玩年网络网络安全体验抵御网攻击保护网络安全现网络信息系统装备式样网络安全设施诸:加密设备防火墙入侵检测系统漏洞扫描防治病毒软件VPN安全认证系统安全审计系统……等等形象称网络安全十八般兵器搞网络安全光拥兵器够必须重视安全策略安全策略网络安全生命灵魂没正确安全策略安全系统没灵魂躯壳够完成保障安全命
作例子想先谈谈关入侵检测系统安全策略
入侵检测系统根入侵检测行分两种模式:异常检测误检测前者先建立系统访问正常行模型访问者符合模型行断定入侵者相反先发生利接受行纳建立模型访问者符合模型行断定入侵两种模式安全策略完全长处短处:异常检测漏报率低符合正常行模式行见恶意攻击种策略误报率较高误检测直接匹配异常接受行模式误报率较低恶意行千变万化没收集行模式库中漏报率高求户必须根系统特点安全求制定策略选择行检测模式现户采取两种模式相结合策略
入侵检测系统安全策略控制策略响应策略控制策略入侵检测系统分集中式控制分布式控制两种模式(第三种混合式)前者模式中中央入侵检测服务器分布机审计程序搜集数踪迹发送中央服务器集中分析处理种方式节约资源降低成伸缩性配置性弱点网络形成瓶颈具单点障风险分布式控制模式中央服务器功分配节点机中家入侵检测功种模式显然够避免述弱点分布式控制策略维护成高增加监控机工作负担
响应策略讲入侵检测系统分两种模式——动响应动相应前者搜集正常情况发出告警通知试图降低造成破坏攻击者反击者攻击系统实施控制阻断减轻攻击影响表面动响应功动相应强家选前者完忙事情面网络事情较复杂果没弄清楚异常情况根源便动采取反制措施断开网络连接杀死疑进程等会系统带严重果须知正运行信息系统连着千万户系统操作需慎慎出原CFCA(中国金融认证中心)入侵检测系统采动响应策略
2001年CFCA入侵检测系统发现某IP址发出数千密集异常访问行模式应该属恶意拒绝服务攻击监控者没贸然断开网络连接做深入调查结果发现原某家银行刚认证业务正CFCA生产系统做压力测试形成拒绝服务攻击假象通该银行电话沟通问题利解决
熟悉安全认证业务中安全策略具举足轻重位果家银行网银业务发现银行采安全认证策略银行度推行户名+密码口令认证手段存明显安全漏洞案件屡屡发生已基绝迹纷纷改数字证书认证机制样数字证书认证银行安全策略:
·工商银行网银——客户登录网银需数字证书查询余额需进行转帐交易时交易额均需数字证书认证众版网银文件证书(称硬盘证书)动态口令卡专业版网银必须
U盾(USB Key数字证书密码钥匙)输入PIN码作双重保护客户正确输入PIN码证书起作转帐
·招商银行网银——众版网银文件证书USB Key证书专业版客户求必须载客户端软件查询余额转帐交易必须USB Key没PIN保护
·兴业银行网银——客户第次登录时必须USB Key证书求输入PIN码登录查询交易需USB Key需输入PIN转帐交易两者需
兴趣话分析家银行安全认证策略安全性方便性长短出设计者动脑筋证书认证前提种措施安全性次递增:
文件证书–>USB Key证书 –>USB Key证书+PIN –>USB Key证书+PIN+专客户端认证软件
然制定网银安全策略时味追求安全性着安全性增高安全措施成会着提高户方便性会降低安全策略设计者考虑安全素外考虑系统效率安全成交易风险户方便性银行业者说切出发点事实围绕着中心目标——提高银行市场竞争力营效益
说里想起CFCA初期引进国外认证产品——EntrustDirect软件寄托厚终伤脑筋舶品
应该说Direct产品设计理念说充分考虑认证程中方方面面安全问题采周密严格安全策略通信应形成套完整Web安全解决方案*注:证书+PIN码属双子认证方式安全强度高专客户端认证软件安全性高客户端软件(仅浏览器)
首先通讯讲DirectHTTP协议作基础没安全保护HTTP协议通讯进行改造封装建立起条通SPKM协议加密HTTP安全通道
客户端服务器Web应程序间建立通道前Direct进行严格双身份认证程执行查验项目达8种11查验服务器客户端户证书外需查验CRL分布点三层CA证书2CA废止列表(ARL)OCAPolicy证书户Policy证书等
相简单SSL协议作较数SSL认证方案仅查验客户端服务端数字证书CA证书链CRL查验仅仅少数方案中实现ARLPolicy证书查验完全缺失
次 Direct提出独特三次签名机制:第次 DirectServer 服务端签名确保户收交易表单信息服务器发出传输程中未篡改第二次DirectClient 客户端签名确保户端接收交易页面户IE传输程中篡改第三次户确认交易提交 客户端提交签名保证户阅读交易信息进行交易确认
Direct三次签名安全策略便天安全应中设计独树帜安全理念然保持领先受国外户广泛欢迎
然Direct全球占39市场份额然中国服水土复杂安全策略导致系统开销早期基Unix环境展开设计支持线程支持**处理(Symmetrical MultiProcessingSMP)技术(注:SMP指计算机汇集组处理器——CPUCPU间享存子系统总线结构)DirectServer发情况利单CPU资源法利CPU进行行处理Direct系统认证效率低户等时间长Entrust公司工作重点转移宣布支持Direct产品没SMP做改进
相竞争者快捷SSL认证程Direct饱受客户商业银行诟病责难市场技术支持员应接暇苦堪言甚影响CFCA市场拓展商业银行舍CFCA加Direct求特殊端口访问国外技术支持化开发困难等利素EntrustDirect认证产品终走末路
成萧败萧初Direct风光时独特安全策略断送前途正安全策略啊某院士评事时说:安全必求全够行谓言简意赅语中
列举针具体系统安全策略例子例子中够安全策略安全系统建设应中导作然属局部微观方面安全策略作整体安全策略包括范围更广CFCA证书认证策略方面整套认证策略CP基础撰写出CPS(认证操作声明)外界公布提供证书户赖方
果说更广全局总体网络安全策略应该包含三部分:
1严肃法律保障——
安全基石法律法规手段面日趋严重网络犯罪必须建立网络安全相关法律法规计算机网络新生事物缺乏相应法律法规法导致网计算机犯罪处序状态年国已颁布种网络安全相关法律法规全国民代表会常务委员会关维护互联网安全决定中华民国计算机信息系统安全保护条例中华民国电子签名法等网计算机犯罪起极遏制震慑作
2先进安全技术工具——
先进安全技术网络安全物质保证户身面威胁进行风险评估决定需安全服务种类选择相应安全机制集成先进安全技术形成全方位安全系统
3严格安全理措施——
搞网络安全见物见先进安全系统控制严格安全理网络安全决定性素信息系统运营者必须建立相应网络安全理办法加强部理建立安全审核踪体系加强安全培训提高整体网络安全意识
文香网httpwwwxiangdangnet
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档