您现在所在位置:主页 > 高防cdn >

网站安全防护_cdn防御是什么_零元试用

更新时间:2021-05-05

网站安全防护_cdn防御是什么_零元试用

在本系列的第一部分中,我们已经了解了物联网/物联网世界中迫在眉睫的风险,我们需要做些什么;介绍了典型的C-I-A三元组;以及"开放"的概念。现在,我们继续为安全系统设计和开发概念添加几个关键点:安全系统|软件开发生命周期对于每个(新)系统,遵循安全编码原则(输入验证、输出净化、安全错误处理、身份验证和授权、安全会话管理、安全通信、安全资源管理、安全存储、安全日志记录、安全监控),使用定义的和广泛接受的标准,不要重复发明轮子。你应该遵循一个清晰定义的模型/框架,以确保你正在处理需求规范、开发、实现和测试等,所有这些都是通过行之有效的方法,并遵循过程来防止错误、失败和捷径。有关安全性的设计方法,ddos国外防御比较好的,另请参阅我的书《我要去哪里》更详细一点。访问尽管访问控制卡有了这么多年和几代人,但物理安全访问和逻辑安全访问之间仍然缺乏真正的集成。对于物联网/IoE世界,我真的希望看到一个完全集成的、智能的、主动设计的访问控制系统,允许一次性认证和全时授权。示例:假设我在我的车和我的移动设备之间建立了一种相互信任的关系(当然,我希望这个关系尽可能安全)。当我用我的手机进行身份验证后,我的"汽车应用程序"会自动对汽车进行身份验证,然后打开车门。这种集成的双因素/单点登录方法非常方便用户。这样做的问题是我手机的黑客也能访问我的车(反之亦然)。所以,在启动引擎并开车离开之前,ddos防御防护设备,请先添加语音识别或其他生物识别因素(对于那些认为这比今天更危险的人来说——想象一下有人偷了/克隆了你的车钥匙而不是你的手机……同样的问题)。我在这里的主要观点是,访问应该是集成的,而不是(真正的)所有者/用户的障碍,但是要确保对黑客攻击/滥用的控制是强大的。如果移动设备被列在丢失设备列表中(这个过程也必须是防篡改的)–那么移动设备和汽车之间的信任关系就不再有效了。它类似于PKI(公钥基础设施)场景中带有证书的CRL(证书吊销列表)。身份验证正如上面的(car)访问示例所述,由于集成物联网世界的内在风险,具有非常强的身份验证是关键。多因素身份验证应至少包含每种主要类别中的一种:你知道的东西,比如密码或复杂的密码;你所拥有的东西,比如移动设备、代币或汽车,它们相互建立(授权)信任关系;你是什么,像声音,虹膜,手几何等等(也被称为"内在的")重要的是要防止容易的错误行为/攻击,这样只有授权的所有者才能够创建(遵循安全流程)互信关系("学习过程")。因此,我应该能够录制/授权我的搭档(等等)的声音,以及他们的移动设备(等等)。然而,拥有者必须是这种"信任津贴"的执行者和授权者。在这样做时,在每个纠缠设备中授予信任之前,应该使用一个专门的附加认证密钥短语,该密钥仅用于此特殊任务。授权由于IoE设备的授权将是无止境的,所以有一个强大的授权(和认证,见上文)方案是关键。因此,明确定义的所有者(系统所有者)是授予授权和信任关系的人。重要的是要执行"需要知道"、"最少特权"和"唯一ID"的原则。在上面的汽车示例中,只有真正的车主需要知道超级用户PIN(用于信任授予/学习过程)–即"需要知道"。但当车主只想驾驶自己的汽车时,他/她将永远无法使用授权和身份验证对的超级用户PIN码,但只是"授权驾驶员PIN码",即"最低权限"最后,这些ID是不同的,并且每个授权驾驶员都应该有他/她自己的唯一ID来驾驶汽车。一个人永远不应该需要与另一个人共享PIN码,这就是"唯一ID"原则。另外,考虑到制造商及其更改/覆盖授权的能力…如果掌握在错误的人手中,可能会有大量的滥用。因此,要有强有力的流程,使用串联密钥的6眼认证(因此没有一个人拥有完整的密钥/PIN以防止盗窃等),并为此类情况建立强有力的审计/监督机制。可能需要一个"guest"用户-应该没有默认的pin,而不是以前的错误假设或开放系统-让我们从过去的错误中吸取教训。客座司机(比如当你生病/喝醉等情况下开车送你回家的朋友或汽车修理厂的技工)应该在使用、地点和时间范围上受到限制。会计对自己所采取的行动负责是个好主意。如果有可能的话,这些收费站都可以用来监控车辆的使用情况。同样重要的是要有强有力的变更管理控制(考虑类似于It中的ITIL流程),因此,无论何时(由机械师、业主或其他人)更改参数,都应清楚地说明这一点并保持其耐温性。不可抵赖性所有IoT/IoE设备的另一个重要功能应该是明确定义的不可抵赖性方法,它可以利用带有私钥的证书,就像今天用于数字签名一样——它将成为一个自动的、透明的集成过程,创建对所采取行动的清晰跟踪。不仅设备的IP地址被记录和(也许)被监视,而且有足够的数字证据证明所采取的行动是不可否认的。这可以很好地包括时间/时区、位置,以及可能靠近的其他设备(例如在事故情况下)。很明显,内网ddos攻击防御,以前被称为"肇事逃逸"的事故不会再发生了(也许你可以逃跑,但你会被归因于它)。在人身安全和执法方面有了一点小小的改善。不过,不要过分夸大这一点,因为监视州制度不是有意的,阿里最大防御ddos,所以要与隐私要求保持平衡(见下文)。重要的是,创建、分配、存储、失效、更新等所需证书的过程必须是防篡改的、健壮的、自动化的、对用户透明的(但是,当然,可访问和可验证的)。到目前为止,还不错。在本系列文章的下一部分和最后一部分,我们将讨论隐私、非双重用途、测试、默认设置和人为覆盖等重要概念,并以一个重要的前景声明结束,作为一个全球社区,我们必须解决这个问题,以使总体上更加安全和安全。 

关于作者:Michael Oberlaender拥有广泛的、全球性的,拥有不同行业和市场的多元化背景,拥有27年的IT从业经验(包括17年以上的全职安全工作经验),对IT和安全战略非常关注。迈克尔是全球公认的思想领袖、著书人("C(I)SO–Now What?"),出版人,并为安全杂志撰写了大量文章,还经常在安全会议上发言、讨论和主持人。他拥有德国海德堡大学的科学(物理)硕士学位。他是(ISC)²、ISCA、ISSA和InfraGard(FBI)的成员

迈克尔目前担任美国、加拿大和英国一家大型公司的首席信息安全官。他表达的声明和意见是他自己的,不反映任何当前或以前的雇主或客户。想了解更多关于迈克尔的书《C(I)SO——现在呢,单击此处。你也可以在Twitter上关注迈克尔,在LinkedIn上联系他。编者按:在这篇客座作者文章中表达的观点只是作者的观点,高防ip和cdn,并不一定反映Tripwire公司的观点。