本帖最后由 独手握天下 于 2022-12-5 16:13 编辑
什么是主机安全,主机安全未来的发展方向 在讨论主机安全之前,先说说主机安全对于我国有多重要。 我国的信息安全经过二十多年的建设,在防病毒、网络和边界安全方面到得了一定成果,而主机环境安全建设却相对较薄弱,主机是信息安全最重要,也是最后一门防线,再加上美国采用贸易壁垒的方式来限制高安全等级的产品买到中国,加剧了我国主机安全建设的难度。 什么是主机安全?
随着云技术的发展,现在各大银行、大小企业和政府都在频繁使用云技术,在这些领域,安全显然是一个非常重要的因素。云主机作为数据存储的场所,正面临着黑客不断入侵的威胁,那么主机安全是什么? 主机安全具体是指保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。 主机安全研究方向
主机安全主要研究Windows、Linux、micros系统的安全问题,主机安全方向需要解决如何保障电脑和服务器的安全。众所周知,服务器一旦被黑客入侵,企业面临4大安全风险: 1、业务被中断:数据库、文件被篡改或删除,导致服务无法访问,系统瘫痪。 2、数据被窃取:黑客窃取企业数据后公开售卖,客户隐私数据被泄漏,造成企业品牌受损和客户流失。 3、被加密勒索:黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密,对企业进行金钱勒索。 4、服务器不稳定:黑客在服务器中运行挖矿程序,并通过 DDoS 木马程序获取经济利益,消耗大量的系统资源,导致服务器不能提供正常服务。 主机网络安全体系结构
主机网络安全是以被保护主机为中心构建的安全体系,它考虑的元素有IP地址端口号协议,甚至MAC地址等网络特性和用户资源权限,以及访问时间等操作系统特性。并通过对这些特性的综合考虑来达到用户网络访问的细粒度控制。 另外,考虑到网络传输过程中的安全性,主机网络安全系统还包括与用户和相邻服务器之间的安全传输,以及为防止身份欺骗的认证服务。 二、主机网络安全关键技术有哪些?
主机网络安全体系涉及的技术太广,这里讲解常见的4个。 1、入侵检测 人侵检测是主机网络安全的一个重要组成部分。它可以实现复杂的信息系统安全管理从目标信息系统和网络资源中采集信息分析来自网络外部和内部的人侵信号实时地对攻击做出反应。 入侵检测系统通常分为基于主机和基于网络两类。 基于主机入侵检测的主要特征是使用主机传感器监控本系统的信息。这种技术的优点是可用于分布式加密、交换的环境中监控把特定的问题同特定的用户联系起来,缺点是增加了系统的负担。 在主机网络安全体系结构中采用基于主机的入侵检测技术实现对主机的保护,它能够实时监视可疑的连接,检查系统日志监视非法访问和典型应用。还可针对不同操作系统的特点判断应用层的入侵事件。对系统质性文件属性敏感数据攻击进程结果进行监控。它能够精确地判断入侵事件,并对入侵事件迅速做出反应结合主机上的包过滤功能模块切断来自可疑地址的网络连接。 基于网络的入侵检测主要特征是网络监控传感器监控包监听器收集的信息,它不能审查加密数据流的内容,对高速网络不是不足够有效。 2、访问控制 访问控制通俗的说就是给出一套方法,将系统中的所有功能标识出来,组织起来,托管起来,将所有的数据组织起来标识出来托管起来,然后提供一个简单的唯一的接口,这个接口的一端是应用系统一端是权限引擎。 而权限引擎所回答的只有:谁是否对某资源具有实施某个动作(运动、计算)的权限。收到的返回结果只有三种:有、没有、权限引擎异常。 访问控制是计算机系统和非计算机系统都需要用到的一种技术。 访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问,UniNAC网络准入控制系统的原理就是基于此技术之上。 3、加密传输 加密传输技术是一种十分有效的网络安全技术,它能够防止重要信息在网络上被拦截和窃取。 加密传输是为了安全目的对信息进行编码和解码。数据加密的基本过程就是将可读信息(明文)译成密文(或密码)的代码形式。加密的逆过程就是解密。 4、身份认证 用户身份认证是保护主机系统的一道重要防线,它的失败可能导致整个系统的失败。 身份认证是确定某人或某事是否名副其实或有效的过程。认证的基本思想是通过验证称谓者的一个或多个参数的真实性与有效性,以达到认证的目的。 认证的主要目的为信源识别与信息完整性验证。安全可行的认证系统应建立在密码学的基础上。用户身份认证可以识别合法用户和非法用户,从而阻止非法用户访问系统。 浅谈主机安全的未来发展 主机安全作为网络安全领域中的重要分支,面对层出不穷、难以预测黑客攻击手段,传统的防范和防御策略已经行不通。 其一,攻击者和防守者本身的定位就决定了实力悬殊,传统基于报警或已存在的威胁特征的检测技术(防火墙、IPS、杀毒、沙箱等被动防御手段),更是加大了这种悬殊。 据了解,很多被黑客攻陷的企业,虽然早已构建了一套安全防御体系,但由于自身检测体系在应对未知威胁过程中存在一些不足,无法及时发现或阻止威胁,将损失降到最低。 具体表现的不足在以下3个方面: 检测技术单一:基于签名检测技术无法检测未知威胁,无法定位失陷主机。 缺乏持续检测:只能阶段性检测,无法覆盖威胁的全生命周期。 无法进行联动:各安全检测产品独立工作,攻击告警信息割裂,无法联动。 其二,当前安全攻防对抗相较以往更叫的激烈,单纯的防范和阻止效果不佳,应该在检测与响应上更下功夫。企业组织要在已遭受攻击的假定前提下,构建集防御、检测、响应和预防于一体的全新安全防护体系。从2019年6月网络演习的规则可看出,不强制要求系统不被入侵,而是强调入侵之后的快速响应能力。 最后总结,随着互联网云计算的快速发展,多云和云原生趋势渐渐成为主流,面对多云、云原生等新型架构也不断涌现,原有的主机安全产品如何适配新的架构,也成为了企业不得不考虑的话题。 为了应对外在环境的不断演进,主机安全防护软件也在不断更新迭代,衍生出了一系列细分领域的主机安全产品。 从主机安全产品发展级别来看,可概括分为“基础性的主机安全产品”、“以应用为核心的主机安全产品”、“以检测响应为核心的主机安全产品”、“以主动防御为核心的主机安全产品”、“新形态下的主机安全产品”五个阶段。 |