這兩天Heart bleed漏洞在互聯(lián)網(wǎng)上掀起了軒然巨波，作為基礎(chǔ)安全軟件的重大漏洞，影響深遠(yuǎn)，各大互聯(lián)網(wǎng)公司、甲方、乙方、白帽子甚至央視等媒體全都行動(dòng)起來，同仇敵愾，競(jìng)相測(cè)試、打補(bǔ)丁、升級(jí)、報(bào)道宣傳......，大家忙得不亦樂乎，給廣大網(wǎng)民很好地科普了一把信息安全。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了烏達(dá)免費(fèi)建站歡迎大家使用！

與沸沸揚(yáng)揚(yáng)的互聯(lián)網(wǎng)安全相比，物理隔絕的企業(yè)、政府等封閉網(wǎng)絡(luò)似乎顯得靜悄悄，關(guān)心和了解該漏洞的人估計(jì)屈指可數(shù)，采取的行動(dòng)也一定沒有互聯(lián)網(wǎng)來得熱烈。因?yàn)榉忾]，表面上沒有亂七八糟的威脅，也沒有技藝高超的黑帽子和白帽子測(cè)試帶來的壓力，封閉網(wǎng)絡(luò)的網(wǎng)管們一定沒有動(dòng)力加班熬夜在第一時(shí)間補(bǔ)上漏洞。而這種情況，也絕不是第一次出現(xiàn)。

不同于開放的互聯(lián)網(wǎng)，物理隔絕的封閉網(wǎng)絡(luò)沒有那么多的用戶、沒有那么多的應(yīng)用、沒有討厭的黑帽子和白帽子。然而，這并不代表封閉網(wǎng)絡(luò)高枕無憂，Openssl作為基礎(chǔ)的安全庫(kù)，很可能在操作系統(tǒng)、web應(yīng)用、設(shè)備遠(yuǎn)程配置、甚至應(yīng)用安全網(wǎng)關(guān)中廣泛涉及。由于缺乏在光天化日之下的考驗(yàn)，缺乏與***者的共同進(jìn)化，封閉網(wǎng)絡(luò)存在的安全漏洞與開放網(wǎng)絡(luò)相比一定過之而無不及。

因此，對(duì)于封閉網(wǎng)絡(luò)的安全，首先需要有可控的“邪惡”力量對(duì)其內(nèi)部進(jìn)行***性測(cè)試，就像貓和老鼠的共同進(jìn)化一樣，封閉網(wǎng)絡(luò)的防護(hù)也不能沒有“天敵”。至少，封閉網(wǎng)絡(luò)應(yīng)該對(duì)照已公開的漏洞，對(duì)其進(jìn)行彌補(bǔ)，這是封閉網(wǎng)絡(luò)安全的底線。遺憾的是，現(xiàn)實(shí)中，有的封閉網(wǎng)絡(luò)可能連這條底線都無法滿足，卻要追求所謂的“自主可控”，殊不知，缺乏審查和考驗(yàn)的私有設(shè)計(jì)更不值得信任。

除了在威脅發(fā)作第一時(shí)間打補(bǔ)丁、堵漏洞、升級(jí)特征庫(kù)以外，封閉網(wǎng)絡(luò)的安全還應(yīng)該注重基于白名單的控制方式，如對(duì)用戶進(jìn)行認(rèn)證授權(quán)、對(duì)終端進(jìn)行準(zhǔn)入控制、對(duì)應(yīng)用進(jìn)行分發(fā)管理......，非白即黑，沒被允許的即默認(rèn)禁止。這也是許多封閉網(wǎng)絡(luò)通常所采用的。然而，這里面仍然存在著兩大難題。首先是白名單的管理問題，終端和用戶的白名單尚可解決，難得的是應(yīng)用，現(xiàn)代操作系統(tǒng)之上的應(yīng)用可謂汗牛充棟，一旦封閉網(wǎng)絡(luò)的規(guī)模和用戶大到一定程度，幾乎無法對(duì)應(yīng)用實(shí)施白名單，這也不是技術(shù)上的難題，難得是安全與業(yè)務(wù)可用的平衡。更難的還是白名單的判斷問題，何為白？合法用戶、合法終端、合法應(yīng)用真的就值得信任嗎？一次判斷以后是否就可以高枕無憂，這里的關(guān)鍵還在與對(duì)其異常的持續(xù)檢測(cè)，內(nèi)部人員作惡、合法終端和應(yīng)用帶有的0day，特別是在APT的大背景下，高價(jià)值的封閉網(wǎng)絡(luò)幾乎難以幸免***，這更需要對(duì)在封閉網(wǎng)絡(luò)中獲取各種信息進(jìn)行精準(zhǔn)分析。DARPA的主動(dòng)認(rèn)證項(xiàng)目根據(jù)用戶內(nèi)部網(wǎng)絡(luò)中的行為如敲鍵方式、軟件操作習(xí)慣、甚至在面對(duì)異常時(shí)的反映來對(duì)用戶進(jìn)行持續(xù)的認(rèn)證，甚至有望取代CAC認(rèn)證卡和口令，這應(yīng)該是封閉網(wǎng)絡(luò)安全的發(fā)展方向。

最后，由于漏洞總是客觀存在，封閉網(wǎng)絡(luò)作為高價(jià)值目標(biāo)，難以做到防護(hù)的萬無一失，轉(zhuǎn)而應(yīng)該借鑒可靠性的一些設(shè)計(jì)思想，瞄準(zhǔn)在遭受***后關(guān)鍵業(yè)務(wù)仍然可用為目標(biāo)，Mitre將這方面的設(shè)計(jì)思想稱之為網(wǎng)絡(luò)空間彈性Cyber Resiliency。冗余、跳變、關(guān)鍵系統(tǒng)的分割、沙盒、對(duì)***的重定向、非持續(xù)的提供服務(wù)，都是具體的彈性機(jī)制。這方面的研究且聽下回分解。

名稱欄目：論封閉網(wǎng)絡(luò)的安全
URL鏈接：http://m.rwnh.cn/article32/gspesc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、網(wǎng)站維護(hù)、動(dòng)態(tài)網(wǎng)站、電子商務(wù)、網(wǎng)站排名、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)