网络安全有哪些思维

2021-03-12 11:51发布

6条回答
一个Ai
2楼 · 2021-03-15 14:48

1、CIA思维

CIA思维比较高层,功夫要下在平时,该加密的加密(C),该校验的校验(I),该高可用的高可用(A)。

战时主要是检验效果。

这就好比防守方的城墙和堡垒,设计和建筑时就要搞好,平时做好维护,战时是检验质量的。

值得说明一下,漏洞,是破坏完整性(I)的。

各种常见已知漏洞和0day漏洞都是攻击者极欲发现和使用的,所以该打补丁的一定要打,单纯硬件设备的补丁还算好打,如果是数据库、中间件的补丁,就不那么容易,因为影响面比较大,开发、运维、厂商、测试,都会牵扯其中。

所以从一个单位的打补丁能力,就能看出其整体水平。
 


 

2、纵深防御

纵深防御思维是头条金科玉律。

要一层一层防御,一层一层监控,从边界到网络分区、从服务器到终端、从操作系统到应用程序,要层层设卡,层层警戒。

即便敌人通过0day进了城,城内仍然处处是堡垒,处处是陷阱(蜜罐),处处有监控。

深度防御可以分为物理层、技术层、管理层三个层次。

物理层位于最外侧,可以是大门、围墙、门禁、警卫、狼狗、摄像头、传感器、警报、锁等防护手段,主要是防所谓“近源渗透”的。

技术层则包括认证、授权、加密、监控、隔离、封禁、限制、恢复、备份等手段。

在物理和技术仍然触及不到的地方,通过管理手段来防护,比如规章制度、管理要求、现场检查、安全教育、应急演练、战前动员、全员皆兵等等。

顺便吐槽一下:安全圈是从来不惮于创造新名词的,每年都要整出好几个新词,比如什么ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等,其实就那么点东西,各种包装。

这么做,一方面是显得高大上一些,便于营销;一方面也是为了简化描述和便于交流。比如现在你一说“社工”,大家立刻秒懂。

3、一切要在控制之中

可控思维的要点是:可视、可封、坚壁清野。

因为敌我双方都讲究“让对方在明处,让自己在暗处”。所以尽量让攻击队看到最少的东西,让我方看到最多的东西。

这节是重点,所以我多说一些。

先说下坚壁清野:把可以忍着不用的业务都停了,把意思不大的专线都shutdown了,把云上的东西都下了,把访客可触及的信息点(网口)都关了,把笔记本上的内部文档都删了。

搜一搜云盘和github上有没有单位的东西,有的话赶紧清了。这也是一个“可视”的问题,要能看见自己的东西。

上次实战时,都打了好几天了,有朋友电话我,说我单位有个系统开了若干端口。打开一看,确实没错,吓得我赶紧查IP,却发现IP并不是我们的,一开始以为是仿冒网站,后来一查,原来是开发商放在云上的测试系统!

坚壁清野很难做到彻底,但要尽可能地做。

下面说对攻击的“可视”。

在进入服务器之前,攻击都在流量之中。

如果条件允许,建议大量购买网络流量相关工具,一两个是不够的,要有多个。

首先应该建一个流量汇聚平台,把网络各处流量输入汇聚起来,然后按需处理、分发。网络设备给出流量,安全分析工具享用流量。这样,不至于像以前,每上一个安全分析工具,都要到处接镜像。

然后是各类流量分析和处置工具,如WebIDS、APT防护、沙箱、邮件安全、WAF、IPS等等,这类工具买上十个八个也不为多。

最后,流量回溯工具是必不可少的,它可以把流量都存下来,上面说的那些工具,通常是不会记录全流量的,要查看具体特定流量的时候,还是要靠它。

最好能够看到口令暴力猜解,这可以从流量上做,虽然稍微有点难度。如果企业的认证点是集中的,就比较好办。

比如某单位所有系统都用AD验证口令,那就监控AD上的流量,如果每秒有多个口令验证出错,就立刻报警。

蜜罐是独特而有效的可视性工具,可以买专门的蜜罐/蜜网系统,也可以使用负载均衡设备的蜜罐功能,还可以开主机蜜罐、邮箱蜜罐、数据库蜜罐等等。总之,多开一些总是好的,一个典型的中型金融机构,怎么也应该弄上几百上千个蜜罐。

一定要有主机安全工具,以便看到主机上的攻击行为。像口令尝试、漏洞提权、木马上传、远程登录、反弹shell等攻击行为,都能及时看到。此外,它还可以发现弱口令,可以监控web目录,可以保护可执行文件,可以设置主机蜜罐,总之,这是个好东西,谁用谁知道。

此外,日志汇聚分析平台、报警平台、CMDB、威胁情报等等这些,都应该有,这些都有助于发现和定位攻击。

下面说一下网络封禁:

  • IP封禁应尽量方便化和自动化。可开发专门的IP封禁系统,实现方便的一键封禁。必要时,要能一键关闭线路(也就是关闭路由器端口)。

  • 应具备封禁IP列表的导入功能。实战时,攻击情报都是上千个IP的列表,要能方便导入。

  • 要防止误封。不要误封正常用户,不要误封自己的出口地址。可以将自己的地址放入封禁系统的白名单中。

  • 一些安全工具可以和防火墙联动。通过调用防火墙的API接口或命令接口,可以实现对高危攻击的自动封禁,必要时可以用,但同样要防范误封。

4、自上而下

工程师文化是自下而上,但作战需要自上而下。

自上而下讲求的是领导重视、指挥有方;强调的是组织严密、协同有力。

领导,在组织、动员、谋划、决策、资源调动、后勤供应等方面,都是起最重要作用的,也是作战成败的关键因素。

在当今人类社会,“命令体系”仍然是最有效的战争组织体系,毕竟人类还没有发展出去中心化的作战能力,还没有发展出我在如何从高层把握区块链的本质中所设想的去领导式作战机制。

如今的攻防演练,大批人马集中在ECC,必然存在大量的组织和管理工作,比如团队协同、规章制度、应急流程等;再比如场地、工位、门禁、值班、人吃马喂等等,都需要自上而下的管理,都需要领导的指挥、布局、坐镇和协调。

不像攻击队2,3个人就能开整,防守方是多团队作战的,指挥部、研判组、监控组、网络组、主机组、终端组、邮件组、应用组,加上24小时排班,少则几十人,多则几百人。

要想和谐有序地在一起工作,除了指挥和命令,还要有协同工具。IM工具(比如微信或其他)是首要必需,在线文档编辑工具则可以如虎添翼,监控组及时上报攻击信息,其他组迅速跟进,分析、定位、确认、封禁,整个团队通过工具协同起来。

5、全局思维

全局思维是指安全要定位好自己,不要把自己放在业务之上。

因为这个世界的最重要任务是发展,安全只是保障。

平时,安全应以业务为重;到了战时,业务可以适当让步,一些业务可以关停。

但关键性的业务,仍应保持运营。不能因为害怕,都停摆了。

毕竟本文所说的作战,其实只是演练。

6、成本收益思维

穷有穷的打法,富有富的打法。

如果穷,没有太多的资源和人力,那就保护最重要的资产,防范最常见的攻击。

攻击者最爱用的、对技术要求最低、而又最容易奏效的攻击手段,无外乎:漏洞、弱口令、钓鱼邮件。而漏洞中,又以文件上传漏洞为甚。

所以重点防以上三点。

注:那些被打穿的,大多也都败在这三点。

漏洞全都补上,这是辛苦的活,但必须做。实在补不上的,关停、隔离或想其他办法。

仔细排查文件上传入口,如非必要,全都关上。即便一定要上传,也做严格的检查和过滤。

利用工具发现弱口令、禁用弱口令、强制定期修改口令,在管理上则是通知、检查、通报。

培训所有人警惕钓鱼邮件,要实测几次,看看员工是否已经掌握。

如果富,那就是买买买了,买尽可能多的一流工具,买尽可能多的一流人才。

兵强马壮,一般都没有问题。

每年都有更新更好的工具,所以要年年买;

每个工具都要自身的局限性,所以同一类工具可以买多家的;

每个团队都有其优势和劣势,所以可以同时请多家。

7、不信任思维

不信任思维很简单,就是对内网也不信任,对内部人也不信任,对合作伙伴也不信任,以至于,最终,对任何人、任何物都不信任。

毕竟,多一份不信任,少一份不安全。

在某次大型演练中,某处于中心地位的机构被攻破,立刻变成风险中心,所有联入该机构的单位吓得纷纷拔网线。

这也说明和外联机构要有清晰而严格的访问控制策略,只能开业务所需的IP和端口。

从非技术的角度考虑,不信任思维主要是防社工。

许多所谓的著名黑客,其实只是社工高手,很多不可思议的突破案例,其实只是精妙的社工。

要通过培训,告诉所有人如何识别钓鱼邮件,如何识别社工人员。

有时候,不仅仅是拒绝,还需要学会诱敌深入。

抓住社工可以加分的。

有次实战,某单位义正严辞地拒绝了一位自称是来修ATM机的,事后回想起来,觉得有些可惜,错失了加分机会,应该放他进来,看看他到底做点什么再下手不迟。

8、有效性的检验

有效性,顾名思义,就是说你所设计和执行的一切,是否生了效。

比如你封IP,是否封上了?你打的补丁,是否打上了?你上的监控,是否有用的?你不让点的邮件,员工是否点了?你制定的流程,是否执行了?

这些都要做检测、做验证。

不要指望一个命令下去,一切就能到位。

除非你经常性地检验。

在正式开战之前,可以先做几次演练,找最厉害的几只个攻击队,实打实地来几次攻击,看能不能攻破,看是不是还有漏洞。

这些都做了,心里才能有点底。

9、道德法规思维的实践

法规思维,就是要守法,要合规;

攻击队可能感受更强烈一些,毕竟违规攻击是要受到惩罚的。

双方交战,至少不能误伤群众。

溯源时候,经常会溯到普通群众,遇到这种情况,应该尽快做到无损退出,而不是进一步扩大“战果”。

关于道德思维,我曾经总结过,就是要正直、尽责、贡献。

这里就不多说了,懂的自然懂。


studentaaa
3楼 · 2021-03-12 14:16

网络逻辑安全包括信息的完整性、保密性和可用性。

1、保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。

2、完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

3、可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

扩展资料:

对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。 其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。


啦啦啦
4楼 · 2021-03-12 14:51
网络安全第一主要是密码要保密,不管什么密码都要保密。第二就是不要随便打开不明的网址,特别是那种色情网站防止中病毒。第三就是谨防网络诈骗,特别是那些天上掉馅饼的事千万不能信


风中浪子
5楼 · 2021-03-12 14:53

网络安全9大思维:CIA思维、深度防御思维、可控思维、自上而下思维、全局思维、成本收益思维、不信任思维、有效性思维、道德法规思维。

yy123456
6楼 · 2021-03-13 13:53

对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素

李龙鑫
7楼 · 2021-03-16 09:31

 网络安全绪论

● 扫描与防御技术

● 网络监听及防御技术

● 口令破解及防御技术

● 欺骗攻击及防御技术

● 拒绝服务供给与防御技术

● 缓冲区溢出攻击及防御技术

● Web攻击及防御技术

● 木马攻击与防御技术

● 计算机病毒

● 网络安全发展与未来


相关问题推荐

  • 回答 6

    这个还是因人而异吧,看你自己对哪方面感兴趣,兴趣是最好的老师,感兴趣了才愿意钻研学习下去,简单说一下这两个学习知识方面的不同吧:软件测试岗位虽然对于从业者的知识基础要求不高,但是软件测试岗位所涉及到的知识面还是比较广的,所以软件测试人员也需...

  • 回答 5

    SQL注入漏洞的危害:1、数据库中存储的用户隐私信息泄漏;2、通过操作数据库对某些网页进行篡改;3、修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;4、数据库服务器被恶意操作,系统管理员帐户被窜改;5、数据库服务器提供的操作系统支持,让黑客得以...

  • 回答 16

    一、CISP(Certified Information Security Professional)证书中文叫注册信息安全专业人员,由中国信息安全产品测评认证中心实施的国家认证。可以说,这是目前国内对于个人来说认可度最高的信息安全人员资质,堪称最权威、最专业、最系统。根据实际岗位的不...

  • 回答 14

    渗透测试(也称为pentest)是测试移动应用程序漏洞的过程。此测试的主要目的是确保外部人员的重要数据.通过模拟黑客的思维和攻击手段,对计算机业务系统的弱点、技术缺陷和漏洞进行探查评估。经过客户授权后,在不影响业务系统正常运行的条件下,渗透人员在黑...

  • 回答 1

    网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。主要涉及到的有:1、物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络...

  • 回答 33

      网络安全工程师学习内容:  1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验;  2、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防...

  • 回答 26

      学历不是问题,技术才是硬道理!只要你的技术过硬的话,你完全可以进国家安全部门去工作的。比如公安局里的网监工作,大都是九零后的电脑方面的精英。未必都是本科生。还有从社会上特招进去的。所以说,现在是拿技术说话,不是靠学历吃饭的时代了。  网...

  • 回答 16

    网络安全的知识是比较简单的,比较好入门,好多知识理论,大家都是可以听懂的,这是完全没有问题的。网络安全最终的则是实战的应用,怎么把这些理论知识运用到事件中,这些才是重中之重。所以在选择培训机构的时候,也需要尽量去找这些实践操作多的培训机构。...

  • 回答 22

      能够胜任的岗位主要有:渗透测试工程师、大数据安全工程师、信息安全工程师、安全测试工程师、安全服务工程师、安全运维工程师、系统安全工程师、服务器安全工程师、云计算安全工程师、网络安全工程师、安全分析师、渗透讲师等;  按照web渗透、内网渗透...

  • 回答 23

    一些典型的网络安全问题,可以来梳理一下:IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(copy报文伪造、篡改)和路由攻击(中间人攻击);2. DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量;3. DoS攻击:单一攻击...

  • 回答 19

    运维一般是设备或者环境的搭建和维护,网络安全可以看做是防火墙

  • 回答 12

    先说说运维工程师和网络工程师的区别。运维工程师是泛指,网络工程师为特指,所以不能这么对比。你应该这么理解,网络工程师是一个人(也可以是理解成一个岗位),而运维则是他的工作内容。从工作内容上来说,运维可细分为桌面运维、网络运维、服务器运维三大...

没有解决我的问题,去提问