安全热点问题

安全热点问题

  • 1.DDOS
  • 2.补丁管理
  • 3.堡垒机管理
  • 4.加密机管理

1.DDOS

分布式拒绝服务攻击,是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络,向目标发送大量看似合法的请求,从而占用大量网络资源使网络瘫痪,阻止用户对网络资源的正常访问

DDoS攻击技术包括:常见的流量直接攻击(如SYN/ACK/ICMP/UDP FLOOD),利用特定应用或协议进行反射型的流量攻击(如NTP/DNS/SSDP反射攻击),基于应用的CC、慢速HTTP等

DDoS防御常规套路:

1、本地设备清洗

抗DDoS设备(业内习惯称ADS设备)一般以盒子的形式部署在网络出口处,可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引,其基本部署方案如图:

检测设备对镜像过来的流量进行分析,检测到DDoS攻击后通知清洗设备,清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备,然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中;当检测设备检测到DDoS攻击停止后,会通知清洗设备停止流量牵引

将ADS设备部署在本地,企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击,同时结合盒子提供的可定制化策略和服务,方便有一定经验的企业用户对攻击报文进行分析,定制针对性的防御策略。目前国内市场上,主要以绿盟的黑洞为代表

本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时,即使ADS设备处理性能够,也无法解决这个问题

2、运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时,往往需要借助运营商的能力了,紧急扩容或者开启清洗服务是一般做法,前提是要采购相应的清洗服务。而且一般需要通过电话或邮件确认,有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击,而且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等,真正攻击到来时处理可能会更慢,需要重点关注。

中国电信的云堤服务,提供了“流量压制”和“近源清洗”服务,而且还提供了自助平台供用户操作,查看流量、开启清洗也非常方便

3、云清洗

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度,但是由于分布式、就近访问的特点,能对攻击流量进行稀释,因此,一些传统CDN厂商除了提供云加速功能外,也开始推出云清洗的服务,基本原理是:

  1. 在 CDN 或 DDoS 防护服务的云端,事先配置好一个 专门用于防御的域名解析记录,这个记录可以指向某个防护节点。这些节点配备了大量的带宽和强大的过滤、清洗能力,能够识别并阻挡恶意流量
  2. 当企业网站遭遇大规模攻击时,为了防止攻击直接打到原始服务器,企业会 修改其域名的 DNS 记录,将域名的 CNAME(别名)记录 指向 CDN 防护的节点
  3. 当 DNS 解析生效后,所有访问该企业网站的流量都会被重定向到 CDN 或云清洗服务的节点,而不是直接访问企业的原始服务器

使用云清洗需要注意以下几个问题:

  1. 云清洗厂商需要提前配置好相应记录
  2. DNS修改记录后,需要等待TTL超时才生效
  3. 直接针对源IP的攻击,无法使用云清洗防护,还要依靠本地和运营商清冼
  4. 针对HTTPS网站的防御,还涉及HTTPS证书,由此带来的数据安全风险需要考虑,市面上也有相应的Keyless方案

4、自动化平台

金融企业由于高可用要求,往往会有多个数据中心,一个数据中心还会接入多家运营商线路,通过广域网负载均衡系统对用户的访问进行调度,使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时,能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。为了实现快速切换,需要通过自动化运维平台来实现。当某一个业务的IP受到攻击时,可以针对性地处置,比如一键停用,让正常用户访问其他IP;也可以一键开启清洗服务

5、更多优化

  • 某些产品在开启日志记录模块后会存在极严重的性能消耗,在可能存在攻击的环境内建议关闭
  • 建议当存在大量TCP、UDP新建连接时,防火墙的最大连接数越大越好
  • 多测试多对比,从对比中可以发现更优的方案,通过适当的调整优化引入更优方案
  • 监控防火墙CPU和连接数,当超过一定值时开始着手优化规则,将访问量多的规则前移、减少规则数目等都是手段
  • 建议在不事先通知的情况下进行演练,观察这中间的问题并做好记录,待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。

2.补丁管理

1、Windows

微软从2003年10月开始引入了著名的“Patch Tuesday”的概念,即把过去一个月内的安全补丁累积起来,到了下一个月的第二个星期二集中发布,这样可以让系统管理员在固定的时间点来查看有哪些补丁发布了,并决定是否要安装这些补丁。

微软提供两种安全补丁服务:一种是基于推送的付费服务SCCM;另一种是免费的可自动下载的补丁下载服务WSUS

以使用WSUS的企业为例,企业外网的WSUS指向微软网站,所有Windows更新都集中下载到内部网的WSUS服务器,而网络中的客户机通过WSUS服务器得到更新。这里有两个前提条件:一是补丁经过管理员的批准;二是客户机配置了WSUS指向企业内部WSUS服务器。这样的补丁升级方式,在很大程度上节省了网络资源,并且提高了内部网络中计算机更新的效率。

配置WSUS,网上的教程大都是通过修改注册表的方式来实现,如果企业部署了活动目录,可以使用组策略功能进行统一配置

补丁管理有以下建议:

  1. 补丁在允许更新前的测试、验证工作需要谨慎,以防出现诸如蓝屏、进程崩溃、与现有常用软件冲突等问题
  2. 办公、业务网的升级机制需要错开,比如办公网打补丁一周后再为业务网打补丁,防止出现可用性问题
  3. 有可用性要求的机器,在打补丁前做好意外情况下的准备工作,一旦有问题可以通过快照、快速部署等方式恢复业务,这一点需要依赖企业可用性建设方面的能力
  4. 不是所有补丁都需要打,优先处理安全类补丁,其他功能增强型的补丁可以不打
  5. 重启才能生效的补丁遇到涉及可用性的机器,需要使用“灰度”策略,在其他安全控制措施有效的情况下可以适当延后
  6. 采用漏洞扫描的方式跟进补丁情况,需要由专人负责这方面的工作,针对长久未打补丁的需要有相应的事件升级机制
  7. 必要时可以借助外部力量来推动相关工作,比如请审计相关同事重点关注某些执行不到位的分支机构或部门

2、Linux

Linux在安装软件的过程中涉及很多依赖性问题,所以一般正常情况下安装软件都是到yum源或apt源上。在内网不方便访问互联网的情况下,一般企业都会搭建内部的yum或apt源,以供内部Linux机器使用。在打补丁这个场合,也能用上。

使用yum update更新时,一般不建议升级内核,因为升级内核可能会带来意想不到的一些问题,比如PHP应用无法使用、硬件无法识别等,除非已经对升级内核进行了充分测试。升级内核后,要确保下次启动时使用新内核,默认情况下新安装的内核会排在第一位,如无特殊要求不应该修改grub引导配置文件

针对应用的补丁,也需要看漏洞是否真的有比较大的影响,如远程执行、本地提权等。原则上致命级别的漏洞应该立即更新;对于bug修复类补丁,如果涉及的模块涉足BUG触发条件应及时更新,其他情况则延后,比如一个月内更新;而功能增强型补丁则更延后,比如建议每6个月更新一次等。

当外界披露了某个应用存在高危漏洞,如果想快速修复漏洞,需要有个前提—如何确定哪些机器上有相应的应用及受影响的版本。安全人员的第一反应是漏洞扫描发现,但有些漏洞仅靠扫描器是发现不了的,所以这里往往又涉及企业资产管理或运维自动化方面的能力了。做得好的企业,会有一套系统用于快速查询哪些服务器运行了哪些特定的软件,以及软件的版本号,最好还能执行一些简单的指令,比如升级特定的软件,那打补丁就方便多了。


3.堡垒机管理

1、用户与权限管理

堡垒机的用户一般分为:系统管理员、业务或开发人员、外包人员,以及值班或应急公用账号。不同的用户,建议有不同的认证等级或启停控制

用户认证通过后,所能登录的设备以及登录设备的用户权限也需要进行统一规划和管理

以上过程中涉及账号启停的,最好实现一键化、自动化,即ITIL提单审批后,账号自动开启;系统管理员给外包人员开启账号时也是一键开启;给开发或业务人员授权的,也可以做成一键自动提权,否则太繁琐了不太容易执行。

最后,人员变动特别是员工离职,除了进行账号与权限清理外,还需要有自动化的对比机制,比如,账号每天自动与HR或AD等系统对比,若发现问题及时报警处置,防止因工作疏忽导致的离职员工账号未清理类审计问题。

2、机器纳管与口令变更

一台机器,需要经过哪些流程才允许上线?上线前扫描、被堡垒机纳管、采集安全日志等都是必要的。

堡垒机纳管设备,除了登记IP、机器名、所属业务系统、负责人等之外,一般还要求上收用户账号与口令。口令上收后,可以实现自动登录,无须用户再输入账号密码了。堡垒机有了账号口令,便可以进行自动化的口令变更,按照一定的规则生成复杂密码,然后定期修改口令。

为了防止堡垒机出问题而无法登录,或者因堡垒机变更密码导致系统无法登录,一般都会保留一个应急账号,密码保存在堡垒机里,当需要取出时提单申请打印密码信封即可。当有打印密码信封事件触发时,安全人员会审核是否正常。

3、高可用架构与设计

一般堡垒机分为访问服务器和后台服务器,访问服务器主要负责将用户的登录请求转接到后台(比如RDP和SSH),而后台服务器则保存用户权限、主机用户密码等相关信息。

这两部分都需要做好高可用架构设计。数据库的高可用(如Oracle的RAC,MySQL的主从复制读写分离等)都有成熟的技术,访问服务器则可以借助类似F5或LVS的技术实现负载均衡,由于涉及会话连接等,需要注意会话保持相关的设置。有些做得好的应用,甚至会将一些后台权限、设备口令等信息通过加密缓存到访问服务器上,这样即使整个后台服务全挂了,也能让已有用户正常登录,只是新用户、新设备等无法管理。

4、应急通道与绕过发现

为了防止出现堡垒机彻底用不了的情况,企业一般都会保留应急通道,比如允许固定的机器访问固定的管理服务器等。

有的管理员会尝试绕过堡垒机,比如将RDP或SSH端口监听放在别的端口,这样在网络防火墙会存在绕过的情况,绕过堡垒机就缺乏监管,管理员在目标机器上的操作也无法审计。

针对这种情况,可以利用下一代防火墙基于应用协议做规则,也可以使用事后监测手段。在终端上监测远程桌面、SecureCRT等进程的网络访问情况,也可以在网络上使用异常访问检测系统监测触发RDP和SSH协议的目标端口是否为正常端口


4.加密机管理

通常我们把金融数据密码机简称为加密机

1、高可用架构

设置部署位置按业务的重要程度不同而不同,重要业务系统往往同时部署在多数据中心,那配套的加密机也要与之相应。同一个数据中心,加密机要分布在不同楼层、不同网段,如果在同一个楼层,要分开部署在不同的防火区。

应用连接基本分为应用直连、应用连接加密机池VIP两种模式;在连接方式上有长连接、短连接之分

1️⃣ 应用直连

在这种模式下,应用直接与加密机建立连接,不经过任何中间负载均衡设备。应用自身负责探测加密机的状态并进行负载均衡。如果某台加密机出现故障,应用必须识别并将其隔离,确保新的交易不再被发送到故障加密机。这种方式的灵活性较高,但要求应用具有一定的负载均衡和故障检测能力

2️⃣ 加密机池 VIP 模式

这里指的是通过一个 负载均衡设备(例如使用 VIP,虚拟 IP 地址)来统一管理多个加密机的连接。应用不直接连接到加密机,而是连接到负载均衡器,负载均衡器根据加密机的状态进行流量分发。负载均衡器通过应用级探测模拟应用请求来检查加密机的健康状态,如果某台加密机返回异常,负载均衡器会自动隔离它,避免将新请求发送到该加密机。相比应用直连,这种方式可以减少应用的复杂度,但依赖负载均衡器的配置和能力

有些厂商提供了一个统一管理平台,作为一个中间层,所有业务系统都连接到这个平台,平台再把请求转发给后端的加密机。这种设计类似于代理,起到了集中的管理和调度作用

2、加密机监控

对于像加密机这种特殊设备,单纯的网络层探测(如 Ping 或 TCP 端口)可能不足以全面反映其运行状态。因此,建议深入到应用层进行更精细的监测

除了传统的设备层探测外,监控设备的可用性还应该从 网络流量业务交易量 的角度进行监控。具体方法如下:

  • 通过监控网络设备的流量,可以发现潜在的异常,比如连接数的突然增加或减少,这往往是问题的征兆。举例来说,短连接的业务在负载均衡设备(如 F5)上,正常情况下连接数应该很少或接近 0。若某业务上线后发现连接数增加,可能是因为开发时创建了连接但没有及时释放,导致连接泄漏
  • 业务的高峰低谷在日常运行中是有规律的,可以通过历史数据设定业务交易量的上下限阈值。当交易量、响应率、响应时间或成功率等指标出现偏离时,可以作为辅助判断系统是否存在问题

3、上下线与应急

上线和下线是相对比较基础的工作,需要注意的是加密机管理员和密钥管理员须严格区分。很多业务往往是上线容易下线难,这就需要各种沟通协调工作了,同时还需要配合技术上的监控。比如,某开发组说应用不再连这个加密机了,管理员在下线前还需要确认是否除了监控探测外,真的没有流量再访问该加密机,否则可能会出现可用性事件。下线的设备可能还要走相应的报废流程,一定要对密钥进行销毁。

可用性架构做得好的企业,单台加密机出故障不会使业务受影响。基本的应急操作都是重启,有些时候担心重启过程有影响,可以在F5上将设备Disable或者机房拔掉网线,重启确认没问题再插上。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/880156.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

TMStarget学习——T1 Segmentation数据处理及解bug

最新学习季公俊老师的神器 TMStarget 的第一个模块基于结构像的靶区计算T1 segmentation。下面上步骤: (1)在github 上下载 TMStarget https://github.com/jigongjun/Neuroimaging-and-Neuromodulation (2)按照要求下载依赖工具软件AFQ、vistasoft、SPM12 &#…

OpenAI o1团队突破性论文:『过程推理』中数学推理能力大幅提升,从正确中学习的新方法

原创 超 近年来,大型语言模型(LLMs)在复杂的多步推理任务中取得了令人瞩目的进展。这些模型能够生成逐步的思维链,解决从小学数学到高等微积分的各种问题。然而,即使是最先进的模型也常常陷入逻辑陷阱,产生看似合理但实际错误的推…

1.3 计算机网络的分类

欢迎大家订阅【计算机网络】学习专栏,开启你的计算机网络学习之旅! 文章目录 前言一、按分布范围分类二、按传输技术分类三、按拓扑结构分类四、按使用者分类五、按传输介质分类 前言 计算机网络根据不同的标准可以被分为多种类型,本章从分布…

QT----基于QML的计时器

赶上了实习的末班车,现在在做QML开发,第一天的学习成果,一个计时器.逻辑挺简单的,纯QML实现,代码在仓库QT-Timer 学习使用c的listmodel 学习使用了如何用c的listmodel来存储数据. 新建一个TImeListModel类继承自QAbstractListModel class TimeListModel : public QAbstrac…

STM32CUBEIDE FreeRTOS操作教程(五):mutex互斥信号量

STM32CUBEIDE FreeRTOS操作教程(五):mutex互斥信号量 STM32CUBE开发环境集成了STM32 HAL库进行FreeRTOS配置和开发的组件,不需要用户自己进行FreeRTOS的移植。这里介绍最简化的用户操作类应用教程。以STM32F401RCT6开发板为例&am…

蓝牙技术|详谈蓝牙信道探测技术,可实现厘米级精准定位

2024年9月5日,蓝牙技术联盟发布蓝牙6.0核心规范。相比此前各版本,蓝牙核心规范6.0版的主要创新和新功能包括:支持蓝牙信道探测、同步适配层增强、LL扩展功能和 帧空间更新。 蓝牙信道探测 市场上已经有不少高精度定位技术了,像 …

ToF传感器更新

我们最近改进了 ToF 解码管道(固件)和 ToF 工厂校准,该校准已应用于我们最新的带有 ToF 相机的OAK-D-SR-PoE 1. 点云 这是直接来自摄像机的原始点云(没有应用任何后处理过滤器)。 2. ToF 精度 (ToF 深度误差…

界面控件Telerik UI for WinForms 2024 Q3概览 - 支持合并单元格等

Telerik UI for WinForms拥有适用Windows Forms的110多个令人惊叹的UI控件。所有的UI for WinForms控件都具有完整的主题支持,可以轻松地帮助开发人员在桌面和平板电脑应用程序提供一致美观的下一代用户体验。 本文将介绍界面组件Telerik UI for WinForms在今年第一…

3d可视化图片:通过原图和深度图实现

1、depthy 在线体验demo: https://depthy.stamina.pl/#/ 也可以docker安装上面服务: docker run --rm -t -i -p 9000:9000 ndahlquist/depthy http://localhost:90001)首先传原图 2)再传对应深度图 3)效果 </ifra

Linux ubuntu debian系统安装UFW防火墙图形化工具GUFW

GUFW是UFW的图形化前端&#xff0c;可以通过以下命令安装&#xff1a; sudo apt install gufw安装成功后&#xff0c;可以通过应用程序菜单启动GUFW&#xff0c;在图形界面中&#xff0c;可以方便地添加、修改和删除规则&#xff0c;查看状态和日志。

分布式系统的概念与设计模式

概念 定义&#xff1a;分布式系统是指将数据和计算任务分散到多个独立的计算机上&#xff0c;这些计算机通过网络进行通信和协作&#xff0c;共同对外提供服务。分布式系统不仅提高了系统的可靠性和可扩展性&#xff0c;还增强了系统的并发处理能力和数据管理能力。 特点&…

【操作系统强化】王道强化一轮笔记

第一章 计算机系统概述 考点1 操作系统的概念、特征和功能 1. 2. 考点2 内核态与用户态 1. 2.用户态和内核态之间的切换本质上就是应用程序和操作系统对CPU控制器的切换 考点3 中断和异常 1. 2. 考点4 系统调用 1. 2. 3.C 考点5 操作系统引导 1. 2. ①磁盘的物理格式化&…

React-Native 中使用 react-native-image-crop-picker 在华为手机上不能正常使用拍照功能

背景: React-Native 0.66 中使用 react-native-image-crop-picker 在安卓 华为手机上不能正常使用拍照功能, 其他品牌正常 代码如下: import ImagePicker from react-native-image-crop-picker;ImagePicker.openCamera(photoOptions).then(image > {callback(image);}) …

库仑定律-库仑力-两个电荷之间静电力的计算公式

图中&#xff1a; q1&#xff0c;q2 为两个电荷r 为电荷间的距离 r ^ 1 , 2 \widehat{r}_{1,2} r 1,2​ 为从 q1 指向 q2 的单位向量 F ⃗ 1 , 2 \vec{F}_{1,2} F 1,2​ 为 q1 施加到 q2 上的静电力 公式&#xff1a; F ⃗ 1 , 2 q 1 q 2 K r 2 r ^ 1 , 2 \vec{F}_{1,2} \f…

七种修复错误:由于找不到msvcr110.dll 无法继续执行的方法

当你在运行某些程序时遇到“找不到msvcr110.dll”的错误提示&#xff0c;这通常意味着你的系统缺少了Microsoft Visual C 2012 Redistributable包中的一个重要文件。这个DLL文件是Microsoft Visual C Redistributable的一部分&#xff0c;用于支持许多使用Visual C编写的软件和…

Tornado 是一个 Python 异步网络库和 web 框架

Tornado 是一个 Python 异步网络库和 web 框架&#xff0c;它最初由 FriendFeed 开发&#xff0c;后来被 Facebook 收购并开源。Tornado 因其非阻塞的 I/O 操作和优秀的性能而广受欢迎&#xff0c;特别是在需要处理大量并发连接的应用中。Tornado 的底层实现主要依赖于 Python …

【软件测试】如何设计测试用例? 设计测试用例常用的方法.

目录 一.什么是测试用例?二.总体设计测试用例的万能公式.2.1 功能性能界面兼容易用安全2.2 弱网测试2.3 安装卸载测试. 三. 常用设计具体测试用例的方法3.1 等价类3.2 边界值3.3 正交法3.3.1 正交表3.3.2 如何设计正交表,并根据正交表编写测试用例 3.4 判定表法3.4.1 根据判定…

《Nginx核心技术》第18章:基于主从模式搭建Nginx+Keepalived双机热备环境

作者&#xff1a;冰河 星球&#xff1a;http://m6z.cn/6aeFbs 博客&#xff1a;https://binghe.gitcode.host 文章汇总&#xff1a;https://binghe.gitcode.host/md/all/all.html 星球项目地址&#xff1a;https://binghe.gitcode.host/md/zsxq/introduce.html 沉淀&#xff0c…

光子架与电子架 -- 光子架与电子架

电子架 指插放交叉板、OTU单板、支/线路板、保护类单板的子架。 在通用型平台子架和平台子架中如果仅插放OTU单板&#xff08;非中继模式&#xff09;视为电子架。光电混合的子架视为电子架。 电子架主要实现将客户侧信号转换成标准波长的光信号&#xff0c;供光子架调度。 光子…

p18 docker镜像原理之联合文件系统,p19 docker镜像分层的理解

镜像是什么 镜像其实就是一种轻量级的&#xff0c;可执行的一种软件包&#xff0c;用来打包基于环境开发的软件&#xff0c;里面可以包括代码&#xff0c;环境&#xff0c;数据库&#xff0c;配置文件等信息 如何得到镜像&#xff1f; 可以从镜像仓库下载比方说dockerhub 比…