寫在最前:
安全產品系列目錄:目錄&總述
後記
移動/雲/大數據/工控 這四方面安全產品,並沒有單獨寫,因爲產品可能原理不同,但效果類似。除了工控外三種各廠商有同類產品的都會做一些。關於工控方面,有專門做工控的廠商,一般大廠也會做一些工控產品。工業安全需要重視,雖然目前只有3起對工業的攻擊(震網、烏克蘭電網、阿拉伯油田),但都差點或已經造成了嚴重後果
這個系列先更新至此,後續可能稍有修改,但框架大概如此。
若您覺得有必要添加的產品也可以聯繫我補充。
雜談
安全對抗其實是資本對抗,提高攻擊成本纔是防護的目的。
挑選產品並不是越貴,性能越高越好,需要考慮被保護對象的價值。
100W的保險箱裏放20塊錢_(:з」∠)_
也不是越多越好,便利性是安全的基礎 很多東西不是最好的,卻是當時最好用的
可以把安全產品比作裝備,有套裝,但套裝不一定有散搭好用,
多一件裝備就多一點防禦,總會有重點屬性(網絡,保密…),不同職業(保護對象)用不同裝備,負重的上限值就是便利性與安全性的平衡點。沒到,屬性就沒到最高值;超了,就會影響速度
很多產品都差不多,可能有些側重點不同,有些設備需要保證性能,做成硬件,但很多設備有時可以做成軟件但是軟件不好賣,做成硬件放盒子裏就覺得很厲害,能賺錢( ̄▽ ̄)"
個人體驗:安全不好做。同一個公司跨部門都不好乾,跨公司就更不行了,配合太難了。每個人都很忙,有原本自己的工作,何況你做的事可能給他帶來不便,安全經常要犧牲便利性。
就算你部署好了產品,很多攻擊也是擋不住的,人是最薄弱的地方,失誤,無心之舉,被騙,甚至被威脅,利誘。所以就像上面說的 ,提高攻擊成本,保證便利的基礎上儘可能安全這點一定要清楚,最好讓你保護的對象也清楚,問題是一定會出的= ̄ω ̄=
接下來可能會寫關於滲透的?這個量就大了,也不知道什麼時候能寫。就像前兩天開始寫這個產品一樣,也不知道能不能寫完,實際寫起來也沒多少,雖然寫的很籠統…
最後借用一下新看到的康威定律第二條
There is never enough time to do something right, but there is always enough time to do it over。
時間再多一件事情也不可能做的完美,但總有時間做完一件事情。
附註
1. 安全五要素
Confidentiality(保密性) 信息不能被未授權的個人,實體利用或知悉。
Integrity(完整性) 保護信息的準確和完整。
Availability(可用性)保障信息的正常訪問和使用。
Controllability(可控性)
Non-repudiation(不可抵賴性)
2. 安全設計原則
- 木桶原則
木桶的最大容積取決於最短的一塊木板 攻擊者使用的“最易滲透原則”,必然在系統中最薄弱的地方進行攻擊 要提高整個系統的“安全最低點”的安全性能 - 整體性原則
在發生被攻擊、破壞事件的情況下,必須儘可能地快速恢復網絡信息中心的服務,減少損失。因此,信息安全系統應包括安全防護機制、安全監測機制和安全恢復機制,從整體性考慮信息安全保障問題。 - 安全性評價與平衡原則
建立合理的實用安全性與用戶需求評價與平衡體系;正確處理需求、風險與代價的關係;評價信息是否安全,沒有絕對的評判標準和衡量指標,只能決定於系統的用戶需求和具體的應用環境,具體取決於系統的規模和範圍,系統的性質和信息的重要程度。 - 標準化與一致性原則
安全規劃設計必須遵循一系列的標準,這樣才能確保各個分系統的一致性,使整個系統安全地互聯互通、信息共享。 - 技術與管理相結合原則
安全體系是一個複雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。 - 統籌規劃,分佈實施原則
安全防護不可能一步到位;在一個比較全面的安全規劃下,根據網絡的實際需要,先建立基本的安全體系,保證基本的、必須的安全性。 - 等級性原則
等級性原則是指安全層次和安全級別;對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足網絡中不同層次的各種實際需求。 - 動態發展原則
要根據網絡安全的變化不斷調整安全措施,適應新的網絡環境,滿足新的網絡安全需求;規劃網絡與信息安全的可擴展性,嘗試應用新的安全技術。 - 易操作性原則
首先,安全措施需要人爲去完成,如果措施過於複雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。安全措施的採用要合理。