加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_阳江站长网 (https://www.0662zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

各类网络安全逻辑结构保护能力—最先进的网络安全保护架构评估说明

发布时间:2022-11-14 12:47:50 所属栏目:安全 来源:
导读:  网络安全保护方案有很多,等级保护的可信计算架构、零信任架构、确定性保护架构等等。不同的架构可以引入不同的网络安全防护技术,五花八门。学习者往往难以了解如何搭建一个具体的网络安全的保护架构可以满足真
  网络安全保护方案有很多,等级保护的可信计算架构、零信任架构、确定性保护架构等等。不同的架构可以引入不同的网络安全防护技术,五花八门。学习者往往难以了解如何搭建一个具体的网络安全的保护架构可以满足真正的网络安全需求。
 
  1)网络安全技术的应用场景
 
  本质上网络安全的访问可分成三种场景:
 
  a. 计算机上公网访问外部的网站服务器或外部的公众的web数据服务器
 
  b.借助于公网的通讯传输通道,传输公司内部的办公数据和信息。
 
  c.计算机再自己所在的局域网内的通讯。
 
  由于计算机前两情景中,网络都属于第三方公网,因此需要加密技术,如:HTTPS,VPN,来实现跨越公网的通讯。重要的数据库、内部的各类业务的计算机系统几乎都在局域网内部。因此防范内部计算机之间和外部的计算机合法通信是任何网络安全技术逻辑架构考虑安全的出发点。即网络安全保护的逻辑架构必然是管理计算机间安全的相互访问机制。而其应用场景也必然主要以局域网为主。所谓逻辑上完整的访问控制保护技术由访问授权、访问控制/保护、访问验证这三个关键技术组成。
 
  2)GB17859-1999(计算机系统等级安全划分标准)中的五级保护模型及其它的安全保护架构演变
 
  GB17859标准是计算机自身模拟第三方检测(可信计算为基础)的网络安全保护逻辑架构。因此必须要考虑可信技术。其由两种访问控制架构组成,用户自主访问控制授权架构和第三方安全标记授权的访问控制架构。
 
  a. 用户自主访问控制架构,必然是由用户口令(身份授权)所对应和管理的通讯参数(源和目的IP,MAC)等。然后在网络上通过边界访问控制保护、IPS /IDS/蜜罐等的访问验证(或上网审计)。IPS或IDS仅仅采用重点区域和设备的验证并不完备,但也实现了网络访问控制技术完整的逻辑架构。
 
  b.这种基于自主访问控制的网络安全防护架构是假定用户的计算机和程序本身无恶意的情景下,如果用户的计算机和应用程序是具有恶意的内鬼,其只要更改一些通讯参数和内容就可以规避所有检测,因为检测的判据是其可以操控的通讯参数和数据包内容(IP和数据包)网站安全架构,必然无法满足高等级安全要求。所以就有了基于第三方强制授权标记的访问控制保护架构。同样外部攻击者也可以通过试错法、重编译等方式规避保护和检测,也需要用第三方安全标记进行授权和防护。
 
  当然GB17859的模型的对典型应用的标记保护、扩展到整个网络的结构化保护、访问监控器来实现完整的逻辑保护架构。
 
  3)网络安全逻辑架构的改进和演变
 
  由于可信计算(模拟第三方检测)技术有可信度问题,如:卡巴斯基受攻击的DUQU2.0发现,可信证书可以伪造。一系列问题发生后。大家认为既然计算机不可信,能否完全采用第三方(应用层)的网络安全逻辑保护架构(零信任)技术或才用网络层的网络安全逻辑保护架构(网络层VLAN标记不受计算机管理和控制)。
 
  由于网络层标记(VLAN)授权时,同时也意味着能够阻止不同安全等级的计算机进行基于网络层的攻击,如:IP网关劫持的失密和完整性保护。从访问控制保护逻辑架构来审视来看目前无疑是最先进可靠的安全保护架构。而零信任架构不完整(即无法陈述是否是强制访问标记来标识、也无法说明具体的技术细节是否完整),等级保护的安全标记保护、结构化(信道)保护,如果缺失了访问验证技术显然也无法构成完整的网络安全防护的访问控制逻辑架构。
 
  4)确定性(通行证)网络安全保护架构简介
 
  是采用VLAN作为安全标记的第三方强制标记授权访问控制保护架构。由于是完全采用独立第三方授权标记,因此其不仅仅完成了网络保护标记授权、网络信道安全保护、访问(寻址)验证。形成访问控制保护完整的逻辑架构
 
  相对于其它架构而言,网络层的标记可以阻断不同安全等级、不同业务和系统间的违法访问攻击,如:IP网关劫持、ARP攻击、DDoS/CC攻击。可以取消三层交换机的VLAN跨越和广播隔离需求。
 
  基本原理:

  由于不在VLAN信道标记授权互联的成员间进行IP寻址MAC时 ,ARP缓存表中不存在IP—MAC的对应关系,需要ARP广播寻址,因此可以比对其寻址对象是否合法。解决了侦听和判别的困难。得到全网侦听访问(寻址)验证的效果。计算机不寻址是无法建立数据通讯链路的,因此实现了“及时准确判断、全面侦听验证保护的效果。
 
  5)网络安全的主要威胁分析
 
  网络威胁主要有三大类别:(基于攻击原理的防护)
 
  a. 网络层的攻击:如:DDoS/CC攻击,IP劫持等
 
  b.后门攻击和木马病毒
 
  c.主机IP扫描攻击和蠕虫病毒
 
  克服主要的技术保护难点:
 
  a. 网络层防护困难:即ARP攻击等无法用ACL等技术防护
 
  b.数据特征和行为特征检测的能力无法匹配,仅仅勒索病毒就数以千计,每个数据包匹配检测数以万计的特征难以为继。
 
  c.不采用第三方标记为依据的检测,所有检测的依据是基于计算机可操控的内容。容易被规避。
 
  d.在建立数据连接时,其密码或口令都是明码。容易被盗。
 
  而采用上述确定性(通行证)防护方案,显然在VLAN信道隔离下,所有的威胁和技术保护难点都已经解决。
 
  总之,确定性(通行证)网络安全保护架构是目前最高安全等级、也是基于交换机技术而形成最低安全防护成本的网络安全防护最完整的访问控制逻辑保护架构。目前是最先进的网络安全防护技术。
 

(编辑:应用网_阳江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2013-2022 https://www.0662zz.com/ All Rights Reserved. 应用网_阳江站长网

      ICP备案:浙ICP备12044117号 浙公网安备 33038102331048号