如今,网络攻击者只需透过小型的物联网设备,就能找到企业网络的入口,以发起勒索软件等攻击。根据Palo Alto Networks对IT决策者进行的一项调研显示,84%的中国大陆受访者表示,过去一年连接到企业网络上的非商业设备有所增加。在今年的研究中,智慧灯泡、心率监测器、联网运动装置、咖啡机、游戏机,甚至是宠物喂食器等“奇怪”设备都出现在了网络设备列表上。
越来越多的设备联网让安全威胁频出。今年3月,黑客入侵了一家位于硅谷的安全设备厂商,盗取了15万个摄像头拍摄的实时视频。同样是在年初,Palo Alto Networks对13.5万个安全摄像头进行了检查,发现54%的摄像头至少有1个安全漏洞,黑客利用这些漏洞可以完全控制、操控这些摄像头,以此为跳板进入企业网络发动攻击。此外,大部分家庭使用的路由器也普遍存在安全漏洞,黑客很容易通过这些设备进入家庭网络,利用薄弱的家庭和办公设备发起勒索攻击。
连续两年的调查结果显示,企业必须改善网络安全措施,以保护企业网络免受非商业物联网设备带来的风险。今年的研究中,100%的中国大陆受访者都认为其组织的物联网安全保护方法需要改进,27%的受访者则表示需要彻底改革。其中,对风险评估(70%)、提供给安全团队的物联网设备上下文(64%)、装备可见性和库存(62%)以及政策执行和零信任控制(62%)等方面需求最大。
随着更多的员工以个人为单位使用智能音箱、穿戴设备、智能家居等产品,安全风险的入口也越来越多,而且像工业类企业用到的传感器也越来越细分,包括具有WiFi功能的恒温器控制的采暖通风和HVAC系统等等,这些传感器在接入核心网的时候很可能没有经过IT运维团队的授权。一项调查显示,大多数企业并没有觉察到物联网或工业物联网的无线网络,与企业基础设施是分离的。
当物联网时代的传感器变得无处不在,黑客利用IP摄像头等端口寻找到的潜在目标类型五花八门,例如会盯上一些没有密码或弱密码的网络打印机。更可怕的是,这些威胁很难让人感知到,这些攻击的特点是规模小,可以逃过安全网络的监控,直接进入到系统后端,但不会在短期内造成严重影响。不过一旦把时间线拉长,这些漏洞就会演变成为多维攻击造成更严重的后果。
值得注意的是,在今年所有受访的中国大陆IT决策者中,有35%表示其物联网设备连接的网络与所属企业主要设备及业务应用(如人力资源系统、电邮 服务器 、财务系统)的网络各自独立运作。44%受访者遵循了最佳实践——网络微分段(Microsegmentation),在网络中创建的严格控制之安全区域,以隔离物联网设备并将它们与IT设备分开,防止黑客在网络上横向移动进行攻击。
在部署物联网设施的过程中,企业通常无法控制这些智能连接设备所使用的软硬件来源与品质。存在于不同IT环境中的联网设备,多数是由不同厂商“组装”起来的,硬件、软件、组件的提供方都不一样。这种情况造成的困境之一是,有时候芯片升级了可对应的软件升级并没有赶上,而安全补丁更新的时候组件又不支持。这也就是为什么,有的物联网安全厂商会在一开始就希望将安全解决方案整合到一个平台中,而不是之后不断的打补丁。
预测性防护,也是工业类客户常用的一项措施。例如蒂森克虏伯用物联网技术把全球近110万部电梯的数据全部采集集中到云平台上。比如这部电梯可以每天走了多少次、每次载重情况,每次行程过程中的各种部件参数,都可以实时采集,并用来进行机器学习。像Schindler也在与GE Predix平台合作,对物联网环境进行预知防护,但一个问题是,这些客户逐渐发现这类投入导致ROI并不想理想,至少从时间上看是这样。
理想状况下,新加入的物联网设备和工业设备应该通过专有的控制器来连接网络,配置唯一对应的识别码。对于那些不合法的设备,数据是不能传输给它们的。当然这里指的识别码不是MAC或者OUI,这些在多类型设备部署在不同环境时并没有专有性。
当然物联网厂商也没有放弃对安全性的尝试,除了硬件加密,算法加密也是常被用到的安全手段。相信安全人员对于哈希函数并不陌生,其单向不可逆的特性使得对方难以从哈希值来推断出原始密码。当存有密码信息的哈希值放进数据库后,用户在登录系统时可以比对输入值是否与库中的哈希值相同。然而,难破解不等于无解,字典攻击和暴力攻击是常用于攻破哈希算法的手段,人们能做的只是降低系统被攻击的频率和效率。
根据Palo Alto Networks的观察,工远程办公给企业带来的安全挑战可以总结为三个层面:
上述三个问题,让企业的核心数据和应用都面临着巨大的安全威胁和风险,企业迫切的需要创新的安全保护方式,来应对分布式办公模式带来的安全挑战。安全保护必须从设备层面提升到整个网络层面,来提升员工的效率和生产力,以确保安全为前提。
外网IP内网IP什么意思啊,
内网:就象你小时候,什么事都有爸妈顶这,爸妈做主,都要通过爸妈。 没有身份证。 外网:就象你张大了,什么事都可以自己做主了。 有身份证了,要自己承担法律责任了。 =========================================== 内网也就是局域网,最直观的就是像网吧,公司内部的电脑用交换机,HUB,路由连起来的。 再通过光钎。 猫接入INTERNET的。 外网就像你家里的一台电脑。 用猫拨号上的,有个外部IP的。 =========================================== 什么是内网、公网 内网、公网是两种Internet的接入方式。 内网接入方式:上网的计算机得到的IP地址是Inetnet上的保留地址,保留地址有如下3种形式: 10.x.x.x 172.16.x.x至172.31.x.x 192.168.x.x 内网的计算机以NAT(网络地址转换)协议,通过一个公共的网关访问Internet。 内网的计算机可向Internet上的其他计算机发送连接请求,但Internet上其他的计算机无法向内网的计算机发送连接请求。 公网接入方式:上网的计算机得到的IP地址是Inetnet上的非保留地址。 公网的计算机和Internet上的其他计算机可随意互相访问。 如何检测公网和内网 您在Internet上的IP地址是:***.***.***.***(这里的计算机IP地址,是你正在浏览的网站记录下的你的IP地址,不一定是你的真实ip地址) 请用上面介绍的查看IP地址的办法,检查一下您的电脑里有没有这个IP地址。 如果有,您就是通过公网接Internet,否则,就是通过内网接入Internet。 请注意: 1、如果您的浏览器里设置了使用代理服务器,请清除代理服务器设置,并刷新页面,之后再检测。 上网,或通过其他有公网IP的电脑上网, 而且您对网关电脑有设置端口映射的操作权限,这种情况虽然属于内网,但也可以使用公网动态域名。 2、有些学校或大型的机关单位虽然分配公网IP给用户,但学校或单位为了安全起见,会封闭校外对校内的访问请求。 这部分用户虽然有公网IP地址,但依然要用内网动态域名来建网站。 如果您通过校园网或机关单位的网络上网, 并检测到自己有公网IP,请您在本机调试好网站后,把防火墙打开,请外网的朋友通过IP地址来访问您的网站。 如果能访问,就是公网;如果不能访问,就是内网。 3、如果您使用带端口映射功能的ADSL共享器/路由器上网,或通过其他有公网IP的电脑上网, 而且您对网关电脑有设置端口映射的操作权限,这种情况虽然属于内网,但也可以使用公网动态域名。
什么是网络位置?
选择网络位置第一次连接到网络时,必须选择网络位置。 这将为所连接网络的类型自动设置适当的防火墙和安全设置。 如果您在不同的位置(例如,家庭、本地咖啡店或办公室)连接到网络,则选择一个网络位置可帮助确保始终将您的计算机设置为适当的安全级别。 有四个网络位置: 对于家庭网络或在您认识并信任网络上的个人和设备时,请选择“家庭网络”。 家庭网络中的计算机可以属于某个家庭组。 对于家庭网络,“网络发现”处于启用状态,它允许您查看网络上的其他计算机和设备并允许其他网络用户查看您的计算机。 有关详细信息,请参阅什么是网络发现?对于小型办公网络或其他工作区网络,请选择“工作网络”。 默认情况下,“网络发现”处于启用状态,它允许您查看网络上的其他计算机和设备并允许其他网络用户查看您的计算机,但是,您无法创建或加入家庭组。 有关详细信息,请参阅什么是网络发现?为公共场所(例如,咖啡店或机场)中的网络选择“公用网络”。 此位置旨在使您的计算机对周围的计算机不可见,并且帮助保护计算机免受来自 Internet 的任何恶意软件的攻击。 家庭组在公用网络中不可用,并且网络发现也是禁用的。 如果您没有使用路由器直接连接到 Internet,或者具有移动宽带连接,也应该选择此选项。 “域”网络位置用于域网络(如在企业工作区的网络)。 这种类型的网络位置由网络管理员控制,因此无法选择或更改。 注意如果您知道不需要共享文件或打印机,则最安全的选项是公用网络。 更改网络位置的步骤单击打开“网络和共享中心”。 单击“工作网络”、“家庭网络”或“公用网络”,然后单击所需的网络位置。 网络和共享中心警告选择“家庭网络”或“工作网络”会更改防火墙配置,以允许进行通信。 这会对安全性造成威胁。 有关详细信息,请参阅允许程序通过防火墙有哪些风险?如何保证要连接到的家庭或工作网络是安全的?为了帮助确保要连接到的家庭或工作网络是安全的,请确保该网络满足以下条件:对于无线网络,无线连接已使用 Wi‑Fi 保护访问(WPA 或 WPA2)进行了加密。 (由于 WPA2 的安全性比 WPA 更高,因此首选 WPA2。 )对于所有网络,将防火墙或具有网络地址转换 (NAT) 的其他设备连接在计算机或无线访问点与电缆或 DSL 调制解调器之间。 在建议位置设置防火墙或具有 NAT 的设备的网络有关详细信息,请参阅有哪些不同的无线网络安全方法?和使网络更安全。 Windows 防火墙如何影响网络位置在公共场所连接网络时,“公用网络”位置会阻止某些程序和服务运行,这样有助于保护计算机免受未经授权的访问。 如果连接到“公用网络”并且 Windows 防火墙处于打开状态,则某些程序或服务可能会要求您允许它们通过防火墙进行通信,以便让这些程序或服务可以正常工作。 在您允许某个程序通过防火墙进行通信后,对于具有的位置与当前所连接到的位置相同的每个网络,也会允许该程序进行通信。 例如,如果您在咖啡店连接到某个网络并选择“公用网络”作为位置,然后解除了对一个即时消息程序的阻止,则对于所连接到的所有公用网络,对该程序的阻止都将解除。 如果在连接到公用网络时计划解除对多个程序的阻止,请考虑将网络位置更改为“家庭”网络或“工作”网络。 从这点而言,相对于影响您所连接到的每个公用网络,这一更改操作可能会更安全。 但请记住,如果进行了此更改,您的计算机将对网络上的其他人可见,这样存在安全风险。
服务器托管前的准备工作有哪些
1、操作系统安全
也许会有朋友经常会反应,服务器又被黑客进去了,每星期得往数据中心至少跑两趟,怎么办啊?在装完了操作系统后,马上安装一款杀毒软件,并进行操作系统补丁的升级,以及杀毒软件病毒库和特征库的升级。 这个时候就千万别在服务器上瞎逛,互联网上病毒木马多着呢。 升级完以后,赶快进行一些基本安全的权限设置,包括各个磁盘分区和目录的权限,甚至可以细化到相关文件的安全设置。 不同的操作系统,不同的应用方向,权限的设置也就不一样。 千万不要按网上的教程原封不动的搬,否则你会吃亏的。
2、应用软件的安全
互联先锋建议在服务器上不要安装跟你服务器没有任何关系的软件,包括Windows操作系统和Linux操作系统等。 推荐你使用最新版本的应用软件,比如Windows操作系统下的FTP软件Serv-U,相信在服务器被黑客入侵的案例中,有80%以上的是因为服务器上Serv-U的版本太低,再结合其他地方的漏洞而被入侵的。 一个新版本的应用软件被推广出来,当然有它的原因所在。
3、网站与数据库的安全
有朋友在写完程序以后,直接上传到服务器上,将网站架设起来,在客户端能够访问就不管了,这也是错误的做法。 在写网站程序的时候,程序的语法与判断等位置一定要严谨,数据库安装完以后,一定要打上最新的数据库补丁,并作些一基本权限设置。 网站程序在传到服务器上以后,必须及时相应相关目录的权限进行设置。 这样做虽然不能够保证整台服务器的安全,但至少会大大降低服务器被入侵的可能性。
4、服务与端口
系统初次安装完以后,会启动很多服务,这些服务有些是核心服务,有些是不必要的服务。 同样,一项服务必定会向外开放某一个或多个端口。 你完全可以在系统安装完以后,马上将这些不必要的服务与端口给关闭,在某种程度上加强系统的安全性。 那么,到底哪些服务与端口需要关闭呢?那就需要对系统所启动的每一项服务以及常见的端口有较深刻的了解与认识。
5、杀毒软件与防火墙
也许会有朋友报怨,服务器既装了杀毒软件,又装了防火墙,服务器还是被黑客入侵进去了。 那可能是您的杀毒软件没有配置或者没有升级病毒库,也可能是防火墙没有配置。 很多朋友都会犯这种错误,装了杀毒软件就像装普通的应用程序一样,装完了重启后就不再管它了,这是不好的习惯,安装完杀毒软件,在服务器重启以后应在第一时间内将病毒库或特征码升级至最新,并作一些简单的配置,如开机扫描,进入系统扫描或定时扫描等等。 装一个没有升级的杀毒软件与没装杀毒软件没太多的区别。 同样,防火墙安装完以后,也需要作相应的设置,如禁止外部计算机ping本计算机(其实这项功能是任意一款防火墙最基本的功能),禁止不常用的向外连接的程序(可千万别把系统更新或杀毒软件给加进去了)等等。
发表评论