简称关基安保

5v，也就是： 1、数据来源多源 2、数据类型多样 3、数据海量 4、数据价值密度低 5、数据流转快速

1、源头越来越多，安全边界越来越模糊。比如说云计算平台的大数据服务 2、敏感数据泄露的话，威胁风险大大增加 3、数据失真以及数据源被污染等威胁 4、数据业务处理平台遭受的业务连续性威胁 5、个人数据分散多个平台，隐私安全保护难度增加（个人敏感数据已经成为黑市上的黄金数据。同时数据的收集，传输，存储，处理，发布和使用环节都伴随数据随时泄露的风险） 6、数据交易产生的风险（交易汇聚数据可能推导出客户敏感信息） 7、大数据的滥用（生物病毒，自然人的身份信息攻击等）

从出台的法律法规规范来看，基本几点： 1、确保用户消费者有对自己信息使用存储的知情权和使用权 2、关于国家安全，人民安全，社会安全，经济安全的所有数据都保留在境内。存储时间也有规定。 3、切实提出具体措施来保护信息的安全

数据源认证

数据溯源保护

数据用户标识和鉴别

数据资源访问控制

边界安全

网络通讯安全

用户身份认证和权限管理

大数据计算安全

应急灾备

审计和监控

业务授权，基于RBAC

业务逻辑安全，业务流程不存在缺陷

合规性安全（敏感数据安全检查）

数据身份匿名

数据差分隐私

数据脱敏

数据加密

数据访问控制

大数据处理系统的安全维护

大数据处理系统安全策略更新

大数据处理系统的安全设备配置

安全事件监测和应急响应

入侵检测和网络安全态势感知

网络攻击取证

安全审计，安全堡垒机

容灾备份

用户弱口令威胁

用户终端被木马病毒攻破，获取到权限，假冒用户访问导致的数据泄露等威胁（包含用户隐私保护考量）

GuestOS镜像污染威胁：云服务商提供的镜像存在漏洞问题，没有及时的防护方案会导致镜像污染问题，并有可能扩展范围到整个数据中心

最低层的物理环境威胁：比如说自然环境条件带来的威胁（风雷电等）导致云计算服务无法正常提供

云计算服务资源的滥用威胁：比如说做为肉鸡，僵尸网络等。以及通过购买大量云平台EIP资源做恶意爬虫业务等等。

对CSP的过度依赖威胁：客户业务的严重依赖CSP，迁移多云的困难性障碍

云服务的中断带来的服务不可用风险（SLA）

利用不安全的接口进行攻击，比如说sql注入类等获取到管理权限

网络窃听

拒绝服务攻击

中间人攻击

网络数据明文传输导致的数据泄露等

共享隔离机制的失效带来的威胁：租户之间的互相攻击和窃取数据安全（在租户级别隔离机制失效前提下，这个攻击理论是可行的）

虚拟机逃逸威胁：云计算管理操作系统的漏洞会导致攻击者通过虚拟机漏洞攻击，获得平台管理员的权限。比如说vmware，openstack，kvm等

云计算平台运维和操作不当带来的威胁，比如说数据泄露和服务的终止等

数据残留威胁：云上数据删除销毁方式不可见，存在数据被还原利用的风险

存储的数据等遭受攻击，或者运维手段失误导致的数据丢失，无法还原等威胁

按照云计算安全等级保护2.0的规定，分为端-管-云三大部分。

国际规范：CSA 云安全联盟最佳实践4.0

国内规范：很多规范。

数据采集：采集需要明确告知用户具体采集的目的和使用的风险

数据传输：采用加密方式传输，防止数据传输过程外泄

数据存储：采用加密，认证，访问控制和备份等综合手段保证存储安全

数据使用：实行特权管理，数据标记来源，最小权限分配。防止访问人员权限滥用

数据维护：制定数据生命周期管理流程规范，对参与人员签订保密协议，敏感数据及时清除销毁

数据安全事件处置：针对安全事件制定应急响应预案，快速消除事件恢复业务

云计算保护对象安全等级划分

设计框架（等保2.0）

物理环境安全，包括传统的物理环境安全，以及云计算平台所在物理位置的安全

网络通信安全，以及网络边界安全等。涉及到基础设施即服务 IAAS 安全

设备和计算安全，比如资源控制，镜像和快照保护等，涉及平台即服务 PAAS 安全

应用和数据安全，比如软件容错，资源控制，接口安全，数据完整性，数据保密性，数据备份还原机制，剩余信息保护，个人信息保护等，涉及到软件即服务 SAAS安全。

云用户安全保护，比如云用户身份标识与鉴别，云用户访问控制等。

安全策略和管理制度的设计

安全管理机构和人员

安全管理对象

云计算环境和资产运维管理

安全漏洞检查和风险的分析

安全设备及策略维护

安全监管

安全监测和应急响应

安全运维安全措施（比如说特权管理，远程访问安全，运维审计，容灾备份等）

CSP隐私保护

个人隐私保护

制定应急响应方案，发现安全事件后，按照规定及时上报同时通过告警手段触达客户，并给出安全建议。协议进行安全事件的处理和干预

SCADA系统：数据采集与监视控制系统

DCS：分布式控制系统，是区别于SCADA的另外一套系统

PCS：过程控制系统，process control system

MTU:SCADA的控制中心单元，叫做主终端控制单元

RTU：scada系统的终端设备，叫做远程终端单位。

PLC：可编程逻辑控制器，programmable logic controller

HMI：人机交互界面

OPC

modbus

DNP3

TCP/IP

操作系统OS上的漏洞和缺陷

wifi钓鱼等网络监听，身份盗用等威胁

恶意代码，比如计算机病毒，木马等

应用代码逆向工程，可以分析到源代码的关键算法和窃取敏感数据

应用程序的非法篡改

系统内核

系统运行库层

应用程序框架层

应用程序层

内核层：文件系统安全（ACL权限位），地址空间布局随机化（ASLR），SElinux

系统运行库层：安全沙箱，SSL

应用程序框架层：应用程序签名机制

应用程序层：权限声明机制

进程沙箱隔离机制

SQLite 数据库安全：采用加密机制维护数据的存储安全

应用程序签名机制

权限声明机制，属于应用程序层

网络传输加密

硬件和固件

软件

安全启动链

权限分离机制

代码签名机制

DEP技术

地址空间布局随机化 ASLR

沙箱机制

数据的加密和保护机制

网络传输加密

核心操作系统层

核心操作系统层

触摸层

媒体服务层

逆向工程风险

篡改风险

数据窃取风险

防逆向编译（通过文件加密方式）

防调试，设置调试检测的功能。调试时候触发安全防护行为

防篡改，采用签名和多重校验方式，保证数据完整性

数据防泄露，采用本地数据加密技术

传输数据防护，传输采用SSL加密传输

身份认证机制检测

通信会话安全机制检测

敏感信息保护机制检测

日志安全策略检测

日志安全策略检测

服务端鉴权机制检测

访问控制机制检测

数据防篡改能力检测

防 SQL 注入能力检测

app 安全漏洞检测

工程过程类

组织过程类

项目过程类

部署和安装

配置和使用（iptables）

部署和安装

配置和使用（snort）

部署和安装

配置和使用（iptables）

电子政务网闸

能源领域的隔离装置

nmap

nessus

IPSec VPN

SSL VPIN

L2TP VPN

strongswan

openswan

非授权访问

网页篡改

数据泄露

恶意代码

网站假冒

拒绝服务

网站后台管理的安全威胁（可控性的具体体现）

apache

nginx

文件权限设置

模块扩展机制

访问数据流防护

连接管理

自带限制防护

防范DDOS

软件版本

审计和监控

数据安全

内容安全

应急响应机制

流程制度

漏洞管控

个人数据保护原则

数据互联原则

流通数据处理原则 1）保护个人权益 2）诚实守信原则 3）保护正当数据权益原则 4）数据安全原则

流通数据禁止清单：针对关系国计民生，社会安全稳定，指定行业的数据禁止进行交易的清单

交易要素标准体系

安全区域之间的信息流量，通过一种网络设备，可以实现会话和数据流的有效访问控制。这种设备叫做防火墙设备。

按照设置的安全规则进行包检测，控制通过防火墙的数据流量，包括拒绝，放行和审计三种行为

旁路数据访问

防火墙自身的安全缺陷，比如说设备的漏洞等

容易形成单点故障和性能瓶颈

无法有效的防范内部的攻击

防火墙的效用受限于安全规则的设置。

包过滤防火墙

安全会话防火墙

NFG下一代防火墙

按照提前设置好的过滤规则和安全防护规则，对所有访问web服务器的http请求和服务器响应，进行http协议和内容的过滤。

开源：modsecurity

1、根据组合和公司安全策略的要求，对网络划分成几个安全区域； 2、在安全区域之间设置网络通信的访问控制点 3、针对不同的访问控制点之间的访问需求，制定不同的访问控制策略； 4、依据控制点的边界安全策略，来选择合适的防火墙技术和防范结构。 5、在防火墙上，配置实现对应的网络安全策略。 6、测试验证边界安全策略的有效性，是否能正常执行。 7、运行和维护防火墙

概念：主体对客体的访问，需要提供自己的标识和鉴权身份。客体验证后决定主体是否是合法身份

依据：依据自己的秘密信息，行为特征，生物特征，实物凭据（智能卡&U盾等）

原理：由验证对象，认证协议和鉴别实体构成。

单向认证

单向认证

第三方认证

基于口令的认证技术

基于智能卡认证

生物特征认证

Kerberos 认证原理流程

PKI 公钥基础设施认证技术

单点登录 SSO

技术指标

产品形态

用户身份认证

信息来源证实：证明验证访问者的合法身份

信息安全保护：防止不被授权的人滥用

概念

目标

主体：发起验证访问的角色；

客体：验证访问控制权限，决定是否授予资源访问的角色

参考监视器：是访问策略的决策单元和控制单元的集合体

访问控制数据库：汇总主体访问客体的所有安全策略和规则集的总和。也叫访问控制策略库。

审计库：访问控制结果的记录汇总，比如说访问成功，访问失败等。

自主访问控制

强制访问控制

基于角色的访问控制

访问控制策略

访问控制规则类型和实现

最小特权管理

用户访问管理

口令管理（长度&强度&复杂度等）

访问控制管理过程

访问控制机制

功能指标

性能指标

UNIX/linux访问控制，采用对文件的9bit权限位控制

windows访问控制（windows2000访问模块）

web服务器访问控制（多层过滤访问）

网络通信访问控制（防火墙,vlan技术）

Virtual Private Network：在不可信的公网环境下采用安全隧道机制，提供一个安全可信的通信线路。提供 机密性/完整性/认证服务（采用验证头可以验证来源）

L2TP需要额外客户端软件，端口UDP 1701

PPTP一般是复用电话线ISDN线路，为家庭用户提供一个接入网络的方式

通过密码的多次加密变换，对内容进行安全加密传输

对数据加解密的秘钥的协商和分发交换叫做秘钥管理。常见方式有两种： 1、手工方式，两端配置一致； 2、采用秘钥交换协议（SKIP,ISAKMP/Oakley）等 IPSec协议就用到了秘钥管理技术

1、两端的用户身份认证，确认为正确的传输方 2、对传输的信息进行校验，检验数据来源合法性

协议设计目标：为了解决IP包在公网传输被攻击，被泄露不安全的短板。IEFT制定了IPSec工作组。解决安全问题。包括3个协议。

AH:验证头协议，用来解决IP包的完整性和源认证问题。

ESP:解决数据的机密性问题。

两种协议的工作机制有两种：透明模式和隧道模式。 1、其中透明模式只对IP的真实数据域做保护 2、隧道模式对IP头和数据域都做保护

协议组成 1、ssl 记录协议（record protocol），对应用层协议进行封装 2、ssl 握手协议 3、ssl 密码规格变更通知协议 4、ssl 告警协议 以上三个协议，进行会话的秘钥参数规格协商，以及必要的告警触发

加解密过程 1、SSL协议对数据进行分组分割 2、对分组进行数据压缩 3、对压缩后的数据打上MAC，也就是消息验证码，用来做分组的完整性校验使用 4、对分组进行加密，然后发送出去（通过TCP传输层发送） 5、对端接收到之后，一次进行解密，校验MAC，以及拼装。得到最终的数据。

IPSec 1、吞吐率，64&1428字节前提下 2、丢包率，64&1428字节前提下 3、延迟率，64&1428字节前提下 4、每秒新建连接数

SSL vpn 1、新建并发用户数 2、新建并发连接数 3、最大用户数 4、最大连接数 5、吞吐率

适合远程或者在家办公的员工通过客户端接入到公司内网中

适合第三方合作伙伴通过internet接入到公司内部，实现信息资源的共享和访问控制

适合分散在全国各地的办事处分公司等通过intranetVPN方式，连接成为一个虚拟整体，共享总部网络资源。

判断是否为入侵的标准是访问者对于目标资源的访问是否超出了安全策略的规定。对于检测入侵的系统，统称为入侵检测系统。也就是IDS

通过的CIDF模型，把入侵检测抽离成四个组件： 1、事件产生器 2、事件分析器 3、事件响应器（响应单元） 4、事件数据库

IDS的作用，不是为了阻断攻击访问。而是在检测到或者已经发生的入侵攻击事件后，可以及时的记录告警给到安全管理员。类似预警机&安全巡逻员的角色。

基于概率学的误用检测（贝叶斯）

基于状态迁移的误用检测（初始和完成中间状态）

基于键盘行为的误用检测，不准确

基于规则库的误用检测，最常用。典型snort

基于统计的异常检测

基于模式预测的异常检测

基于贝叶斯的概率统计异常检测

基于文本分类的异常检测

可靠性，可用性，时效性，准确性，可扩展性（比如说及时更新检测策略等），安全性

SWATCH

tripwire

网页防篡改系统

snort