网络边界安全防护思想的演进过程

一、网络边界上需要什么

人们为了解决资源的共享而建立了网络,然而全世界的计算机真的联成了网络,安全却成了问题,因为在网络上,你不清楚对方在哪里,泄密、攻击、病毒…越来越多的不安全因素让网络管理者难以安宁,所以把有安全需求的网络与不安全的网络分开,是没有办法的选择,分离形成了网络的“孤岛”,没有了连接,安全问题自然消失了。然而因噎废食不是个办法,没有连接,业务也无法互通,网络孤岛的资源在重复建设、浪费严重,并且随着信息化的深入,跑在各个网络上业务之间的信息共享需求日益强烈,比如:政府的内网与外网,需要面对公众服务;银行的数据网与互联网,需要支持网上交易;企业的办公与生产网,老总们的办公桌上不能总是两个终端吧;民航、铁路与交通部的信息网与互联网,网上预定与实时信息查询是便利出现的必然……

把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。下面我们来看看网络边界上的安全问题都有哪些:

与非安全网络的互联面临的安全问题与网络内部的安全是不同的,主要的原因是攻击人是不可控的,攻击是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有下面几个方面:

1、信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式:

攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密

合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密

2、入侵者的攻击:互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。

3、网络病毒:与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。

4、木马入侵:木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。

来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。

由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种:

1、黑客入侵:入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。

2、病毒入侵:病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的入侵方式就象“水”的渗透一样,看似漫无目的,实则无孔不入。

3、网络攻击:网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断。

二、边界防护的安全理念

我们把网络可以看作一个独立的对象,通过自身的属性,维持内部业务的运转。他的安全威胁来自内部与边界两个方面:内部是指网络的合法用户在使用网络资源的时候,发生的不合规的行为、误操作、恶意破坏等行为,也包括系统自身的健康,如软、硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题,有入侵、病毒与攻击。

如何防护边界呢?对于公开的攻击,只有防护一条路,比如对付DDOS的攻击;但对于入侵的行为,其关键是对入侵的识别,识别出来后阻断它是容易的,但怎样区分正常的业务申请与入侵者的行为呢,是边界防护的重点与难点。

我们把网络与社会的安全管理做一个对比:要守住一座城,保护人民财产的安全,首先建立城墙,把城内与外界分割开来,阻断其与外界的所有联系,然后再修建几座城门,作为进出的检查关卡,监控进出的所有人员与车辆,是安全的第一种方法;为了防止入侵者的偷袭,再在外部挖出一条护城河,让敌人的行动暴露在宽阔的、可看见的空间里,为了通行,在河上架起吊桥,把路的使用主动权把握在自己的手中,控制通路的关闭时间是安全的第二种方法。对于已经悄悄混进城的“危险分子”,要在城内建立有效的安全监控体系,比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织,每个公民都是一名安全巡视员,顺便说一下:户籍制度、罪罚、联作等方式从老祖宗商鞅就开始在秦国使用了。只要入侵者稍有异样行为,就会被立即揪住,这是安全的第三种方法…

作为网络边界的安全建设,也采用同样的思路:控制入侵者的必然通道,设置不同层面的安全关卡,建立容易控制的“贸易”缓冲区,在区域内架设安全监控体系,对于进入网络的每个人进行跟踪,审计其行为……

三、边界防护技术

从网络的诞生,就产生了网络的互联,Cisco公司就是靠此而兴起的。从没有什么安全功能的早期路由器,到防火墙的出现,网络边界一直在重复着攻击者与防护者的博弈,这么多年来,“道高一尺,魔高一丈”,好象防护技术总跟在攻击技术的后边,不停地打补丁。其实边界的防护技术也在博弈中逐渐成熟:

时间: 2022-12-15

网络边界安全防护思想的演进过程的相关文章

【C3观点】移动化应用打碎网络边界 虚拟化助推移动安全LEVEL UP

如今,BYOD(员工自带设备办公)在企业中的普及度越来越高,移动化已经成为众多企业拓展生产力.推动工作流程飞驰的重要工具.但是,BYOD设备的大规模应用却使得企业安全防护的边界日渐模糊,移动终端的安全威胁也呈指数级增长,这给企业的数据资产带来了严重威胁.在即将召开的C3安全峰会·2017-移动安全论坛上,与会专家将会带来业内最前沿的移动安全防护技术与解决方案,为移动应用化险为"益",共达指尖美好愿景. 移动化不断LEVEL UP 安全与效率成两难抉择 移动化,是近十年来企业工作流程发生

云计算网络基础架构的实践和演进——打造云计算网络基石

摘要:从传统IT部署到云,人肉运维已经是过去式,云上运维该怎么开展?人工智能对于运维"威胁论"也随之袭来,如何去做更智能的活,当下很多运维人在不断思考和探寻答案.在2017运维/DevOps在线技术峰会上,阿里云专家云登就为大家分享了云计算网络基础架构的实践和演进,精彩不容错过. 以下内容根据演讲视频以及PPT整理而成. 众所周知,云计算是以计算.存储和网络作为基础的.网络作为云计算的重要基石之一,其架构设计和演进是云计算发展的重要一环,而网络架构涉及可靠性.性能.可扩展性等多方面内容

在无边界时代,如何确保“网络边界”安全?

在BYOD.专有和公共Wi-Fi以及其他接入方式的挑战下,日益多孔的企业边界让传统网络边界安全变得过时. 网络安全从军事.情报.医疗和人身安全领域借用了很多概念和想法,很多时候,这些概念很有帮助,但有时候也会误导人们.企业边界的概念就是一个很好的例子. 最初,安全架构是基于这样的前提,即网络边界安全可以在"内部"(专用线路.服务器.路由器以及受安全专业人员控制由用户使用的设备)构建,并可抵御"外部"(公共网络和外部设备)威胁.内部和外部之间的界限当然就是企业边界.具

五个实用的网络边界安全技巧

随着网络边界逐渐消失,信息安全人员需要努力确保企业安全性.在本文中,Nemertes Research创始人兼首席执行官Johna Till Johnson探讨了确保无边界网络安全性的五个技巧. 随着企业内部和外部的界限越来越模糊,企业必须逐渐适应访问计算资产的不同模式:BYOD.承包商.业务合作伙伴.无线和非现场工作人员现在都开始延伸到企业网络边界外,现在很多企业需要考虑是否应将其网络边界安全策略调整为无边界安全策略. 企业需要提出的问题包括:多少百分比的企业工作负载在云中运行.多少用户在远程

网络边界的迷失?关键要获得真实可视性

Ixia解决方案营销高级总监AregAlimian向您阐述消除网络盲点以及确保可靠.快速与安全业务应用的最佳实践. 您的企业网络可曾有过边界迷失?这种案例并不少见.随着虚拟化.云迁移.物联网设备的普及不断挑战着各个企业的网络边界,我们对这些界限与界限之外网络的能见度越来越低.而IT基础架构极少通过单一流程进行云迁徙则使得情况愈加复杂.企业对预算.安全性与性能的考虑意味着它们正在使用混合的模式,不论是否是业务关键型工作负载也将被暴露于主要内部部署和私有云的环境之外. 这些复杂的混合环境和内部应用.

网络边界趋于“消亡” 大数据立法刻不容缓

大数据在互联网时代遍地开花的同时,也面临着绕不过去的挑战,那就是安全问题.在互联网乃至物联网时代,如果我们不能很好地解决安全问题,就会影响社会各方面的发展.因此,各级政府在鼓励发展大数据的同时,要同步考虑构建大数据安全体系. 网络边界趋于"消亡"大数据立法刻不容缓 目前,传统的网络安全思路已经无法保障大数据时代的安全,并非是自己购买服务器并搭建独立的机房,安排专门的技术人员就能够保护企业的数据不被泄露,相反这种传统的方法更加容易被不法分子所攻破.传统网络安全的防护思路是划分边界,将内网

运营商网络应该向SDN和NFV演进而非变革

软件定义网络SDN大约在2009年才被提起,直到2011年ONF的推动下,才开始在业界崭露头角.然而就在过去的2-3年时间里,SDN从默默无闻,变成了企业及运营商市场中炙手可热的新宠儿,甚至被认为将引发网络世界的变革! SDN和NFV(网络功能虚拟化)的兴起,不仅吸引了全球电信运营商的关注,更是有电信运营商开始尝试融入SDN和NFV,目的就是在2016年提升自身的盈利能力. 运营商网络应该向SDN和NFV演进,而不是变革 根据分析公司TBR的预计,即使"价格战"的压力越来越大,但电信运

人的思想的成长过程是一个潜意识不断成长并替代思维完成细节工作的过程

人的思想的成长过程是一个潜意识不断成长并替代思维完成细节工作的过程 太阳火神的美丽人生 (http://blog.csdn.net/opengl_es) 本文禁止转载 本文禁止转载. 潜意识和思维,是人的两个脑,首先了解这个之后,再继续下面的探索过程. ... 最终要论述的一个要点是:潜意识的野指针(学过 C 语言的应该了解野指针,即一块分配出来的内存,其变量或地址指针指向其它新分配的内存了,这块内存再也访问不到了,确被一直占据着)无目地的工作(有些像梦,但这种活动是在清醒的时侯,楞神儿是一种,

企业P2P通信网络检测与防护技术发展

谈到老北京生活的代表画面,可能很多人都会想到美丽的四合院.可是一旦真的走在北京的大街小巷,身临其境,你可能会发现很多四合院都已经成了大杂院.私搭乱建现象非常普遍,进出院门 往往很不方便,对于体型丰满的人而言,最窄的地方可能通过都会成为一个挑战.这一现象在企业的网络中也 同样存在,虽然企业的网络带宽远比几年前富裕, 但是网络体验却未必与时俱进.制造障碍的是那些酷爱下载的用户,不管网络如何升级改造,对于网络管理员而言,网络下载相关的P2P 流量一直是最深的梦魇.抛开利用P2P协议在组织内部传输影音文