完美世界前传下载,小说排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

網(wǎng)絡(luò)安全的靈魂之安全策略

安全策略為網(wǎng)絡(luò)安全保駕護(hù)航

年輕時(shí)唱過(guò)一首毛主席語(yǔ)錄歌，歌曰：“政策和策略是黨的生命，各級(jí)領(lǐng)導(dǎo)同志務(wù)必充分注意，萬(wàn)萬(wàn)不可粗心大意。”物類相通，搞了幾年網(wǎng)絡(luò)安全，對(duì)于安全策略的體驗(yàn)，竟也有相似的感覺(jué)。為了抵御網(wǎng)上攻擊，保護(hù)網(wǎng)絡(luò)安全，現(xiàn)在幾乎所有的網(wǎng)絡(luò)信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡(luò)安全設(shè)施，諸如：加密設(shè)備、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描、防治病毒軟件、VPN、安全認(rèn)證系統(tǒng)、安全審計(jì)系統(tǒng)……等等。

有人形象地把它們稱為網(wǎng)絡(luò)安全的十八般兵器，但是，搞好網(wǎng)絡(luò)安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網(wǎng)絡(luò)安全的生命，是靈魂。沒(méi)有正確安全策略的安全系統(tǒng)就像沒(méi)有靈魂的軀殼，是不能夠完成保障安全的使命的。

入侵檢測(cè)系統(tǒng)的安全策略

入侵檢測(cè)系統(tǒng)根據(jù)入侵檢測(cè)的行為分為兩種模式：異常檢測(cè)和誤用檢測(cè)。前者先要建立一個(gè)系統(tǒng)訪問(wèn)正常行為的模型，凡是訪問(wèn)者不符合這個(gè)模型的行為將被斷定為入侵;后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個(gè)模型，凡是訪問(wèn)者符合這個(gè)模型的行為將被斷定為入侵。

你看，這兩種模式的安全策略是完全不同的，而且，它們各有長(zhǎng)處和短處：異常檢測(cè)的漏報(bào)率很低，但是不符合正常行為模式的行為并不見(jiàn)得就是惡意攻擊，因此這種策略誤報(bào)率較高;誤用檢測(cè)由于直接匹配比對(duì)異常的不可接受的行為模式，因此誤報(bào)率較低。但惡意行為千變?nèi)f化，可能沒(méi)有被收集在行為模式庫(kù)中，因此漏報(bào)率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點(diǎn)和安全要求來(lái)制定策略，選擇行為檢測(cè)模式?，F(xiàn)在用戶都采取兩種模式相結(jié)合的策略。

入侵檢測(cè)系統(tǒng)還有其他安全策略，如控制策略和響應(yīng)策略。對(duì)于控制策略，入侵檢測(cè)系統(tǒng)分為集中式控制和分布式控制兩種模式(還有第三種是混合式)。在前者模式中，只有一個(gè)中央入侵檢測(cè)服務(wù)器，分布于各個(gè)主機(jī)上的審計(jì)程序?qū)⑺鸭降臄?shù)據(jù)蹤跡發(fā)送到中央服務(wù)器集中分析處理。這種方式可以節(jié)約資源，降低成本，但是在可伸縮性和可配置性上有弱點(diǎn)，網(wǎng)絡(luò) 一大，就可能形成瓶頸，而且具有單點(diǎn)故障的風(fēng)險(xiǎn)。

分布式控制模式則將中央服務(wù)器的功能分配到各個(gè)節(jié)點(diǎn)的主機(jī)之中，讓大家都有入侵檢測(cè)的功能，這種模式顯然能夠避免上述弱點(diǎn)。但分布式控制策略的維護(hù)成本卻高了很多，而且增加了監(jiān)控主機(jī)的工作負(fù)擔(dān)。

從響應(yīng)策略上講，入侵檢測(cè)系統(tǒng)也分為兩種模式——主動(dòng)響應(yīng)和被動(dòng)相應(yīng)。前者對(duì)于搜集到的不正常情況只發(fā)出告警通知，不試圖降低所造成的破壞，也不對(duì)攻擊者反擊;后者則可能對(duì)被攻擊系統(tǒng)實(shí)施控制，阻斷或減輕攻擊影響。表面上看，主動(dòng)響應(yīng)的功能要比被動(dòng)相應(yīng)強(qiáng)很多，大家都選前者不就完了嗎?

別忙，事情還有另一面，網(wǎng)絡(luò)上的事情是比較復(fù)雜的，如果沒(méi)有弄清楚異常情況的根源便自動(dòng)采取反制措施，如斷開(kāi)網(wǎng)絡(luò)連接、殺死可疑進(jìn)程等，可能會(huì)給系統(tǒng)帶來(lái)嚴(yán)重后果。須知正在運(yùn)行的信息系統(tǒng)是連著千萬(wàn)個(gè)用戶，任何一個(gè)系統(tǒng)的操作需要慎之又慎。出于這個(gè)原因，CFCA(中國(guó)金融認(rèn)證中心)的入侵檢測(cè)系統(tǒng)采用了被動(dòng)響應(yīng)的策略。

2001年，CFCA的入侵檢測(cè)系統(tǒng)曾經(jīng)發(fā)現(xiàn)在某個(gè)IP地址上發(fā)出數(shù)千個(gè)密集的異常訪問(wèn)。按照行為模式，這應(yīng)該是屬于惡意的拒絕服務(wù)攻擊。但監(jiān) 控者并沒(méi)有貿(mào)然斷開(kāi)網(wǎng)絡(luò)連接，而是做了一些深入調(diào)查。結(jié)果發(fā)現(xiàn)，原來(lái)是某家銀行剛上認(rèn)證業(yè)務(wù)，正在用CFCA的生產(chǎn)系統(tǒng)做壓力測(cè)試，這才形成了“拒絕服務(wù) 攻擊”的假象。通過(guò)與該銀行電話溝通，問(wèn)題得以順利解決。

在我們所熟悉的安全認(rèn)證業(yè)務(wù)中，安全策略也具有舉足輕重的地位。如果你在多家銀行使用網(wǎng)銀業(yè)務(wù)，你就能發(fā)現(xiàn)，不同銀行所采用的安全認(rèn)證的策略有所不同。當(dāng)下，銀行一度推行的“用戶名+密碼口令”認(rèn)證手段，由于存在明顯的安全漏洞，案件屢屢發(fā)生，已經(jīng)基本絕跡，而紛紛改用了數(shù)字證書(shū)認(rèn)證機(jī)制。但是，同樣是使用數(shù)字證書(shū)認(rèn)證，不同銀行的安全策略也有不同：

工商銀行網(wǎng)銀——客戶登錄網(wǎng)銀不需要數(shù)字證書(shū)，查詢余額也不需要。但進(jìn)行轉(zhuǎn)帳交易時(shí)，不論交易額大小，均需要使用數(shù)字證書(shū)認(rèn)證。大眾版網(wǎng)銀使用文件證書(shū)(或稱硬盤(pán)證書(shū))或動(dòng)態(tài)口令卡;專業(yè)版網(wǎng)銀必須使用U盾(即USB Key數(shù)字證書(shū)密碼鑰匙)，而且要輸入PIN碼作為雙重保護(hù)。客戶如不正確地輸入PIN碼，證書(shū)就不起作用，不能轉(zhuǎn)帳。

網(wǎng)絡(luò)安全中安全策略的的敘述就結(jié)束了，希望大家已經(jīng)掌握了和理解了，同時(shí)希望大家能夠繼續(xù)關(guān)注相關(guān)信息。

本文標(biāo)題：網(wǎng)絡(luò)安全的靈魂之安全策略
網(wǎng)站地址：http://fisionsoft.com.cn/article/dpdigip.html

新聞中心

其他資訊