這兩天Heart bleed漏洞在互聯(lián)網(wǎng)上掀起了軒然巨波,作為基礎(chǔ)安全軟件的重大漏洞�����,影響深遠�����,各大互聯(lián)網(wǎng)公司�����、甲方�、乙方����、白帽子甚至央視等媒體全都行動起來,同仇敵愾�����,競相測試����、打補丁、升級��、報道宣傳......��,大家忙得不亦樂乎,給廣大網(wǎng)民很好地科普了一把信息安全����。
網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)公司����!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)�����、微信開發(fā)����、微信小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目�����。為回饋新老客戶創(chuàng)新互聯(lián)還提供了烏達免費建站歡迎大家使用��!
與沸沸揚揚的互聯(lián)網(wǎng)安全相比�����,物理隔絕的企業(yè)、政府等封閉網(wǎng)絡(luò)似乎顯得靜悄悄�,關(guān)心和了解該漏洞的人估計屈指可數(shù)�,采取的行動也一定沒有互聯(lián)網(wǎng)來得熱烈。因為封閉���,表面上沒有亂七八糟的威脅�����,也沒有技藝高超的黑帽子和白帽子測試帶來的壓力����,封閉網(wǎng)絡(luò)的網(wǎng)管們一定沒有動力加班熬夜在第一時間補上漏洞���。而這種情況���,也絕不是第一次出現(xiàn)。
不同于開放的互聯(lián)網(wǎng)��,物理隔絕的封閉網(wǎng)絡(luò)沒有那么多的用戶�、沒有那么多的應(yīng)用、沒有討厭的黑帽子和白帽子。然而����,這并不代表封閉網(wǎng)絡(luò)高枕無憂,Openssl作為基礎(chǔ)的安全庫���,很可能在操作系統(tǒng)�、web應(yīng)用�、設(shè)備遠程配置、甚至應(yīng)用安全網(wǎng)關(guān)中廣泛涉及��。由于缺乏在光天化日之下的考驗�����,缺乏與***者的共同進化�,封閉網(wǎng)絡(luò)存在的安全漏洞與開放網(wǎng)絡(luò)相比一定過之而無不及。
因此����,對于封閉網(wǎng)絡(luò)的安全,首先需要有可控的“邪惡”力量對其內(nèi)部進行***性測試���,就像貓和老鼠的共同進化一樣��,封閉網(wǎng)絡(luò)的防護也不能沒有“天敵”���。至少����,封閉網(wǎng)絡(luò)應(yīng)該對照已公開的漏洞��,對其進行彌補��,這是封閉網(wǎng)絡(luò)安全的底線�����。遺憾的是���,現(xiàn)實中,有的封閉網(wǎng)絡(luò)可能連這條底線都無法滿足�,卻要追求所謂的“自主可控”,殊不知�,缺乏審查和考驗的私有設(shè)計更不值得信任。
除了在威脅發(fā)作第一時間打補丁�����、堵漏洞、升級特征庫以外�����,封閉網(wǎng)絡(luò)的安全還應(yīng)該注重基于白名單的控制方式��,如對用戶進行認證授權(quán)����、對終端進行準(zhǔn)入控制、對應(yīng)用進行分發(fā)管理......�,非白即黑,沒被允許的即默認禁止���。這也是許多封閉網(wǎng)絡(luò)通常所采用的��。然而��,這里面仍然存在著兩大難題����。首先是白名單的管理問題�,終端和用戶的白名單尚可解決,難得的是應(yīng)用���,現(xiàn)代操作系統(tǒng)之上的應(yīng)用可謂汗牛充棟�,一旦封閉網(wǎng)絡(luò)的規(guī)模和用戶大到一定程度,幾乎無法對應(yīng)用實施白名單���,這也不是技術(shù)上的難題�����,難得是安全與業(yè)務(wù)可用的平衡���。更難的還是白名單的判斷問題�,何為白?合法用戶���、合法終端��、合法應(yīng)用真的就值得信任嗎����?一次判斷以后是否就可以高枕無憂�,這里的關(guān)鍵還在與對其異常的持續(xù)檢測,內(nèi)部人員作惡���、合法終端和應(yīng)用帶有的0day�����,特別是在APT的大背景下����,高價值的封閉網(wǎng)絡(luò)幾乎難以幸免***,這更需要對在封閉網(wǎng)絡(luò)中獲取各種信息進行精準(zhǔn)分析����。DARPA的主動認證項目根據(jù)用戶內(nèi)部網(wǎng)絡(luò)中的行為如敲鍵方式、軟件操作習(xí)慣���、甚至在面對異常時的反映來對用戶進行持續(xù)的認證�����,甚至有望取代CAC認證卡和口令�����,這應(yīng)該是封閉網(wǎng)絡(luò)安全的發(fā)展方向��。
最后����,由于漏洞總是客觀存在,封閉網(wǎng)絡(luò)作為高價值目標(biāo)�,難以做到防護的萬無一失,轉(zhuǎn)而應(yīng)該借鑒可靠性的一些設(shè)計思想����,瞄準(zhǔn)在遭受***后關(guān)鍵業(yè)務(wù)仍然可用為目標(biāo),Mitre將這方面的設(shè)計思想稱之為網(wǎng)絡(luò)空間彈性Cyber Resiliency�����。冗余����、跳變�、關(guān)鍵系統(tǒng)的分割、沙盒���、對***的重定向��、非持續(xù)的提供服務(wù)��,都是具體的彈性機制�����。這方面的研究且聽下回分解����。
當(dāng)前名稱:論封閉網(wǎng)絡(luò)的安全
文章URL:
http://weahome.cn/article/gspesc.html
重慶分公司
重慶分公司
