信息时代,如果数据是石油,那么存储数据的设备便是油井,石油的珍贵离不开油井的承载与呵护。那又是什么构筑起了“油井”的安全性?让我们来一窥究竟。
一、信息设备的安全功能
信息设备包括计算设备和网络设备。一台计算设备的安全离不开CPU、BIOS、操作系统、中间件、数据库、应用软件等组成部分的安全。一张网络的安全离不开组成它的计算设备、网络设备的安全。本章将按层次介绍信息设备主要的安全功能:
(1)处理器的安全功能包括,密码加速引擎、密钥管理、可信启动、可信执行环境、安全存储、固件管理、量产注入、生命周期管理、抗物理攻击和硬件漏洞免疫等。
(2)操作系统的安全功能包括身份认证、访问控制、数据安全等。
(3)数据库系统的安全功能包括用户认证、存取控制、审计与加密、备份与恢复、推理控制、隐蔽信道与隐私保护等。
(4)基础办公软件的安全功能包括数据安全、传输安全、登录安全等。
(5)浏览器的安全功能包括安全协议支持、钓鱼网站检查、注入攻击过滤、数据保护、DNS劫持防护能力、数字证书支持、web应用访问防护等。
(6)网络设备的安全性主要覆盖链路层、网络层、传输层。链路层的数据报文特征包含源MAC地址、目的MAC地址,VLAN。网络层的数据报文特征包含源IP地址、目的IP地址、IP协议号。传输层的数据报文特征包含源端口号、目的端口号。现有的网络安全手段主要从安全感知、安全控制、安全加密三个维度实现网络安全能力。安全感知是对网络状态、端口、业务报文的检测。安全控制是通过ACL访问控制列表实施策略。安全加密的应用包括IPSEC、MACSEC、DTLS、CAPWAP等。
二、常见的安全产品
本章将介绍常见的安全产品有哪些,它们分别起着什么样的作用?
据不完全统计,安全产品的种类有以下几种:
1.终端安全
(1)计算环境防护类产品:身份鉴别、终端防护类产品。身份鉴别主要是为了确认主机系统使用者的身份,可以基于智能卡、PKI/CA证书、动态口令、RFID、生物特征、行为特征等实现。终端防护类产品包括终端病毒防护、安全登录、审计、外设管控、违规外联等功能。
(2)应用安全防护类产品:WEB应用防火墙、源代码审计等。WEB应用防火墙部署于WEB应用和WEB服务器之间,对访问应用服务器的请求与响应进行过滤。源代码审计是对系统开发过程中的源代码进行安全审计检测,包括缺陷和漏洞的检测。
(3)数据安全防护类产品:数据库防火墙。数据看防火墙基于数据库协议分析与防火墙控制技术提供对数据库的访问控制、行为审计等功能。
2.网络安全
(1)虚拟专用网安全产品:IPSecVPN、SSL VPN。用于在公共通信基础网络上以逻辑方式隔离出安全通讯链路的基本功能。其中IPSecVPN采用IPSec协议来实现VPN远程接入,在公网上为两个私有网络提供安全通信通道,在两个公共网关间提供私密数据封包服务。SSLVPN采用安全套接层SSL对传输中的数据包进行加密,从而在应用层保护了数据的安全性,可内嵌在浏览器中,不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。
(2)网络监测与控制类产品:IDS/IPS。用于对网络入侵进行监测,主要包括网络入侵检测、网络活动监测与分析、流量控制等等。IDS是入侵检测系统,主要对网络传输进行即时监视。IPS是入侵防御系统在监视的同时还能及时告警、中断或隔离攻击行为。
(3)区域边界安全类产品:安全网关、防火墙、网络准入控制系统。其中安全网关实现对内网与外网的物理隔离和数据交换。防火墙用于于不同安全域之间的数据隔离与交换。网络准入控制系统实现对接入网络的终端进行检测与管控,保证了入网设备的合规性。
3.安全管理
(1)综合审计类安全产品:安全审计(主机、服务器、网络、数据库)。主要针对系统的活动信息进行审计记录及分析,从而挖掘出安全事件。主机安全审计主要针对主机进程调用、文件使用等事件进行审计。网络安全审计针对网络通信事件进行审计。数据库审计针对数据库活动进行审计。应用系统安全审计针对用户访问、管理应用系统或应用系统服务异常等事件进行审计。
(2)风险评估与处置类产品:系统风险评估、安全性检测分析、配置核查、漏洞挖掘、态势感知、APT检测等。系统风险评估提供对系统设计前、试运行和运行期的风险评估。安全性检测分析提供脆弱性扫描、分析和建议。配置核查实现对资产的安全配置检测和合规性分析。漏洞挖掘是针对系统或产品的源码、运行内存和通信状态等进行检测,发现系统或产品的已知和未知安全漏洞。态势感知通过采集网络环境要素,利用大数据和机器学习技术,预测网络安全态势发展趋势,对网络整体安全进行监测、分析和预警。APT检测是指对网络中的事件进行深度、智能、持续性的分析,识别APT攻击。
本文主要参考了《XX产业安全发展蓝皮书》,并结合笔者日常工作内容进行了汇总和整理,如有疏漏,敬请谅解。
2021年11月21日 17:32