摘要:互联网安全正处于危机中。本文中,我们将为您提供四项切实可行的解决方案建议——包括一套自上而下的改变互联网运作的全方位的计划。
现如今,互联网可以说是无处不在。从我们手中的各种移动设备到我们工作所使用的电脑的互联,我们无时无刻不是生活和工作在其中的。但不幸的是,我们在线工作生活在安全保障方面并不充分。任何坚定的黑客都可以窃听到我们说过什么,并通过模仿冒充我们,执行各种网络恶意活动。
很显然,我们对于互联网的安全亟待需要进行反思了。而通过对全球通信平台进行翻新改造,来加装安全和隐私控制的确是不容易的,但却很少有人会否认这是绝对必要的。
为什么要这样做?是我们的互联网建设得不好吗?然而并不是,仅仅只是因为互联网是专为一个乌托邦的世界而设计建造的,在这样一个乌托邦的世界里面,您可以信任任何人。当互联网的发展刚刚起步时,其往往被用学术界和研究人员等可信方之间进行的沟通,彼时,未实施很好的信任关系或者通信不安全并不重要。但到了今天,互联网的安全已经很重要了,其会涉及到数据泄露,用户身份被盗窃,以及其他一些网络安全事故,并且已经达到了相当危机令人堪忧的地步了。
而企业组织为了应对当前的互联网形势、及网络罪犯分子所带来的各种挑战,往往采取了一系列的企业网络安全管理措施,但他们所采取的管理措施往往是各种不完全措施的拼凑和大杂烩,故而在实际运作中也不怎么奏效。企业组织所真正需要的是新型的、有效的信任和安全管理机制。
如下,是几点或将有助于您企业组织打造一套安全有效的企业互联网安全管理措施的建议。这些建议都不是一套完整的解决方案,但如果能够在您所在的企业组织获得充分的部署实施的话,相信每一条建议都可以让您企业的互联网变得更安全。
1、获得对于流量路由的真正了解
国际互联网协会(Internet Society,简称ISOC),是一家国际性的非盈利性组织,该组织机构专注于互联网标准、教育和政策,推出了一项名为MANRS的倡议(即,路由安全性的相互商定规范,Mutually Agreed Norms for Routing Security)。基于MANRS的倡议,网络运营商会员——主要的互联网服务提供商(ISP)们将致力于实现互联网安全控制,以确保不正确的路由器信息不会通过其网络进行传播。该倡议是基于现有行业的最佳实践方案,包括定义明确的路由策略、源地址验证、并部署反欺骗过滤器。在工作中遵循一套“当前最佳操作实践方法”文档。
“每一家签署了MANRS倡议的ISP都从自身的网络方面大大减少了互联网危险。”,Micro Focus公司安全战略高级总监杰夫·韦伯表示说。
其网络101:数据包必须到达其预定的目的地,而数据包是通过怎样的路径达到该预定目的地的也同样十分重要。例如,如果加拿大的某个用户正在试图访问Facebook,那么他或她的通信流量在到达Facebook的服务器之前,不应该经过中国。近日,一个IP地址属于美国的海军陆战队的流量被临时改道通过了委内瑞拉的一家ISP。如果网站的流量没有获得HTTPS保护,这些在意想不到的任何路径的绕道会将用户活动的细节暴露给任何人。
网络攻击者还会借助简单的路由技巧来隐藏他们原始的网络IP地址。广泛实施的用户数据报协议(UDP)特别容易受到源地址欺骗,让攻击者发送似乎来自另一个IP地址的数据包。 分布式拒绝服务攻击和其他恶意攻击很难被发现追查到,因为攻击者发送请求是采用的欺骗性的地址,并且转至伪造的地址,而不是实际的起始地址,进行响应。
当网络攻击是针对基于UDP的服务器,如DNS、组播DNS(multicast DNS)、网络时间协议、简单服务器发现协议,或简单网络管理协议时,其影响将被放大。
许多ISP都没有意识到不同的攻击正在利用常见的路由问题。尽管一些路由问题可以被归咎于人为操作错误,但其他的都是来自于直接的攻击,而ISP们需要学习如何识别潜在问题,并采取措施进行解决。“互联网服务供应商必须对它们的路由流量负担起更多的责任。”韦伯说。“很多用户都很容易受到网络攻击。”
当国际互联网协会于2014年刚刚推出该项MANRS倡议时,有九家自愿参与该倡议计划的网络运营商;而到了现在,其会员数量已经超过40家了。而MANRS这一倡议想要有所作为的话,需要进一步扩大规模,以便可以影响市场。而那些因为怕麻烦决定不遵循该安全建议的互联网服务供应商可能会发现他们会丢掉生意,因为客户将与那些兼容MANRS倡议的互联网服务供应商签署合作协议。或者更小规模的ISP们可能面临来自上游的较大型的供应商拒绝执行他们的流量的压力, 除非他们能够证明他们已经采取适当的安全措施。
如果MANRS能够成为所有互联网服务供应商和网络运营商事实上的标准,那将是极好的。但分散的安全社区仍然不够好。 “如果您要求每家企业组织都这样做,这是永远也不会发生的。”韦伯说。
(责任编辑:安博涛)
