Examen suave de seguridad crediticia Capítulo 15 Seguridad de red Tecnología y aplicación de defensa activa

Enterprise 2023-07-01 20:34:35 views: null

1. Tecnología y aplicación de bloqueo de intrusiones

El bloqueo de intrusiones es un método técnico de defensa activa de la seguridad de la red. Su principio básico es bloquear el comportamiento de ataque a la red del objeto de destino, para lograr el propósito de proteger el objeto de destino.

1.1 Principio de la tecnología de bloqueo de intrusión

  Aunque los cortafuegos y los IDS son tecnologías básicas indispensables para garantizar la seguridad de la red, existen defectos técnicos en los cortafuegos y los IDS.

Los cortafuegos se basan en reglas de control de acceso estáticas y detalladas. Sus actualizaciones de reglas no son automáticas,

Los sistemas IDS pueden identificar y registrar ataques, pero no pueden prevenirlos

  Al mismo tiempo, debido al funcionamiento ininterrumpido del sistema, la fragilidad de la seguridad del sistema y la incertidumbre de los riesgos de los parches de seguridad, a los administradores del sistema no les importa instalar parches de seguridad fácilmente. Vulnerabilidades que hacen que la seguridad de los sistemas de red esté generalmente limitada por dispositivos periféricos. Actualmente, este sistema se denomina sistema de prevención de intrusiones, o IPS (Intrusion Prevention System) para abreviar. IPS juzga el comportamiento de ataque en función de las características y el contexto del paquete de red para controlar el reenvío de paquetes. Su mecanismo de trabajo es similar al de un enrutador o firewall, pero IPS puede detectar el comportamiento de ataque y bloquear el comportamiento de intrusión. El despliegue de IPS se muestra en la figura.

imagen

  Debido a que IPS tiene varias funciones, como firewall y detección de intrusos, y está limitado por la posición de IPS en la red, IPS necesita resolver los problemas de cuello de botella de comunicación de red y alta disponibilidad. En la actualidad, el IPS comercial se implementa en forma de hardware, por ejemplo, el IPS se implementa en base a un ASIC, o en base a un Side Prevent System (SPS). SPS monitorea el tráfico de la red en un modo de derivación y luego inyecta paquetes a través de la derivación para bloquear el tráfico de ataque. Desde el análisis de los principios técnicos, SPS generalmente tiene poco efecto sobre el retardo de la red.

1.2 Aplicación de la tecnología de bloqueo de intrusos

  El contenido principal de IPS/SPS es filtrar el flujo de información de red dañina y bloquear el ataque del intruso al objetivo. Las principales funciones de seguridad de IPS son las siguientes

  • Bloquear la dirección IP especificada
  • Bloquear puertos de red especificados
  • Bloquear nombres de dominio especificados
  • Bloquee URL específicas y bloquee tipos de ataques específicos
  • Proporcionar revisiones para el día 0

2. Tecnología y aplicación de lista blanca de software

2.1 Principio técnico de la lista blanca de software

  Al establecer una lista de software confiable para evitar que se ejecute software malicioso en los sistemas de información de red relacionados. En el proceso de realización de la lista blanca de software, después de que el nombre del proceso, el nombre del archivo del software, el nombre del editor del software, el programa mediante tecnología criptográfica (firma digital del software o valor hash del software), un software se forma la lista blanca Identidades de la lista blanca .

  El proceso de control del funcionamiento del software según la lista blanca es el siguiente.

imagen

2.2 Aplicación de la tecnología de lista blanca de software

  • Construir un entorno ecológico de seguridad de Internet móvil seguro y creíble
  • Protección de código malicioso
  • Protección del "Medio Ambiente Blanco"

3. Tecnología y aplicación de limpieza de tráfico de red.

3.1 Principios de la tecnología de limpieza del tráfico de red

  El proceso de limpieza de tráfico es extraer el tráfico enviado originalmente al sistema del dispositivo de destino al centro de limpieza de tráfico cuando se detecta tráfico de red anormal.Después de limpiar el tráfico anormal, el tráfico normal retenido después de la limpieza se envía al sistema del dispositivo de destino.

  Los pasos de la limpieza del tráfico de red son los siguientes:

  • detección de flujo Utilice la tecnología de hardware multinúcleo distribuido, detecte y analice los datos de tráfico de la red en función de la Inspección profunda de paquetes (DPI) e identifique rápidamente los paquetes de ataque ocultos en el tráfico de fondo para lograr una identificación y limpieza precisas del tráfico.
  • Flujo de tracción y limpieza . La tecnología de extracción de tráfico reenvía dinámicamente el tráfico del sistema de destino al centro de limpieza de tráfico para su limpieza. Entre ellos, los métodos de extracción de tráfico incluyen principalmente BGP y DNS. La limpieza del tráfico significa negarse a enrutar y reenviar el tráfico malicioso dirigido al sistema de destino, de modo que el tráfico malicioso no pueda afectar al sistema de destino.
  • La reinyección de tráfico significa que el tráfico limpio se enviará al sistema de destino y el tráfico de red normal del usuario no se verá afectado por la limpieza.

3.2 Aplicación de la tecnología de limpieza de tráfico de red

  • Filtrado de paquetes de datos mal formados . Los ataques que se pueden prevenir incluyen Tear Drop, Fraggle, LAND, Winnuke, Smurf, Ping of Deth, TCP Error Flag, etc.
  • Resiste los ataques del servidor y protege las aplicaciones web . Los ataques que se pueden prevenir incluyen UDP Flood, ICMP Flood, SYN Flood, DNS Query Flood, HTTP Get Flood CC, etc.
  • Protección de aplicaciones web . Los ataques que se pueden prevenir incluyen HTTP Get Flood, HTTP Post Flood, HTTP Slow Header/Post, ataques HTTPS Flood, etc.
  • Servicio IP de alta protección DDoS . El servidor de origen está protegido a través del modo de reenvío de proxy. El tráfico comercial del servidor de origen se desvía a la IP de alta defensa, y después de que el tráfico de ataque de denegación de servicio se filtra y limpia, el tráfico comercial normal se reinyecta a la fuente. servidor.

4. Tecnología y aplicación informática de confianza

  • Trusted Computing (Trusted Computing, TC) es una plataforma y tecnología diseñada para mejorar la seguridad del sistema.La idea es construir una plataforma confiable para garantizar la seguridad de la red y del sistema. La computación confiable es la tecnología clave central de la seguridad de la información de la red.
  • En la actualidad, la verificación de confianza es un nuevo requisito del nivel de protección 2.0
  • El principio de la computación confiable es construir primero una raíz de confianza y luego construir una cadena completa de confianza desde la raíz de confianza hasta el hardware confiable, los sistemas operativos confiables y las aplicaciones confiables.

5. Tecnología y aplicación de marca de agua digital

5.1 Principio de la tecnología de marca de agua digital

  Marca de agua digital (Marca de agua digital) es utilizar las características de los órganos auditivos y visuales humanos para agregar información especial a imágenes, audio y video, y al mismo tiempo es difícil que las personas lo noten; después de eso, se puede agregar a través de métodos y pasos específicos información específica extraída. La tecnología de marca de agua digital generalmente consta de dos partes: incrustación de marca de agua y extracción de marca de agua.

imagen

  Los métodos de incrustación de marcas de agua digitales se dividen principalmente en métodos de dominio espacial y dominio de transformación, y sus principios de funcionamiento son los siguientes

imagen

imagen

5.2 Aplicación de la tecnología de marca de agua digital

  Los escenarios comunes para los libros de marcas de agua digitales son:

(1) Protección de derechos de autor: incrustación de información de derechos de autor o evidencia electrónica de derechos de autor en obras digitales

(2) Ocultación de información: incrustación de información confidencial que los atacantes no pueden descubrir en medios digitales, como imágenes y sonidos.

(3) Rastreabilidad de la información: incruste la información de identidad del usuario en los datos protegidos y evite la difusión de archivos a través de métodos de rastreabilidad.

(4) Control de acceso: agregue información de control de acceso a los datos protegidos y determine si el usuario tiene autorización antes de usar los datos protegidos

Las características de las marcas de agua incrustadas en imágenes digitales son

(1) Transparencia

(2) Robustez

(3) Seguridad

6. Tecnología y aplicación de trampas de ataques de red

  La tecnología de trampa de ataque a la red cambia la información del objeto objetivo protegido para engañar al atacante, cambiando así la pasividad del defensor de la seguridad de la red y mejorando la capacidad de protección de la seguridad de la red.

6.1 Anfitrión de Honeypot

Honeypot es un recurso de seguridad cuyo valor radica en ser detectado, atacado y dañado. Un honeypot es una "caja negra" configurada por un administrador de red después de un arreglo cuidadoso. Parece estar lleno de lagunas, pero está bajo control. Los datos de intrusión que recopila son muy valiosos. La tecnología de red trampa es un tipo de tecnología de defensa activa.

De acuerdo con el tipo técnico del anfitrión del honeypot, los honeypots se pueden dividir en tres tipos básicos: honeypots de sacrificio, honeypots de apariencia y honeypots de medición.

  Los Honeypots se pueden configurar de cuatro maneras diferentes:

(1) Servicio de señuelo: Escuche el puerto y haga una respuesta correspondiente cuando ocurra una solicitud.

(2) Debilitar el sistema: configure un sistema operativo con debilidades conocidas para permitir que los atacantes ataquen, de modo que los datos del ataque se puedan recopilar fácilmente.

(3) Fortalecer el sistema: mejorar el sistema debilitado, que no solo puede recopilar datos de ataques sino también recopilar pruebas

(4) Servicio de modo de usuario: simula el sistema operativo del usuario que ejecuta el programa de aplicación, confundiendo así al atacante y registrando el comportamiento del ataque.

6.2 Tecnología de red de trampas

  Las trampas de red, también conocidas como redes trampa, se construyen a partir de múltiples servidores trampa, cortafuegos, enrutadores, IDS, etc., que son más engañosos y pueden estudiar mejor el comportamiento de los atacantes.

6.3 Aplicación de la tecnología de trampas de ataques a la red

  La tecnología Network Attack Trap es una tecnología de seguridad de red proactiva que ha sido reconocida gradualmente por los usuarios. Sus principales escenarios de aplicación son el monitoreo de códigos maliciosos, capacidades mejoradas contra ataques y conocimiento de la situación de la red.

  • Monitoreo de código malicioso: realice análisis de código malicioso en el tráfico de red y los datos del sistema de los nodos de trampa, monitoree las comunicaciones de red anormales y ocultas y descubra códigos maliciosos avanzados.
  • Mejore las capacidades antiataque: use trampas de ataque a la red para cambiar la asimetría del ataque y la defensa de la red, interfiera con las actividades de sacrificio público de la red con información y objetivos falsos, retrase los ataques a la red y facilite a los defensores tomar una respuesta de emergencia de seguridad de la red
  • Conocimiento de la situación de la red: use trampas de ataque de red y tecnología de análisis de big data para obtener inteligencia de amenazas de red, dominar sus métodos de ataque, características de comportamiento de ataque y fuentes de ataque, para llevar a cabo de manera efectiva el conocimiento de la situación de la red.

7. Tolerancia a la intrusión y tecnología y aplicación de supervivencia del sistema.

7.1 Principios de la tecnología de tolerancia a la intrusión y la tecnología de supervivencia del sistema

  • La Tecnología de Tolerancia a la Intrusión (Tecnología de Tolerancia a la Intrusión) y la tecnología de supervivencia del sistema son para garantizar que el sistema aún pueda completar las tareas según sea necesario cuando el sistema está bajo ataque o se produce una falla repentina.
  • Método Survival 3R: Este método primero divide el sistema en un núcleo de seguridad irrompible y una parte recuperable; luego, para un determinado modo de ataque, se da una estrategia 3R, en la que 3R son resistencia (Rsistance), reconocimiento (Recognition), recuperación (Recuperación ), y divida el modo del sistema en modo normal y modo de intrusión utilizado por los piratas informáticos, brinde al sistema los servicios funcionales básicos y la información clave que debe protegerse, analice la estrategia 3R del sistema para los dos modos, descubra sus debilidades y hacer mejoras ;Finalmente, repita el proceso anterior de acuerdo con los cambios en los patrones de uso e intrusión.

7.2 Aplicación de tolerancia a la intrusión y tecnología de supervivencia del sistema

  • Sistema CA elástico. La clave privada de CA es la base de seguridad del sistema PKI Una vez que se filtra la clave privada de CA, no se puede confiar en el certificado digital. Para proteger la seguridad de la clave privada de CA, los investigadores propusieron un sistema de CA elástico, que permite que el sistema PKI siga funcionando normalmente cuando un servidor o dispositivo Duoai se ve comprometido.
  • Blockchain (blockchain es una base de datos distribuida descentralizada, la seguridad de los datos tiene una fuerte tolerancia a la intrusión)

8. Tecnología y aplicación de protección de la privacidad

La tecnología de protección de la privacidad es una medida importante para la protección de la seguridad de la información personal

8.1 Tipos y principios técnicos de protección de la privacidad

  La privacidad se puede dividir en varias categorías, como la privacidad basada en la identidad, la privacidad de los atributos, la privacidad de las relaciones sociales y la privacidad del seguimiento de la ubicación.

  El objetivo de la tecnología de protección de la privacidad es modificar de forma segura los datos privados para que los datos modificados puedan publicarse sin ataques a la privacidad. Al mismo tiempo, los datos modificados deben conservar el valor de uso de los datos originales en la mayor medida posible bajo la premisa de proteger la privacidad. En la actualidad, los principales métodos de protección de la privacidad son el método de anonimato K y el método de privacidad diferencial.

imagen

8.2 Aplicación de la tecnología de protección de la privacidad

  Los escenarios de aplicación comunes para la protección de la información personal son los siguientes:

(1) Anonimizar la información personal . La información personal se anonimiza para que el sujeto de la información personal no pueda identificarse y la información procesada no pueda recuperarse.

(2) Desidentificar la información personal . La identificación del sujeto de la información personal se reemplaza por seudónimo, encriptación, función Hash, etc., de modo que es imposible identificar al sujeto de la información personal sin información adicional.

  Además de usarse para la protección de la información personal, la hormona de protección de la privacidad también se puede usar para proteger datos confidenciales importantes de los sistemas de información de la red, como los archivos de configuración del enrutador y los archivos de contraseña del sistema. Las contraseñas de los usuarios, como los sistemas operativos y las bases de datos, generalmente se procesan mediante funciones Hash y luego se guardan para evitar fugas.

9. Tendencia de desarrollo de frontera de Internet

  • Los servicios de inteligencia de amenazas de red se refieren a información sobre amenazas de seguridad a los sistemas de información de red, que incluyen principalmente vulnerabilidades de seguridad, direcciones IP de origen de ataque, direcciones de correo electrónico maliciosas, nombres de dominio maliciosos, herramientas de ataque, etc. En la actualidad, los fabricantes nacionales y extranjeros y las agencias de seguridad brindan servicios de inteligencia de amenazas de red de diferentes maneras.
  • seguridad del servicio de nombres de dominio,
  • La tecnología de encriptación homomórfica se refiere a una función de encriptación que vuelve a encriptar las operaciones de suma y multiplicación del texto sin formato y realiza las operaciones correspondientes en el texto cifrado después de la encriptación, y el resultado es equivalente. . Una función de cifrado con propiedades homomórficas se refiere a una función de cifrado en la que dos textos sin formato a y b satisfacen las siguientes condiciones de igualdad:

imagen

Supongo que te gusta

Origin blog.csdn.net/qq_43632414/article/details/127312077
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com