网络安全那些事
当下的互联网应用已经深入到生活的方方面面,如微信、QQ、虚拟现实、滴滴出行、共享骑行等,但是各应用的蓬勃发展,也带来了安全隐患,让网络安全事件已然成为当今国际世界最为关注的热门话题之一。
网络安全事件
网络安全事件的范围非常之广,如病毒、漏洞、钓鱼软件、木马攻击等…
安全事件案例
一、雅虎曾在2016年共计有超过15亿用户信息遭泄露,同时,钓鱼邮件、邮件诈骗、邮件泄密等问题频发
二、2016年“邮件门”事件,2016年由黑客曝出的总统候选人邮件门事件,就间接导致了候选人在美国大选中的失败,这次攻击正是利用了私人服务器上所存储的系统漏洞和软件漏洞,最终成功的窃取了政府的机密邮件。
三、2017年Windows敲诈勒索病毒,2017年5月Windows敲诈勒索病毒在全球大范围蔓延,感染用户主要集中在企业、高校等内网环境,中招系统的文档、图片资料等常见文件都会被病毒加密,病毒使用RSA非对称算法,没有私钥就无法解密文件,进而向用户勒索高额比特币赎金,层出不穷的网络安全事件,让我们不禁感慨,网络安全从未像今天这样距离我们如此之近,而这些案例对于当今网络中的安全威胁来说,也只是冰山一角。
黑客们针对用户、应用程序、计算机以及网络四种类型,展开了全方位的攻击
针对用户行为的攻击手段,往往利用的是广大用户安全意识不足,对账号密码等机密信息未加保护以及未执行安全的终端操作等漏洞。
此种攻击的特点在于技术手段简单,攻击类型多样,并且攻击范围涵盖所有信息系统使用者,因此被攻击者所钟爱,通常是他们进行攻击的首选方案。
从网上购物的钓鱼网站,到撞库攻击的用户密码泄露,再到电信诈骗的层出不穷,这些都是针对用户攻击的典型案例。
当针对用户行为的攻击无效时,攻击者接下来会尝试针对应用程序的攻击,例如注入攻击和网页涂改,
其过程是攻击者针对应用程序的安全漏洞,窃取应用程序的数据或利用应用程序进行恶意操作,例如:SQL注入攻击和OpenSSL心脏出血攻击
我们每天收到的大量垃圾邮件以及许多电商客户信息泄露都是针对应用程序攻击的典型案例
针对计算机主机的攻击,比如说:特洛伊木马、系统漏洞以及计算机病毒
攻击者需要针对不同类型的操作系统,利用操作系统本身的漏洞和安全隐患,采用诸如木马、蠕虫、病毒等专业的攻击工具,来实现操作系统或破坏操作系统的目的,
“熊猫烧香”“灰鸽子”和“勒索病毒”,这些耳熟能详的名字都是针对计算机攻击的典型案例,
当然攻击者还有最后的一招杀手锏,例如拒绝服务攻击和中间人攻击,这些是针对网络的攻击,
其过程是,攻击者针对协议本身的安全缺陷,来达到窃取网络数据、中断正常服务的目的,例如TCP协议SYN本身特性所采用的洪水淹没攻击,
通过对常规网络安全威胁的攻击,相信大家对技术层面的安全有了一个全面的了解,但是,安全不是单纯的技术问题,我们需要从整体来看待,所谓没有规矩不成方圆,我们也需要一套全面的信息安全管理体系,ISO27000便是一种获得国际广泛认可的信息安全管理体系
它是一种典型的基于风险管理的管理体系,周期性的通过风险评估、内部审核、有效性测量、管理评审,确保ISMS进入良心循环、实现自我改进,回顾近几年发生的重大网络安全事件,我们不难发现,黑客关注的不仅仅是各种核心数据的窃取,关键性基础设施,政府、金融机构、能源行业都成为了黑客攻击的新目标,
由国家支持的政治黑客行动越来越多,网络安全上升到国家高度已成定局
全球信息化发达国家纷纷推出本国的安全法律法规和相关的安全管理机构,信息安全管理体系与标准是企业安全的高层建筑的整体规划,在我们对管理体系和标准理解之后,如何在企业中规划实现安全方案?
企业信息安全的最佳实践解决方案
我们将该体系分为5个层级,首先是物理层,物理层包含了通信线路、物理硬件设备、机房机架等设施,保证物理层的安全就需要保证通信线路的可靠性。设备更换拆卸时的安全性以及应对一系列自然灾害的能力,物理层安全是实现所有安全的基础、不容轻视,在物理层安全的基础之上是网络层安全。
一个全面的网络层安全解决方案,需要综合考虑网络层的身份认证、访问控制、数据传输,远程接入、入侵、网络病毒等一系列安全因素,网络层安全是实现数据和信息安全传输的最关键一环,也是我们需要在规划时综合考量的部分,
当数据通过网络层进入操作系统之后,安全的实现就集中在操作系统层,针对Windows、Linux、Unix等操作系统的漏洞和缺陷,如何规划身份认证、访问控制、漏洞侦测与修复是重中之重,操作系统之安全是实现数据存储和处理的关键节点,我们更需要加固系统,防患于未然。
除了前面的几个层次,当前,网络中威胁最大的就要数应用层安全了,应用层安全主要围绕着各种应用程序与服务展开,聚焦在Web服务安全、邮件系统安全、自开发应用的安全方面,其核心是抵御病毒、跨站式脚本、数据篡改等恶意攻击
随着移动互联网的高速发展,应用层安全的重要性愈发凸显,最后,信息安全并非单纯的技术解决方案,一个企业对全网的管控同样很重要,在管理层面,我们的安全工作体现在制定严格的安全管理制度,明确安全职责划分以及人员角色的合理配置,这些工作都可以在很大程度上降低其他层次的安全隐患,全面的防御与规划,才能使我们的企业拥有符合实际需求的信息安全纵深防御体系,到此,我们从网络威胁的现状分析开始,全面了解了信息安全管理体系与安全标准,并解释了安全纵深防御体系对企业安全的重要性
大家在收获到知识的同时,也请进一步思索,我们如何通过相关安全产品实现各个层级的安全解决方案。