用戶身份,將用戶身份與硬件設(shè)備綁定,大大減小了用戶憑證被復(fù)制和盜竊的風(fēng)險。

      2.建立設(shè)備信任

      在零信任網(wǎng)路中建立設(shè)備信任至關(guān)重要,建立設(shè)備信任是基石,直接影響零信任網(wǎng)絡(luò)架構(gòu)的成敗。

      大多數(shù)網(wǎng)絡(luò)安全事件都和攻擊者獲得信任設(shè)備的控制性相關(guān),這種情況一旦發(fā)生,信任就將被徹底瓦解,無法通過設(shè)備來確保安全信任鏈的建立。必須確保使用標準化的健康合規(guī)要求,對網(wǎng)絡(luò)生態(tài)系統(tǒng)中對接入的設(shè)備進行一致的掃描和監(jiān)測,如果沒有這些措施,將很難在整個網(wǎng)絡(luò)上運行健康檢查,也將為惡意行為體提供訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的機會。網(wǎng)絡(luò)環(huán)境已經(jīng)延伸到了接觸生態(tài)系統(tǒng)的每一臺設(shè)備,這一切都要做好抵御攻擊的防護,包括受管和非受管的端點:移動設(shè)備、平板電腦以及物聯(lián)網(wǎng)設(shè)備。

      有效的零信任安全戰(zhàn)略意味著您必須審核每臺設(shè)備;確保其值得信賴;授予訪問權(quán)限;然后隨時隔離、保護和控制每臺接觸網(wǎng)絡(luò)的設(shè)備。因為設(shè)備驗證屬于一個重要環(huán)節(jié),因此要對設(shè)備進行清點。

      3.加密認證

      在零信任網(wǎng)絡(luò)中,系統(tǒng)接收到的所有數(shù)據(jù)包都是不可信的,因此在處理封裝與數(shù)據(jù)包中的數(shù)據(jù)之前必須嚴格檢查這些數(shù)據(jù)包,強認證機制是完成該項該項檢查的受選方案。

      加密是零信任安全的一個關(guān)鍵組件,因為它假定網(wǎng)絡(luò)本身不可信任,網(wǎng)絡(luò)上的任何數(shù)據(jù)都必須相應(yīng)地受到保護。還應(yīng)考慮與過程/處理中數(shù)據(jù)相關(guān)的風(fēng)險,并對該階段的數(shù)據(jù)管理進行加密,此外還應(yīng)考慮傳輸或靜止的數(shù)據(jù)。

      加密和認證通常是緊密相關(guān)的,盡管其目的截然不同。加密提供機密性,用于確保只有接收者才能讀取發(fā)送的數(shù)據(jù);認證則用于接收者可以驗證消息確實是由所聲明的對象發(fā)送的。

      4.審查訪問行為

      有效的零信任策略包括監(jiān)控訪問行為和分析模式和趨勢。為了增加從開關(guān)中使用抽象的流量分析管道,在整個網(wǎng)絡(luò)的安裝了流量監(jiān)控的用戶設(shè)備來模擬非特權(quán)網(wǎng)絡(luò)中的行為。

      這個流量監(jiān)控檢測作為每一個設(shè)備的基礎(chǔ)服務(wù),檢查所有輸入和輸出流量,長期記錄并分析網(wǎng)絡(luò)流量,能夠發(fā)現(xiàn)現(xiàn)有網(wǎng)絡(luò)中存在哪些類型的網(wǎng)絡(luò)連接。

      收集并記錄所有網(wǎng)絡(luò)流量后,基于高級系統(tǒng)連接對網(wǎng)絡(luò)流量進行分類,有了這些網(wǎng)絡(luò)定義,就可以更好的執(zhí)行已知連接的訪問控制,感知網(wǎng)絡(luò)中通信模式的變化。

      網(wǎng)絡(luò)流量和網(wǎng)絡(luò)上用戶/設(shè)備行為的日志和監(jiān)控,這將提供對網(wǎng)絡(luò)映射的更好理解,并使識別可能指示對網(wǎng)絡(luò)資源的未經(jīng)許可訪問的異常行為變得更加容易。用諸如安全信息管理、高級安全分析平臺、安全用戶行為分析和其他分析系統(tǒng)這樣的工具,使安全專家能夠?qū)崟r地觀察正在發(fā)生的事情和更智能地定向防御。對網(wǎng)絡(luò)相關(guān)事件數(shù)據(jù)的分析,有助于在實際事件發(fā)生之前制定主動安全措施。

      結(jié)語

      零信任是一個演進式的框架,而不是革命性的方法。它建立在現(xiàn)有的安全概念之上,并沒有引入一種全新的網(wǎng)絡(luò)安全方法。與大多數(shù)安全概念一樣,零信任依賴于對組織的服務(wù)、數(shù)據(jù)、用戶、端點的基本理解。關(guān)于前期資源投資,沒有“免費午餐”。策略定義、部署概念、信任確定(和衰退)、執(zhí)行機制、日志聚合等,都需要在部署解決方案之前考慮。

      猜你喜歡
      威脅信任網(wǎng)絡(luò)安全
      人類的威脅
      網(wǎng)絡(luò)安全
      網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實戰(zhàn)化”
      表示信任
      受到威脅的生命
      上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
      面對孩子的“威脅”,我們要會說“不”
      家教世界(2017年11期)2018-01-03 01:28:49
      嚶嚶嚶,人與人的信任在哪里……
      桃之夭夭B(2017年2期)2017-02-24 17:32:43
      從生到死有多遠
      Why Does Sleeping in Just Make Us More Tired?
      鸡东县| 白河县| 调兵山市| 渝中区| 多伦县| 故城县| 大化| 渝中区| 湖北省| 淳化县| 鄂托克旗| 克东县| 靖宇县| 连江县| 东宁县| 内丘县| 台中县| 达州市| 台山市| 梁平县| 邓州市| 越西县| 揭阳市| 新密市| 广丰县| 阿荣旗| 定边县| 三亚市| 东安县| 阳信县| 牙克石市| 兴仁县| 塔河县| 永胜县| 鹤壁市| 晋城| 垫江县| 仁化县| 呼玛县| 定安县| 长沙市|