Skip to main content

moregeek program

用全域安全防范美国nsa对西工大的网络侵略犯_赵大奇的博客-多极客编程

上周在51CTO写的一篇文章《全域安全:一种运行时安全管理模型》,向大家介绍了全域安全管理模型,它是如何在Laxcus分布式操作系统的分布环境下,解决了分布式应用业务的全流程安全管理问题。其中顺便提到,如果把全域安全管理模型放到西工大,也能防范美国国家安全局TAO针对西工大的网络进攻。因为文章主要是讲解全域安全管理模型的处理流程,并不是防范网络侵犯的介绍,这些天持续有人在后台私信我,希望了解全域安全管理模型防范网络侵犯的具体细节。那么今天再写一篇,详细说说这方面的事情。

在介绍防范网络侵犯手段之前,希望各位对全域安全管理模型有点了解,不清楚的地方,可以看上面那篇文章。闲话不多说,咱们直奔主题。

全域安全管理模型是一个体系化的分布式监管模型,它从系统架构到应用操作行为,进行着全方位的安全管控。除了防范侵犯行为,更主要是给用户提供了一个放心使用的安全运行环境。按照从上至下的顺序,采用了下列管控措施,这些措施被Laxcus分布式操作系统强制执行,全部属于必选项。

一、计算机集群网络分成内网和外网,中间用网关分隔。

二、使用虚拟化技术,把物理的计算机集群,分成多个独立的虚拟计算机集群空间,一个用户独享一段虚拟空间。

三、可信网络的基础,CA证书被密钥令牌取代。

四、重新设计网络加密通信。

五、隔离管理员和用户,并且不允许身份互换。

六、用户使用计算机需要获得授权,没有获得授权时,不能执行任何操作。

七、执行应用业务也要获得授权。运行过程中的任何操作,都被严格监控,接受管制。


咱们先说第一项和第二项。

第一项是针对计算机集群的环境安全部署,逻辑上把计算机网络分成内外两个网段。外网属于注册用户所有,体系设计上定义为非安全环境,它提供人机交互能力和结果展示,具体的存储和计算工作被投递到内网执行。内网由集群管理员负责维护,用户所有的存储和计算工作都在内网处理,属于高安全可靠运行环境,管理员有义务保证计算机集群内网安全。为了实现内外网的互联互通互操作,且能够隐藏内网拓扑,避免将内网暴露给外网,它们之间用网关进行了连接隔离。网关的作用是反向代理,来自外网的任何操作,都要接受网关的检查,只有通过安全校验确认后,网关才会把外网请求转发给内网处理。这样从物理环境布局上,一定程度限制了网络侵犯行为。

用全域安全防范美国NSA对西工大的网络侵略犯_安全管理

Laxcus内外网络环境,中间有网关分隔。


第二项属于虚拟化技术的延伸创新。不同与传统虚拟化针对一台计算机,Laxcus分布式操作系统的虚拟化,针对计算机集群。它把硬件的计算机集群进行软件切割,在一定范围内分成N多个片段,即虚拟计算机集群,每个用户登录后独享其中一段空间,用户所做的工作,只能在自己的空间,与他人老死不相往来。在这种情况下,如果某位用户虚拟空间遭到破坏,也只局限于自己的虚拟空间范围内,其它用户不受影响。这样就进一步压缩了破坏影响范围。

用全域安全防范美国NSA对西工大的网络侵略犯_安全管理_02

虚拟化集群在用户登录时分配,退出后释放,通过虚拟化+资源复用,大幅提高了计算机集群的使用效率,降低了用户使用成本。保守估算,这个成本大概是原来的1/20 - 1/50之间。


第三项针对CA证书。目前互联网上的电子安全证书,由第三方安全机构颁发。证书一般包含签证机构名称、数字签名、有效期,以及非对称加密的公钥和私钥。通常是公钥用来加密,私钥用来解密。由第三方安全机构颁发安全证书的本意,是希望体现公平、公正、安全保证、不作恶原则。

过去一段时间,安全证书曾经普遍被各界接受,但是随着过去几年各种力量对抗加剧,频繁出现的各种颠覆性事件,放在这样的背景下,作为颁发安全证书的机构,其本身已经受到质疑。现在谁也不能保证它们绝对的公平、公正,不会做出违背其宗旨原则的选择。这个现实背景下的安全证书已经受到质疑。另外,获得安全证书需要缴纳一定费用。不可靠不可信+收费,安全证书的价值在减弱。

全域安全管理模型用“密钥令牌”取代了安全证书。相比安全证书,密钥令牌由管理员设置部署管控,有以下优点:

  1. 密钥产生来源多样性。
  2. 密钥具备足够的随机性。
  3. 零成本,不象CA证书一样需要收费。
  4. 自由定义安全性更强,有利强化管理计算机集群。

在全域安全管理模型中,密钥的来源多种多样,包括计算机根据运行参数生成,管理员通过管理界面手动定义设置、由经典密钥机产生,甚至可以从量子网络中取得。运行时随机生成,管理员自由定义,经典密钥机获得、从量子网络取得,这些强随机性的获得方式,CA证书不具备。

另外,在全域安全管理模型中,密钥令牌不象CA证书一样,只有一个,而是任意多个。它允许管理员为每个节点配置不同的密钥令牌,甚至在一个节点上,针对不同用户,也可以配置多个。比如为某组IP地址的用户,配置专属于他的密钥令牌,或者针对某个数字签名的用户,配置一个密钥令牌。

这些随机性和多样性,有利强化管理员安全管控计算机集群。

用全域安全防范美国NSA对西工大的网络侵略犯_内网_03

为“192.168.100”网段用户配属密钥令牌,实现与其它网段一致但有区别的加密通信


第四项属于Laxcus分布式操作系统FIXP网络的一部分,这个时候已经进入到个体业务处理阶段。目前的FIXP网络,强制全流程执行加密通信。如果截获这些加密通信,打开它们,你会看到的只是一堆无意义的二进制数字。FIXP网络的加密通信处理流程,类似SSL/TLS,但是在部分实现细节上,加入了新的元素。比如通信采用了短报文通信技术,即每一次RPC调用,按照需求,被系统分成N个步骤来处理。每一次通信IO,都是一次一密的执行,对称密钥、数字签名、非对称密钥都可以随机动态更换。并且非对称密钥、数字签名、对称密钥,它们不允许接触任何物理存储设备,被严格限制在网络、内存、CPU之间的传递。因为一次一密的机制,保证了上次通信的密钥和本次不同,即使数据明文是完全一样的信息,也会呈现不同的传输内容。这样的网络通信有相当的迷惑性,它降低密钥被截获后逆向解码的概率,强化了个体业务的安全强度。再加上多密钥令牌机制,即使用上Laxcus这样超级强大的分布式处理系统来逆向计算,也难以解除这些加密密码。

用全域安全防范美国NSA对西工大的网络侵略犯_内网_04

FIXP网络管理非对称加密、数字签名、对称加密,是个人安全服务的入口。


第五项涉及的是权限管理问题。在全域安全管理模型中,系统将管理员的管理权限和用户的使用权限,进行了严格限制分割,不允许身份互换。这样的结果就是,如果一个人以管理员身份登录进入Laxcus分布式操作系统,那么他只能执行计算机集群方面的工作,用户能够执行的操作被禁止。同样的,如果一个人以用户身份登录进入Laxcus分布式操作系统,管理员能够执行的操作被严格禁止,所有工作都被限制在用户权责范围内。这是从计算机程序层面进行的限制,除非有能力修改全部源代码,否则整体无解。

这一点和Unix、Linux等操作系统的设计完全不同。在Unix/Linux上,每个人的身份可以随时切换,比如一个登录者以普通用户身份登录,如果他需要执行更高权限的工作,切换到root用户状态,使用“su”命令就可以完成。但是在Laxcus分布式操作系统上,不允许这样操作,用户的身份,在他登录成功那一刻即被确认,没有切换的机会。

拒绝身份切换,也除了减少密码泄漏的机会,更主要为Laxcus分布式操作系统提供更高级的安全管控能力。

用全域安全防范美国NSA对西工大的网络侵略犯_安全管理_05

管理员执行用户指令,被系统拒绝!


第六项可以看作第五项管理员权限的延伸。在Laxcus分布式操作系统上,一个用户账号注册成功后,尚不具有处理任何工作的能力。要想得到这样的能力,必须获得管理员的授权。目前用户能够使用的权限有几十种,比如操作大数据的权限,针对分布式应用软件的权限,针对用户虚拟空间的权限。这些权限还可以进一步细分,比如细化到执行原子级别IO的操作。

用全域安全防范美国NSA对西工大的网络侵略犯_计算机系统_06

管理员向一个名为“TINY”的用户授权,使他获得删表、加载索引,SQL SELECT检索的能力


第七项已经进入到具体的用户执行层面。在这个层面,全域安全管理模型会严格监督用户发出的任何操作行为。用户运行的分布式应用软件,执行大数据处理工作,判断提取系统信息的操作,都会受到严格监控。这些监控基于第六项的管理员授权,如果用户没有获得某个应用软件的运行授权,那么他不能运行这个应用软件,即使在前端的图形桌面执行,这项工作投递到云端内网环境中,也会被系统拒绝执行,大数据存取处理、操作数据库的SQL语句也是同样的道理。


以上就是全域安全管理模型针对网络侵犯的具体处理措施。这些安全手段对于初学者,可能仍然比较抽象。那么咱们换个角度,结合实际案例,谈谈如果使用全域安全管理模型,如何防范网络侵犯获取西工大机密信息,这样应该更容易让各位理解。

根据披露的信息,西工大机密数据被窃,是嗅探程序和沐马程序组团作恶的结果。流程大致是这样:美国国家安全局TAO为了掩人耳目,派出大批跳马侵入世界各国的计算机系统,从这些地方发起侵犯,集中扫描西工大的计算机系统,寻找系统漏洞。比如某个可以利用的端口,或者发送诱饵邮件,由此值入沐马程序。在缺少必要安全保护的情况下,有些沐马程序被激活运行,取得某台计算机最高级别的root权限,然后这些沐马程序继续依此循环往复,获得更多计算机的root权限,植入更多沐马程序。利用root权限加上沐马程序,TAO大规模持续检索计算机上的信息,寻找窃取机密数据,然后通过网络,传输保存到它们预设的某个位置。最后“抹脚印”,将计算机系统上的行动轨迹销毁,删除作案证据,撤出被侵犯的计算机系统,好象什么事情都没有发生一样。在国际社会继续利用手中的媒体,把自己装扮成一朵白莲花。

针对这些情况,结合全域安全管理模型,我们可以这样防御处理:

  1. 内外网络分离,网关连接通信双方,对外只保留一个通信端口。这个端口的后端节点使用密钥令牌通信。必要时候,依据IP地址来源或者启用数字签名,严格识别和控制外来通信,杜绝非法访问。
  2. 在计算机集群虚拟化层面,因为每个空间都是独立的,一个空间出现问题,并不影响同处一个物理计算机集群其它空间用户使用。这样就将问题波及影响限制在个体层面。
  3. 在个体层面,用户如果想使用计算机集群,需要获得授权。因为授权只能由管理员执行,而管理员是某个具体的人来操作,他的操作只在内网环境中执行,执行信息不会出现在外网环境,加上管理员空间和用户空间分开,所以授权过程具备相当的安全保证,进一步降低安全风险。
  4. 个体用户使用,运行分布式应用软件,存取数据、执行命令都建立在授权基础上。因为每个分布式应用软件都有数字签名,这个签名由软件开发者签发,具备唯一性。如果发布到应用软件商店,还将接受应用商店的安全检查才能发布。软件的安装部署过程只能由用户手工处理,拒绝自动执行,这个环节还可以增加自定义的安全检查,比如手机校验或者其它什么可以识别的方式,由此拒绝沐马植入。软件部署到内网的云端环境,会继续接受系统的安全检查识别。这些检查信息都被记录下来,保存到一个安全的注册表里。在软件运行前,它们一起分发到各个计算机节点上。一旦运行时发现不符,比如被植入沐马,或者携带了病独,可以立即检测出来,这个时候系统会拒绝运行,同时通知用户。这个道理也同样适用Laxcus分布式操作系统的各种命令,包括很多类似Linux/Unix的高危命令。

同样基于授权机制,即使用户的应用软件本身没有问题,但是软件在运行过程中,出现了超越权限的行为,比如在没有获得写权限情况下,执行了一个针对磁盘的写操作。或者在没有读取权限的情况,读取系统信息,这些情况都会被系统识别,做出拒绝执行操作。

以上就是全域安全管理模型的处理流程。这些安全管控措施跟随业务需求被一层层分解,然后一层层分阶段判断执行,细密到每一个处理环节,十分繁琐。系统实际运行过程中,也确实因为各种安全措施的深度介入,降低了计算机系统运行效率。但是如果考虑现在的计算机系统越来越需要安全的运行环境,而全域安全管理模型能够保护计算机系统安全运行,杜绝各种安全隐患,降低计算机被网络侵犯的概率,和数据泄漏的可能。它从另一个维度,保护着我们的数字资产,提高了安全保障能力,所以这一切的成本付出和代价都是值得的。


附说明:目前全域安全管理模型已经应用于Laxcus分布式操作系统。Laxcus是一个开源、容错、高扩展、多人共享、多机协同分布运行的操作系统,支持百万级节点规模的计算机集群、亿级用户在线。通过分布式应用软件,处理大规模、超大规模的存储和计算工作。​


©著作权归作者所有:来自51CTO博客作者姓赵名大奇的原创作品,请联系作者获取转载授权,否则将追究法律责任

思科asa防火墙配置ssl远程vpn_段嘉许的博客-多极客编程

📒博客主页: ​​微笑的段嘉许博客主页​​ 🎉欢迎关注🔎点赞👍收藏⭐留言📝 📌本文由微笑的段嘉许原创! 📆51CTO首发时间:🌴2022年9月22日🌴 ✉️坚持和努力一定能换来诗与远方! 🙏作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!⭐本文介绍⭐使用SSL(Secure Socket Layer,安全套接层);VPN可以更加方便地实现远程安全接入。SSL VPN不需要在用户计算机

防火墙基础之中型企业网络架构vpn组网服务器安全防护解决方案​_晚风挽着浮云的博客-多极客编程

中型企业网络架构VPN组网服务器安全防护解决方案​原理概述:​防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。​防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项

firewall analyzer防火墙管理_manageengine it运维服务的博客-多极客编程

企业防火墙管理 典型的企业网络安全基础设施包括传统防火墙、下一代防火墙 (NGFW)、虚拟专用网络 (VPN) 和来自多个供应商的代理服务器。网络安全管理,特别是防火墙安全管理尤其棘手,因为每个供应商的能力和技术差异很大。然而,市场上有许多防火墙管理解决方案。作为安全管理员,需要一款智能防火墙管理软件来帮助管理您的防火墙规则、配置和来自不同供应商的日志。 防火墙管理工具 Firewall Anal

防火墙基础之大型企业网络架构安全防护fw部署_晚风挽着浮云的博客-多极客编程

防火墙基础之大型企业网络架构安全防护FW部署​原理概述:​防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。​防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作

防火墙基础之大型企业网络架构负载均衡和安全防护_晚风挽着浮云的博客-多极客编程

防火墙基础之大型企业网络架构负载均衡和安全防护原理概述:​防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。​防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作

都2022年了,你还没有给网站加上“buff”?_极验的博客-多极客编程

近期休闲小游戏“羊了个羊”火爆朋友圈,这款第二关难度系数极高且带有省份和个人排名的小程序游戏甚至在最高峰时段热度指数超过了和平精英和英雄联盟。但不管是MOBA手游英雄联盟还是休闲小游戏羊了个羊,在繁荣的背后游戏外|挂脚本屡见不鲜。面对此类业务遭受计算机自动化作弊的情况,企业应该如何应对、避免损失及无效运营无疑成了当下最应该重视的问题。目前,针对以上风控问题,极验作为负责企业业务安全的服务商已根据不

手持vh501tc多功能混合传感器信号采集读数仪各接口说明_河北稳控科技的博客-多极客编程

手持VH501TC多功能混合传感器信号采集读数仪各接口说明 传感器接口 传感器接口须使用设备专门配备的测线,一端为 DB9 或者航空插头,另一端为用颜色区分的多个鳄鱼夹,线(鳄鱼夹)颜色和功能定义详见前述“设备组成和接口定义” 。 充电和通讯接口 充电:仅当设备使用锂电池供电时方可充电。 通讯:设备内置了通讯芯片。 UART 默认通讯参数为: 9600, N, 8, 1。 注意: 请使用跟随设备的

kvm实现三层网络_9089998的博客-多极客编程

一、背景由于测试双网卡双网关功能实现,没有测试环境。所以需要在虚拟机中进行模拟,以验证操作的正确性。二、环境准备准备1台4vCPU+8G内存虚拟机,用于部署虚拟化,模拟所有的网络环境。 配置 备注CPU4核 内存4GB 磁盘20GB 网络4个网口 在虚拟机中,需要创建5台1vCPU+1GRAM的虚拟机,用于网络测试。虚拟机名称操作系统网口名称IP地址桥接网络node1Centos7ens3192.

tcp 5连问,你能抗到第几轮?_博学谷狂野架构师的博客-多极客编程

今日有幸被虐了一把,分享出来,让大家体验一把被虐的快感~~ 1,TCP3次握手具体过程 2,请聊聊SYN攻击 3,CLOSE-WAIT 和 TIME-WAIT的作用 4,TCP如何保证可靠性 5,TCP如何进行拥塞控制 答案解析 ​ TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP是面向连接的所以只能用于端到端的通讯。 ​ TCP提供的是一种可靠的数据流服务,采

opmanager-企业网络问题分析及故障排除_manageengine it运维服务的博客-多极客编程

计算机网络构成了数字业务的基础,为确保业务连续性,需要日夜监控和管理这些网络背后的 IT 基础设施,IT 管理员在管理 IT 基础设施时遇到的常见问题以及解决这些问题,这是他们工作的关键部分。 网络问题的类型 网络问题的范围从设备或服务不可用到响应时间缓慢、服务器运行状况不佳和网络性能不佳。网络中出现的问题可能很广泛,因此我们根据其来源将网络问题分为四类。根据类别,可以采用合适的网络故障排除技术。

什么是iso认证_龙翊信安的博客-多极客编程

今天龙翊信安要来给大家讲的是什么是ISO认证,相信很多小伙伴在听到这个名词时,发现自己并不知道这个是什么,或者说它是一种什么存在,其实ISO认证是由第三方认证机构对组织(包括企业、个人、事业单位等)所建立的ISO体系进行审核调查,确认其建立的体系是否符合ISO标准的过程,如果符合,会颁发相应的认证证书。什么是ISO?ISO的前身是国际标准化协会(ISA),ISA成立于1926年(1926年美、英、

ftp方式升级h3c交换机_无冬无夏的博客-多极客编程

1、设好交换机的IP地址和笔记本的IP地址,在同一个网段内确保能互PING能通 2、准备升级文件,并开启设定好FTP服务器端(3CDaemon软件),设定好账号 ftp / 123456,选择好升级文件存放路径S5130S_EI-CMW710-R6329.ipe 3、上传固件到交换机 <h3cb>ftp 192.168.1.1User (192.168.1.1:(none)): ftp