备案控制台
探索云世界
开发者社区 安全 文章 正文

《网络安全体系结构》一1.1 网络安全是一个系统

2017-05-02 1843
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

本节书摘来自异步社区《网络安全体系结构》一书中的第1章,第1.1节,作者【美】Sean Convery,更多章节内容可以访问云栖社区“异步社区”公众号查看

1.1 网络安全是一个系统

网络安全体系结构
网络安全是一个系统。它不是防火墙,不是入侵检测,不是虚拟专用网,也不是认证、授权以及审计(AAA)。安全不是Cisco公司及其任何合作伙伴或竞争对手能够卖给你的任何东西。尽管这些产品与技术在其中扮演了重要角色,但是网络安全的概念更为宽泛。所有网络安全都起始于安全策略,这已经几乎成为了行业标准。此后,它还涵盖了必须遵循这些安全策略的人,以及必须实施这些策略的人。于是,它最终会使当前的网络基础设施发生变化。

我们来回忆一下始于2001年、并且没有任何减慢迹象的网络蠕虫爆发。网络蠕虫的问题可以追溯到1988年的Robert Morris Internet蠕虫,当年这些蠕虫曾经造成了巨大的损失。例如红色代码在它出现的24小时内就感染了超过34万台主机(来源:http://www.caida.org)。由于被感染的主机中,大多数正在受到防火墙的保护,因此这个情况尤其值得重视。不幸的是,大部分防火墙不会进行深度数据包检测,即使这些防火墙具备这个功能,它们也不知道碰上红色代码时要检测什么内容。当时,防火墙只能简单地识别出数据包的目的端口号是80,因此允许它们通过。鉴于内部网络往往没有部署任何网络安全控制技术,因此一旦红色代码进入内部网络,就可以轻易感染整个内部网络。红色代码带来的不良影响可以通过一个系统得到缓解,但依靠一台防火墙是无能为力的。

那么对于网络安全来说什么是系统呢?网络安全系统可以从广义上定义为:

通过相互协作的方式为信息资产提供安全保障的全体网络设备、技术以及最佳做法的集合。

上述定义中的关键词是协作_。实施基本路由器访问控制列表(ACL)、状态化防火墙ACL和基于主机的防火墙ACL能实现许多基本的访问控制,但这些称不上是一个系统。对于一个真正的网络安全系统,必须是将可以协同运作的技术应用于一种特定的威胁模式。信息安全产业中的某些人将其称为“纵深防御”。有一种实用的方法可以判断系统质量优劣,这种方法是拆分各类缓解威胁技术的数量与组成,这些技术包括保护、检测、阻止、恢复和传输。这种评价方法在网络安全系统发展早期阶段是有用的。在进入到实施阶段之后,则必须更进一步。最简单方法是逆向思维,也就是想想怎么通过自己部署的系统来缓解不同类型的网络威胁。

为了举例说清这个问题,让我们回到刚才讨论的端口80的蠕虫问题。有哪些系统元素能够缓解HTTP蠕虫对公共Web服务器制造的威胁呢?下述列表对这些系统元素进行了总结,这些内容将在第3章中进行具体的介绍。

如果对防火墙进行适当的配置,它可以防止一台遭到入侵的Web服务器继续感染不同网络中的其他系统。
私有VLAN(PVLAN,不是通常的VLAN,在第6章中会进行具体介绍)有助于防止Web服务器感染同一个网络中的其他系统。
网络IDS(NIDS)可以检测和阻止对Web服务器的感染企图。
主机IDS(HIDS)能够执行与NIDS一样的功能,但它们比后者更接近主机,这也就意味着它们能够读取更多与特定攻击有关的内容数据。
更新特征数据库可以使防病毒软件具备检测特定蠕虫和其他恶意代码的功能。
最后,虽然优秀系统管理员(sysadmin)的操作不是本书的重点,但是有许多操作行为(例如及时打补丁、定期漏洞扫描、为操作系统设置密码锁定,以及实施Web服务器最佳做法)确实能够在防止系统威胁中起到重要作用。
上面所有系统元素的协同工作可以起到缓解威胁的作用。尽管其中的任何一项技术都无法100%有效地防止基于HTTP的蠕虫攻击,但是基本的数学概率表明,针对特定威胁部署的协同技术越多,压制威胁的可能性也就越大。

如果网络遭受的是已知攻击而不是未知攻击时,那么测试网络安全系统是否完善就显得意义不大。虽然脚本小子(script kiddie)缺乏创造力,因此他们进行的攻击是可以进行预判的,但那些具有明确目的与技术的攻击者则可能拥有一些隐蔽的独特技术。

在过去的安全事件中,一定有一些给你留下过深刻的印象,比如1988年的莫里斯蠕虫、后门(root kit)、20世纪90年代的IP欺骗(第3章将进行详细介绍)、2000年的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)、2001年的HTTP蠕虫或2003年的蠕虫王(SQL Slammer)和冲击波(MS Blaster)蠕虫。只要你的系统遭到了该攻击的感染,你就可以轻松地指出该系统在安全性方面的不足。正是通过这种“吃一堑长一智”的学习过程,许多表面上不起眼的安全问题才会猛然凸显出来。

亡羊补牢的学习方式是不可避免的,但是通过设计,可以使安全系统有能力抵御大量不同类型的攻击,而不是只能防御一些特定的攻击方式,这样的设计方式可以将损失降到最低。实际上,衡量安全系统是否成功的方法之一就是计算你为了应付最新威胁而不得不进行重要修改的次数。在理想情况下,必须修改系统的频率应该非常低。

网络安全是一个系统。如果你在读完本书之后什么都没有记住,这无疑说明我的写作是失败的。但是哪怕你能记得一丁点内容,我希望这就是前面这个简单的句子。

文章标签:
云防火墙
网络安全
安全
数据安全/隐私保护
网络虚拟化
SQL
网络架构
数据库
关键词:
网络系统
网络网络安全
网络安全系统
网络安全体系结构
网络安全体系结构网络安全
异步社区
目录
相关文章
游客23vicvyubblso
|
9天前
|
安全 网络安全 数据安全/隐私保护
网络堡垒的构建者:洞悉网络安全与信息安全的深层策略
【4月更文挑战第9天】在数字化时代,数据成为了新的价值核心。然而,随之而来的是日益复杂的网络安全威胁。从漏洞利用到信息泄露,从服务中断到身份盗用,攻击手段不断演变。本文深入剖析了网络安全的关键组成部分:识别和防范安全漏洞、加密技术的应用以及提升个体和企业的安全意识。通过探讨这些领域的最佳实践和最新动态,旨在为读者提供一套全面的策略工具箱,以强化他们在数字世界的防御能力。
游客23vicvyubblso
13 2
米码收割机
|
10天前
|
安全 网络协议 测试技术
【网络安全】网络安全基础必备技能
【网络安全】网络安全基础必备技能
米码收割机
25 0
游客pxynxsrl3ycx6
|
15天前
|
Ubuntu Windows
【Ubuntu/Arm】Ubuntu 系统如何链接有线网络(非虚拟机)?
【Ubuntu/Arm】Ubuntu 系统如何链接有线网络(非虚拟机)?
游客pxynxsrl3ycx6
14 0
泡沫o0
|
26天前
|
存储 Shell Linux
【Shell 命令集合 网络通讯 】Linux 显示Unix-to-Unix Copy (UUCP) 系统的状态信息 uustat命令 使用指南
【Shell 命令集合 网络通讯 】Linux 显示Unix-to-Unix Copy (UUCP) 系统的状态信息 uustat命令 使用指南
泡沫o0
26 0
SarPro
|
6天前
|
存储 算法 Linux
【实战项目】网络编程:在Linux环境下基于opencv和socket的人脸识别系统--C++实现
【实战项目】网络编程:在Linux环境下基于opencv和socket的人脸识别系统--C++实现
SarPro
20 6
游客23vicvyubblso
|
24天前
|
SQL 安全 网络安全
网络堡垒的构建者:深入网络安全与信息安全的核心
在数字化时代,每一次点击、每一条信息的传递都可能成为安全威胁的载体。本文将探讨网络安全漏洞的本质,加密技术的进展以及提升个人和企业的安全意识的重要性。我们将深入分析如何通过技术手段和教育措施,构筑起防御网络攻击的坚固防线,确保信息传输的安全性和隐私保护。
游客23vicvyubblso
19 5
小蜗牛耶
|
7天前
|
JavaScript Java 测试技术
基于Java的网络类课程思政学习系统的设计与实现(源码+lw+部署文档+讲解等)
基于Java的网络类课程思政学习系统的设计与实现(源码+lw+部署文档+讲解等)
小蜗牛耶
25 0
基于Java的网络类课程思政学习系统的设计与实现(源码+lw+部署文档+讲解等)
游客2xksyu44sqbag
|
9天前
|
安全 网络安全 网络虚拟化
虚拟网络设备与网络安全:深入分析与实践应用
在数字化时代📲,网络安全🔒成为了企业和个人防御体系中不可或缺的一部分。随着网络攻击的日益复杂和频繁🔥,传统的物理网络安全措施已经无法满足快速发展的需求。虚拟网络设备🖧,作为网络架构中的重要组成部分,通过提供灵活的配置和强大的隔离能力🛡️,为网络安全提供了新的保障。本文将从多个维度深入分析虚拟网络设备是如何保障网络安全的,以及它们的实际意义和应用场景。
游客2xksyu44sqbag
24 0
shuj
|
10天前
|
机器学习/深度学习 人工智能 运维
构建未来:AI驱动的自适应网络安全防御系统
【4月更文挑战第7天】 在数字时代的浪潮中,网络安全已成为维系信息完整性、保障用户隐私和确保商业连续性的关键。传统的安全防御策略,受限于其静态性质和对新型威胁的响应迟缓,已难以满足日益增长的安全需求。本文将探讨如何利用人工智能(AI)技术打造一个自适应的网络安全防御系统,该系统能够实时分析网络流量,自动识别并响应未知威胁,从而提供更为强大和灵活的保护机制。通过深入剖析AI算法的核心原理及其在网络安全中的应用,我们将展望一个由AI赋能的、更加智能和安全的网络环境。
shuj
25 0
mrq4nk6ni2neg
|
17天前
|
SQL 安全 网络安全
网络防线之盾:揭秘网络安全漏洞与防御技术
在数字化时代,网络安全成为守护信息完整性、保障用户隐私的关键。本文深入探讨了网络安全领域内常见的安全漏洞,分析了加密技术在数据保护中的作用,并强调了提升个人和企业安全意识的重要性。通过实例和案例分析,文章为读者提供了一道了解和应对网络威胁的窗口,同时指出了未来网络安全发展的趋势和挑战。
mrq4nk6ni2neg
15 2

热门文章

最新文章

  • 1
    网络安全与信息安全:防护之道
  • 2
    云端防御战线:云计算环境下的网络安全与信息保护
  • 3
    网络安全与信息安全:从漏洞到加密,保障数据安全的关键
  • 4
    云端防御战线:云计算环境下的网络安全与信息防护
  • 5
    云端守护:云计算与网络安全的融合之道
  • 6
    网络安全与信息安全:加密技术与安全意识的重要性
  • 7
    云计算与网络安全:技术前沿与挑战
  • 8
    云计算时代下的网络安全挑战与应对
  • 9
    构建未来:AI驱动的自适应网络安全防御系统
  • 10
    云端防御策略:融合云服务与网络安全的未来之路
  • 1
    R语言最大流最小割定理和最短路径算法分析交通网络流量拥堵问题
    10
  • 2
    软件体系结构 - 网络拓扑结构
    8
  • 3
    2.H3CNE-网络参考模型
    7
  • 4
    15.网络协议-Radius协议
    7
  • 5
    14.网络协议-邮件协议
    6
  • 6
    云端防线:融合云计算与网络安全的未来之路
    8
  • 7
    计算机网络中MSS和MTU的区别
    4
  • 8
    云端防御:云计算环境中的网络安全策略与实践
    20
  • 9
    构筑防御堡垒:云计算环境下的网络安全策略
    6
  • 10
    基于Java的网络游戏交易系统的设计与实现(源码+lw+部署文档+讲解等)
    15

    • 相关课程

    更多
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 云网络白皮书-阿里云网络系列课
  • 网络安全攻防 - Web渗透测试
  • 企业上云攻略-阿里云网络产品应用系列教程
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
  • 网络管理者必知-2分钟了解新出台的《网络安全法》

    • 相关电子书

    更多
  • 2016阿里安全峰会-网络安全与区块链
  • 2016阿里安全峰会—— 网络安全情报在企业侧的落地与实践
  • 如何在网络安全管理实践中利用威胁情报

    • 相关实验场景

    更多
  • 容器的网络入门
  • 容器的自定义网络
    • 下一篇
    阿里云oss简介和使用流程
    为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告
    产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理
    解决方案技术解决方案
    文档与社区文档开发者社区天池大赛培训与认证
    权益中心免费试用高校计划企业扶持计划推荐返现计划
    支持与服务基础服务企业增值服务迁云服务官网公告健康看板信任中心
    关注阿里云
    关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务
    阿里云APP阿里云微信
    联系我们:4008013260
    法律声明Cookies政策廉正举报安全举报联系我们加入我们
    阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么
    © 2009-2024 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015
    浙公网安备 33010602009975号浙B2-20080101-4