【廉环话】漫谈信息安全设计与治理之安全套件设计

【51CTO.com
原创】上次说到美剧,其实廉哥也是给追剧迷,那晚闲来无事,我一口气撸完了美剧《黑客军团》第一季。当看到屏幕上的命令行时,居然有一种莫名其妙的激动和共鸣。特别是第一集基本上没什么尿点,给我印象最深的是有一幕,网站系统瘫痪了,男猪脚和同仁发现是由DDOS导致的故障,然后发现服务器里的rootkit四处散播形成僵尸网络,紧接着集群基本都关闭,最后男主出马,他通过改个域名服务器就改变了最后一台感染的重启。剧情刺激且抓人,场面扣人心弦。虽然次日反思细节,感觉理论上说:每个域名都有TTL,修改后是不可能马上生效的。但这对于神剧的所带来的“小确幸”来说并不重要。

安全套件设计

通过阅读这次的开头想必大家已然明白我这次要给大家带来什么了吧?对,网络安全。谈到网络安全所涉及到的产品,大家一定想到了常见的硬件产品如:防火墙(firewall),VPN网关、入侵检测(IDS)、入侵防御(IPS)和统一威胁管理(UTM)以及下一代防火墙(NGFW)等。这些设备的基本概念和用途,小生就不在这里赘述了,需要了解的,可以出门左拐找隔壁的“度娘”。这些设备谁将取代谁的存废之争已讨论多年,我在这里不做评判,只想跟大家漫谈的是个人在所经历的项目中的一些实施经验和感受。

1.
传统的将安全设备串糖葫芦式的部署到网络中是万万不可的。这样只会造成效率较低、可视性差、管理困难。传统的设备如防病毒、入侵检测与防御技术都是基于模式匹配、黑名单技术来对已知攻击进行防御技术。而如今已是云计算、大数据时代,设计与运维人员应当多都通多协作,合理化部署,在没有任何特征库的情况下通过海量数据来发现无规律的异常的黑客行为以及发现新的攻击或行为,因此联动与互补显得尤为重要。

2. 对于绝大多数已有部分安全硬件设备的企业,无论是从信息化建设发展投资保护还是从人员维护熟练程度来说,都没有必要一下子推倒从来,一步跨到最新的设备套件(UTM)上。

3. 对于要逐年或定期面对内审和、或外审的企业来说,IDS是绝好不过的了。你可以从其“呈现”界面,方便、快捷、丰富的获取各种表和图,真是谁用谁知道。

4. UTM虽然“看上去很美”但是要注意UTM模块见是否割裂、有无联动,不然简单的UTM模块堆叠会导致应用层性能下降,适得其反。

5.
正所谓道高一尺魔高一丈,随着黑客攻击水平的不断进步,如今多为利用应用安全漏洞进行攻击,因此,下一代防火墙(NGFW)、IPS基础上的抗拒绝服务攻击系统(Anti-DOS)、Web应用防火墙(WAF)等元素应在网络设计和部署时适当考虑,以应对日渐多样、复杂、易变的应用程序。

6.
常言道“师傅领进门,修行在个人。”设备纵然再先进放在那里,鲜少维护是(sang)不(xin)行(bing)的(kuang)。我们需要真正做到管理,更新和使用好各种现有的网络安全设备,按照现有的日常操作流程进行运维,如果能建立或是部分实现企业内信息安全管理体系(Information
Security Management System, ISMS乃是极好的。

让我们再把目光回到前面我给出的整体方案上:

两条线路接入后,考虑到这是IT系统与外界互联网的喉舌要害,本人在此就简单的设计部署了一套安全套件。之所以命名为安全套件,是因为随着软硬件技术的发展,在安全接入网关方面,各大厂商的各种设备在深入开发其本类特性的同时也不断加权相近领域的安全概念。这便使得各类安全产品的单质性逐渐淡化,多用途的现象普遍体现。因此,本人觉得在设计和选型方面不必拘泥,完全可以根据本企业现有的网络架构、资金预算等方面的实际情况出发,保证在功能上基本实现防火墙,IPS(入侵防护系统)特别是有Anti-DDOS(抗分布式拒绝服务)特性,
IDS(入侵检测系统),漏洞扫描,甚至可以有UTM(统一威胁管理)之类集大成设备的部署。

特别要强调的是这几年来,见诸媒体的各大知名企业网站遭遇DDOS攻击事件显示出攻击者从网络层、传输层及应用层入手,进行如SYNFlood、UDP
Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get
Flood等拒绝服务攻击。因此为了防止本所内部网络以及对外服务网站因为连接耗尽而瘫痪,本人觉得应当将“抗DDOS”作为了安全套件的一项重要考量指标。

本期最后跟大家说一个廉哥我切身经历过的安全事件吧。若干年前,我曾在一家信息安全公司给南方一个政府做信息安全的示范项目。结果某一天客户办公室的每台电脑都弹出一句“It’s
a test. I came, I saw, I
conquered!”的小黑窗口。客户领导大呼这是什么鬼?城里人太会玩了!后来查明是网络攻击安全部门的新来实习生在利用脚本模拟风暴攻击时擅用误接入到了正常办公内网络所致。哎,可惜了,这位骚年程序猿,明明可以靠测试吃饭,却偏要靠凭这样的“才华”出名,公司的霸道总裁只能送他两个字“走你!”所以说咱们搞信息安全的人,一不小心把自己给整进去了,这样真的好吗?

作者:陈峻

来源:51CTO

时间: 2024-09-24 15:50:34

【廉环话】漫谈信息安全设计与治理之安全套件设计的相关文章

漫谈信息安全设计与治理之云系统的那些事

大家好,手头的项目告一段落,哥上周休假去了.记得在电影<罗马假日>里曾有提到:"要么读书,要么旅行,身体与灵魂,必须有一个在路上." 所以,习惯阅读与思考的我在行囊里也放了一本专业书籍.玩耍了一整天后,夜深人静之时也会拿出来抚卷阅读.同行的损友笑话我:出来放松还把自己整得像头上悬着达摩克利斯之剑似的.我只能说:世人笑我太痴狂,燕雀安知鸿鹄之志.好吧,不扯远了,继续这次的正题吧. 跟大家汇报一下,前几次提到过的那个云平台项目基本已成型,现在进入到了对其服务连续性和灾备以及安全

【廉环话】安全入侵应对实务—内网侦查篇

[51CTO.com原创稿件]朋友们,您是否已经成功逃离了上个月勒索软件的余震,Not WannaCry anymore?您是否又回归到了平静有序的日常工作,就像美剧<西部世界>里的那些机器人演员一样,天天都重复着一个轮回呢?至少我现在就是这样的,每天忙于各种反复的事务性工作,就连刚刚过去的六一儿童节,都只能在朋友圈里去追忆. 还记得小时候,我最爱看的就是那部<黑猫警长>的动画片,直到现在工作得意的时候还会时常吟唱其主题歌-"眼睛瞪得像铜铃,射出闪电般的精明;耳朵竖得像天

环信丢失信息问题严重,安卓、IOS同样出现这问题

问题描述 自从环信出了新版后,就开始丢失信息严重了.你出新版就出新版啊,为什么还影响旧版?好吧,更新新版了,问题一样存在!找环信你们的技术沟通,就一直说是我们的问题,不愿意配合提供日志排查,找出原因,陷入死循坏.那你们的客服.技术咨询做干什么用的啊?就是为了答复:是你们自己的问题,自己弄清楚吧!?环信老板,你知道现在你们的产品在发生什么事情不? 你们的员工都是小学生吗?问题不解决,就别老叫你们的商务过来骚扰让我们开这服务.那服务. 环信的商务同学,你知道你们的技术在拉你们后腿吗? 解决方案 可否

iOS 使用的 环信 id 收发消息聊天 小写的环信 id 收不到 大写的环信id 信息

问题描述 如题,,很奇怪, 注册的id 有的是大写或小写的英文加数字,经过试验,发现 iOS 中,用全是小写的相互发消息能收到.大写的收不到,发送方     接收方      大写 ---->大写===收不到大写------>小写 ====收不到小写------->大写====收到小写---->小写====收到. 解决方案 环信用户名,不区分大小写.系统忽略大小写,认为 AA.Aa.aa.aA 都是一样的,如果系统已经存在了环信 ID 为 AA 的用户,再试图使用 aa 作为环信

为什么我批量获取环信用户信息只能获取十个

问题描述 总是count10,到底是为啥!!!求教 解决方案 批量获取可以获取多个 limit=xx

《信息物理融合系统(CPS)设计、建模与仿真——基于 Ptolemy II 平台》——第1章 异构建模 1.1语法、语义、语用

第一部分  入门 本书第一部分主要介绍系统的设计.建模与仿真.第1章首先概述了异构系统规范化建模的指导性原则,从较高的角度对将在第二部分中详细描述的计算模型(Model of Computation,MoC)进行概述.另外,第1章还提供了一个高度简化的研究案例(一个发电机组),该案例阐明了多种不同计算模型在复杂系统设计中所起的作用. 第2章提供了一个利用图形用户界面Vergil使用Ptolemy II的操作指南.本书目标之一就是使得读者能够在系统设计过程中利用开源的Ptolemy II进行实验.

漫谈数据仓库之拉链表(原理、设计以及在Hive中的实现)

本文将会谈一谈在数据仓库中拉链表相关的内容,包括它的原理.设计.以及在我们大数据场景下的实现方式. 全文由下面几个部分组成: 先分享一下拉链表的用途.什么是拉链表. 通过一些小的使用场景来对拉链表做近一步的阐释,以及拉链表和常用的切片表的区别. 举一个具体的应用场景,来设计并实现一份拉链表,最后并通过一些例子说明如何使用我们设计的这张表(因为现在Hive的大规模使用,我们会以Hive场景下的设计为例). 分析一下拉链表的优缺点,并对前面的提到的一些内容进行补充说明,比如说拉链表和流水表的区别.

全国信息水平第六届C语言设计竞赛复赛A卷答案

/* 有一个数学等式:AB*CD=BA*DC,式中的一个字母代表一 位数字,试找出所有符合上述要求的乘积式并打印输出. */ #include <stdio.h> #include <conio.h> int main() { int A, B, C, D; for (A = 1; A <= 9; A++) { for (B = 1; B <= 9; B++) { for (C = 1; C <= 9; C++) { for (D = 1; D <= 9;

网络安全:商业生态圈治理的重要一环

我们生活在一个互联互通的时代,而网络的连通,也造就了一个又一个的"圈子"--从在手机上不断刷新的"朋友圈",到企业之间的"商业生态圈".商业生态圈的形成不仅在经营成败上使参与者形成一个连动的共同体,圈子形成的"水波效应"还将使得在近年来日益严重的网络安全问题更容易牵一发而动全身. 商业生态圈的组成 "生态圈"一词是互联网经济里的热门话题."生态圈"原是自然科学用语,这一概念早在1993年