防止数据加密劫持网络的四大策略

有相关安全实验室进行的测试表明，黑客往往会利用加密来隐藏恶意软件并发起攻击，从而劫持用户网络，而密码从1024位变为2048位后，防火墙平均性能均有所下降。为了让我们的核心数据更安全，以下四项策略可让解密变得更加轻松、快速且经济高效。
　　

策略一：在解密前移除恶意流量

曾用于网络攻击的许多IP地址会被重新使用，并被公布于安全社区内。相关专门组织每天都会跟踪并确认已知的网络威胁，并将此类信息保存在情报数据库内。

通过数据库对流入及流出的数据包进行比对，可以辨别出恶意流量并从网络中对其加以阻止。由于对比是通过明文格式的包头完成的，该策略无需对数据包进行解密。提前将与已知攻击者相关的流量过滤掉可以减少需要解密的数据包数量。此外，对这部分同时将会引发安全警报的流量进行剔除也有助于安全团队提高效率。

此外，我们也可以在防火墙上配置自定义的过滤器以阻止特定IP地址。

UXDB是一款为云平台打造的NewSQL数据库系统，具有较高安全性的特点。它支持全数据库级别数据加密，即数据在持久化到分布式存储之前就进行了数据加密；支持对关键表的关键列进行加密设置，该设置将在该列数据持久化到分布式存储之前就进行了数据加密；支持基于用户级别的对象访问控制；支持对行级数据的访问授权，这是一种基于用户的访问控制，用来根据用户权限来进行数据访问的控制；持全程通信信道的加密，全程通信信道指的是从客户端到数据库处理引擎，数据库处理引擎到分布式存储的所有通信信道。UXDB采用多进程的方式处理请求，这确保了每个连接会话都将由一个独立的UXDB服务进程来处理。

策略二：寻求高级解密功能

对来往于恶意源头的加密数据包进行移除之后，余下的部分数据亦需要由解密设备加以处理。许多安全工具，例如下一代防火墙或入侵防御系统，均具有SSL解密功能。
　　
密码学依赖于先人一步的预防措施。安全解决方案必须支持最新加密标准，结合各式各样的密钥与算法，并拥有使用更大2048位与4096位密钥以及更新Elliptic Curve密钥解密流量的能力。随着安全技术复杂度攀升，解决方案必须能够有效且经济高效地处理解密——即避免丢包、引发错误或者未能完成全面检查。
　　
随着SSL流量数量的增加，为了实现完全的网络可视性，解密解决方案的质量将日渐重要。此外，“纵深防御”也成为公认的最佳实践，其通常需要使用多项同类安全设备，如防火墙与入侵防御系统，让这些设备全部经历一遍流量解密与再加密将会导致安全工具效率低下，不仅会增加网络延迟，同时还会降低策略效力以及端到端的可视性。
NGF是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。
　　

策略三：选择操作简单的工具

杰出的解决方案可以提供基于拖放式的用户操作界面来完成过滤器的创建，从而有能力实现选择性的数据转发或者针对基于内容识别的数据脱敏，例如身份证，或银行卡号。这些解决方案还可以很容易为每个被使用的SSL密钥以及通信过程中产生的所有异常(如丢失的会话、SSL故障、无效证书以及出于策略原因而无需解密的会话)保存完整记录。对于审计、取证、网络故障排除以及容量规划而言，详细的日志非常宝贵。
　　

策略四：规划经济高效的可扩展性

随着加密流量数量的增加，解密将对安全基础架构的性能带来更大的影响，因此提前规划十分必要。由于SSL流量增加以及解密需要的更多周期，整体性能将会受到影响，工具同时也可能出现丢包。为了增强多功能设备中流量的流动能力，唯一的选项就是扩大整体容量。扩容会带来大量资本支出，同时为了确保设备能够承担解密，某些功能还将产生额外成本。
　　
更好的一个选项是通过采用具有SSL解密功能的网络可视性解决方案或网络数据包中转设备(NPB)来实现SSL解密从而实现针对安全工具的SSL卸载。利用网络数据包中转设备汇聚网络流量、识别相关数据包并将其高速分发给安全工具。使用硬件加速的网络数据包中转设备可以在零丢包的情况下以线速处理流量，并实现自动化负载均衡。
　　

结论

为了保护数据与网络免遭黑客与网络罪犯侵害，只靠单一的信息安全产品是不牢靠的。为了保持强健的防御能力以及降低安全漏洞和数据丢失的风险，任何企业机构都应有一套完整而专业的信息安全解决方案来抵御未知、潜在的危险。