边界网关协议(Border Gateway Protocol)确实起到了不少作用。但是,企业仍旧应该实施一些措施以保证IT路由的安全性。
全球互联网路由表主要是基于信任但需验证的模型而建立的,这不同于早期的互联网,因为那里每一位主干网的工程师本身都是互相认识的。与许多其他的早期应用程序类似,安全并不是边界网关协议(BGP)发展的主要因素。
互联网在过去只是一种主要用于学术研究的通信媒介,它的应用程序和协议都依赖于可信的个人连接,但是它现在已经转换为一种依赖于加密机制的技术,通过加密来保证数据保密性、完整性和身份验证。Telnet大多数时候提供了安全Shell连接方法,而开放邮件(Open Mail)延迟问题也大多已经解决。BGP安全性基本上也有相同的需求,现在有一些标准可以进一步加强信任但需验证策略的“验证”部分。
没有针对全球IP路由的集中授权方法
目前还既没有针对全球IP路由信息的集中授权方法,既没有面向互联网分层路由结构的方法。全球路由表是由互连运营商建立的,他们会向连接方告知自己将通过哪些路由来接收流量。为了实现这个效果,BGP会在路由器之间建立会话,用于交换关于可访问性信息前缀。即使是非ISP的中小型公司也可以应用BGP,它可以帮助他们同时连接多个ISP,同时在供应商之间实现轻松切换。在任意时刻,任何BGP通信端都可以对外发布任意的IP前缀。
与此相反的是公共交换电话网络,它们的路由信息是静态的,并且通过纸质方式或电子方式分发(如微软Access数据库)。只要有过更换电话号码的经历,任何人都能理解BGP的好处。正是这种灵活性加快了互联网的爆炸性增长。这是一个支撑互联网日常运行的基础元素,但是最终用户感觉不到它的存在。这种不可见性在一定程度上解释了为什么BGP抛弃了其他互联网协议和应用程序上的许多安全性改进措施。
BGP或IP寻址协议并没有内置措施可以防止网络发布错误前缀信息。同样,这实际上是一个基于信任的系统,ISP需要自行验证他们的下游用户发布了正确的网络信息。
它必须部署一些过滤器,防止用户发布一个不属于它的网络。但是,这个过程很容易发生错误,因为它基于更新不及时的信息源,如Whois数据库或一组路由注册表——它们都不可靠。即使在***环境中,仍然有可能出现错误。#p#
公共密钥基础架构可能是解决问题的方法
前缀劫持(Prefix Hijacking)的概念是指网络运营商发布或宣布一个未分配给它的路由器。在2008年,巴西有一个ISP不小心把差不多整个路由表泄露给同级运营商了。幸好,这个意外很快被发现,因此千万的破坏并不严重。在今年初,巴基斯坦电信公司触发一场全球性断网事件,原因是它在试图阻挡YouTube时设置了一个错误配置。这是不是一个错误配置导致泄露或内部拒绝服务的案例?很难说。而最近还发生了一些造成金钱损失的劫持事件:盗取比特币。
有一个解决可以解决许多此类问题:资源公共密钥基础架构(RPKI)。RPKI是一个专用的PKI框架,它使用X.509证书扩展来传输IP路由来源信息。一些需要发布前缀的组织创建了一个路由源签证(Route Origin Attestation, ROA),其中包括前缀、掩码长度范围和来源独立系统号。这些ROA会被发布到全世界,特定的组织可以用一个可验证的授权方式发布指定的IP前缀。根据RPKI Dashboard网站的数据,目前只有不到5%的全球路由表使用ROA保护,其中南美洲和加勒比海地区数量最多。南美洲和加勒比海地区有接近20%的网络信息中心路由处于RPKI有效状态,大约占全球路表的2.5%。
这一平台的两种实现方法
实现RPKI的方法有两个:托管方法和代理方法。在托管模型中,地区互联网注册机构(Regional Internet Registry, RIR)负责执行证书授权(CA)和托管愿意参与的组织的私有证书。对于没有很多资源或不太会修改ROA明细的较小型组织而言,这是一个很便捷的入门方法。这个过程的交互则在RIR提供的一个门户网站上进行。
代理RPKI则更加灵活一些,它允许组织使用一个编程接口来访问RIR基础架构。这要求该组织成为一个负责相关管理工作负载的CA。这种方法更适合那些有大量资源的服务提供商,他们会将这些资源分配给下游客户或组织,而这些用户会执行非常多的修改,因此通过一个门户网站来完成手工配置会非常繁琐。
在托管模式中,RIR实现这个新标准的难度较小一些,因此即使是最小型网络运营,使用BGP来参与通信也是很轻松的。对于不需要使用BGP的组织而言,他们仍然有必要理解这种技术对于安全性的作用。如果不使用BGP去连接互联网,那么你仍然要向上游提供商确定两个问题:分配给你组织的前缀是否受RPKI保护?如果没有,什么时候才会有这种保护?
评估云提供商的保护措施
如果网站或应用程序托管在一个云提供商环境中,那么你在评估和选择过程中应该确定这些应用程序所在的网络是否有RPKI保护。注意:前面提到的劫持事件就是针对托管在亚马逊Web Services的比特币拥有者。
全球路由表是互联网的基础元素。保证它的完整性是所有构成网络的责任。RPKI是保证这种共享资源完整性的一个重要步骤。我们没有任何借口可以容忍因为错误配置或劫持造成的断网事件。
注册电气工程师的注册问题
问题好分散,注册电气工程师 和工程师不同 是分别2个考试。 不同于职称证书。 我单位多给2000一个月。 有人说市价 24万3年。 供配电比较好挂。 考试分公共基础和专业基础2部分,很多人都挂在公共基础上。 建议你还是先考考再说吧。 瞎琢磨半天,自己都未必能考过公共课。 想来蛮可怜的,如果是建筑,结构,考过了注册都有一个自己的名章。 电气就是最底层。 最底层。
怎样实现U盘加密
一般的U盘都不具备加密的功能,任何人都可以通过U盘看到其中的内容。 而市场上所售的加密型U盘价格又较为昂贵,购入后又对现有U盘造成了浪费,如何给u盘加密呢?给大家介绍一款专门针对移动硬盘(或U盘)文件夹加密的软件——“高强度U盘文件夹加密”,这款软件采用了独到安全的加密算法,很方便地解决了使用U盘的安全性。 (推荐)高强度U盘文件夹加密工具的加密方法非常简单,它是一款绿色软件,将它下载后解压缩并运行其中的“高强度U盘文件夹加密”可执行文件即可打开它的界面(如图1)。 它分为“快速移动加密”和“强度压缩加密”两个加密方法。 一、快速移动加密快速移动加密的优越性体现在对文件夹加密速度快、安全可靠性高,加密10GB的资料只需要不到3秒钟的时间,它也是软件默认的加密方法。 文件的加密我们首先选择界面上的“打开”按钮,从中找到U盘中要加密的文件夹,然后单击“加密”按钮,这时会弹出一个要求输入密码的对话框,在其中输入文件夹加密的密码,再确认一下即可对文件夹加密了。 同时我们可以从资源管理器中看到,加密的文件夹的图标变成了一个有锁的图标,这时我们就不能对其进行复制、移动以及删除等操作了,否则就会弹出一个对话框,提醒你“无法删除文件”等等字样(如图2)。 小提示:软件在第一次运行后,会自动在鼠标的右键菜单中添加上“移动加密”的命令,如果文件夹右键菜单中没有“移动加密”启动键,可以运行软件后点本窗口右下角“高级设置”图标,进入“高级设置”后可设置。 加密内容的查看及修改当文件夹被加密后,如果想要查看加密文件夹中的内容,只要双击被加密的文件夹,就会弹出一个输入密码的对话框,只要输入正确的密码,即可弹出一个类似于资源管理器的界面,这样就可查看被加密文件夹的内容了。 值得一提的是,高强度U盘文件夹加密工具除了可以对其中的文件进行查看,还可以对其中的文件任意删除或再添加文件,甚至还可以自由地拖动其中的文件到其他分区中,非常方便。 不过一旦关闭窗口后,文件夹将又会自动加密了。 文件夹的解密文件夹的解密比较简单,在被加密的文件夹上单击鼠标右键,在出现的快捷菜单中选择“移动加密”命令,然后在弹出的对话框中输入解密的密码即可完成文件夹的解密工作。 二、强度压缩加密强度压缩加密的操作方法与上面讲述的加、解密操作一样,只不过是强度压缩加密相对快速移动加密而言,其最大的特点是可以把一个文件夹压缩加密成一个EXE文件,这样我们就可以不用像被快速移动加密的文件夹那样不能移动,而只要把该可执行文件拷贝到其他电脑,运行后输入正确的密码即可解密,安全性极高,同时不受操作系统版本的限制,可移植性好。 如果你有机密的文件要传递的话,只要把这个被加密文件夹的可执行文件传递过去,并告诉解密密码即可。 这项功能在同类软件中是非常少见的。 不过它的缺点就在于,对那些体积较大的文件夹进行加密时,其加密的速度较慢,这时大家不妨考虑一下使用快速移动加密的方法。 总结高强度U盘文件夹加密工具加密的功能非常的强大,除此之外我们还可以进入它的“高级设置”中对硬盘进行锁定以及进行一些安全方面的设置以及IE自动修复等操作,非常方便(如图3)。 利用这款软件我们就可以高枕无忧地使用U盘了,相信它一定会成为你工作、生活中的安全小助手!
pki是公开密钥体系,对吗?
PKI(Public Key Infrastructure ) 即公开密钥体系,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 PKI的基本组成: 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。 认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。 为避免这种情况,PKI提供备份与恢复密钥的机制。 但须注意,密钥的备份与恢复必须由可信的机构来完成。 并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。 证书作废系统:证书作废处理系统是PKI的一个必备的组件。 与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。 为实现这一点,PKI必须提供作废证书的一系列机制。 应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。 通常来说,CA是证书的签发机构,它是PKI的核心。 众所周知,构建密码服务系统的核心内容是如何实现密钥管理。 公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。
发表评论