国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　網(wǎng)絡安全是多領(lǐng)域的綜合業(yè)務，近10年來在規(guī)模和范圍方面都獲得了極大的發(fā)展。對網(wǎng)絡及內(nèi)容潛在的威脅來自各類不同的領(lǐng)域，因此增加了解決這一問題的難度。

　　在因特網(wǎng)產(chǎn)生之前，對衛(wèi)星網(wǎng)絡及內(nèi)容實時的安全防護相對容易。然而，基于衛(wèi)星網(wǎng)絡的WWW互聯(lián)打開了潘多拉的盒子。

　　●安全政策

　　多年來，衛(wèi)星網(wǎng)絡是獨立的，一般不與外部世界相互連接。衛(wèi)星網(wǎng)絡因其獨特性而獲得了安全性，目前這一狀況不再如此。

　　為數(shù)不多的網(wǎng)絡工程師能夠應用不同的工具來提高其網(wǎng)絡的安全性，然而除了選擇工具，有效的安全策略開始于對網(wǎng)絡的真實評估和對安全政策的開發(fā)。除非人們十分擁護，否則安全政策是不會起作用的。

　　網(wǎng)絡中的每個設備至少應該在熒屏上建有日志，這些日志要求有用戶名和接入設備的口令。要考慮到設備的風險，這些風險僅只需通過加入某些終端便能得到處理。如果人們從不改變工廠默認設備，那么用戶名和口令保護的作用有限。一旦某個硬件的默認配置被發(fā)現(xiàn)，那它們就會出現(xiàn)在黑客們的熒屏上。

　　●防火墻

　　下面的這些網(wǎng)絡安全工具可以單獨應用，但它們在同時使用時會最有效，從而充分發(fā)揮了它們的單方面的效能。

　　仍是防護網(wǎng)絡進攻的第一道防線，這一技術(shù)經(jīng)過、Juniper和Check Point等供應商過去15年的研發(fā)，已有了很大的進步。防火墻歷來配置在可信任的邊界上，或者是專用和公用網(wǎng)絡的交界處，然而，隨著802.11網(wǎng)絡的廣泛應用，可信任邊界的數(shù)量猛增，因此可能受到攻擊地方的數(shù)量也在猛增。

　　最開始，防火墻通過打開和關(guān)閉端口來控制流量，這一方式由工程任務組(IETF)設計用來協(xié)調(diào)特殊的應用。端口80將用于控制網(wǎng)頁瀏覽，端口25將控制SMTP流量，端口23將控制遠程登陸流量，如此等等。一時間，每個人都遵守這些規(guī)則，但是應用開發(fā)商希望他們的軟件能夠被更廣泛的用戶應用。一些端口，例如端口80和端口443幾乎總是開放的，應用開發(fā)商便利用這種方式進出防火墻。應用技術(shù)的發(fā)展已經(jīng)到了大多數(shù)人能夠發(fā)現(xiàn)一種方式來進入基于端口的防火墻的地步。端口阻止的價值隨著時間的消逝而不斷降低。

　　靜態(tài)應用使用的是單個端口(80、25、23等)，能夠被簡單的分組過濾器控制。動態(tài)應用(例如)將從一個端口出去并從另一個端口進來，要求更復雜的控制，因此狀態(tài)檢測出現(xiàn)了。現(xiàn)代應用完全忽略了端口，因此一些銷售商附加了更多的過濾器，從而增加了處理延時(見《Via Satellite》2009年9期的“衛(wèi)星網(wǎng)絡的延時最小化處理”)?，F(xiàn)實情況是，現(xiàn)代應用的控制要求更復雜一些的處理方式。

　　為了滿足這一需求，Palo Alto網(wǎng)絡公司將應用ID(App-ID)集成進它的防火墻中。該公司有能力將870種不同的應用進行分類。App-ID允許整個網(wǎng)絡具備更細致的細分決定的能力。例如一個組織的營銷部門可以允許運行WebEx，但其它部門則不能。對應用確認的能力也非常強大，但是等某些應用使用的是特殊的加密形式，并在端口間跳動，從而造成應用申請的拒絕。然而，Skype的這一特點還能通過啟發(fā)式的分析進行確認，這樣Palo Alto網(wǎng)絡公司的防火墻便可以阻止Skype的流量。

　　●AAA(鑒權(quán)、授權(quán)、計費)

　　由于網(wǎng)絡規(guī)模的擴大，對它們的照看和維護變得非常地復雜。為了有助于完成好這一任務，AAA系統(tǒng)包括有3個完全不同的安全功能：鑒權(quán)、授權(quán)、計費。鑒權(quán)確認你是誰;授權(quán)確認你能被允許對網(wǎng)絡做什么、計費記錄了你做過什么。終端接入控制器的接入控制系統(tǒng)(TACACS)及遠程認證拔號業(yè)務(Radius)都是占有巨大市場份額的安全協(xié)議。輕型目錄訪問協(xié)議(LDAP)是一種由IETF指定的應用協(xié)議，該協(xié)議還可針對信息技術(shù)設施提供層次控制。

　　因為網(wǎng)絡在規(guī)模和復雜性方面的增長，AAA系統(tǒng)對于網(wǎng)絡安全來說，變得必不可少了。

　　●入侵防護系統(tǒng)

　　對一次入侵的阻止是一種對計算機系統(tǒng)或網(wǎng)絡進行主導的嘗試，同時使其他人不能對其進行應用。這些進攻的基本作用之一是進攻者發(fā)出打開端口的要求，然后在對方做出反應前等上一段時間，比如說10秒。攻擊者對其攻擊的系統(tǒng)大量灌入要求，這些要求試圖隔離對正常流量進行響應的要求，而被進攻的計算機系統(tǒng)必須假定具備以下條件：在對所有明顯要求做出反應并保留資源方面，計算機提出要求緩慢;被進攻的計算機不能明確地區(qū)分合法要求與非法要求;對業(yè)務進攻的阻止必須保證帶寬和計算能力。由于大多數(shù)衛(wèi)星網(wǎng)絡的帶寬只能微調(diào)，任何帶寬的補充都對網(wǎng)絡性能產(chǎn)生嚴重的影響。

　　網(wǎng)絡入侵檢測系統(tǒng)(NIDS)著眼于進來的分組包，篩選出看上去可疑的行為用于檢測，當人們的網(wǎng)格遭受進攻時，檢測系統(tǒng)依靠人工來評估數(shù)據(jù)，因此很費時， 時間是珍貴的。入侵防護系統(tǒng)()自動決定處理過程，交替應用NIDS的方法，因此改善了對攻擊的響應。 TippingPoint五年前在這一領(lǐng)域中撥得頭籌，現(xiàn)在仍是市場的領(lǐng)先者。應用TippingPoint的IPS，所有進來的分組包都要過濾并評測威脅。該系統(tǒng)實時形成的協(xié)議決定，能夠評估事件序列，評估可疑行為的數(shù)據(jù)模式。一旦辨認出來，系統(tǒng)能夠向人們通報可疑行為或者直接采取行動。

　　大量網(wǎng)絡管理面臨的挑戰(zhàn)是要確保在對流量的準確掃描、分析和路由選擇的條件下，不影響網(wǎng)絡的性能。大多數(shù)銷售商因為會導致性能的降低(處理延時)后果，只能打開有限的過濾器。TippingPoint在他們的過濾器的精確性方面，提高了一個層次。為了保證網(wǎng)絡的平滑運行，TippingPoint優(yōu)化了它的檢查引擎，因此它可以打開更多的過濾器而不降低性能。除此之外，該公司推薦DV實驗室團隊的過濾器，它認為這些過濾器將證明會給其用戶最大的保護，而不影響網(wǎng)絡性能。

　　人們需要記住的是，更多的過濾器將放緩總處理速度。TippingPoint采取的方法是提高過濾器的精確程度，而不是去關(guān)注過濾器巨大的數(shù)量。與較少數(shù)量的過濾器綜合在一起，TippingPoint特有的高速數(shù)據(jù)引擎實現(xiàn)了處理時延的最小化。

　　●安全遠程管理

　　基于IP的計算和設備已經(jīng)綜合進了管理接口，因此他們能夠接入或控制LAN或WAN。使用SNMP(簡單網(wǎng)絡管理協(xié)議)來管理一個基于IP的網(wǎng)絡所面臨的挑戰(zhàn)是，人們必須依靠網(wǎng)絡來管理網(wǎng)絡。如果網(wǎng)絡出現(xiàn)故障，從本質(zhì)上說，人們已經(jīng)看不到或聽不到任何信息，也就沒有辦法與遠程地區(qū)的技術(shù)設施交流信息。

　　對于基于IP網(wǎng)絡的潛在的最大安全威脅是網(wǎng)絡在一段時間的停止運作，無論是部分網(wǎng)絡還是全部網(wǎng)絡的停止運作，都是如此。理由是：一旦遠端設備與AAA系統(tǒng)失去了連接，他們便退出到默認用戶名，有時退出回到默認口令。因此，一旦網(wǎng)絡出現(xiàn)故障，網(wǎng)絡設備更易受到攻擊。人們通過跟蹤路徑，便可以發(fā)現(xiàn)以上提到的管理接口的尋址，提高了不必要的風險。自動遠程管理系統(tǒng)，例如Uplogix的一種產(chǎn)品，使用安全的次級信道來代替管理接口，從而管理網(wǎng)絡設備。Uplogix系統(tǒng)使用一種基于邏輯的方法，這種應用程序靈活地直接連接到各種各樣環(huán)環(huán)相扣的設備的控制端口，例如衛(wèi)星調(diào)制解調(diào)器、、、防火墻、接入端口等。這些設備通過應用程序?qū)芾碓O備的情況或來自中央的連接(可能與AAA系統(tǒng)有接口)的自動響應來實現(xiàn)管理。萬一網(wǎng)絡出現(xiàn)故障，遠端應用便可通過應急連接而連接至網(wǎng)絡中心。

　　由于經(jīng)由線纜連接至遠程地點的各類設備的控制端口，即使在網(wǎng)絡出現(xiàn)故障的情況下，這一應用也從不失去與設備的連接。Uplogix的應用隱藏了最后確信的AAA配置，并在網(wǎng)絡出現(xiàn)故障的情況下，也能執(zhí)行組織的安全政策。自動遠程管理系統(tǒng)也允許在高級層次的細分授權(quán)。例如維持PBX的程序組總是與維持的程序組發(fā)生沖突。細分的授權(quán)單個程序或程序組進入下一個程序組領(lǐng)域?qū)又?，獲取“只讀”的權(quán)利。因此，PBX程序組能觀察PRI的狀態(tài)，從而在故障產(chǎn)生前觀察到網(wǎng)絡的各個方面是否正常。

　　●加密

　　加密通過數(shù)學算法將內(nèi)容譯成密碼，保護了網(wǎng)絡上的內(nèi)容。這一處理改變了比特的次序，使內(nèi)容不再可讀。加密后的內(nèi)容然后應用相同的算法解密。這兩個操作的秘密就在于一個秘而不宣的密鑰，無論是發(fā)送者還是接收者都要使用密鑰。有兩大類加密種類：對內(nèi)容通過的信道進行加密、對數(shù)據(jù)(例如包含數(shù)據(jù)的文件)進行加密。兩者都有優(yōu)點和缺點。

　　當整個鏈路被加密后，一般意義的數(shù)據(jù)從加密通道中進進出出。這是保護政府及軍事網(wǎng)絡的一般技術(shù)，提供了高層次的安全，但是也有幾個潛在的缺點。端到端的整個線路都必須加密。如果一部分線路沒有加密，未保護的數(shù)據(jù)就很容易在這些地方被拷貝下來。網(wǎng)絡工程師因此必須了解每個加密線路的實際數(shù)據(jù)路徑。一旦加密的信道被建立，就只能運作和維持。要知道，加密增加了時延和開銷。由于明顯的理由，軍隊通常會加密衛(wèi)星信道，而商業(yè)機構(gòu)因為會增加成本和復雜性，從而回避了這一方法。

　　另一種選擇是加密單個的文件，傳輸至它們的目的地，然后解密。AES(高級加密標準)256比特現(xiàn)在是加密的黃金標準。加密和解密數(shù)據(jù)文件的軟件密鑰是獨一無二的，必須得到保護。加密單個文件有許多優(yōu)點。加密文件能夠安全地在任何網(wǎng)絡上傳送，保證它們不會被非授權(quán)人員看到。這還是一種防范“中間攻擊人”的有效措施，因此即使加密信道存在一個未被人們發(fā)現(xiàn)的漏洞，整個文件仍是安全的。國家秘密被加密后在加密信道中傳輸，因此是雙重加密。由于這類加密只是簡單地記錄下比特模式，不會提高文件規(guī)格或增加任何開銷。

　　數(shù)學公式是加密的核心，數(shù)學能夠?qū)崿F(xiàn)的結(jié)果最終能夠被數(shù)學還原，因此如摩爾法則所承諾的一樣，應用更大的軟件密鑰的新算法被開發(fā)了出來，用于破解更陳舊更小型的密鑰。因此盡管對內(nèi)容進行加密是保護內(nèi)容的最安全的形式，但時間不會停滯不前，一旦未來能夠提供更新更強的加密方法，人們今天應用的加密形式很可能過時了。

　　●提高半導體制造商的防范能力

　　DTH提供商依靠條件接收系統(tǒng)來防止非授權(quán)觀看，因此來保護網(wǎng)絡上的內(nèi)容。加密用的密鑰和算法嵌入在安全模式和機頂盒中，加密方式保護了通過衛(wèi)星廣播的內(nèi)容。正如前面所提到的，用戶密鑰必須保證機密，否則就會造成危險。在DTH網(wǎng)絡中應用加密算法和密鑰的情況中，這些算法和密鑰嵌入在安全模式和機頂盒中，目的是用于解密。加拿大現(xiàn)在發(fā)展了一個“別墅產(chǎn)業(yè)”，該產(chǎn)業(yè)進一步加速了全球DTH系統(tǒng)的盜用。大約200萬加拿大人在看美國電視，因為語言要求或別的什么原因，他們不能合法地訂看美國的DTH。其解決是：購置非法的接收機來戰(zhàn)勝DTH提供商的條件接收系統(tǒng)。由于他們的數(shù)量達到了百萬級，有許多資金付諸東流，這些資金足夠多到可資助地下實驗室來分解半導體的內(nèi)部工作情況，最終解析出隱藏在其中的加密算法和密鑰。擁有加載合法編碼從而可以接入條件接收系統(tǒng)能力的DTH接收機，正在被大規(guī)模地生產(chǎn)并在全球銷售。 不愿意透露姓名的產(chǎn)業(yè)來源證實了在美國范圍內(nèi)對DTH的盜看人員的比例大約在10%～20%，尚未達到發(fā)展中國家90%的高度。

　　盜版業(yè)應用廣泛的戰(zhàn)略，試圖從芯片中獲取核心秘密。有一種叫做各類功率分析的技術(shù)，對芯片電耗進行測量，再用統(tǒng)計技術(shù)分析出密鑰。另一種叫做“錯誤歸納”或“小故障”的攻擊，可分析出芯片非正常運作時所出現(xiàn)的錯誤。人們可以將芯片一層層地分解下去，在顯微鏡下看到圖像，并分析出邏輯結(jié)構(gòu)。密碼研究所通過在機頂盒和條件接收模式中應用的芯片里增加專用的反干預電路，幫助直播公司保護他們的DTH業(yè)務。這些公司使用數(shù)學方法及先進的半導體工作技術(shù)等特有的技術(shù)，提高了從芯片中盜出信息的難度，因此使拷貝變得困難。