精华内容
下载资源
问答
  • 安全技术c类什么意思
    千次阅读
    2021-05-22 06:26:55

    点击查看c语言中&NBSP是什么意思具体信息

    答:1:& 属于HTML的字符转义, 2:HTML直接显示转义字符一般是由于标签不完整或字符集错误导致的 3:删除对多余网页本身影响不大。 4:下图为部分HTML转义字符。

    答:&就是在网页上显示 & 这个符号。 &nbsp 是空格的意思。

    答:是空格的意思

    答:这绝对不是c语言。。。是你网上down网页源码才会出来的东西。。。&amp是js中的符号,表示括号。。。其他的也都有问题。。

    答:&就是转义后的& nbsp;就是转以后的空格

    答:&amp 和 ;amp 和 ;nbsp 等等都是HTML(Hypertext Markup Language),即是'超文本标记语言',是用于编写网页文档的一种语言,不是正统英文. 有时网页没有传送好会看到一些些网页的原文. 呵呵^_^ 没事的

    答:表示空格。是javascript里面的转义字符! 例如: abc这时候浏览器会忽略掉abc前面得空格 为了在前面有空格,通常使用  abc 拓展资料 JavaScript[3]是一种基于对象和事件驱动并具有相对安全性的客户端脚本语言。同时也是一种广泛用于客...

    答:在前台页面html中添加&amp显示出来页面上的为&符号,&nbsp是html中的空格!

    答:焓H一定大于内能U,因为H=U+PV,无论是什么宏观物质,它的压力和体积不会是负值,且内能U也不会为负值,所以H的数值一定大于U

    答:首先你已经安装了交叉编译工具链,比如说自己安装了gcc-linaro-arm-linux-gnueabihf-4.8-2013.10_linux工具 然后cmake用的是cmake-3.4.1-Linux-i386.tar.gz版本,其实这个只需在linux中解压即可,需要用cmake-gui时,只需到bin目录下,sudo ./cm...

    答:&在oracle中为特殊字符,必须进行转义 'J&WALONG' 写成'J'||'&'||'WALONG' 或者 'J'||chr(38)||'WALONG' 就可以了

    答:12.2.nbsp;HTMLnbsp;h1nbsp;h2nbsp;h3nbsp;h4nbsp;h5nbsp;h6nbsp;标签h,h1,h2,h3,h4,h5,h6nbsp;标签nbsp;--nbsp;表示文章的标题nbsp;nbsp;nbsp;nbsp;*nbsp;h标签是成对出现的,以amp;lt;hamp;gt;开始,以amp;lt;/hamp;gt;结束nbsp;nbsp;nbsp;nbsp;...

    答:第一步,进入【电话】第二步,在拨号键盘上输入*3001#12345#*,然后按下【呼叫】按钮,iOS内置应用Field Test就被启动了,同时左上角也出现了信号强度的精确值。第三步,按住 iPhone 的开关键(即顶部电源键),直到出现”滑动来关机”滑块第四步...

    答:var a="今天是星期五, 明天又可以放假了&好好休|息一下"var b=a.replace(/[&\|\\\*^%$#@\-]/g,"");alert(b);需要去掉什么符号,就在...

    答:       先说下它吧,万里马(wanlima)源自香港,始于1927年,产品遍布全球17个国家,在时尚之都法国、意大利倍受时尚人士...

    答:顺发和美家位置还行。[开发商] 被你们这么一说觉得还不如东方一品那房好,可惜已经晚了,物业管理肯定还是纳德,纳德也是万向的[配套] 我也觉得很不错,...

    答:WWW是Worldnbsp;Widenbsp;Webnbsp;(环球信息网)的缩写,也可以简称为Web,中文名字为“万维网”。其创建者伯纳斯amp;#8226;李,在他1991年8月6日创建的第一个网址中解释了万维网的工作原理等内容。他也因此被《时代》杂志评价为二十世纪最重要的...

    答:捷达就是便宜的代步车,虽然技术老,外形过时,但7-8万这个价位对得起它的质量和性能。 小毛病肯定有,但并不多,尤其是新车,只要你不是拿它当出租...

    答:首先确认一下你装上了没?就是按住图标后,图标抖动的速度加快了没?如果确实装上了,去设置里最下面看看,应该在那个地方。

    答:我的算法:我采用贪心的算法,nbsp;按照左端点排序,nbsp;建立一个以线段右端点为关键字的大根堆.依次尝试插入线段,nbsp;对于当前的一个线段,nbsp;如果能够覆盖,显然我们选择覆盖,nbsp;而如果不能覆盖,nbsp;我们进行一下讨论.首先我们需要知道(1)nb...

    是空格的意思

    再算 (a^b) & c&表示按位与a^b结3即二进制0011c=3即二进制00110011&0011=0011何谓按位与  例说按位与左起第位与第位求与运算第二位与第二位求与...

    多个对象的话,假设 A & B & C,只有当 ABC 都为真的时候,输出才是真。。 其实 A & B & C = (A & B) & C,可以把 A & B 的结果...

    二进制相与,逻辑运算符

    scanf("%d%c%d%c",&a,&b,&c,&d); &nbs... nbsp;your using");    return 0;} ;和 ; 是...

    && 逻辑与||    逻辑或上面的是表达式同为真时则真。(1 > 0  &&  2 > 0)下面的是表达式有一为真则真。(1>0  ...

    意思是*str 指向的地址不为空,且不为 ch 变量的内容时就继续循环

    在上层if条件已经限定了,c的范围是 a-z 或A-Z, 第二个 条件为什么不写成if(c>'Z'||c>'z'),是因为字母小写时都满足条件,所以就加上了,在大写字母时加上特殊限定,c

    = 2;*q = 0;for(i=0;*p&&*q;i++)  *p && *q 等价于 2 && 0,*表示指针,*p表示取到指针所指向的值,则*p = 2.&&在C语言中,就是左...

    amp;&(n=c>d) 首先 比较 a>b, 大于m=1,否则m=0 其次比较 c>d    大于 n=1,否则n=0 然后 计算以下算式 :    (m != 0)

    然后相应位对应进行与运算.当对应位都是1时为1,否则为0,如3&5=011&101=001=14&8=0100&1000=0 3%5-3&&5+~3算法运算符的优先级大于逻...

    &&为逻辑与操作,C语言中,非0则为真,0为假,编译器在做&&运算时先判断&&左边是否为真(即非0),若为真,则继续判断右边是否为真,若右边为真则...

    &&是逻辑与的意思,在C语言中是用于逻辑运算,值只有 0和1,也就是真和假。

    与运算 和 或运算

    按位与运算符 ,运算的时候先将两个数转换成2进制,规则是: 0&0为0,0&1为0,1&1为1如:6&8 先将6和8转换成2进制 011&100 运算后就变成了000 再将2...

    当A和B 都为真或者c为真时为真。2者至少有1个要满足

    注意c语言中只有一个等号的情况下,不是等于的意思,而是赋值3,&&是并且的意思 ,也就是说要这个符号前后的表达式全都是真的情况下,才返回真4,( )和数学中的括号...

    " "引号中的是需要输入的格式,就你的例子,格式为:输入第一个十进制,加逗号,再输入一个十进制数,例如12,24 &a中的a则表示你输入的第一个十进制数将给a这个...

    &是与运算 ~是按位取反 P1&=~0x01就是 P1=P1&~0x01 //~0x01按位取反,就是每位都取反,~0x01=0xfe P1&=~0x01 就是 P1=P1&0xfe Pd4&=~0x20 就是 Pd4=Pd4&0xdf ...

    运算符优先级  ! 算数运算符 关系运算符 && || = m=a>b => m= (a>b) = 0     m=0   &&前面为0, 后面做不再执行了  ...

    更多相关内容
  • 一种用于类C语言环境的安全的类型化内存模型.pdf
  • 1. 概述 随着云计算逐渐成为...从发展的脉络分析,“云安全”相关的技术可以分两: 一为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computin...

    1. 概述

            随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

    从发展的脉络分析,“云安全”相关的技术可以分两类:

    • 一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;
    • 一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。

    云安全

    “安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。

     

    1.1 云计算安全

           基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。

    NIST云计算安全参考架构的三个构成维度:

    • 云计算的三种服务模式:IaaS、PaaS、SaaS

    • 云计算的四种部署模式:公有、私有、混合、社区

    • 云计算的五种角色:提供者、消费者、代理者、承运者、审计者
      NIST云计算安全参考架构
      作为云服务的使用者,企业需要关注的以下几个子项的安全:

    • 管理对云的使用
      配置:调配各种云资源,满足业务和合规要求
      可移植性和兼容性:确保企业数据和应用在必要时安全地迁移到其他云系统生态
      商务支持:与云服务提供商的各种商务合作和协调
      组织支持:确保企业内部的策略和流程支持对云资源的管理和使用

    • 云生态系统统筹
      支持云服务提供商对计算资源的调度和管理

    • 功能层
      包括网络、服务器、存储、操作系统、环境设置、应用功能等,不同服务模式下企业能够控制的范围不同

       

             使用不同模式的云服务(IaaS、PaaS或SaaS)时,企业对资源的控制范围不同,有不同的安全责任边界,因此需要明确自己的责任边界,适当部署对应的安全措施。根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定,企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。

      GB/T 31167-2014服务模式与控制范围的关系
      具体的责任分配可参考微软《云计算中的共担责任》中的说明,如下图。

      不同云服务模式的共担责任

     

    1.2 安全即服务

          传统上,有些企业会选择安全代管服务(Managed Security Service,MSS),将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商(Managed Security Service Provider,MSSP),以减轻企业IT和安全部门在信息安全方面的压力。随着技术和网络的发展,部分专业安全厂商开始采取类似的策略,不再向客户出售独立的安全软件和设备,而是直接通过网络为企业提供相应的安全托管服务(hosted security service):企业只需要负责配置和管理自身的安全策略和规则等工作,而不用涉及软硬件的安装和升级维护等。

          在云计算技术逐渐成熟以后,安全托管服务即由厂商通过云服务平台提供;同时,也出现了一些直接通过云服务提供的其他安全技术和产品,统称安全即服务。按照云安全联盟(CSA,Cloud Security Alliance)发布的《云计算关键领域安全指南》(第四版,2017年7月)中介绍,SECaaS共有12类:

    1. 身份,授权和访问管理服务
    2. 云访问安全代理
    3. Web安全
    4. Email安全
    5. 安全评估
    6. Web应用防火墙
    7. 入侵检测/防御
    8. 安全信息和事件管理(SIEM)
    9. 加密和密钥管理
    10. 业务连续性和灾难恢复(BC/DR)
    11. 安全管理
    12. 分布式拒绝服务保护

    与传统安全产品相比,SECaaS产品有诸多优势:

    • 快速部署,即买即用。企业不需要采购软件和硬件,在获得相应安全服务的授权后,经过简单配置即可使用。
    • 自动升级,免于维护。云端服务永远处于最新状态,企业不需要配备人员对安全设备和软件进行版本升级和日常维护。
    • 按需采购,灵活扩张。企业可以按当前的使用人数采购必须的安全功能,并根据需求变动随时增加或减少。
    • 支持移动,访问便捷。以云服务方式提供后,安全功能可以覆盖移动用户,扩大受保护的边界。

     

    2. 云安全相关的主要场景

    根据企业对云计算服务的使用情况,云安全相关的主要场景可分为5大类,这里分别介绍比较有代表性的技术:

    • 云计算安全:
      1.租用虚拟硬件资源(IaaS),提供对外业务或内部应用
      2.使用云服务(PaaS或SaaS)构建内部应用
      3.私有云

    • 安全即服务:
      1.集成云服务解决业务和应用中的安全挑战
      2.使用云服务替代传统安全设备和方案

    2.1 云计算安全

    2.1.1 租用虚拟硬件资源(IaaS)

           租用云服务器等虚拟硬件资源是云计算服务的最基本模式,也是企业需要承担最多安全责任的模式。除了确认云上业务应用本身的安全性,企业在规划租用虚拟硬件资源时,应该从三个方面分别考察相关安全技术和产品:虚拟硬件基础设施、应用底层架构和对外业务保障。这里将分别介绍11种主要技术的相关情况:
    租用虚拟硬件资源(IaaS)

     

    2.1.1.1 虚拟硬件基础设施

           企业选择租用云服务器等虚拟硬件基础设施时,首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境,为企业的云上业务和数据提供基础性的安全保障。

    安全组(Security Group)
            技术介绍:安全组定义了一组网络访问规则,可视为虚拟防火墙,是实现云服务器间网络隔离的基本手段。云服务器加入一个安全组后,该安全组的所有网络访问规则都将应用于该云服务器;如果一个云服务器加入了多个安全组,应用于该服务器的网络访问规则将是各安全组的合集;同一安全组内的云服务器之间能够互相通信。
           客户收益:在基础网络的设定下,CSP从统一的资源池中为客户提供云服务器,安全组能够帮助客户实现以单个云服务器为基础的网络隔离,并划分安全域。需要特别注意的是,如果使用基础网络设定,不同租户的云安全服务器在默认情况下是网络互通的。
           使用建议:安全组应用于所有云服务器。企业在使用云服务器时应仔细规划安全组的设置和信任关系,以确保在满足业务互通需求的同时实现有效隔离。

    虚拟私有云(Virtual Private Cloud,VPC)
          技术介绍:VPC是指CSP在公有资源池中为客户划分出的私有网络区域。与企业内部的物理网络类似,VPC在提供公网地址(IP)作为访问接口的同时,内部可自定义私有IP地址段,并可继续为VPC内部的云服务器建立安全组。
         客户收益:使用VPC时,企业在云上的网络架构与传统的物理网络基本一致,且同一租户的不同VPC之间也不能直接通信。企业也可以将内部或IDC的物理网络与VPC通过专线、VPN或GRE等直接连接以构建混合云业务。
         使用建议:VPC能为企业的云上资源提供网络隔离,防止其他租户嗅探或攻击;同时,由于设定的固定网段等限制,也将影响网络架构的弹性扩展。企业需要妥善规划和管理网络,设置路由策略和访问控制规则,并根据业务需求及时作出调整。

    微隔离(Microsegmentation)
         技术介绍:微隔离技术将网络划分成多个小的功能分区,对各功能区设置细致的访问控制策略,并可以根据需要通过软件随时进行调整。微隔离的实现主要基于网络(VLAN、VPN、SDN/NFV)或平台(如hypervisor、操作系统、容器等)的固有特性,或者通过防火墙等第三方设备以及主机客户端实现。
         客户收益:微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化,实现了按应用和功能的业务逻辑对网络访问进行控制。由于网络访问规则与业务逻辑一致,攻击者能获得的攻击面较小,也难以利用系统漏洞进行渗透;同时,即使黑客突破防御边界,由于不同应用的业务逻辑不同,对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板,黑客在内网渗透的难度将明显提高。
         使用建议:建议企业了解相关技术和产品的发展,保持关注。如果部署使用,微隔离形成的分区应具有类似的功能,在业务流程上尽可能一致;跨分区的网络通信必须符合策略设置,且被记录;安全事件发生后,可疑分区将被迅速隔离。另外,除了应该仔细规划各分区的组成和跨分区通信规则,还应该注意避免过度分区影响正常业务。

    软件定义边界(Software-Defined Perimeter ,SDP)
           技术介绍:SDP架构也称“黑云”,使企业对外隐藏内部的网络和应用,并使用策略控制对内部网络的接入和内部应用的访问,主要由SDP控制器和SDP主机组成。SDP控制器分析连接请求以及发起方和接收方的各种信息,基于设定的策略判断是否接受或发起连接;SDP主机控制数据通路,收集连接的相关信息,并根据SDP控制器的判断接受或发起连接。
          客户收益:随着各种云服务和移动设备的广泛使用,传统上用于划定安全区的网络边界越来越难以清晰定义;同时,黑客获得传统安全区内设备的控制权也变得容易和常见。通过严格控制对内部网络的接入和应用访问,SDP帮助企业有效隐藏信息并缩小攻击面。
          使用建议:随着用户来源和应用部署方式越来越多样,SDP的作用和好处将更为突出,企业的IT和安全人员应保持关注,并在条件允许的情况下开始试验性部署。

    云资源管理和监控
          技术介绍:云资源监控和管理平台(应用或服务)为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率,以及存储等各项云服务的负载和性能,对异常的消耗和中断等做出告警,并提供相关报表以供进一步分析,有些厂商还能提供优化建议,降低在云资源上的支出。
         客户收益:云资源监控和管理平台能够帮助企业监控云资源的使用情况,保障业务运行,并为企业优化云资源配置提供建议,提高云资源利用率并降低成本。
         使用建议:根据云上业务的重要程度,企业应尽量对云资源的使用进行专门的监控和管理,以保证业务的平稳运行。

     

    2.1.1.2 应用底层架构

           基于安全的云上硬件环境,企业在部署业务应用前,需要设计和搭建应用底层架构。与传统硬件环境相比,在云上搭建应用底层架构更便捷,也更灵活,并能利用新技术进一步提高可靠性和安全性。

    不可变基础设施(immutable infrastructure)
           技术介绍:不可变基础设施是指采用云计算(或虚拟化)构建系统的基础设施时,部件实例如服务器和容器等在正式上线时被设置为“只读”(read-only);如果需要对这些实例作出改动,只能使用新的实例替换旧的示例。由此,不可变基础设施通常与一次性部件(disposable component)同时存在。
          客户收益:不可变基础设施充分利用了云计算的优势,也只能在纯的云计算环境下使用,且要求系统的部署和运行高度自动化。采用不可变基础设施,除了简化系统运营并提高效率,也能显著提高系统的可靠性并在遇到故障时及时回滚;同时,由于不能对线上的系统部件进行任何改动,不可变基础设施也能够更好地抵御黑客的攻击和渗透。
          使用建议:不可变基础设施对运维部门有较高的技术要求,推荐有能力的企业进行试验性部署。

    容器安全
          技术介绍:容器技术能够实现对单个应用的标准封装,从而简化应用的分发和部署。容器安全主要包括两部分:部署系统的安全性包括对镜像文件(image)的扫描及验证和对仓库(repository)的识别和确认等;运行系统的安全性包括应用容器之间的隔离和容器中应用的权限控制。
         客户收益:容器安全技术的使用能够提高容器系统的可靠性,也能够强化应用系统的安全,促进企业基于云计算平台构建完整的基础设施。
         使用建议:企业在使用容器技术时应给予容器安全足够的重视,及时了解相关技术和产品的发展,并在有条件时部署。

     虚拟机备份
           技术介绍:虚拟机备份技术直接利用虚拟化平台提供的API对虚拟机(云服务器)镜像进行备份和恢复,而不依赖于主机上安装客户端软件。与传统的客户端备份软件相比,虚拟机备份技术不占用虚机本身的CPU和内存等资源,对虚拟机上运行的业务影响较小。
          客户收益:虚拟机备份技术用于保护和恢复重要业务的虚拟机及其中存储的企业数据,使业务系统在异常中断后能迅速恢复运行。与传统的应用、磁盘和数据备份技术相比,虚机备份技术更易于操作和管理,恢复业务应用的效率更高。
          使用建议:使用虚拟机备份技术将简化备份和恢复意外中断的业务,推荐企业在有条件时为承担关键业务和数据的虚拟机(云服务器)提供连续备份,制定业务连续性计划,并按要求进行演练。

     

    2.1.1.3 对外服务保障

           企业提供对外业务时,将面临各种网络攻击和黑客入侵。除了在应用的设计、开发和部署时严格执行相关的安全策略、标准和规则,企业还应该考虑采用专门的安全技术,加强对应用的保护。

    主机防护
           技术介绍:主机防护技术用于帮助企业加固云服务器主机系统软件,通常包括漏洞扫描、补丁管理、入侵检测和配置管理等等。通过及时发现并修补系统漏洞、实时检测和阻断可能的入侵、自动检查系统配置、提示存在的问题并给出建议等措施,主机防护技术能显著提高主机的安全性。
          客户收益:业务主机被黑客入侵大多是由于未能及时修补已经公开披露的系统漏洞,或在管理上过于松懈而缺少必要防范。主机防护技术可以有效提高运维效率,建立安全基线,并及时对攻击行为作出反应。
         使用建议:云主机防护能有效提高云服务器抵御黑客入侵的能力,企业提供对外业务的云服务器应注意采用。除了直接采用各CSP提供的主机防护产品,企业还需要谨慎评估可能存在的问题和威胁,在必要时加强相关防护。另一方面,使用主机防护技术和产品的同时,主机管理员仍然需要密切关注系统的状态和可能受到的入侵,以便及时反应,最大限度地降低损失。

    Web应用防火墙(Web Application Firewall,WAF)
            技术介绍:云WAF是指以云计算服务方式提供的WAF功能。WAF通常采用反向代理技术,通过检查和过滤HTTP/S流量的内容,保护指定Web应用,帮助网站抵御各种攻击,保证企业的业务和数据安全。除了防御SQL注入和XSS(cross-site scripting,跨站脚本)等常见的Web攻击(OWASP Top 10),有些云WAF还提供网页防篡改等功能。
           客户收益:为了入侵企业网站,黑客会不断寻找并利用Web应用中的实现漏洞和设计缺陷。WAF为企业网站提供一道外围防护,可以有效阻止黑客进行信息收集、攻击渗透、破坏业务和偷取数据,并能在事故发生后迅速恢复。与传统的WAF设备(包括虚拟设备)或软件相比,云WAF的部署更简单:企业管理员只需要在线填写网站域名等基本配置,而不用关注网络结构和部署位置等信息,即可迅速为网站提供保护。随着越来越多的企业网站部署到云服务器上,云WAF也获得了广泛的应用。
           使用建议:云WAF可以为企业网站提供基本的安全保障,特别是当网站部署在云服务器上时,应该尽量同时购买云WAF服务。另一方面,虽然在厂商提供的默认配置下云WAF能够帮助企业网站抵御常见的网络攻击,企业管理员还是应该根据网站的Web应用和系统业务等情况,认真优化云WAF的相关安全配置。

    云抗DDoS(Distributed Denial-of-Service)
            技术介绍:云抗DDoS是指以云服务方式提供对DDoS攻击的防护。除了基于特征识别算法拦阻攻击流量,云抗DDoS还普遍采用代换接入IP的方案:所有公网流量先接入厂商的资源池入口IP,经过清洗后再转发至企业网站服务器的真实IP。根据厂商资源池的配置,代换接入IP方案目前已能够抵御Tb/s级的DDoS攻击。
           客户收益:DDoS攻击是商业网站面临的一个主要威胁,云抗DDoS服务帮助企业有效地抵御攻击,保持站点稳定和业务正常运行。与传统抗DDoS设备相比,云抗DDoS部署更简单快捷,且可以按需采用,使用成本大大降低;同时,云抗DDoS能够处理的攻击流量也远大于传统抗DDoS设备。
          使用建议:如果用户对企业网站提供的业务有较高的可用性要求,或者企业面临较强的竞争,应考虑使用云抗DDoS服务。除了IaaS厂商提供的免费服务,企业购买云抗DDoS服务时需要平衡DDoS攻击可能造成的损失和云抗DDoS的成本。

     

    2.1.2 使用云服务(PaaS或SaaS)构建内部应用

            除了使用云上的虚拟硬件资源,越来越多的企业选择直接使用云应用替代本地应用软件或基于PaaS搭建内部应用。PaaS或SaaS服务模式下企业的安全责任范围较小,但由于是直接通过公共网络访问,且对应用软件、业务系统和基础设施都没有控制,企业需要利用新技术才能对用户和数据进行妥善保护和管理。

    云应用识别
            技术介绍:通过分析网络流量或防火墙和网络代理等的日志,能够识别用户所使用的各种云应用以及各应用可能存在的风险,帮助企业管理员充分认识存在的风险。云应用识别技术一般根据应用服务器地址、URL、HTTP请求参数和页面内容等特征判断所使用的云应用,同时根据应用是否接受信息提交、是否支持文件上传、提供商是否通过安全认证等等多种因素判定云应用的风险等级。
            客户收益:云应用大都是Web应用,而传统防火墙或Web安全网关(上网行为管理)等安全设备通常都只关注网络和连接,不能对应用层进行深入分析和控制。同时,云应用已经在企业中广泛使用,但企业管理员还无法知道具体的使用情况和存在的风险,也无法进行充分的控制,即存在“影子IT”(Shadow IT)。云应用识别和管理技术主要作为Web访问安全代理(Cloud Access Security Broker,CASB)的重要功能,或作为附加模块集成到防火墙或Web安全网关,能够帮助企业管理员获知云应用的使用情况,以加强对用户使用云应用的管理。
           使用建议:推荐企业关注具有云应用识别功能的产品。国内各个行业各种规模的企业中云应用的使用都已经非常普遍,但相关的安全问题还没有引起重视;尽管国内企业一般还没有使用云应用承载关键业务或用于处理核心数据,但由于员工已经在广泛使用各种云应用作为工具,很可能已经有不少企业遭受了损失但还未发觉。

    云应用管理
            技术介绍:对云应用的管理主要有两种实现方式:以代理方式充当用户与云应用通信的中间人或使用云应用提供的API。另外,除了简单的允许和阻止,对云应用的管理还包括对用户使用云应用时的环境、动作和对应用数据的操作等进行精确识别和管理。
           客户收益:在识别云应用的基础上,根据业务需求和使用云应用所存在的风险,企业所使用的云应用可分为四类而分别进行管理:a)允许使用业务必需且风险较小的云应用,进行一般管理;b) 允许业务必需但风险较大的应用,对用户行为和数据处理进行严格管控;c)允许非业务必需且风险 较小的应用,禁止有风险的操作;d)禁止非业务必需但风险较大的应用。
          使用建议:企业在逐渐使用云应用承载核心业务和数据时,应该密切关注云应用管理技术和产品的进展,及时部署。同时,在选择云应用管理产品时,应该仔细了解产品对企业所使用和关注的核心应用的支持情况。

     

    云防数据泄漏(DLP)
           技术介绍:通过查找和匹配数据特征和文件指纹,云DLP帮助企业查找云应用中的违规数据,防止用户将敏感的企业数据上传到不安全的云应用或使用不安全的终端访问云应用中的企业数据。根据不同粒度的策略配置,云DLP可以拦阻用户动作、及时告警,或者在必要时对数据进行加密等等处理。
          客户收益:云DLP在业务应用的执行逻辑之外从相对独立的数据维度加强了企业对数据的保护,帮助企业满足各种合规需求,防止企业的重要数据被泄漏或滥用。随着云应用在企业核心业务中的使用,云DLP的重要性在不断增强;同时,云DLP与企业本地部署的DLP集成能够显著提高数据识别和保护的效率,也有助于企业建立统一的数据保护机制。
          使用建议:如果员工已经在使用云应用,可能导致数据泄漏或滥用,企业在加强对云应用的管理的同时,应该考虑使用云DLP;如果企业已经使用云应用处理关键业务并承载重要数据,应尽早部署云DLP。

    云端数据加密
           技术介绍:云端数据加密技术是指数据在提交到云应用提供商之前进行加密处理,确保云应用提供商或其他第三方在直接获得企业的云端数据时无法识别和解读。除了使用标准算法(通常以AES为主)对文件(非结构化数据)进行加密,云端数据加密还会使用如令牌化(Tokenization)等多种其他算法对结构化数据进行处理以满足不同场景需求,如保留数据格式、搜索、索引等等。
          客户收益:云端数据加密主要用于帮助企业在不充分信任云应用提供商时使用其提供的云应用,打消企业在使用云应用时对数据安全的顾虑。同时,由于各种法律法规要求,特定数据被限定在企业内部使用和存储,如果企业对云应用的使用涉及这类数据,则必须对数据加密才能满足合规需求。
          使用建议:如果对云应用提供商保护企业数据的能力或意愿有怀疑,企业应该购买云端数据加密产品或服务,同时注意明确提供云应用提供商和云数据加密提供商对保护企业数据的义务和责任。另一方面,如果企业在使用云应用时有相关合规需求,则需要在确认云端数据加密方案满足要求后才能使用云应用。

     

    2.1.3 私有云

           在私有云环境下,企业内部的网络结构和应用在逻辑上并没有实质性的变动,但虚拟化的引入使底层硬件设备与软件应用分离。同时,SDN(Software Defined Network,软件定义网络)以及进一步的HCI(hyper-converged infrastructure,超融合基础设施)使私有云的底层硬件(基础设施)具有更大的灵活性。企业对私有云能够实现从物理硬件到业务数据的全部控制,因此也需要对各方面的安全负责。

           私有云的安全体系结构与传统IT类似,具体方案和措施可以参考微软发布的《A Solution for Private Cloud Security》系列文档。特别的,尽管安全应该与业务环境和流程紧密结合,但在传统IT架构下,由于历史原因安全常常被简化为各种由独立的设备提供特定的功能,而企业在迁移到私有云的过程中将有机会重新设计和构建整个安全体系。从私有云方案的初始设计阶段就考虑相关安全功能及实现,提高企业整体的安全能力和效率。

    私有云安全模型,微软《A Solution for Private Cloud Security》
              除了本章前述IaaS相关的安全技术可应用于私有云外,传统的网络安全相关的技术如防火墙和IPS等对于私有云的安全也非常必要。需要注意的是,私有云内部的流量发生在虚拟机之间,网络流量可能只限于在同一台物理服务器内部,跨物理服务器的网络流量也都使用相关隧道技术而与第三方隔离,独立的传统安全设备很难适应需求。另一方面,私有云内部的资源分配和网络构成经常发生变化,也要求安全功能相应快速变化:调整配置、改变功能、甚至重新部署。

    因此,与传统IT环境相比,私有云安全也相应“云化”:

    • 虚拟化:防火墙、IPS、各种安全网关等安全功能都以虚拟机方式提供。
    • 服务化:各种安全功能都作为服务提供,可以根据需要快速部署和回收。
    • 资源池:对各种安全功能和资源进行统一管理,可灵活分配,支持弹性扩充。

     

    2.2 安全即服务

    2.2.1 集成云服务解决业务中的安全挑战

             在软件开发中,通过调用各种库函数,工程师能够专注于实现核心业务,而不用去重复开发已经非常成熟的功能模块,更重要的是,不需要深入了解被调用函数的具体实现方式和相关专业知识。类似的,企业可以选择集成以云服务方式提供的安全功能和产品,解决业务中的各种安全挑战。

    内容过滤
           技术介绍:CSP将内容过滤功能通过网络提供给企业用户;企业用户使用指定网络接口地址提交可疑的文字、图片和视频等内容,并及时获得扫描结果,以识别可疑内容是否涉及暴恐、色情、政治或广告等,从而及时过滤、清理有害内容。
          客户收益:作为云服务的内容过滤一般由大型网站基于自身业务的需求和积累提供,在内容识别的性能和准确性上都高于企业自行搭建的检测系统。同时,通过网络接口调用具有很强的通用性,易于集成。
          使用建议:如果企业有面向公众的网站等平台,特别是如果允许自由提交文字、图片或视频等内容,应及时采用云内容过滤方案,既能提高过滤效率,也能有效降低对人工审核的需求,从而降低企业的运营风险。

    用户验证
           技术介绍:CSP 对企业开放API,基于网络提供用户验证服务;企业使用CSP提供的API将验证服务集成到业务流程中。在用户访问时,企业通过API提交用户的相关信息,CSP实时给出反馈,帮助企业确认用户的真实性和可信度。常见的用户验证服务包括验证码和登陆保护等。
           客户收益:随着网络环境的复杂化,简单的用户名和密码验证已经难以应对网络黑产对用户的威胁,而一般企业缺乏足够的技术积累和经验,必须借助专业厂商才能提供较好的保护。使用API通过网络调用的方式在操作上难度较小,易于集成和应用。
           使用建议:如果企业开发或提供的业务带有相应的用户模块,且提供公开访问入口,应当考虑集成第三方提供的用户保护服务,降低用户风险。

    反行为欺诈
          技术介绍:CSP基于网络提供用户行为审核服务,并对企业开放API;企业使用CSP提供的API将用户行为审核集成到业务流程中。在用户提交业务请求时,企业根据审核结果对用户的当前请求作出回应,并可以根据审核提供的信息和用户的历史行为决定是否进行封禁用户账号等操作。
          客户收益:基于互联网开展的业务难以实现传统的审核和风险控制,基于行为欺诈的各种黑色和灰色产业已经形成了很大规模,一般企业很难凭借自身能力应对。以云服务方式提供的反行为欺诈服务能够帮助企业有效减少损失,提高运营效率。常见的反行为欺诈应用包括反刷单、防范羊毛党、骗贷等。
           使用建议:企业基于网络提供业务时应该密切注意对欺诈行为的防范。如果有电商相关业务,应考虑使用市场上已有的反行为欺诈产品;同时,保持对其他反行为欺诈技术和市场的关注,及时跟进。

    用户身份识别和管理(Identity-as-a-Service,IDaaS)
           技术介绍:IDaaS也即IAM(Identity and Access Management,身份和访问管理)-as-a-Service,是指以云服务的方式提供对用户身份的管理,并与不同应用集成以管理用户的登录和访问,通常也支持单点登录(Single Sign-on,SSO)。在技术实现上,OAuth 2.0和OIDC(OpenID Connect)逐渐成为主流标准,部分应用还支持SAML(Security Assertion Markup Language,安全声明标记语言)2.0或MS-Federation。
           客户收益:随着企业内部应用越来越多,对用户身份的管理和登录控制成为迫切的需求;同时,传统IAM方案往往局限于特定的企业内网环境,难以同时支持传统内网应用和新兴的SaaS应用,也不能适应用户使用多种终端特别是移动客户端的场景。IDaaS能够提供一个开放的应用框架,帮助企业管理各种不同应用,并支持移动终端。
           使用建议:企业选用SaaS应用时应注意了解对OIDC或SAML集成的支持情况和计划,并在有SSO需求时考虑采用IDaaS产品,并注意IDaaS产品对企业内其他应用的支持情况。

    密钥管理(KMaaS,Key Management-as-a-Service)
           技术介绍:CSP为企业生成主密钥并代为存储和保存,企业在任何情况下都不能直接获得主密钥,而只能通过CSP提供的API使用密钥ID进行加解密处理:加密时,企业调用CSP提供的API并提供主密钥ID和数据明文,CSP返回密文;解密时,企业提供主密钥ID和数据密文,CSP返回明文。
           客户收益: 密钥管理是加解密机制的核心,以云服务方式提供的密钥管理可以帮助企业避免复杂的密钥管理流程和高昂的使用及维护成本,并能够提供详细的密钥使用记录以便于审计。通常CSP只支持对少量数据(<4KB)进行加解密,如果企业需要对大量数据进行加密,需要先在本地对数据加密或解密,然后用主密钥对用于本地数据加密的密钥进行保护。
           使用建议:随着企业对数据安全性的要求提高,特别是HTTPS的推广,需要对数据进行加解密的场景越来越多。企业应该考虑采用密钥管理服务,以便简化管理机制并加强对密钥的保护。

    内容威胁扫描
           技术介绍:本地设备将可疑内容(IP、域名、URL、字段、文件等)上传到云端进行实时检测,如果云端的返回结果确认内容有害,本地设备将进行阻断、隔离或发出告警。云端的内容分析引擎支持海量的样本库,通常还部署有覆盖多种运行环境的沙箱系统,能够识别未知威胁,并在发现有害内容后将相关情报进行网络共享。
           客户收益:基于云的内容威胁扫描服务可集成于防火墙、IPS和网关等各种传统安全设备,用于URL过滤、防病毒、反恶意软件等。也有部分厂商提供独立的Web站点供用户提交可疑内容,并提供分析报告,以便用户了解可能存在的各种威胁。
           使用建议:云内容检测能够有效抵御未知威胁,企业应该考虑购买和部署。需要注意的是,用户数据或文件可能被作为可疑内容发送给CSP而引起违规。另外,不同产品的内容检测能力和效率会有不同,特别是云沙箱能模拟的运行环境和支持的文件类型可能会有较大差别,应注意实际测试和评估。

     

    2.2.2 使用云服务替代传统安全设备和方案

             由于缺乏足够的资源且专业技能不足,安全设备的部署、管理和维护一直是企业IT工作中的难点。在设备管理和服务外包的基础上,代替传统安全设备和方案的云服务技术和产品(“云化”)真正将企业管理员从繁琐的日常维护中解放了出来,从而能够真正专注于核心的安全管理。

    Web安全网关
            技术介绍:云Web安全网关不使用本地设备,而是通过用户端的代理设置或在企业网络出口建立IPsec VPN或GRE隧道,将用户的Web流量导引到云端服务器进行策略控制和安全过滤,提供URL过滤、内容过滤、Web应用管理、反恶意代码等功能。
           客户收益:云Web应用网关可用于管理用户的上网行为、提供内容安全和阻止黑客攻击等。除了与传统Web安全网关的功能一致,云Web应用网关的部署和使用更简单,并能够在用户未接入企业内网或使用移动设备时提供一致的保护。
           使用建议:与Web安全网关设备相比,云Web安全网关在概念上有明显的优势,但不同企业的产品通常有较大的差别,企业在选用时应该谨慎评估,确认能够满足需求再进行购买和部署。

    安全信息和事件管理(Security Information and Event Management,SIEM)
            技术介绍:通过客户端收集企业本地设备的日志等数据,云SIEM在云端对日志进行汇总和分析。除了保存日志以满足合规等需求,云SIEM通常还能够实时侦测恶意攻击和数据泄漏,及时发出预警。
           客户收益:与传统SIEM产品相比,云SIEM部署简单,对管理和维护的要求较低。随着各种云服务特别是云服务器和网络等基础设施的广泛应用,云SIEM能够帮助企业有效简化日志汇总和分析。
           使用建议:如果企业准备采购和部署SIEM产品,特别是各个日志源比较分散时,可以考虑云SIEM产品。另外,云SIEM的部署和使用比较简单,但功能可能不如本地部署的SIEM产品丰富,且可能占用较大网络带宽。

    灾备(DRaaS,Disaster Recovery-as-a-Service)
            技术介绍:企业将业务系统的应用和数据在云中建立备份,当遭遇人为事故或自然灾害而中断服务时,业务将切换到云中的备份系统继续运行。企业的业务系统可以基于物理硬件或虚拟化平台搭建,也可以位于公有云环境;备份系统由云灾备厂商负责管理和维护,按使用收费。
            客户收益:云灾备使企业能够快速部署业务连续性计划,免于构建和维护灾备设施,也可以相应减少对人员的管理和培训。除了显著的成本优势,云灾备能够根据企业需要随时调整甚至迁移。
           使用建议:企业选择云灾备方案时需要仔细审核,确认供应商相关资质和能力、能够保证业务稳定,并仔细了解和确认服务等级协议(SLA)中的各项指标,并按严格按照灾备计划进行演练。

     

    2.3 国内外云安全技术和市场对比

    按个人的经验和认识,目前国内云安全技术和市场有一些特点:

    • IaaS应用相关的基础安全技术和产品已经逐渐成熟和稳定
    • 安全相关的云服务已经被广泛集成,用于解决具体的业务问题
    • 关于企业基础应用相关的安全,市场成熟度落后于技术
    • 虽然国外SaaS应用相关的安全技术已经比较成熟,目前国内则还基本空白
    • “云化”传统安全设备在国外已经逐渐进入主流市场,技术成熟,国内市场目前还刚刚起步,究其原因,除了国内技术和市场相对于欧美总体较为落后之外,还应该注意到国内外企业在IT架构上的不同所产生的影响:
    • 以美国为代表的国外市场中,企业的传统IT架构比较成熟,有比较完整的安全防护体系;发展的时间久,云相关的概念、技术和产品比较成熟——条理清楚,接受度很高。
    • 国内企业的IT和安全架构往往都不成体系,观念和意识目前还比较旧,但也没有传统IT和安全体系作为包袱。在IaaS厂商的倡导和政府的推动下,上云相对激进。
    • 另外,值得注意的是,国外的安全相关技术和产品以专业安全厂商为主导,国内以云服务商特别是主要IaaS厂商为主导;进一步的,除了华为,国内的主要云服务商大都来自互联网相关行业。这也从侧面反映出国内不同行业与国外的差距,以及随着云计算技术和应用的进一步发展和渗透,互联网相关企业未来可能对安全等其他行业产生的冲击。

    2.4 云计算有哪些特点、云安全技术有哪些特点、云安全包含哪些问题?

    2.4.1、云计算有哪些特点?

    云计算具有以下特点:

    (1)虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。

    (2)规模化整合。云里的资源非常庞大,在一个企业云可以有几十万甚至上百万台服务器,在一个小型的私有云中也可拥有几百台甚至上千台服务器。

    (3)高可靠性。云计算使用了多副本容错技术、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。

     

     

    2.4.2、云安全技术有哪些特点?

          云安全技术关键在于首先理解客户及其需求,并设计针对这些需求的解决方案,例如全磁盘或基于文件的加密、客户密钥管理、入侵检测/防御、安全信息和事件管理(SIEM)、日志分析、双重模式身份验证、物理隔离等等。

         云安全从性质上可以分为两大类,一类是用户的数据隐私保护,另一类是针对传统互联网和硬件设备的安全。

         在云安全技术方面,首先是多租户带来的安全问题。不同用户之间相互隔离,避免相互影响。云时代,需要通过一些技术防治用户有意或无意识地"串门"。

         其次,采用第三方平台带来的安全风险问题。提供云服务的厂商不是全部拥有自己的数据中心,一旦租用第三方的云平台,那么这里面就存在服务提供商管理人员权限的问题。

    2.4.3、云安全包含哪些方面?

    1、用户身份安全问题

    云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。

     

    2、共享业务安全问题

    云计算的底层架构(IaaS和PaaS层)是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。

    3、用户数据安全问题

    数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。

     

    3. 相关法规、标准和认证

           目前已经有若干法规对云服务的提供商和使用者提出了安全要求,相关政府机构、标准组织和业界团体也制定了多项云安全技术标准,并有多项针对云服务产品和解决方案提供商的认证。

    3.1 云等保,GA/T 1390.2-2017

    《网络安全法》规定,“国家实行网络安全等级保护制度”。
    为了适应和规范云计算相关技术和应用的发展,公安部在2017年5月8日正式发布GA/T 1390.2-2017《信息安全技术网络安全等级保护基本要求第2 部分:云计算安全扩展要求》,规定了不同等级云计算系统的安全要求,适用于指导分等级的非涉密云计算系统的安全建设和监督管理,并在附录C中明确了不同服务模式下云服务方和云租户的安全管理责任主体。

    云等保

    3.2 GB/T 31167-2014《信息安全技术云计算服务安全指南》

           本标准面向政府部门,提出了使用云计算服务时的信息安全管理和技术要求,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考。本标准描述了云计算服务可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求,为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导。

    3.3 GB/T 31168-2014《信息安全技术云计算服务安全能力要求》

           本标准面向云服务商,提出了为政府部门提供服务时应该具备的信息安全能力要求。标准描述了以社会化方式为特定客户提供云计算服务时云服务商应具备的安全技术能力,适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

    本标准分一般要求和增强要求。根据云计算平台上的信息敏感度和业务重要性的不同,云服务商应具备的安全能力也各不相同。

    3.4 国家标准《信息安全技术 云计算安全参考架构》(征求意见稿)

         与NIST《云计算安全参考架构(草案)》类似,本标准将规范云计算安全参考架构,包括云计算角色、安全职责、安全功能组件以及它们之间的关系。

    云计算安全参考架构

    3.5 国家标准《信息安全技术 云计算服务安全能力评估方法》(征求意见稿)

          本标准将给出依据GB/T 31168-2014《信息安全技术云计算服务安全能力要求》,开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。标准适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,和对政府部门使用的云计算服务进行安全管理,并可供云服务商在对自身云计算服务安全能力进行自评估、重点行业和其他企事业单位使用云计算服务等参考。

    3.6 ISO/IEC 27001信息安全管理体系和认证

          ISO/IEC 27001是全球最受认可的信息安全管理系统(Information Security Management System,ISMS)规范,详述了建立、实施、维护和持续改进信息安全管理系统的各种需求。通过经过整体规划的系统化信息安全管理体系,ISO/IEC 27001从预防控制的角度出发,保障信息系统与业务的安全和正常运作,并规定了为适应不同组织或其部门需要所制定的安全控制措施的实施要求。

          通过ISO/IEC 27001认证,表明企业(或其他各种类型和规模的组织)遵守了各种信息安全最佳实践,对数据的保护通过了独立的专家评审。

    3.7 ISO/IEC 27000 系列标准

          ISO/IEC 27000系列标准包含了ISO(International Organization for Standardization,国际标准组织)和IEC(International Electrotechnical Commission,国际电工委员会)联合制定的系列信息安全标准。这些标准提供了在信息安全管理系统(ISMS)体系下通过各种控制措施对信息风险进行管理的最佳实践,其具体范围不局限于隐私、保密性和IT/技术/网络安全问题等。目前,其中有三个标准专门针对云服务:

           ISO/IEC 27017《基于ISO/IEC 27002的云服务信息安全控制的实施规程》
    在ISO/IEC 27002的基础上,本标准为云服务提供商和使用者提供各种信息安全相关控制的实施指南,具体包括ISO/IEC27002中列出的相关控制和与云服务相关的其他控制

           ISO/IEC 27018《公有云作为个人可识别信息(PII)处理器时个人身份信息保护的实施规程》
    为了与ISO/IEC 29100中的隐私原则一致,本标准基于ISO/IEC 27002,为公有云计算环境建立了通用的控制目标、控制和保护PII的实施指南,并涵盖为保护PII而可能对公有云服务提供商的监管需求。

           ISO/IEC 27036-4《供应商关系的信息安全-第4部分:云服务的安全指南》
    本标准定义了在使用云服务时实施信息安全管理的指南,具体而言,为云服务使用者和云服务提供商提供以下方面的指导:

         获知与使用云服务相关的信息安全风险并有效管理那些风险
         对获得和提供云服务的风险做出反应
    注意:ISO/IEC 27036-4不包括与云服务相关的业务连续性管理/复原问题,也不对云服务提供商应该如何实施、管理和运营信息安全提供指导。

    3.8 CSA-STAR

          CSA STAR认证是在ISO/IEC 27001的基础上针对云服务特有问题的加强认证,用以表明CSP能够很好地处理安全相关问题。CSA STAR认证由CSA和BSI联合开发,以CSA提出的云控制矩阵(Cloud Control Matrix,CCM)为审核的准则,涵盖法令法规、风险管理、设施齐全、人力资源、信息安全、营运管理、发布管理、安全架构等16个控制区域。CSA认证官为CSP在每个控制区域的能力成熟度分别打分,然后根据最终的平均分决定CSP的等级为金、银或铜。

    3.9 C-STAR云安全评估

          C-STAR是在CSA开放认证框架(Open Certification Framework,OCF)下,由第三方机构确认云服务提供商满足CSA CCM要求的一种认证,主要用于大中华地区,由赛宝认证中心与CSA大中华区(CSA-GCR)合作开展。C-STAR 云安全评估主要参考GB/T 22080-2008管理体系标准及CSA CCM要求,以及选自中国国家标准GB/T 22239-2008《信息安全技术—信息系统安全等级保护基本要求》和GB/Z 28828-2012《信息安全技术—公共及商用服务信息系统个人信息保护指南》的29个相关控制措施,进行评价。

    3.10 CS-CMMI云安全能力成熟度模型集成

           根据官方说明,CS-CMMI“由CSA大中华区、亚太区与全球共同开发和研制的,在ISO / IEC21827 : 2002 《信息技术系统安全工程能力成熟度模型》的基础上,把《CSA CSTR云计算安全技术标准要求》(草案)和《CSA CCM 云安全控制矩阵》的技术能力成熟度模型,集成到治理一个框架中去,形成云安全能力成熟度评估模型。作为云安全能力成熟度评估的依据,为客户选择云安全服务组织提供参考,也可供云安全服务组织改善和提高云安全服务能力提供指引。指南考虑了云计算系统安全威胁与脆弱性分析能力、云安全解决方案设计能力、云计算系统测试和验证能力、云计算系统运维和应急响应能力、云计算系统安全工程过程能力等云安全技术服务能力要求,并根据不同的能力要求,由低到高分为1到5级。”

     

    3.11 可信云服务

          可信云服务(TRUCS)认证由数据中心联盟和云计算发展与政策论坛联合组织、面向云服务提供商提供的自愿认证。可信云服务认证从数据安全、服务质量、服务性能、运维管理和权益保障等多维度评估云服务商的技术指标和水平,涵盖云服务商需要向用户承诺或告知的绝大多数问题,为用户选择安全、可信的云服务商提供参考。

    3.12 其他资料

         除了前面提到的相关法规和标准文档,推荐读者进一步阅读以下资料:

         NIST,NIST Cloud Computing Security Reference Architecture-Draft
         https://csrc.nist.gov/publications/detail/sp/500-299/draft
          NCC-SRA(NIST Cloud Computing Security Reference Architecture,NIST云计算安全参考架构)为NIST SP 500-292 《NIST 云计算参考模型》增加一个安全层,定义了一个以安全为中心的架构模型,指出保护云计算环境、运行和数据的核心安全组件,说明在不同部署和服务模式下各方职责范围内的核心安全组件,并为分析所收集和汇聚的数据提供了一些方法。

          CSA,Cloud Control Matrix
          https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
          CSA CCM(Cloud Control Matrix,云控制矩阵)提供了评估云提供商整体安全风险的基本安全准则。通过对其他行业标准和监管要求的定制,CSA CCM 在16个安全域内构建了统一的控制框架,通过减少云中的安全威胁和弱点加强现有的信息安全控制环境,提供标准化的安全和运营风险管理,并寻求将安全期望、云分类和术语体系,以及云中实施的安全措施等标准化。

           CSA,Security Guidance for Critical Areas of Focus in Cloud Computing
           https://cloudsecurityalliance.org/download/security-guidance-v4/
           CSA发布的《云计算关键区域安全指南》为管理和应对云计算技术相关的风险提供指导和启发,自2009年以来一直被广泛视作云安全的权威指南。2017年7月发布的最新版在介绍了云计算相关的主要概念和架构后,强调了治理和运营中共13个领域的重点区域,以解决云环境中策略和实施两方面的安全“痛点”。

           Microsoft,Shared Responsibilities for Cloud Computing
          https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91
          https://www.trustcenter.cn/file/云计算中的共担责任.pdf
          微软的这份白皮书解释了CSP和客户在合作中各自的角色和责任,以及在选择不同云服务模式(IaaS、PaaS或SaaS)时需要关注的责任分配和合规需求。

           Microsoft,A Solution for Private Cloud Security
    https://social.technet.microsoft.com/wiki/contents/articles/6642.a-solution-for-private-cloud-security.aspx

           CSA大中华区,《云计算安全技术要求》
           http://www.c-csa.org/forum.php?mod=viewthread&tid=15
          本系列标准由CSA大中华区组织国内相关单位编写,由《总则》、《IaaS安全技术要求》、《PaaS安全技术要求》和《SaaS安全技术要求》四部分组成,“适用于云服务开发者在设计开发云计算产品和解决方案时使用,也可供云服务商选择云计算产品和解决方案时参考,还可为云服务客户选择云服务时判断云服务提供商提供的安全能力是否满足自身业务安全需求提供参考”。

          相关链接:云安全相关技术介绍(六)

    展开全文
  • 指针一般出现在比较近机器语言的语言,如汇编语言或C语言。面向对象的语言如Java一般避免用指针。指针一般指向一个函数或一个变量。在使用一个指针时,一个程序既可以直接使用这个指针所储存的内存地址,又可以使用...
  • modbus完整协议,包括RTU模式与ASCII模式,使用C语言编写,易于移植
  • 【*】基本要求分类后面的标记,代表从第二/三级开始才有相应要求,未标记的则是通用。 一、安全物理环境 ...安全通信网络主要是指组织中的数据通信网络,其由网络设备、安全设备、可信计算设备和通信链路等相...

    【*】基本要求分类后面的标记,代表从第二/三级开始才有相应要求,未标记的则是通用。

    一、安全物理环境
    安全物理环境要求包括了针对人员威胁和针对自然环境威胁的控制要求。针对人员威胁的控制要求包括物理访问控制防盗窃防破坏电磁防护等。针对自然环境威胁的控制要求包括防火防水防雷击等。
    在这里插入图片描述
    2.安全通信网络
    安全通信网络主要是指组织中的数据通信网络,其由网络设备安全设备可信计算设备通信链路等相关组件构成,为等级保护对象各个部分进行提供安全的数据通信传输功能。
    在这里插入图片描述

    3.安全区域边界
    安全区域边界主要针对系统边界提出安全保护要求,系统边界一般包括整网互联边界和不同级别系统之间的边界。
    安全区域边界一般由网闸防火墙WAF防病毒网关抗APT攻击系统等具备访问控制功能的安全设备或组件进行保护。
    在这里插入图片描述

    4.安全计算环境
    安全计算环境的主要针对构成等级保护对象的所有设备节点的自身安全防护提出要求,包括终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等、提供可信验证的设备或组件和提供集中审计功能的系统等。
    在这里插入图片描述
    5.安全管理中心
    安全管理中心的主要针对集中安全管理等方面提出要求,如安全状态监控、补丁管理、安全策略、安全设备或安全组件的集中管理要求。
    在这里插入图片描述

    展开全文
  • 数据安全-分类分级

    千次阅读 2022-02-22 14:40:58
    因为“分级”涉及到敏感数据,这些数据不以业务为导向,只以其自身的属性决定等级归属,也就是说,这个字段本身是什么意思,它对应的数据域就是什么。举个例子,name字段的值是“张三”,那么name字段就属于姓名域。...

    背景

    近年来国家相继出台一些互联网安全相关的法律法规,如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施保护条例》、《GB/T 35273 个人信息安全规范》、《电信和互联网用户个人信息保护规定》、《网络数据安全管理办法》、《个人信息和重要数据出境安全评估办法》等,从国家法律层面强调对网络,数据安全方面要进行怎么样的处理和防护。
    为了企业能满足国家和行业内等安全要求,同时也是为了保护公司和用户利益,免受恶意攻击和泄漏敏感信息等风险,在数据分离分级方面做出了如下思考。

    目的

    梳理敏感数据域

    做分类分级为什么要先梳理敏感数据域,什么是敏感数据域?某些密级程度较高的数据集合,在这里称为敏感数据域。因为“分级”涉及到敏感数据,这些数据不以业务为导向,只以其自身的属性决定等级归属,也就是说,这个字段本身是什么意思,它对应的数据域就是什么。举个例子,name字段的值是“张三”,那么name字段就属于姓名域。但如果不考虑分级,只考虑分类,就可以不必引入数据域的感念,根据业务将name划分为个人信息分类也无可厚非。在常见的梳理方法中,会将敏感数据域划分为公共敏感数据域(法律角度)、行业敏感数据域(行业规范角度)、企业敏感数据域(内部规范角度),公共敏感数据域和行业敏感数据域一般在法规文件里都会有定义,但企业敏感数据域的梳理工作就需要依靠参与人员对业务系统的理解程度。

    制定敏感等级

    与数据类别以业务为驱动不同,敏感等级是以数据的密级程度进行划分的,因此一个企业中的敏感等级不会太多,通常五级左右。制定敏感等级的方法同样见仁见智,如果未有明确的法律法规或标准,建议可以根据数据泄露所造成的影响范围、影响对象、影响程度来进行划分,此处同样不做过多赘述。如以下示例:

    • 绝密(G1)这是极度敏感的信息,如果受到破坏或泄漏,可能会使组织面临严重财务或法律风险,例如财务信息、系统或个人认证信息等。
    • 机密(G2):这是高度敏感的信息,如果受到破坏或泄漏,可能会使组织面临财务或法律风险,例如xinyongka信息, PII或个人健康信息(PHI)或商业秘密等。
    • 秘密(G3):受到破坏或泄漏的数据可能会对运营产生负面影响,例如与合作伙伴和供应商的合同,员工审查等。
    • 内部公开(G4):非公共披露的信息,例如销售手册,组织结构图,员工信息等。
    • 外部公开(5):可以自由公开披露的数据,例如市场营销材料,联系信息,价目表等。

    制定数据类别

    通常情况下,在一个业务系统里,一个业务范畴就可以划分为“爷爷类”、“父类”、“子类”、“孙子类”、“曾孙子类”,甚至更多的分类,严格来说,数据域可以算作最小分类。 这个可参考:证券期货业数据分类分级指引中的数据分类层次结构

    元数据归属数据域

    梳理完敏感数据域,需要将字段划分到敏感数据域下,以方便后续的归级操作。如果具备元数据管理的能力,或者在梳理敏感数据域的时候已经将字段进行了预处理,可以忽略此阶段。否则,需要对字段进行敏感数据域的归属处理,当然此处不必一定投入大量人力,可以依靠智能发现软件辅助完成。

    数据归类归级

    建设了元数据管理系统,并且元数据管理系统维护了分类分级的对象系统,那这个过程会轻松很多,因为已经完成了字段和数据域的归属工作。前面说过,数据域是颗粒度最小的类别定义,直接将数据域进行归类处理即可。如果没建设过元数据管理系统,就需要对业务系统中涉及的每个数据库的每张表的每个字段进行归类归级处理。当然,也有一些智能化的软件可以辅助完成这项工作,达到节省人力的目的。

    多套分类分级

    在企业中,并不一定只可以建设一套分类分级体系,原因在于有些法律之间本身存在冲突,或关注点不同,为了企业是可以建立多套分类分级体系来应对不同监管要求的。如果为了满足监管部门的要求才做分类分级,那么首先要注意究竟需要满足哪些合规要求。这项工作需要法务和咨询团队一起合作,根据企业的业务范围理出必须要遵守的法律法规。我们这里参考一些标准结合业务进行制定。

    资产盘点

    在企业数据安全治理中,通常都会遇到以下问题:

    • 分类难
      • 数量多、形式多,数据关系复杂,难以进行梳理
      • 对于内容是否敏感由人主观意愿判定,缺乏标准性
      • 缺乏自动化的数据内容分类和标记技术手段
    • 识别难
      • 无法明确某类敏感数据在组织的整体分布情况
      • 数据类型多、形态多、数量多,增加内容识别的难度
      • 缺乏处理漏报和误报的技术手段
      • 需要覆盖终端、网络、系统、数据库、存储等所有位置
    • 防护难
      • 缺乏数据分类保护规范和分类分级安全策略
      • 缺乏对不同数据在不同位置的风险评估视图,保护难以下手
      • 覆盖不同位置的存储、传输、使用全过程的保护成本高
    • 评价难
      • 缺乏数据保护评价指标、方法和数据
      • 数据保护管控措施的有效性无法客观评价
      • 缺乏评价导致无法有效改进,难以保证事件再次发生

    针对这些问题,我们需要更好的对资产进行盘点梳理,清晰的感知数据安全状态,以便于后续可以做出针对性的防护措施,更好的保护数据资产信息,对企业的数据进行安全治理和管控。

    持续分类分级的能力

    每个企业的信息化建设都不是停滞不前的,如果依靠智能化软件做了分类分级,那么就需要系统具备持续的能力(运营)。

    落地

    目标

    基于数据分类分级标准来进行,实现数据自动化分类分级,明确我们需要保护的数据并清晰感知数据的安全现状和分布。

    大体架构

    架构

    流程

    以下为数据标准分类分级标准化系统的大致流程:

    1. 归纳整理只需要对标各类行业或者国家规定的数据分类分级标签: 车联网分类分级,个人隐私分类分级,办公网分类分级
    2. 编写自动化识别引擎和规则进行识别(由于企业性质,有些数据分类分级标准没有出来,所以在流程上做了变更先采集业务线已知的数据类型然后根据企业自身进行分类分级定义)
    3. 定义数据安全组织,对存在异常分类分级的数据标签,数据归属业务部门的数据安全执行人需要对数据进行校准, 也便于后阶段对敏感数据进行操作的权限审批管理。

    自动化部分流程

    主体包含几个部分:数据分类分级标准定义,数据分级分级标准管理,自动化分类分级和校准,数据操作权限审批。

    数据分类分级标准

    数据分类分级标准定义,主要参考以下信息(主要分三种国家,行业,国外)如下:
    工业数据分类分级指南(试行)
    https://www.miit.gov.cn/n1278117/n1648113/c7574748/part/7574762.pdf
    证券期货业数据分类分级指引
    http://www.csrc.gov.cn/pub/zjhpublic/zjh/201809/P020180929383740214007.pdf
    信息安全技术个人信息安全规范
    https://www.tc260.org.cn/upload/2018-01-24/1516799764389090333.pdf
    国外个人信息保护
    https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf
    车联网信息数据安全技术要求Y/DT 3751-2020
    http://www.ccsa.org.cn/standardDetail?standardNum=YD%2FT%203751-2020

    展开全文
  • 硬件安全技术-硬件安全综述一

    万次阅读 2020-05-26 00:00:05
    硬件安全技术系列课程详细介绍硬件安全相关的攻击技术和抗攻击设计技术,包括芯片的安全架构设计和安全认证。 硬件安全是什么? 传统意义上的硬件安全是指密码芯片安全,智能卡、可信计算等多是安全芯片的独立形态...
  • 学习MISRAC之一“安全第一”的C语言编程规范[参照].pdf
  • CoSy C语言编译器安全性研究.pdf
  • C语言中的安全性分析.pdf
  • 如何保持C语言程序的安全.pdf
  • 使用C语言编程的安全性分析.pdf
  • 基于C语言的程序安全性分析.pdf
  • 实现双向链表,查找、替换、删除、插入,并用线程同步技术实现了多线程读写与线程安全
  • 中国关于c语言,c++语言的,编码规范就两个,一个GJB8114-2013 c/c++语言编程安全子集 ,还有一个航天型号软件C语言安全子集 GJB 5369-2005 ,5369国防科学技术工业委员会发布的
  • 一个C语言安全子集的可信编译器.pdf
  • 安全态势感知技术

    千次阅读 2022-03-25 14:00:36
    2021年9月1日起,我国又一网络安全重要法律条例《关键信息基础设施安全保护条例》正式实施,该条例中明确要求“保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本...
  • 网络空间安全学科下的C语言课程改革探究.pdf
  • Swap是什么意思Swap是一种金融衍生品,指交易双方约定在未来某一期限相互交换各自持有的资产或现金流的交易形式。外汇里的“swap”是什么意思?外汇里swap专业说法是掉期,通俗的说法就是隔夜利息。。指的是你炒外汇...
  • 车联网网络安全技术研究

    千次阅读 2022-01-20 20:50:29
    文章从车端安全、通信安全、平台安全以及移动应用安全等角度,梳理了车联网安全技术要求,并总结了当前汽车网络安全领域的最新研究成果,为今后的车联网安全研究提供基础。 前言 作为智能交通系统快速发展...
  • 网络安全技术概论知识点

    千次阅读 2021-09-27 08:41:56
    本文为《网络安全技术及应用》中重点知识点的提炼,以便于记忆。
  • 安全苛求系统下的嵌入式C语言程序调试技巧.pdf
  • 信息安全常用的技术

    千次阅读 2021-12-13 10:18:32
    信息安全的实现可以通过物理安全技术,系统安全技术,网络安全技术,应用安全技术,数据加密技术,认证授权技术,访问控制技术,审计跟踪技术,防病毒技术,灾难恢复和备份技术。
  • 基于模式的静态代码分析、运行时内存监测、单元测试以及数据流分析等软件验证技术是查找嵌入式C语言程序/软件缺陷行之有效的方法。上述技术中的每一种都能查找出某一特定的错误。即便如此,如果用户仅采用上述技术...
  • APT攻击是什么意思?APT攻击防御措施APT攻击的定义APT攻击的危害APT攻击防御措施 随着移动终端的应用更加广泛、智能化的深入,多元、多源的数据使大数据的发展来到了前所未有的高度,大量的数据交流给了黑客可乘之机...
  • 计算机信息安全技术课后习题答案

    千次阅读 多人点赞 2021-06-24 15:25:52
    这里写自定义目录标题计算机信息安全技术课后习题答案第一章 计算机信息安全技术概述选择题填空题简答题第二章 密码技术选择题填空题简答题 计算机信息安全技术课后习题答案 ***计算机信息安全技术(第2版)付永刚 ...
  • 网络技术——网络安全技术

    千次阅读 2021-11-13 17:59:02
    考点2:加密技术 考点3:防火墙技术——PIX 考点4:入侵检测技术(选择题+应用题) 考点5:计算机病毒防范 考点6:网络安全评估 一、网络安全的基本要素 1.机密性 2.完整性 3.可用性 4.可鉴别性 5.不可...
  • 尽管C ++是很多基于OOP的语言,但它比C语言具有很多结构良好和安全的语言。 某些计算机语言是为特定目的而编写的。 就像Java最初是设计用来控制烤面包机和其他一些电子设备的。 C是为编程OS而开发的。 Pascal被概念...
  • 浅谈C语言中影响程序安全性的几点因素.pdf

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 639,037
精华内容 255,614
关键字:

安全技术c类什么意思