五千年(敝帚自珍)

主题:【原创】IT八股:闲聊信息安全 (之一.基本概念) -- 昔杨今雨

共:💬106 🌺268
全看分页树展 · 主题 跟帖
家园 【原创】IT八股:闲聊信息安全 (之四.产品点评(上))

事先声明一, 这属于无责任点评. 事先声明二, 安全产品种类繁多, 我只是挑选一些常见的, 或者特别有用的, 或者比较新奇的说说, 如果各位对其它产品也有兴趣, 我可以再逐步地补充进去.

在<>四大火坑(下)>里面提了一下单点登录(SSO), 留下的尾巴先收拾干净. 微软的Passport技术, 在我看来就是一种SSO, 一次认证, 到处通行. SSO这个一半是海水, 一半是火焰的水火坑, 大公司是很有动力往下跳的, 因为这些企业往往产品众多, 应用广泛, 拿出来的解决方案基本上本公司的产品就可以全包. SSO是很好的黏合剂, 可以有效地提升产品之间的融合度, 便于产品打包销售.

但是对异构环境, SSO就力不从心了, Application的种类太多了, 从架构到具体实现差别很大, 因此SSO一到具体实现, 除非有足够的投资(资金, 时间和决心), 否则往往只能延伸到一小部分的应用, 完成一个半吊子工程. 此外SSO缺乏一个公共的标准, (微软, IBM等等自己都有一套), 只有等到几位大佬打累了, 坐下来定分赃的规则, 在这之前, 对其他人来说还是要在痛苦中继续煎熬.

Firewall目前基本上属于标配, 相当于小区保安, 没有是万万不可的, 有个院子还得扎个篱笆墙呢, 不然谁家的小狗没看住, 都可以来撒泡尿. 但是Firewall的问题是, 它总是要有出入口的, 就好比在保险箱周围建了一圈墙, 在墙上开个门. 如果这个门是在自家房子里面还好说(限定可以访问的IP等等), 但是如果本来就是要提供公共服务的, 这个门谁都可以进来, 那么安全不安全就全看保险箱的了.

保险箱是安全的最后一道防线, 而保险箱的最后一道防线就是数据安全. 在保护数据安全方面, 我觉得最有效的工具是数据完整性保护工具了, Tripwire就是其中的典型代表(而且有Open Source的版本). 数据完整性保护工具的原理大致如下: 先对全部或指定的数据做一次快照, 然后定期把当前数据和快照进行比对, 如果发现当前数据被修改了, 可以根据预先设置的预案, 报警或者自动把改动的数据回滚回去(Rollback). 这种方式对防止数据篡改或者系统被安装rootkit方面非常有效.

数据保护的另一个有效的方法是加密. 都说密码技术是信息安全最核心的技术, 就是因为数据是信息安全最核心, 想象一个黑客辛辛苦苦, 劈关斩隘, 冲破重重艰难险阻, 最后到达密室的最里层, 拿到<九阴真经>的最后一章, 痛苦地发现完全看不懂, 信息安全专家们在梦里都会笑醒.

数据加密的产品包括PGP(这个最有名), TrueCrypt(Open Source的后起之秀)等等(在linux之下, 数据加密工具可供选择的更多, 例如dm-crypt). 这些产品都可以实现加密磁盘, 在硬盘上先以文件的形式划分一整块的空间, 然后可以把这部分空间mount成一个逻辑分区, 在这块虚拟的逻辑分区硬盘上所有读写操作都会被自动加解密, unmount之后, 对没有开锁钥匙的人来说, 就是一个由一大坨乱码组成的文件. 这样做带来的一个附加好处就是数据备份更简单了, 要备份你的重要数据吗? 只需b把重要数据都放在这个虚拟分区里面, 然后直接备份这个虚拟分区文件就行了. Safenet公司的商业产品ProtectDrive做得更进一步, 它可以把整个物理硬盘整体加密, 在系统boot时, 先向使用者要开锁密码, 然后再进入操作系统.

我所有需要保护的数据, 包括Email, 源代码, 文档, 个人小秘密等等, 都放在我的虚拟加密磁盘里面, 即使我的笔记本丢失了, 或者硬盘被别人拿走了, 或者硬盘损坏, 需要送出去修理, 都不用担心秘密会泄漏. 如果各位的硬盘上藏着前任的情书照片, Playboy的美女乃至AV的, 也强烈推荐使用, 但是一定要低调, 以防他人起疑心:-)

在日常生活中, 很烦人的一点是需要记很多口令, 都一样就太危险, 不一样又容易搞混淆. 例如Keepas(Open Source)这样的口令管理工具就可以派用场了.

防水墙是这样一种东东, 它安装在客户端的系统里面, 根据集中配置的策略, 限制文件的读写拷贝删除等操作, 例如, 指定某些文件不允许copy到移动介质上. 此外, 还可以随时把客户端目前的使用情况, 例如屏幕, 进程等等上传到中心管理端. 看着眼熟是不? 对, 这不就是木马嘛. 虽说对个人隐私是一大威胁, 但是在某些特殊的场合确实需要这样的工具来帮助实施管理要求. 这方面的产品我了解不多(俺的座右铭也是DO NO EVIL:-), 也就是觉得有趣, 大家知道有这么一种东西就是了.

接下来专门讲UTM, 因为我目前的职业作品就是一个类似UTM但是方向和UTM又有区别的东东. 还是分两篇吧, 也好细细地讲.

关键词(Tags): #信息安全产品
全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河