精华内容
下载资源
问答
  • 资料性附录 信息安全服务与安全工程过程对应表 过程 专业咨询服务 建设实施服务 运行维护服务 PA01 管理安全控制 管理体系咨询服务 PA02 评估影响 评估业务影响服务 评估业务影响服务 PA03 评估脆弱性 评估系统...
  • 等级保护安全域安全产品拓扑图 包括密网双防火墙全套拓扑图
  • 安全域划分及边界防护 大家好今天我们一起来学习安全域划分及边界防护 什么是安全区域 安全区域是指需要云服务提供商进行保护的业务场所和包含被保护信息处理设施的物理区域如系统机房重要办公室也可能是整修工作...
  • 基于实用动态安全域的电力系统安全性综合控制,刘辉,余贻鑫,基于实用动态安全域(PDSR)的边界可用超平面表示这一事实和扩展实用动态安全域临界面的迁移规律,本文给出了一种最优安全性综合控制
  • 内网安全之权限判断

    千次阅读 2021-09-27 12:02:14
    权限判断1 域控基础1.1 活动目录1.2 中的计算机分类1.3 内权限解读2 查询当前权限2.1 获取当前用户与 SID2.2 判断是否存在2.3 判断主2.3.1 判断控制器和DNS 服务器是否在同一服务器上 ...

    1 域控基础

    1.1 活动目录

    活动目录(Active Directory,AD)是指域环境中提供目录服务的组件。

    • 目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息,目录服务是指帮助用户快速、准确地从目录中找到其所需要的的信息的服务。
    • 如果把企业的内网看成一本字典,那么内网里的资源就是字典里的内容,活动目录就相当于字典的索引。

    活动目录的主要功能

    1、帐号集中管理:所有帐号均存储在服务器中,以便执行命令和重置密码等。

    2、软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件。

    3、环境集中管理:统一客户端桌面、IE、TCP/IP协议等设置。

    4、增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网路,对资料进行统一管理。

    5、更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限,利用集群、负载均衡等技术对文件服务器进行容灾设置。网络更可靠,宕机时间更短。

    1.2 域中的计算机分类

    域控制器:域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。

    成员服务器:成员服务器是指安装了服务器操作系统并加入了域、但是没装活动目录(AD)的计算机,其主要任务是提供网络资源。

    客户机:域中的计算机可以是安装了其他操作系统的计算机。用户利用这些计算机和域中的账户就可以登录域。

    独立服务器:独立服务器和域没有关系。独立服务器可以创建工作组、与网络中的其他计算机共享资源,但不能使用活动目录提供的任何服务。

    1.3 域内权限解读

    • 域本地组:多域用户访问单域资源,可以从任何域添加用户账号、通用组和全局组,但只能在其所在域内指派权限;

    • 全局组:单域用户访问多域资源(必须是同一哥域中的用户),只能在创建该全局组的域中添加用户和全局组。

    • 通用组:通用组成员来自域森林中任何域的用户账号、全局组合其他通用组,可以在该域森林的任何域中指派权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问中使用。

    • A-G-DL-P策略:

      A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。

      • A表示用户账号(Account);
      • G表示全局组(Global Group);
      • U表示通用组(Universal Group);
      • DL表示域本地组(Domain Local Group);
      • P表示资源权限(Permission,许可);
        在此策略形成后,当需要给一个用户添加某个权限时。只需要把这个用户添加到某个本地域组中就可以了
    • 几个比较重要的域本地组权限:

      • 管理员组( Administrator);
      • 远程登录组 (Remote Desktop Users);
      • 域管理员组( Domain Admins);
      • 域用户组( Domain Usrs);

    2 收集当前域信息

    2.1 获取当前用户与域 SID

    whoami /all

    image-20210927113412587

    2.2 查询指定用户的详细信息

    # 查询本地用户详细信息
    net user 2008r2
    
    # 查询域用户详细信息
    net user test01 /domain
    
    # 获取本地及域内用户的详细信息
    wmic useraccount get /all
    
    # 查看当前域的所有用户
    net user /domain
    
    # 获取域用户组信息
    net group /domain
    
    # 查看本地管理员组用户
    net localgroup administrators /domain
    
    # 获取域内所有计算机信息
    net view /domain:test
    
    # 查看域管理员用户组
    net group "domain admins" /domain
    系统自带的常见用户身份如下:
     *Domain Admins :域管理员
     *Domain Computers : 域内机器
     *Domain Controllers:域控制器
     *Domain Guests:域访客,权限较低
     *Domain Users:域用户
     *Enterprise Admins:企业系统管理员用户
     默认情况下Domain Admins和Enterprise Admins对域内所有域控制器有完全控制权限
    
    # 获取域信任列表
    nltest /domain_trusts
    

    image-20210927113806844

    image-20210928103542565

    image-20210928103650249

    2.3 判断是否存在域

    • ipconfig /all

      image-20210927114120100

    • systeminfo

      image-20210927114702602

    • net config workstation

      image-20210927114804428

    • net view /domain

      • 正确输出,说明此台机器在域中;

        image-20210928103310715

      • 若是此命令在显示域处显示 WORKGROUP,则不存在域;

      • 若是报错:发生系统错误 5,则存在域,但该用户不是域用户

    2.4 查找域控制器

    net time /domain

    会有以下三种情况:

    • 存在域,当前用户不是域用户

      image-20210927115511881

    • 存在域,且当前用户是域用户

      image-20210927115124962

    • 当前网络环境为工作组,不存在域

    image-20210927115231208

    2.4.1 判断域控制器和DNS 服务器是否在同一服务器上

    nslookup test.lab

    image-20210927114510601

    2.4.2 查看域控制器的机器名

    nltest /dclist:test

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wnuhr04t-1634011181105)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20210928131136884.png)]

    2.4.3 查看域控制的主机名

    nslookup -type=SRV _ldap._tcp

    image-20210928131538976

    2.4.4 查看域控制器组

    net group "domain controllers" /domain

    实际网络中,一个域内一般存在两台或两台以上的域控制器,作为主备。

    netdom query pdc

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jTSLb0r5-1634011181108)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20210928131949748.png)]

    2.5 添加域用户

    # 域管理权限下
    # 添加普通域用户
    net user test test /add /domain
    # 将普通域用户提升为域管理员
    net group "Domain Admins" test /add /domain
    

    3 定位域管理员

    Sysinternals Utilities - Windows Sysinternals | Microsoft Docs

    常用域管理员定位工具有 PsLoggedon.exe, PVEFindADUser.exe, netsess.exe, 以及 hunter,NetView 等。
    在 powershell 中常用的工具是 powerView

    3.1 PsLoggedon.exe

    C:\Softwares\SysinternalsSuite>PsLoggedon.exe /?
    
    PsLoggedon v1.35 - See who's logged on
    Copyright (C) 2000-2016 Mark Russinovich
    Sysinternals - www.sysinternals.com
    
    Usage: PsLoggedon.exe [-l] [-x] [\\computername]
        or PsLoggedon.exe [username]
    -l     Show only local logons
    -x     Don't show logon times
    -nobanner Do not display the startup banner and copyright message.
    

    image-20211012110947370

    4 利用 PowerShell 收集域信息

    Release PowerSploit v3.0.0 · PowerShellMafia/PowerSploit · GitHub

    PS C:\WINDOWS\system32> Set-ExecutionPolicy unrestricted
    
    执行策略更改
    执行策略可帮助你防止执行不信任的脚本。更改执行策略可能会产生安全风险,如
    https:/go.microsoft.com/fwlink/?LinkID=135170 中的 about_Execution_Policies
    帮助主题所述。是否要更改执行策略?
    [Y] 是(Y)  [A] 全是(A)  [N] 否(N)  [L] 全否(L)  [S] 暂停(S)  [?] 帮助 (默认值为“N”): y
    
    PS C:\WINDOWS\system32> cd C:\Users\f_carey\Desktop\PowerSploit-3.0.0\Recon\
    PS C:\Users\f_carey\Desktop\PowerSploit-3.0.0\Recon> Import-Module .\PowerView.ps1
    

    PowerView 常用命令:

    Get-NetDomain            获取当前用户所在的域名称
    Get-NetUser              返回所有用户详细信息
    Get-NetDomainController  获取所有域控制器
    Get-NetComputer          获取所有域内机器详细信息
    Get-NetOU                获取域中OU信息
    Get-NetGroup             获取所有域内组和组成员信息
    Get-NetFileServer        根据SPN获取当前域使用的文件服务器
    Get-NetShare             获取当前域内所有网络共享
    Get-NetSession           获取在指定服务器存在的Session信息
    Get-NetRDPSession        获取在指定服务器存在的远程连接信息
    Get-NetProcess           获取远程主机的进程信息
    Get-UserEvent            获取指定用户日志信息
    Get-ADObject             获取活动目录的对象信息
    Get-NetGPO               获取域所有组策略对象
    Get-DomainPolicy         获取域默认或域控制器策略
    Invoke-UserHunter        搜索网络中域管理员正在使用的主机
    Invoke-ProcessHunter     查找域内所有机器进程用于找到某特定用户
    Invoke-UserEventHunter   根据用户日志获取某域用户登陆过哪些域机器
    

    image-20211012115840240

    展开全文
  • 随着运营商网络规模和各类业务系统的不断扩大和发展,如何提升业务...结合中国电信业务平台维护的实际情况及业界相关实践经验,分析业务平台安全域划分及边界整合方法,讨论如何构造集约化的业务平台安全域防护体系。
  • 基于网络应用中跨域访问存在的安全隐患及权限限制等问题,提出了逻辑安全域划分的概念,分析了传统的安全域划分、认证和授权模型的弊端,并在该安全域划分的基础上,从分布式认证和授权两个方面提出了切实可行的实现方案...
  • 通过对网络安全域自动核查分析技术的研究与应用,实现了安全域拓扑自动还原以及安全域设备互联关系、安全域边界及边界访问控制策略的自动核查。通过自动化、常态化和流程固化的方式,及时发现违反安全域规定的行为,...
  • H3C NGFW防火墙——从间策略到安全策略,非常好的华三防火墙安全配置视频,网上很少有
  • 智能卡安全域配置参数,安全域配置参数,安全域配置参数,安全域配置参数
  • 从历史发展的角度看,安全域隔离...在企业网络安全防护方面,网络安全域隔离也是网络安全防御最重要、最基础的手段一,也是企业数据中心、信息系统建设最先需要考虑的基础性问题。 但是在企业网络安全建设过程中,.

    从历史发展的角度看,安全域隔离一直是传统安全领域广泛采用的防御手段,比如起建于春秋战国期间的边塞长城一直延续至明末都在发挥巨大作用,坚城巨塞外围都会建设起高高城墙、宽宽的护城河等等,无论长城还是城墙,它们的目的都是为了形成关里关外、城里城外两个安全域,以便于实施统一的防护策略,也是为了方便同一安全域内的实体能够相对比较容易沟通及联系。

    网络安全
    在企业网络安全防护方面,网络安全域隔离也是网络安全防御最重要、最基础的手段之一,也是企业数据中心、信息系统建设最先需要考虑的基础性问题。

    但是在企业网络安全建设过程中,网络安全域隔离的有效落实却面临各种各样的问题,本文就是对此问题的一些思考,记录下来以供各位参考。

    一、什么是网络安全域

    网络安全域就是一组安全等级相同、业务类型/功能相似的计算机、服务器、数据库、业务系统等构成的系统,具体表现在网络中可能是一个IP网段(一个C段、一个B段)或几个网段**,或者是一个VLAN或几个VLAN**,或者是连接一个防火墙接口下的整个网络区域,或者是机房里的一个机柜或几个机柜等。

    上面的解释其实还是比较抽象,举几个例子,比如存储****的数据库服务器与供客户访问的Web服务器显然就不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器显然也不是一个安全等级,因此,要对他们进行安全域划分。

    总的来说,一个安全域其实就是一个信任域,在符合监管要求的情况下你可以把一些你认为可以相互信任的计算机、设备放置在一个安全信任域当中,在信任域内部实施较松的安全策略,而信任域边界实施较为严格监控、访问控制等。每个信任域内服务器的多寡取决于单位信息系统建设、信息安全意识等多方面因素的制约。

    从网络攻击者的角度来说,有一种典型的攻击方式叫横向渗透攻击,其含义是攻击者拿下了内网的某一台主机,为了扩大战果,往往会对该主机所在的C类地址段进行扫描,因为在企业内部一般同一个C类地址段不会有进一步的网络隔离划分。

    此时,这是一个C类段处于风险之中,那么如果我们没有进行网络安全域隔离,那么,整个数据中心都有可能处于攻击者的直接打击范围。

    基于这后一点,我们明白了,网络安全域隔离其实就是将整个网络划分为一个一个比较小的安全信任域,要不然整个网络处于一张平面,攻击者拿下一个地址之后,可以对整个网络进行扫描探测发现。

    二、网络安全域隔离有什么好处

    一是可以将坏东西、坏人隔离在一个小区域,以减小破坏程度

    二是可以将坏东西、坏人集中在隔离边界对其进行集中清除消灭。

    三是可以让好东西、好人隔离在一个相对安全的区域,免受其他坏东西、坏人的侵害。

    四是可以在隔离边界部署安全设施,以对好东西、好人加强保护,对坏东西、坏人进行阻断拦截。

    三、网络安全域该怎么规划设计

    从不同的站位视度、不同观察粒度来看,企业的网络安全域划分可以有不同分法。

    从企业外部看,安全域可以分为内网和外网,在此时,企业内部的所有办公计算机、服务器、路由器、交换机等都属于我们要保护的信息资产。

    因此,内、外网边界就是我们实施统一安全策略、部署防御设施的“主阵地”,比如部署边界防火墙、入侵检测、上网行为管理等。

    下面我们移步进入企业内部,站在企业内部泛泛的看,一般会将企业划分为办公网PC终端安全域和数据中心安全域,在此时,企业内部的办公网区域、数据中心区域又是属于不同的安全等级。

    如果我们再进一步稍微细致的审视一下,其实各安全域内部也是分为子安全域的,内部的安全域划分就是八仙过海、各显神通了。

    比如,在《GB/T25070-2019 信息安全技术网络安全等级保护安全设计技术要求》中,将企业内部网络按照不同的等级保护级别进行安全域划分,不同级别安全域之间采用安全互联部件进行数据交互

    在这里插入图片描述

    在赵彦老师的《互联网企业安全高级指南》一书中,作者着重讲了办公网的安全域划分问题。

    办公网安全域被划分为OA服务器域、事业部A桌面域、事业部B桌面域等,事业部桌面域又划分为高度PC用户、中度PC用户、轻度PC用户等。

    这副设计图应该属于赵彦老师早期的设计图,不知道最近的思路有没有变化?在图中OA服务器域,我们看到了持续集成代码托管和测试环境,依笔者的观点,此类服务器应该归属于数据中心安全域。

    在这里插入图片描述
    其实最早笔者认为OA服务器域应该划归数据中心内的安全域,后来参看了赵彦老师的《初探下一代网络隔离与访问控制》(美团技术团队文章),
    好几副图的划分方法都是把OA服务器域划归办公网,如下图。在这里插入图片描述
    另外,刘焱老师的《基于开源软件打造企业网络安全》一书中,OA服务器是被划分为独立的安全域,但此时应该属于数据中心安全域内。

    数据中心安全域又划分为生产网、开发测试网等不同的网络安全域,生产网安全域又会分为集团安全域、子分公司安全域等。集团安全域又划分为生产网内网区和生产网DMZ区,生产内网安全域又会根据业务类型不同分为普通业务安全、核心业务安全域、数据仓库安全域、KMS安全域等。

    以上一般都是按照功能进行的安全域划分,在实际场景中,还会存在其他方式的安全域划分方法,比如,从纵深防御的角度看,一般系统分为DMZ区(Web服务区)、外联区、APP区,DB区等。如下图所示。这里面的DMZ区、外联区、APP区、DB区就是一个一个的网络安全域
    在这里插入图片描述

    对于集团化的公司,各子公司都会逐渐明确自己的业务边界和战略中心,假如由集团统一提供IT基础设施服务,但是各子公司的业务可能面临的监管要求完全不同,比如按照金融监管的要求去管理社区服务系统,或者按照社区服务系统的要求去管金融业务,都会面临或严、或松的压力。

    因此,集团化的数据中心要对子公司进行隔离划分,明确划分各子公司在数据中心中的访问边界。按子公司职能、业务特点等,划分安全信任域,建立清晰责任边界、安全边界、信任边界。

    四、传统网络安全域隔离方式

    说了这么多网络安全域隔离的问题,那么具体怎么实现呢?有什么方式呢?以笔者的经验主要有物理隔离、逻辑隔离(防火墙隔离、VLAN隔离等)。

    (一)物理隔离
    这里面又分为几种:

    强物理隔离。从字面上看,这是一种非常容易理解的网络隔离方式,两个网络安全域从网络线路、网络设备、系统主机等硬件系统层面都是单独部署一套,两者之间严禁各种网络连接。

    这个在当前大环境下,估计只有JD、GA、ZF等核心敏感部门或核心工业控制系统才会这么做,此种隔离方式不光建设成本比较高,后续的运维、信息共享都会存在较大的人力成本和时间成本。所以,一般企业都不可能采用这种方式了,特别是在互联网、移动互联的大背景下,凡是需要为客户提供在线服务的就更难实现完全的强物理隔离了。

    弱物理隔离。绝大部分传统金融企业应该都是属于这种模式。网络设备、主机系统根据需要一般是每个网络安全域一套,但是,安全域之间一般可以通过网闸、单向数据传输设备建立了特定的安全传输通道。

    **(二)逻辑隔离。**逻辑隔离相对于物理隔离,主要区别是各个网络安全域之间是有链路连接的,只是在协议上、路由上进行逻辑阻断,让两者不能直接相通。

    但是,如果两者之间想互通,直接在交换节点、路由节点、网关节点等上进行配置即可,不用再单独拉物理线路或者部署网闸等设备。细细想来,常用的逻辑隔离方式只有防火墙隔离和VLAN隔离两种,VXLAN是VLAN划分在云环境下的一个变种实现。

    五、网络安全域之间如何进行访问控制

    网络隔离形成安全域只是为了提高企业的安全等级,但是,不管管理需要还是业务需要,最终安全域之间还是需要或多或少的进行通信,否则整个企业信息系统就没有存在的必要了。

    那么,安全域之间通信应该通过什么方式进行隔离呢?目前,网络隔离后的通信方式主要网络访问控制策略(ACL)、接入网关、正反向代理、堡垒机等。其中:
    ACL是防火墙或三层交换机上实现的,是一种基于IP地址的控制策略,在企业内部,网管人员可能为了方便进行管理,往往还会采用IP地址段的形式开通访问控制列表,因此,这种控制粒度较粗,而且对于应用层的访问缺乏控制。

    接入网关、正反向代理是可以实现应用层一级访问控制,还可以在其上增加更多的访问控制策略等模块。
    堡垒机是为远程运维提供的一种访问控制办法,可以登录控制、操作拦截、操作审计等功能。

    六、虚拟化/云计算环境下的网络安全域隔离

    一个服务或应用占用一台物理机的时代已经逐渐成为历史,虚拟化/云计算已经是目前广泛应用的数据中心交付模式。

    然而,在虚拟化/云计算环境下,有没有必要进行网络安全域隔离?如何进行网络安全域隔离呢?

    笔者翻阅了阿里云、华为云等云计算公司发布的白皮书,网络安全域隔离仍然是其网络安全架构的基本实现方式之一。以阿里云的白皮书为例

    在这里插入图片描述
    上面这一段话,我们看到了阿里云基础平台怎么实现网络安全域隔离的,首先,阿里云分为生产网和非生产网,其次,阿里云分为对外提供服务的云服务网络和支撑云服务的物理网络。

    最后,我们还看到了阿里云办公网与生产网络的隔离。以上说的,以笔者的理解,应该是云平台提供者所做的网络区域隔离。

    那么对于云租户之间是怎么实现安全域隔离呢?目前云厂商普遍提供的方式是VPC的方式实现。VPC即virtualprivate cloud,也就常说的虚拟局域网,VPC实现了不同租户间网络隔离,由于VPC使用了隧道封装技术,保证了不同VPC 间,网络流量完全不可见,而VPC 内部网络流量则直接到达目的机器,从而确保了无论VPC 内,还是VPC间,用户流量都能够得到安全性保障。

    其实根据企业的IT规划,如果数据中心云平台只是为了提供自己企业内部服务,VPC也可以实现企业内部各种网络安全域的划分,比如我们可以把DMZ划为一个VPC,把数据库划为一个安全域,把办公服务器划为一个VPC。一般情况下,每个VPC都需要指定1 个网段,网段范围如下:
    10.0.0.0/8 (10.0.0.0– 10.255.255.255)
    172.16.0.0/12 (172.16.0.0– 172.31.255.255)
    192.168.0.0/16 (192.168.0.0-192.168.255.255 )

    VPC 可以通过 EIP或者 NAT 服务,让VPC 内虚拟机连接公网,或者通过VPC 对等连接两个VPC,还可以通过VPN 或者专线连接用户自建数据中心,构建混合云。

    最后,对于云租户内部又有什么方法实现网络安全域隔离呢?这里也可以灵活考虑,比如,云租户可以多租用几个VPC实现隔离。另外,在VPC内部还可以采用安全组进行安全域划分。

    以下是阿里云对安全组应用场景的表述
    (1)安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。
    (2)安全组是一个逻辑上的划分,这个分组由同一个地域内具有相同安全保护需求并相互信任的实例组成。这种安全组在不同的云厂商实现中,叫法和实现方式可能也有差异,比如下图中就将VPC内的隔离成为Subnet(子网),意思应该与安全组一样。

    在这里插入图片描述

    七、结语

    随着虚拟化以及云计算技术的不断演进,在网络安全域隔离方法又出现了一些新的研究方向和实践探讨,比如微分段或微隔离。国际权威技术分析与咨询研究公司Gartner公司在2016年、2017年、2018年连续三次将“微分段或微隔离”纳入年度十大安全技术(项目),但是在最新的2019年已经没有纳入,不知道Gartner是怎么考虑的,但是从了解到的企业实践来看,目前大面积实施“微分段或微隔离”的企业还不多,甚至是没见过

    近期,在读郑云文老师的《数据安全架构设计与实战》时,郑老师提出了一个观点:安全域过多,会导致防火墙运维难度加大。在满足合规要求下,安全域的数量越少越好。这也许也代表企业网络安全域划分的一个新方向。

    展开全文
  • 方法:从使用、管理、审计等方面全面分析了医学院校数据中心所面临的安全威胁,提出了将数据中心安全区域划分为管理、应用和存储备份为主的安全域,并提出了防护技术。结果:通过对医学院校校园网数据中心安全情况进行...
  • 什么是安全域: 1.安全域是边界防护的基础 2.具有相同安业务全级别 3.网络安全学 4.统一的边界访问策略控制 通常将安全域分为: 1.办公域 2.办公服务域 3.线上业务域1、2、3等开发域 4.测试域 5.对外服务域外网 6....

    什么是安全域:
    1.安全域是边界防护的基础
    2.具有相同安业务全级别
    3.网络安全学
    4.统一的边界访问策略控制

    通常将安全域分为:

    1.办公域
    2.办公服务域
    3.线上业务域1、2、3等开发域
    4.测试域
    5.对外服务域外网
    6.非受信区(Untrust)

    7.本地区域(Local)

    8.非军事化区(DMZ)

    9.受信区(Trust)。
     

     

     安全域面临的挑战
    所以我们新的安全域划分需要有以下几点:

    ①识别应用或业务之间的关联
    ②更加颗粒化,最小单位为应用或端口,而非主机
    ③策略在应用动态扩展时,能自动化扩展
    ④安全策略需要可视化
    ⑤使用SDN(软件定义网络)配套管理
     

    展开全文
  • 随着网络全球化的演变,促使各个行业和部门之间的关系越来越密切,这使网络域间资源共享和安全变得非常重要,而要想尽可能的保证安全域间资源共享和信息交互,我们可以采取访问控制技术来保证系统的安全性。多域网络访问...
  • 渗透流量劫持

    2021-02-25 21:28:26
    windowsDomain中文翻译为既是Windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元。...所以域安全是企业安全最为核心的一个环节,并且微软对本身也在进行不断的安全加固。NSA泄漏的文档和工
  • 关于安全域的划分与风险管理

    千次阅读 2020-06-01 15:53:40
    安全域实质是若干个具有相同安全级别的资产或信息系统的集合,传统的防火墙是按照安全域进行安全策略的配置,接口对应的安全域就是我们此次讨论的话题。 为什么要划分安全域,本质还是为了实现风险管理和资产管理...

           安全域实质是若干个具有相同安全级别的资产或信息系统的集合,传统的防火墙是按照安全域进行安全策略的配置,接口对应的安全域就是我们此次讨论的话题。

           为什么要划分安全域,本质还是为了实现风险管理和资产管理,类似集合一样,我们把Z当作整数的集合,N+表示正整数的集合。安全域和集合类似,安全域的划分根据多年的实践经验,可以做一下分类。

           基于网络地址分类,这种安全域可以理解成为按照不同的网段或VLAN进行分类,这个分类是最典型、最传统的安全域划分方法,早期的防火墙安全策略使用的就是这种方式。

            基于业务类型进行安全域的划分,这种划分适用中小型企事业单位,这种一般会划分未内网安全域、外网安全域、DMZ安全域。这种场景的业务重要性往往远远大于安全性,主要还是基于合法合规的要求来做。这种安全域划分的方式由于基于网段的方式,但是划分粒度依然较粗,安全域范围划分过大,对安全事件的管理也更加复杂。

           基于业务系统重要性程度进行安全域划分,这种颗粒型的划分,主要应用于大型企业或者是对安全要求极为苛刻的企事业单位,例如金融、电力等企业。

          基于业务系统重要性程度进行安全域划分实质就是风险管理,对不同的安全域基于资产或者业务系统重要性程度制定严格的MAC访问控制策略,可以最大限度地降低风险,我们知道企业有敏感的数据库信息,我们可以将数据库或者是重要信息系统的备份信息划入单独的安全域,而不是

    展开全文
  • 域安全评估以及加固方案

    千次阅读 2021-01-20 19:07:22
    内任何一台机器上通过powershell脚本对中对一些基本问题进行检测,检测的目标点如下: 用户帐户问题 密码策略 Tombstone lifetime和AD备份 信任问题 重复的SPN 组策略首选项密码 管或特权用户 KRBTGT帐户...
  • AD组策略安全管理

    千次阅读 2020-12-16 09:30:43
    信息安全培训-终端安全(AD组策略安全管理) 终端安全体系五要素: 身份认证:AD认证、身份标识、角色定义、外部纷争系统等。 准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。 安全认证:防病毒...
  • 企业网络的经典结构就是基于安全域的网络结构,一般包括企业数据中心,企业办公内网,DMZ区,广域网和Internet几个部分。基本结构如下图所示。 企业网络各个区域之间通信受到限制,区域内部通信多不进行限制。 ...
  • H3C防火墙-安全域

    千次阅读 2020-10-19 10:19:36
    缺省安全域:当首次创建安全策略或域间策略时,系统会自动创建 以下安全域:local、trust、DMZ,Management和untrust。缺省安全域不能被删掉。 DMZ:指介于严格的军事管制区域和松散的公共区域之间的一种有 着部分...
  • 提出一种基于动态划分的安全冗余调度策略:通过引入冲突关系、信任度、安全标签等概念,建立一种动态划分模型,以将待调度节点划分为与不同租户作业关联的冲突、可信或调度;结合冗余方式,将租户作业同时调度...
  • 计算机网络安全基本概述

    万次阅读 多人点赞 2019-09-16 16:10:25
    网络安全 概述
  • 中国移动 SIM卡 多安全域 多应用管理 技术规范
  • 不同安全域之间、相同的安全域之内的接口流量均不能互访,要实现接口的互访,只能创建策略规则将流量放行;其中,如果既有从源到目的的访问,又有反方向的主动访问,那么就要创建两条策略规则,允许双方向的流量通过...
  • 针对输电系统概率安全评估问题,提出了一种基于安全域的输电系统概率安全分析系统的模型。介绍了该模型的构成、实用动态安全域和割集电压稳定域在概率安全评估中的应用,以及概率安全评估的计算步骤。该系统应用最新的...
  • H3C防火墙-安全域配置举例

    千次阅读 2020-10-19 16:02:39
    现需要在设备上部署安全域,并基于以下安全需求进行域间策略 的配置。 • 与接口 GigabitEthernet1/0/1 相连的公司内部网络属于可信任网络,部署在 Trust 安全域,可以自由访问 Web 服务器和外部网络。 • 与接口 ...
  • 信息安全之加密可逆信息隐藏

    千次阅读 2020-04-30 09:34:04
    前面四篇文章主要介绍了图像置乱加密的安全性问题,本篇文章介绍一种图像加密算法的应用算法,图像加密可逆信息隐藏。以文献1为例,介绍一种《基于预测误差分类置乱的图像加密可逆信息隐藏》算法[1]。该文章是...
  • 安全域划分及网络改造是系统化安全建设的基础性工作,也是层次化立体化防御以及落实安全管理政策,制定合理安全管理制度的基础。此过程保证在网络基础层面实现系统的安全防御。目标规划的理论依据安全域简介安全域是...
  • 安全域的划分

    万次阅读 2015-05-06 00:02:25
    安全域概述   •网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 438,435
精华内容 175,374
关键字:

安全之域