1. 首页
2. 新闻资讯
3. 安全资讯
4. 如何防止基于SSL / TLS的攻击？

如何防止基于SSL / TLS的攻击？

发布日期：2017-03-08

与以往相比，近两年的网络安全出现了多起前所未有大规模数据泄露事件，从中小型企业到国家事业单位，从京东商城到国家电网。受害企业不仅遭受经济上的损失，企业名誉也受到严重的影响。尽管各大媒体时常大肆宣传各种信息安全事件，大众都觉得这已经不是什么新鲜事件，但是这些泄露事件对于信息安全行业来说具有极大学习价值。

安全专家指出，近年来大部分数据泄露的主要因素是企业网络的安全基本设施比较薄弱，而网络犯罪分子的攻击技术越来越高。因此，黑客可以通过网络中的小漏洞就可以发起网络攻击。

例如在2013年，一组从事SSL / TLS加密研究的开发人员发现一个名为BREACH的新漏洞，不法分子通过压缩技术来破坏HTTP网页，并阻止网站加密。

这并非是一个不可预防的漏洞，其实信息安全人员可以通过在Web服务器中提升安全等级，就可以防止诸如BREACH和CRIME之类的安全漏洞，（CRIME是另一个可以损害Web Cookie的安全漏洞。）同时还有其他预防措施，下面为大家讲解，提升和优化SSL / TLS加密的性能。

如何防止安全漏洞？

1.安排日常安全审计，并执行风险分析测试，评估薄弱环节和安全检修。

2.安装基于主机的防病毒程序和下一代防火墙（NGFW），评估当前网络性能并为日后的安全目标做好准备。

3.使用入侵防御系统（IPS）来识别恶意客户端并阻止其攻击。

4.确保所有软件和修补程序都针对最新的恶意软件（包括IPS）进行更新。

5.将企业网络划分为较小的可管理区域，例如LAN，WLAN或VLAN，并对团队进行多重身份验证以彼此访问。

6.使用IPsec虚拟专用网（VPN）防止中间人（MITM）攻击。

7.制定安全策略以涵盖更广泛的威胁，并解决实施更强大的防御的方法，这些防御能够响应HTTPS和HTTP攻击。

8.通过社交网络媒体和网络钓鱼电子邮件等，或通过其他网关，向员工讲解威胁的风险，提升网络安全意识。

 

所有上述要点具有相辅相成的作用，保护网络免受入侵威胁。

上一篇：史上最大的网络安全事件爆发 这些大网站的用户资料都被泄露了

下一篇：上百万已被破解的谷歌Gmail和雅虎账户在暗网低价出售

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件