写在最前:
安全产品系列目录:目录&总述
后记
移动/云/大数据/工控 这四方面安全产品,并没有单独写,因为产品可能原理不同,但效果类似。除了工控外三种各厂商有同类产品的都会做一些。关于工控方面,有专门做工控的厂商,一般大厂也会做一些工控产品。工业安全需要重视,虽然目前只有3起对工业的攻击(震网、乌克兰电网、阿拉伯油田),但都差点或已经造成了严重后果
这个系列先更新至此,后续可能稍有修改,但框架大概如此。
若您觉得有必要添加的产品也可以联系我补充。
杂谈
安全对抗其实是资本对抗,提高攻击成本才是防护的目的。
挑选产品并不是越贵,性能越高越好,需要考虑被保护对象的价值。
100W的保险箱里放20块钱_(:з」∠)_
也不是越多越好,便利性是安全的基础 很多东西不是最好的,却是当时最好用的
可以把安全产品比作装备,有套装,但套装不一定有散搭好用,
多一件装备就多一点防御,总会有重点属性(网络,保密…),不同职业(保护对象)用不同装备,负重的上限值就是便利性与安全性的平衡点。没到,属性就没到最高值;超了,就会影响速度
很多产品都差不多,可能有些侧重点不同,有些设备需要保证性能,做成硬件,但很多设备有时可以做成软件但是软件不好卖,做成硬件放盒子里就觉得很厉害,能赚钱( ̄▽ ̄)"
个人体验:安全不好做。同一个公司跨部门都不好干,跨公司就更不行了,配合太难了。每个人都很忙,有原本自己的工作,何况你做的事可能给他带来不便,安全经常要牺牲便利性。
就算你部署好了产品,很多攻击也是挡不住的,人是最薄弱的地方,失误,无心之举,被骗,甚至被威胁,利诱。所以就像上面说的 ,提高攻击成本,保证便利的基础上尽可能安全这点一定要清楚,最好让你保护的对象也清楚,问题是一定会出的= ̄ω ̄=
接下来可能会写关于渗透的?这个量就大了,也不知道什么时候能写。就像前两天开始写这个产品一样,也不知道能不能写完,实际写起来也没多少,虽然写的很笼统…
最后借用一下新看到的康威定律第二条
There is never enough time to do something right, but there is always enough time to do it over。
时间再多一件事情也不可能做的完美,但总有时间做完一件事情。
附注
1. 安全五要素
Confidentiality(保密性) 信息不能被未授权的个人,实体利用或知悉。
Integrity(完整性) 保护信息的准确和完整。
Availability(可用性)保障信息的正常访问和使用。
Controllability(可控性)
Non-repudiation(不可抵赖性)
2. 安全设计原则
- 木桶原则
木桶的最大容积取决于最短的一块木板 攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击 要提高整个系统的“安全最低点”的安全性能 - 整体性原则
在发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应包括安全防护机制、安全监测机制和安全恢复机制,从整体性考虑信息安全保障问题。 - 安全性评价与平衡原则
建立合理的实用安全性与用户需求评价与平衡体系;正确处理需求、风险与代价的关系;评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。 - 标准化与一致性原则
安全规划设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。 - 技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 - 统筹规划,分布实施原则
安全防护不可能一步到位;在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。 - 等级性原则
等级性原则是指安全层次和安全级别;对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。 - 动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求;规划网络与信息安全的可扩展性,尝试应用新的安全技术。 - 易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。安全措施的采用要合理。
