精华内容
下载资源
问答
  • 创造安全环境
    千次阅读
    2019-09-12 14:12:51

    1 引言
      
      曾还记得,在2016年的“3·15晚会”上,央视曝光了利用“免费”WiFi进行钓鱼和诈骗的行为,告诫广大用户谨慎连接公共场所免费WiFi,防止个人信息被盗,个人利益损失。相关部门表示,在公共场所使用WiFi时一定要谨慎注意,避免在公共网络环境下进行支付。
      
      在公共环境当中,有网络的情况下一定要谨慎连接,对网络安全问题一定要重视,因为公共网络环境设备比较落后,安全措施比较差,黑客很容易通过一些不法手段进行网络监听、密码攻击、会话劫持、脚本注入和后门植入等方式进行攻击,进而对用户的个人信息以及各类账号盗取,造成个人经济损失。
      
      相关资料报道显示,在家用WiFi中约有5.4%的WiFi密码使用比较简单的加密方式,很容易遭到破解,以此类推,相当于有超过500万家用WiFi密码设置不安全,平均每天有约4.03%的WiFi会遭遇攻击,5.26%的WiFi会遭遇其他方式攻击。如果用户被篡改的恶意DNS攻击,就有可能会被劫持到钓鱼网站,自己的账户信息、个人信息遭到泄漏,造成个人财产损失。
      
      2016年专业机构发布的针对WiFi安全的报告中显示,家庭WiFi也存在一定的安全隐患,因为在家庭网络中也容易遭到不法分子的攻击,家庭网络一旦被攻击破解,就有可能被人拦截传输的数据,账号密码以及聊天记录等,存在一定风险,所以在家庭WiFi中进行支付时也一定要谨慎小心。
      
      2 不安全WiFi的特点
      
      不安全WiFi有三个基本特点:
      
      (1)没有设置访问密码,只要是在网络信号覆盖的范围内,所有用户都可以免费连接进行访问网络;
      
      (2)设置的网络名称一般都具有迷惑性,会和周围商家或者公共无线网络名称相似或近似;
      
      (3)不安全WiFi后台电脑一般都装有黑客程序,可全程监视并记录用户的所有手机或电脑操作,随时窃取有价值信息。
      
      主要安全威胁有三点:
      
      (1)WiFi没有上网记录功能,没法实现实名上网,如果发生网络犯罪,支付宝、银行卡被盗刷情况,只能查到无线网络提供者,没法查到实际使用者,很难找到作案者;
      
      (2)公共WiFi密码设置一般都比较简单,并且很少关闭各类管理端口,黑客进入主路由器后可非常容易篡改DNS服务器信息入侵路由器;
      
      (3)免费WiFi覆盖范围广,用户非常困难辨清钓鱼陷阱。
      
      3 公共WiFi存在的危险因素
      
      (1)如果公共WiFi被黑客植入钓鱼网站,手机用户在此环境下支付就有可能把需要支付的金钱转入黑客的账户,给自己造成损失。黑客设计的“钓鱼网站”和一般安全的网址界面非常相似,很难区分真伪,用户很容易上当受骗。
      
      (2)在不安全的WiFi 环境当中,黑客可以通过“抓包”软件获取用户的账号和密码等信息,进而盗刷用户的银行卡。
      
      (3)黑客可使用“听包”软件,在离得距离比较近的时候,可以通过 WiFi无线电波,非常容易的得到用户的聊天记录、账户信息等。相对来说“听包”技术有一定困难,一旦犯罪分子做成之后,给用户带来的损失也是最大的。
      
      4 风险防范建议
      
      4.1 保证所使用的无线网络安全
      
      不使用来源不明的无线网络,不使用免费又不需要密码的无线网络。如果必须在公共场所使用无线网络时,应当首先使用安全软件对移动设备进行加密保护,第二选择正规商家提供的无线网络,并提防与大型商家或公共网络名称相似的钓鱼无线网络。在公共场所使用无线网络时应尽量避免使用网银、电子支付等含有重要信息的应用。如果遇到必须要紧急调动资金的时候,应当选择使用手机移动数据并通过官方应用登录网银。
      
      4.2 确保所使用的电子设备安全
      
      在日常生活当中,把自己手机或电脑等电子设备的自动连接功能保持关闭状态,避免移动电子设备自动连接未知网络,减少连接钓鱼网站的概率,防止给自己带来不必要的损失。在公共无线网络环境下,关闭和其他电脑等设备共享的文件以及文件夹,确保信息不被泄漏。在自己的电子设备当中安装防毒和防钓鱼等专业软件,并且要及时的对软件进行升级,加强电子设备本身的安全性。在连接网络时,要及时检查浏览器的安全性,及时下载浏览器补丁。在有登录账号以及密码的网站,一定要分辨清楚,不要选择记住密码选项,防止不法分子窃取信息。在公共无线网络浏览网站时,要手动输入网站地址,使用Http协议打开网站。
      
      4.3 防止个人信息资源泄漏
      
      手机APP当中会包含一些个人隐私信息、联系人、短信记录等比较隐私的数据以及WiFi、3G等重要功能资源。这些信息资源如果泄漏,不仅给自己的日常生活带来不便,而且有可能给自己带来经济损失,后果不堪设想,给不法分子创造了便利的条件。所以在使用手机等移动支付工具时,一定要谨慎注意,对于要授权的APP,一定要小心,不能轻易进行授权,为了保护个人信息的安全,应当注意几点。
      
      (1)确保自己安装的软件是准确安全的。在安装手机软件时,软件会提示相应的授权管理,安装程序会列出应用程序申请的权限。用户同意申请权限后,才会进行下一步安装。所以,当应用程序申请与其功能不符合权限时,这个应用程序可能就是不安全的。
      
      (2)保证权限管理自身的安全。当手机进行刷机,在安装软件的时候就会不用经过进行授权安装,所以尽量不要去破坏手机自身的安全防御机制,不要去经常把手机Root,保证权限管理的自身安全。
      
      (3)不要安装乱七八糟软件,保证软件的安全性,从手机管家等安全防护软件下载所需的软件,防止安装钓鱼软件。
      
      在使用手机等移动支付工具时,也应该注意四点:
      
      (1)一定要保证WiFi的安全性,不要去连接来源不明的WiFi,特别是不需要密码就可以连接的网络;
      
      (2)把手机电脑等支付工具自动连接的状态一定要保持关闭状态;
      
      (3)能避免在WiFi环境下支付,就尽量不要再此环境下支付,如果需要支付,尽量使用手机流量网络;
      
      (4)家里的无线网络定期修改密码,如果家里的 WiFi 密码被破解,就有可能遭到不法分子的侵犯,损害个人利益,所以尽量使用2G、3G、4G网络。
      
      5 结束语
      
      移动支付虽然给生活带来了诸多的便利,方便了我们的生活,但是同时也带来了很多的安全隐患,所以一定要有安全防范意识。如有支付情况应当在安全的网络环境当中进行支付,能够分辨清楚钓鱼网站、APP的特点,提高安全意识,防止被骗被盗。

    更多相关内容
  • 基层消防如何为建设小康社会创造良好的消防安全环境.doc
  • 2022年白猫系统王为计算机创造安全的工作环境软件教程.docx
  • 煤矿业在我国国民经济收入占有较大的比例,每年煤矿开采业创造的效益都在不断增加。煤矿企业在为社会创造能源价值、经济效益的...针对这一点,文章重点分析了煤矿安全环境监测系统的设计问题,旨在提高煤矿生产的安全性。
  • 工业互联网新一代信息技术加速突破应用成为推动社会生产方式变革创造人类生活新空间的重要力量新技术环境下面临的安全问题与以往不同变化的打击目标从瞄准网络与系统到瞄准数据与业务应用变化的战
  • 安全文化是企业安全工作的灵魂,是企业实现安全...班组安全文化建设的好坏直接影响着煤矿企业的生产经营和健康发展,只有切实加强班组安全文化建设,才能为一线职工创造一个良好的工作环境,激发他们工作的积极性和创造性。
  • 本方案将根据厂区的不同防范区域按照相应的防护要求,本着因地制宜、积极稳妥、注重实效、严格要求及保密的原则,着眼于实际,为切实提高工作效率、创造安全环境,实现“以人为本、科技管理”的目标而设计的厂区安全...
  • 在煤系地层或含气地层段施工隧道,有毒有害气体涌向开挖空间,易引起瓦斯爆炸事件。...同时,重点介绍了通风、瓦斯检测、火源及人员管理等方法,确保技术及管理双重措施到位,为瓦斯隧道施工创造良好的安全环境
  • 利用Griffin和Neal的安全环境和绩效模型,我们开发了符合安全策略的信息安全环境模型。 通过对韩国IT用户的调查收集了581份答复,结果强烈支持以下基本主张:信息安全环境对遵守安全政策的意图具有重大积极影响。 ...
  • 据Gartner分析师表示,到2025年,超过85%的企业将接受云优先原则,超过95%的新数字工作负载将被部署在云原生平台上,而在2021年这一比例只有30%。...在这样的背景下,云原生安全问题逐渐引起了大家重视。 ...

    一文带你了解云原生安全

    1. 背景

    2010年,云原生的概念第一次在WSO2的首席技术官Paul Fremantle的博客中被提及,其后经历了Pivotal、CNCF等机构的补充,加入了DevOps、持续交付、微服务、容器、服务网格(Service Mesh)、不可改变的基础设施、声明式API等技术,通过这些技术可以构建出高弹性、高虚拟化、高容错性、自恢复、易管理的分布式架构系统。

    据Gartner分析师表示,到2025年,超过85%的企业将接受云优先原则,超过95%的新数字工作负载将被部署在云原生平台上,而在2021年这一比例只有30%。

    随着云计算技术的不断发展,传统应用存在升级缓慢、架构臃肿、无法弹性扩展及快速迭代等问题。于是近年来云原生的概念应运而生,凭借着云原生弹性、敏捷、资源池和服务化等特性,企业服务器成本和虚拟损耗大幅减少。从物理主机,到虚拟化,再到容器化,客户不必再进行线下机房管理、使用资源占用量高的虚拟机,大大节约成本。

    在这样的背景下,云原生安全问题逐渐引起了大家重视。

    历史的经验告诉我们,所有繁荣景象之上,都悬着一把达摩克里斯之剑,Tripwire 2019年对311位IT安全专业人员进行了调研,发现60%的组织都遭遇过容器安全事故,容器的背后存在着巨大的安全隐患。

    从计算的发展简史来看,每一次IT技术的演进带来的不仅是效率的提升,也有新的安全挑战。在这样的背景和趋势之下,我们应该如何考虑云原生安全问题?

    个人理解,首先应该从比较权威的地方查找,他们对云原生安全是如何定义和考虑。

    RSAC 2022

    RSAC 2022举办在即,创新沙盒大赛谁将成最大赢家?
    参考URL: https://www.freebuf.com/news/334473.html

    2022年6月6-9日,RSA Conference 2022将在美国旧金山召开。作为全球网络安全行业一年一度的盛宴,RSAC大会被誉为安全界的“奥林匹克”,是网络安全的重要风向标之一。

    自1991年举办首届大会以来,RSAC大会即将迈入第31个年头,会议规模也从一个小型的密码学论坛,发展成如今的全球安全顶级信息安全大会,吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。

    推荐查看原文

    2. 云原生计算基金会(CNCF)发布《云原生安全白皮书》

    官方V2版本:https://github.com/cncf/tag-security/blob/main/security-whitepaper/v2/cloud-native-security-whitepaper.md
    《“云”原生安全白皮书》青藤云译
    https://www.doc88.com/p-78339090738580.html

    在这里插入图片描述
    根据CNCF的描述:
    Cloud native development can be modeled in distinct phases that constitute the application lifecycle: “Develop,” “Distribute,” “Deploy” and “Runtime.” Cloud native security contrasts with traditional security approaches in that there is a tremendous opportunity to ensure that security is injected throughout these distinct phases instead of book ending the lifecycle with separately managed security informed interventions. Continuous learning of these concepts, tools, and processes, are critical for long term adoption and application.
    在这里插入图片描述Conclusion
    Cloud native security, when executed strategically across an organization, can provide high availability, assurance, resilience, and redundancy at scale to ensure customers and developers have secure access to required resources at the velocity they expect. Security itself remains an interdisciplinary field that cannot be isolated from the development lifecycle or be treated as a purely technical domain. Developers, operators, and security personnel must all partner, exchange, and collaborate to continue to move the field and industry forward. As with any technical innovation, people who embark upon this journey driven through their passion are the ones who genuinely make the community and cloud native security possible.
    在这里插入图片描述
    Introduction
    This paper intends to provide organizations and their technical leadership with a clear understanding of cloud native security, its incorporation in their lifecycle processes, and considerations for determining the most appropriate application thereof.

    在这里插入图片描述
    总结: 我们应该站在 容器的全生命周期去看。
    也就是说,我们需要在整体的DevSecOps的开发流程中,考虑容器的安全!

    3. OWASP Docker Top 10

    官网: https://owasp.org/www-project-docker-top-10/
    github官方: https://github.com/OWASP/Docker-Security
    [推荐]云原生安全介绍
    参考URL: https://blog.csdn.net/xlsj228/article/details/122834775

    在安全领域,几乎每个人都知道OWASP(开源Web应用安全项目),该组织会定期发布Web应用Top 10安全风险列表,是了解最需要关注哪些攻击方式的一个重要资源。

    The OWASP® Foundation works to improve the security of software through its community-led open source software projects, hundreds of chapters worldwide, tens of thousands of members, and by hosting local and global conferences.

    OWASP®基金会致力于通过其社区主导的开源软件项目,全球数百章,成千上万的成员以及主持本地和全球会议来提高软件的安全性。

    威胁模型,原文
    在这里插入图片描述
    总结:OWASP更多的是从攻击者的角度来看,如何保护环境的经典方法正在查看环境,并列举向量进行攻击。

    github原文

    TitleDescription
    D01 - Secure User MappingMost often the application within the container runs with the default administrative privileges: root. This violates the least privilege principle and gives an attacker better chances further extending his activities if he manages to break out of the application into the container. From the host perspective the application should never run as root.
    D02 - Patch Management StrategyThe host, the containment technology, the orchestration solution and the minimal operating system images in the container will have security bugs. Once publicly known it is vital for your security posture to address those bugs in a timely fashion. For all those components mentioned you need to decide when you apply regular and emergency patches before you put those into production.
    D03 - Network Segmentation and FirewallingYou properly need to design your network upfront. Management interfaces from the orchestration tool and especially network services from the host are crucial and need to be protected on a network level. Also make sure that all other network based microservices are only exposed to the legitimate consumer of this microservice and not to the whole network.
    D04 - Secure Defaults and HardeningDepending on your choice of host and container operating system and orchestration tool you have to take care that no unneeded components are installed or started. Also all needed components need to be properly configured and locked down.
    D05 - Maintain Security ContextsMixing production containers on one host with other stages of undefined or less secure containers may open a backdoor to your production. Also mixing e.g. frontend with backend services on one host may have negative security impacts.
    D06 - Protect SecretsAuthentication and authorization of a microservice against a peer or a third party requires secrets to be provided. For an attacker those secrets potentially enable him to access more of your data or services. Thus any passwords, tokens, private keys or certificates need to be protected as good as possible.
    D07 - Resource ProtectionAs all containers share the same physical CPU, disks, memory and networks. Those physical resources need to be protected so that a single container running out of control – deliberately or not – doesn’t affect any other container’s resources.
    D08 - Container Image Integrity and OriginThe minimal operating system in the container runs your code and needs to be trustworthy, starting from the origin up until the deployment. You need to make sure that all transfers and images at rest haven’t been tampered with.
    D09 - Follow Immutable ParadigmOften container images don’t need to write into their filesystem or a mounted filesystem, once set up and deployed. In those cases you have an extra security benefit if you start the containers in read-only mode.
    D10 - LoggingFor your container image, orchestration tool and host you need to log all security relevant events on a system and API level. All logs should be remote, they should contain a common timestamp and they should be tamper proof. Your application should also provide remote logging.

    在这里插入图片描述

    注意,根据github描述, This is the OWASP Docker Top 10. It’s a work in progress.这是一项正在进行的工作。

    4. kubernetes对云原生安全概述

    云原生安全概述
    官方:https://kubernetes.io/zh-cn/docs/concepts

    在这里插入图片描述
    分层去考虑安全性,云原生安全的 4 个 C 分别是云(Cloud)、集群(Cluster)、容器(Container)和代码(Code)。

    • 云(Cloud): 关注的是云提供商安全性、基础设施安全
      如果你是在你自己的硬件或者其他不同的云提供商上运行 Kubernetes 集群, 请查阅相关文档来获取最好的安全实践。
      官方也给出了 在 Kubernetes 集群中保护你的基础设施的建议:

    • 集群(Cluster):
      官方 关于集群,也给了相关建议。
      集群中的组件(你的应用)
      根据你的应用程序的受攻击面,你可能需要关注安全性的特定面,比如: 如果你正在运行中的一个服务(A 服务)在其他资源链中很重要,并且所运行的另一工作负载(服务 B) 容易受到资源枯竭的攻击,则如果你不限制服务 B 的资源的话,损害服务 A 的风险就会很高。 下表列出了安全性关注的领域和建议,用以保护 Kubernetes 中运行的工作负载。

    总结:k8s官方 从分层的维度思考管理云原生安全问题。

    Kubernetes安全专家认证-CKS认证

    CKS是Kubernetes认证体系下的认证,CKS全称是Certified Kubernetes Security Specialist,中文名就是Kubernetes安全专家认证,考取这个证书之后证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力,并且有资格在专业环境中执行这些任务。

    5. 云安全解决方案(CWPP、CSPM、CASB、CNAPP)

    Cloud Security Solutions: CWPP, CSPM, CASB, and More
    参考URL: https://www.aquasec.com/cloud-native-academy/cspm/cloud-security-solutions-cwpp-cspm-casb-and-more/
    [推荐]What’s The Difference Between CASB, CWPP, CSPM, and CNAPP?
    参考URL: https://www.uptycs.com/blog/whats-the-difference-between-casb-cwpp-cspm-and-cnapp
    三大云安全工具(CASB、CSPM、CWPP)的使用场景
    参考URL: https://blog.csdn.net/m0_37740029/article/details/117324632

    云安全毫无疑问已经成为一种趋势,无论是为政企等行业提供云服务平台的企业巨头,还是行业技术领袖,大家已经形成一种共识,就是未来的安全会在云端,云化已经成为一种趋势。我们经常会看到描述云安全的工具的一些术语如CASB,CSPM, CWPP。

    其实这些都是 Gartner创造的术语。Gartner曾提出三大云原生安全管理工具,分别是CWPP、CSPM和CASB。

    以下是云安全解决方案的主要类别:

    • Cloud workload protection platform (CWPP)—a centralized solution for extending visibility into cloud resources, primarily to secure cloud workloads. CWPP enables you to perform security functions across multiple environments.
      云工作负载保护平台(CWPP) - 用于扩展可见性云资源的集中解决方案,主要是为了保护云工作负载。CWPP使您能够在多个环境中执行安全功能。

    • Cloud security posture management (CSPM)—implements continuous, automated security and compliance processes, primarily to secure the infrastructure where workloads are deployed. CSPM helps prevent software configuration vulnerabilities and compliance risks.
      CSPM(Cloud Security Posture Management) 云安全配置管理 - 实现连续,自动安全和合规过程,主要是为了保护部署工作负载的基础架构。CSPM有助于防止软件配置漏洞和合规风险。

    • Cloud access security broker (CASB)—solutions are implemented for the purpose of extending in-house visibility into cloud environments. CASB is located between on-premise and cloud infrastructure.
      (Cloud Security Access Broker) 云访问安全代理 - 该解决方案的实现是为了将内部可见性扩展到云环境中。CASB位于本地和云基础架构之间。

    CWPP

    什么是CWPP
    参考URL: https://blog.csdn.net/inthat/article/details/120676278
    [推荐]What’s The Difference Between CASB, CWPP, CSPM, and CNAPP?
    参考URL: https://www.uptycs.com/blog/whats-the-difference-between-casb-cwpp-cspm-and-cnapp

    云工作负载保护平台(CWPP)为所有类型的工作负载(包括物理服务器,虚拟机(VM),容器和无服务器工作负载)提供了以工作负载为中心的安全保护解决方案

    CWPP应该不受地理位置的影响,为物理机、虚拟机、容器和无服务器工作负载提供统一的可视化和控制力。CWPP产品通常结合使用网络分段、系统完整性保护、应用程序控制、行为监控、基于主机的入侵防御和可选的反恶意软件保护等措施,保护工作负载免受攻击。

    总结: 简单来说只要是业务的载体(运行平台)都可以叫工作负载,包括物理服务器、虚拟机、容器和无服务器(serverless)。

    CSPM

    [推荐]What’s The Difference Between CASB, CWPP, CSPM, and CNAPP?
    参考URL: https://www.uptycs.com/blog/whats-the-difference-between-casb-cwpp-cspm-and-cnapp

    CSPM(云安全态势管理): 云安全态势管理 (CSPM) 是 IT 安全工具的一个细分市场,旨在识别云中的错误配置问题和合规风险,其编程目的是持续监控云基础架构以发现安全策略执行中的安全漏洞。

    CWPP从内部保护工作负载,而Cloud Security Postion Management(CSPM)通过评估云平台控制平面的安全且合规的配置,从外部保护工作负载。

    CSPB

    [推荐]What’s The Difference Between CASB, CWPP, CSPM, and CNAPP?
    参考URL: https://www.uptycs.com/blog/whats-the-difference-between-casb-cwpp-cspm-and-cnapp

    云访问安全代理(Cloud Access Security Broker,CASB,发音为KAZ-bee)是位于云服务消费者和云服务提供商(CSP)之间的内部或基于云的策略实施点,用于监视与云相关的活动,并应用与基于云的资源的使用相关的安全性、合规性和治理规则。

    CASB可以通过API、转发代理、反向代理等方式来实现。

    Cloud AccessSecurity Broker(CASB)本质上是用于云服务的防火墙。它提供了一个安全策略实施网关,以确保用户的操作得到授权并符合公司的安全策略。CASB可以识别组织使用的所有云服务,包括影子IT /未经批准或未经管理的SaaS和PaaS产品,并在必要时发出警报。它可以跟踪,报告和记录云使用情况,评估影子IT带来的风险,并进行事件监视。CASB具有审核和报告工具,可用于法规遵从性,包括云存储的数据。这些工具提供了用户身份验证,授权和策略执行,例如移动和加密文件,更改权限以及过滤消息。

    CNAPP (云原生应用保护平台)

    [推荐]What’s The Difference Between CASB, CWPP, CSPM, and CNAPP?
    参考URL: https://www.uptycs.com/blog/whats-the-difference-between-casb-cwpp-cspm-and-cnapp

    由Gartner创造的术语Cloud-Native Application Protection Platform(CNAPP)结合了CWPP和CSPM的功能,可扫描开发中的工作负载和配置并在运行时对其进行保护。

    参考

    快进键启动,一文带你了解云原生时代容器安全
    参考URL: https://zhuanlan.zhihu.com/p/372881372
    云原生时代,如何确保容器的全生命周期安全?
    参考URL: https://segmentfault.com/a/1190000040340382
    [推荐]云原生安全介绍
    参考URL: https://blog.csdn.net/xlsj228/article/details/122834775
    青藤云安全:蜂巢之声之如何确保容器的全生命周期安全
    参考URL: https://zhuanlan.zhihu.com/p/160804637
    云原生安全成熟度标准解读及信通院工作介绍
    参考URL: https://www.doc88.com/p-19459797509286.html

    展开全文
  • 介绍了山西某煤矿由于受高瓦斯、水害等复杂条件的...为保证矿井的安全生产,该矿通过严抓安全管控、合理优化采掘工艺、推行安全质量标准化,实现了对瓦斯、水患事故的全面治理,为井下工作人员创造了一个安全的工作环境
  • 安全是企业整体管理水平一个标志性的指标,作为高危行业的煤炭企业,安全工作更为重要。只有高度重视基础管理工作,切实抓好班组安全建设,才能为员工创造一个良好的工作环境
  • 在13 讲中,我们讲了 Linux 系统安全。但是,当你在和同事讨论 Linux 系统安全的时候,同事表示,公司的服务都是通过 Docker 来进行容器化部署的。开发在操作中,并不会接触实际的 Linux 服务器,所以不会去关注 ...

    在这里插入图片描述

    在13 讲中,我们讲了 Linux 系统安全。但是,当你在和同事讨论 Linux 系统安全的时候,同事表示,公司的服务都是通过 Docker 来进行容器化部署的。开发在操作中,并不会接触实际的 Linux 服务器,所以不会去关注 Linux 安全 。而且,因为容器是隔离的,就算容器被黑客攻击了,也只是容器内部受到影响,对宿主的 Linux 系统和网络都不会产生太大影响。

    事实上,我知道很多人都有这种想法。但是,你在学习了安全专栏之后,可以试着思考一下,开发使用了 Docker 就一定安全吗?真的可以不用考虑安全问题了吗?

    以防你对 Doker 还不是很了解,在解决这些问题之前,我先来解释一下这节课会涉及的 3 个概念,帮你扫清概念障碍。

    • Docker 服务:Docker 所提供的功能以及在宿主机 Linux 中的 Docker 进程。
    • Docker 镜像:通过 Dockerfile 构建出来的 Docker 镜像。
    • Docker 容器:实际运行的 Docker 容器,通常来说,一个 Docker 镜像会生成多个 Docker 容器。Docker 容器运行于 Docker 服务之上。

    了解了这 3 个关键概念之后,我们今天就从这些概念入手,来谈一谈 Docker 的安全性。

    Docker 服务安全

    我们首先来看 Docker 服务的安全性。Docker 服务本身需要关注的安全性就是:隔离。如果黑客在控制了容器之后,能够成功对宿主机产生影响,就说明黑客突破了 Docker 服务的隔离保护,也就是我们所说的“Docker 逃逸”。

    那么,Docker 服务是如何对容器进行隔离,来防止“Docker 逃逸”的呢?接下来,我就介绍一下这 3 个关键的隔离机制:Namespace 机制、Capabilities 机制和 CGroups 机制。

    第 1 个是 Namespace 机制。

    我们知道,Docker 之所以广泛流行,是因为它提供了一种轻量化的隔离环境,也就是容器。

    下面,我们重点解释一下“轻量化”和“隔离”这两个词。首先是轻量化。怎么理解轻量化呢?我们可以对比虚拟机来进行理解。虚拟机是自己创造了一个虚拟内核,让这个虚拟内核去和虚拟机的进程进行沟通,然后虚拟内核再和真实的 Linux 内核进行沟通。而 Docker 提供的容器,简化了这个沟通过程,让 Docker 中的进程直接和 Linux 内核进行沟通。
    在这里插入图片描述

    第二个词是隔离。也就是说,Docker 提供的容器环境是和 Linux 内核隔离的。想要实现这种隔离,就需要用到 Namespace 机制了。所以,这里我先给你简单解释一下什么是 Namespace 机制。

    Namespace 是 Linux 提供的一种标签机制,Linux 内核会对不同 Namespace 之间的进程做隔离,避免不同的进程之间互相产生影响。所以,Docker 服务会为每一个 Docker 容器创建一个单独的 Namespace 空间。 这样一来,不同容器之间、容器和系统之间,都是不同的 Namespace,也就实现了隔离。

    这种基于 Namespace 的隔离我一般叫它“伪隔离”。因为通过 Namespace 进行的隔离并不彻底。为啥这么说呢?Docker 容器在隔离的环境中,仍然需要使用一些底层的 Linux 进程和设备支持。比如,你在 Docker 容器中仍然需要使用鼠标、键盘等输入输出设备,那么容器就必须挂载 Linux 系统中的 /sys 来获得对应的驱动和配置信息。也就是说,你在 Docker 中看到的 /sys 目录,实际就是 Linux 系统中的 /sys 目录。类似地,还有一些没有被 Namespace 隔离开的目录和模块,包括以下这些内容:

    • 部分的进程目录 /proc/…
    • 内存映像 /dev/mem
    • 系统设备 /dev/sd*
    • Linux 内核模块

    换一句话说,因为容器和宿主机需要共同使用一些服务(比如容器和宿主机使用的是同一个鼠标),所以上面的这些目录和模块,对于容器和宿主机来说,其实是共享的。从理论上来说,如果你在 Docker 容器中修改了这些目录,那么宿主机当中也会同步相应的修改结果。

    第 2 个 Capabilities 机制。

    我们刚刚说了,Namespace 的伪隔离机制让容器和宿主机共享部分目录。那么,这是不是也意味着,Docker 容器可以通过这些目录来影响宿主机,从而实现“Docker 逃逸”呢?为了避免这种情况,Docker 服务使用了 Capabilities 机制,来限制容器的操作。

    Capabilities 提供了更细粒度的授权机制,它定义了主体能够进行的某一类操作。比如,一个 Web 服务需要绑定 80 端口,但 80 端口的绑定是需要 ROOT 权限的。为了防止 ROOT 权限滥用,Docker 会通过 Capabilities,给予这个 Web 服务 net_bind_service 这个权限(允许绑定到小于 1024 的端口)。同样地,Docker 对容器的 ROOT 也加了很多默认的限制,比如:

    • 拒绝所有的挂载操作;
    • 拒绝部分文件的操作,比如修改文件所有者;
    • 拒绝内核模块加载。

    这里有一点需要你注意,Capabilities 对容器可进行操作的限制程度很难把控。这是因为,过松会导致 Docker 容器影响宿主机系统,让 Docker 隔离失效;过严会让容器和容器内的服务功能受限,无法正常运行。

    所以,在默认情况下,Docker 会采用白名单机制(白名单列表你可以在 Docker 源码中查看)进行限制,即只允许 Docker 容器拥有几个默认的能力。那有了白名单限制,即使黑客成功拿到了容器中的 ROOT 权限,能够造成的影响也相对较小。所以我们常说,“Docker 逃逸”是一件不容易的事情。

    第 3 个是 CGroups 机制。

    好了,现在你应该知道 Docker 服务本身是如何防止“Docker 逃逸”的了。作为一个容器,Docker 显然不能过多地占用宿主机资源,不然对宿主机和自身的可用性都会产生影响。那 Docker 是如何实现资源限制的呢?

    Docker 服务可以利用 CGroups 机制来实现对容器中内存、CPU 和 IO 等的限制。比如,通过下面的命令,我们就可以限制 Docker 容器只使用 2 个 CPU 和 100MB 的内存来运行了。

    docker run -it --cpus=2 --memory="100m" ubuntu:latest /bin/bash
    

    所以,当一个宿主机中运行了多个 Docker 容器的时候,我们可以通过 CGroups,给每一个容器弹性地分配 CPU 资源。同样地,这个限制既不能过松,过松会导致某一个 Docker 容器耗尽宿主机资源,也不能过严,过严会使得容器内的服务得不到足够的资源支持。这都需要我们自己经过慎重考量来进行配置,没有默认的安全机制可以辅助我们。

    现在,你应该已经了解 Docker 服务中的 3 个主要机制了。这里,我把这 3 个主要机制的特点总结成了一张表格,帮助你加深理解。
    在这里插入图片描述

    Docker 守护进程

    想要运行 Docker 镜像,就必须先启动 Docker 的 Daemon 守护进程。而启动这个守护进程需要 ROOT 权限。因此,守护进程本身如果出现漏洞,就会给黑客提供一个权限提升的入口。那通过这个守护进程,黑客能进行哪些操作呢?

    首先,作为守护进程,Daemon 具备操控 Docker 容器的全部权限。这也就意味着,黑客可以任意地上线和下线容器、运行黑客自己的镜像、篡改已有镜像的配置等。这么说可能不够直观,我来详细解释一下。黑客通过守护进程,可以将宿主机的根目录共享到镜像中,这样一来,镜像就可以对宿主机的目录进行任意的修改了。另外,除了影响正常的线上容器,黑客还能够通过简单的 docker exec 命令获取容器环境中的 Shell,从而执行任意命令了 。

    那么,黑客怎么才能控制 Daemon 守护进程呢?最简单的方法当然是直接进入宿主机,通过 Docker 命令进行交互。但如果黑客已经进入宿主机,还去操控容器,就是多此一举了。所以,黑客主要是通过远程 API,来对 Docker 守护进程发起攻击。

    守护进程提供的 API 接口,是为了方便用户去做一些自动化的工具,来操控 Docker 容器。而在默认情况下,这个 API 接口不需要进行认证。你可以尝试探测一下,你的公司内外网中,是否存在开放的 2375 端口(守护进程 API 默认监听的端口)。如果存在的话,那么你基本上就能够控制这台服务器的 Docker 守护进程了。

    为了避免这种无认证的情况发生,Docker 提供了证书的方式来进行认证。开启 API 接口的命令如下所示:

    dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=0.0.0.0:2376
    

    通过以上命令,我们就能够在宿主机开启远程 API 接口。在客户端中,只需要提供相应的证书信息,就能够完成经过认证的 API 接口调用了。

    curl https://127.0.0.1:2376/images/json --cert cert.pem --key key.pem --cacert ca.pem
    

    那通过这样的配置,我们就能解决了 API 接口的认证问题,也就提升了 Docker 守护进程的安全性。

    Docker 镜像安全

    了解了 Docker 守护进程的安全风险和防护方法之后,我们再来看一下 Docker 镜像的安全。

    对于 Docker 镜像来说,它本身就是一个模拟的操作系统,自然也会存在操作系统中的各类安全威胁和漏洞。但是,由于一个 Docker 镜像,一般只会运行某一种服务,也就相当于一个操作系统中只有一个用户。因此,Docker 镜像面临的安全威胁也会小很多。

    接下来,我就为你详细讲解两种保证 Docker 镜像安全的方式,分别是“使用最精简的镜像”和“最小权限原则”。

    使用最精简的镜像

    前面我们讲了 Docker 镜像的概念,我们知道,Docker 镜像是通过 Dockerfile 来构建的。而 Dockerfile 构建的第一句是 FROM ***。以 Node.js 的环境为例,你的基础镜像可能是 node,那么 Dockerfile 的第一行应该是 FROM node。

    FROM node
    COPY . ./
    EXPOSE 8080
    CMD [“node”, “index.js”]
    

    这个基础的 node 镜像实际包含了一个完整的操作系统,但是,在实际应用中,有大部分的系统功能,我们是用不到的。而这些用不到的系统功能,却正好为黑客提供了可乘之机。

    Snyk 在 2019 年的Docker 漏洞统计报告称,最热门的 10 个 Docker 基础镜像,包含的已知系统漏洞,最少的有 30 个,最多的有 580 个。
    在这里插入图片描述

    这是非常惊人的。通过一句简单的 FROM node,就能让你的 Docker 镜像中引入 580 个系统漏洞。那我们该如何避免引入漏洞呢?这个时候,我们就需要使用精简版的基础镜像了。一般来说,精简版的 Docker 镜像标签都会带有 slim 或者 alpine。

    比如说,如果你采用 node:10-slim,那么漏洞数会降低到 71 个。如果使用 node:10-alpine,那么已知的漏洞数会降为 0。之所以会发生这种现象,是因为使用精简版的基础镜像,可以去除大部分无用的系统功能和依赖库,所以,存在于这些功能中的漏洞自然也就被剔除了。

    因此,对于 Docker 来说,通过使用精简的基础镜像,去除一些无用的系统功能,既能够降低最终镜像的体积,又能够降低安全风险,何乐而不为呢?

    Docker 中的最小权限原则

    除此之外,我们在 Linux 操作系统中提到的最小权限原则,在 Docker 镜像中同样适用。

    这是因为,在默认情况下,容器内的进程都是以 ROOT 权限启动的。而 Docker 又是伪隔离,所以,容器就和宿主机拥有一致的 ROOT 权限了。虽然 Docker 通过 Capabilities,对容器内的 ROOT 能力进行了限制。但是,使用 ROOT 权限去运行一个普通的服务很不合适。为此,我们可以通过 USER 关键词,来使用一个低权限的用户运行服务。

    以 Node.js 为例,在 node 的基础镜像中,默认创建了 node 这么一个具备较小权限的用户。因此,我们可以在 Dockerfile 中,加入一行 USER node 来使用这个最小权限用户。

    FROM node:10-alpine
    ...
    USER node
    CMD [“node”, “index.js”] 
    

    当然,如果有的基础镜像本身不提供额外的用户,你就需要自己创建一个了。以 ubuntu 为例,我们可以通过 groupadd 和 useradd,创建一个 node 用户,这个用户没有密码、没有 home 目录、也没有 shell,就是一个最小权限用户。Dockerfile 的内容如下:

    FROM ubuntu
    RUN groupadd -r node && useradd -r -s /bin/false -g node node
    ...
    USER node
    CMD node index.js 
    

    现在,你应该已经知道 Docker 镜像的两种安全防护方法了,我来简单总结一下。第一个是通过使用最精简的基础镜像,来删减 Docker 镜像中不必要的功能,从而降低出现漏洞的概率。第二个则是采取最小权限原则,以低权限用户来执行服务,限制黑客的能力。

    总结

    好了,今天的内容讲完了。我们来一起总结回顾一下,你需要掌握的重点内容。

    今天,我主要通过 Docker 服务、Docker 守护进程和 Docker 镜像这三个方面,带你学习 Docker 的安全性。

    在 Docker 服务中,主要是利用 Namespace、Capabilities 和 CGroups 机制,来对 Docker 容器进行各种隔离和限制;在 Docker 守护进程中,我们通过给远程 API 加上认证功能来保证安全性;在 Docker 镜像中,我们主要是通过最小镜像和最小权限的原则,去提升镜像本身的安全性。

    在实际对 Docker 进行安全防护的过程中,我们也可以采取各类针对 Docker 的扫描工具,来发现问题。比如Clair,它会对你的镜像进行静态的扫描分析,并和漏洞库进行比对,从而发现镜像中可能存在的安全漏洞。

    以 Docker 为代表的容器技术,可以说是现在应用开发中最常见的技术了。很多开发人员,现在甚至不用使用原始的 Linux 系统,直接基于 Docker 进行开发就好了。因此,我们在开发应用的过程中,要时刻关注 Docker 的安全性。

    好了,我把这一讲的重点内容梳理了一个脑图。你可以用它来查漏补缺,也可以自己来梳理看看,加深印象。
    在这里插入图片描述

    思考题

    最后,给你留一个思考题。

    “容器上云”是目前普遍的技术趋势,你是否有使用过一些容器云的产品?可以研究一下,在容器云中,云平台给容器设置了哪些安全限制。

    欢迎留言和我分享你的思考和疑惑,也欢迎你把文章分享给你的朋友。我们下一讲再见!

    下一讲

    数据库安全:数据库中的数据是如何被黑客拖取的?

    展开全文
  • 欧姆龙 D4NS-SK01安全门开关手册pdf,使安全门开关的安装更简便,轻松解决繁琐的钥匙对位问题缩短安全门关的设计及安装时间可以在一定范围内选择安装方向提供更全面的内部安全措施创造安全的工作环境
  • 然后分别对传输中的移动代理、服务器资源、执行环境中移动代理的保护方案进行了系统的研究,创造性地将JavaCard技术用于构建安全的移动代理执行环境。并在此研究成果基础之上设计并开发出SMMA2002移动代理安全模型...
  • 网络信息安全口号 篇一信息安全意识教育的名言警句 信息安全是组织未来的保障 信息安全从我做起 信息安全无小事 加强信息安全管理创造让客户放心的合作环境 安全是最大的效益. 亡羊 牢 不晚 不晚强调恢复性机制的...
  • 为了认真贯彻落实公安部关于开展重要信息系统和重点网站网络安全保护状况自检自查工作的通知文件精神为进一步做好我院网络与信息系统安全自查...系统安全防范工作创造良好的网络信息环境近期我院进行了信息系统和网站
  • 为认真贯彻落实新安全生产法消防法人员密 集场所消防安全管理GA 654-2006等法律法规强化安 全生产意识落实企业安全生产主体责任保障各项安全生 产工作落实到位创造安全稳定的经济发展环境实现安全 生产责任目标特...
  • 和培训计划 为认真贯彻落实新安全生产法消防法人员密 集场所消防安全管理GA 654-2006等法律法规强化安 全生产意识落实企业安全生产主体责任保障各项安全生 产工作落实到位创造安全稳定的经济发展环境实现安全 ...
  • 2.设计防火墙的准则 一切未被允许的就是禁止的 防火墙应封锁所有信息流然后对希望提供的服务逐项开放这种方法可以创造十分安全环境但用户使用的方便性服务范围受到限制 一切未被禁止的就是允许的 防火墙转发所有...
  • 实用标准文案 永河小学校园安全管理制度 总 则 一为保障学校安全维护学校教育教学秩序和保护学生 教职员工的人身安全 为实施素质教育创造良好的教育教学环境 根 据宪法和有关法律法规等精神特制定本制度 二学校安全...
  • 2021年9月17日,阿里云用户组(AUG)第二期「云安全」主题线下沙龙活动在南京召开。随着国家对网络安全监管要求趋严,企业需要转变思路,从被动安全合规转变到主动战略风控。现场,阿里云首席安全架构师苏建东结合...

    2021年9月17日,阿里云用户组(AUG)第二期「云安全」主题线下沙龙活动在南京召开。随着国家对网络安全监管要求趋严,企业需要转变思路,从被动安全合规转变到主动战略风控。现场,阿里云首席安全架构师苏建东结合安全合规重大事件,根据国家从等保到密评到数据安全的新合规要求,解答了大家关心的问题。以下为苏建东的分享:

    近段时间,大家应该能感受到国家在网络安全的监管力度。7月份,网信办就启动了对某企业的网络安全审查,接着又通知下架其APP,下架APP这个事情对于任何一个企业来说,打击都会非常非常大。接着,又对其它一些海外上市企业启动了网络安全审查,并马上出台了相应的文件,要求依法从严打击证券违法活动,13部委联合修订了《网络安全审查办法》。《网络安全审查办法》原来没有对在境外上市的企业做出详细的规定,但现在做了详细的规定。

    可以感觉到国家对网络安全合规是层层加码,越来越重视,这也是今天企业要转变思路,从被动到主动的一个核心原因。

    合规新变化:等保

    2021版公安部等保测评新变化
    等保从1.0到2.0,是一个非常大的飞跃。从2.0发布到目前,标准本身并没有改变,但是测评要求有变化。

    公安部等保测评报告模板出了2021版,跟2019版变化非常大。它的变化在于得分难度更大,比如说企业原来能拿到90分,但是在云上可能现在只能拿到80分,要是在线下可能只能达到70分。详细来说就是计分从原来的指标加权平均法,变成缺陷扣分法,并且指标会分成一般、重要和关键,关键不符合扣3倍分,重要不符合扣2倍分,管理和技术各占50%且可以调整,数据资源作为独立的测评对象。放在以往,数据是不拉出来做独立的对象的,但现在不一样了,需要跟数据安全法匹配起来。

    在这里插入图片描述

    不同模板公安部等保测评计分区别
    这里展示下不同的打分示例:
    按照2019年的指标加权平均法,比如总共是10个类,每类是10项,总共100个测评项。如果计算环境里面有5个不符合,其它的所有大类都是2个不符合,8个符合。可以算出平均不符合率就是23%,然后100%减去23%后乘以100 ,最后得下来就是77分。

    按照2021年的缺陷扣分法,如果不符合项全部都是一般,也就是按一倍扣分来算,分数扣下来之后还是77分。但是非常不幸的是,我们经常被扣分的项都是很难完成的重要或者关键项,就会导致企业扣分会更多。比如计算环境里面的五个不符合项全是关键项,要扣15分,这样扣下来,就只有67分了,硬生生少了10分。

    有客户提到安全公司的人说,如果在线下的话可能会少20分左右,在云上的话客户测下来是少了10分左右。最主要的原因是在云上企业的物理机房等底层有很多安全要求,阿里云已经做掉了,因为阿里云在这上面的得分非常高,所以这一块企业不会扣分。但是在线下什么都会扣分,所以扣的会更多,这是一个核心原因。所以企业如果在云上去过等保的话,即使测评要求有新的变化,过等保的成本也会更低一些,扣的分会更少一些。
    在这里插入图片描述

    合规新要求:密评

    密码法的新要求
    密评简单地说就是要使用国密算法。密码法于2020年1月1日开始正式施行,但是对一般企业影响不大,因为该法律最开始设定的范围较小,要关键信息基础设施。关键信息基础设施可以把它等同于等保三级,只要是等保三级的系统,企业都要符合密评。但是将来有一天它很可能会扩展,就是像等保一样适用于所有的系统。

    今天它主要是应用在政务和金融行业,因为所有政务云和金融云全部是等保三级。所以目前的话密码法在政务和金融这两个行业推广的如火如荼。企业如果要开展商用密码需要应用进行安全性评估,去满足新的合规要求。

    在这里插入图片描述

    密评标准GB/T 39786——概述
    除了密码法之外,国家在2021年也发布了对应的标准——GB/T 39786。

    该标准里有管理还有技术,跟等保标准类似。条款基本上跟等保框架是一脉相承的,但是内容会少一点。最主要是要求对于传输、存储的数据进行加密,对数据的完整性、保密性也都有一系列的要求。而且这里面的算法要求不能用国际算法例如AES,而要使用国密算法——如SM2/3/4。企业如果用软件算法的话,只有部分是符合的;如果用硬件算法,就是全部符合。但是今天对大多数企业来说还没有强制要求,等到政务和金融覆盖完了之后,肯定就会轮到普通的企业。

    在这里插入图片描述

    合规新要求:数据安全

    《网络安全法》相关数安条款
    前面介绍的等保和密评里面都有很多数据安全内容,但是近几年国家对数据安全特别重视,所以它把数据安全单独提出来了。网络安全法很早就对数据安全做了一些要求,比如防止数据泄露或防止窃取篡改;重要数据应当在境内存储,海外公司进入国内也要求企业数据在境内存储,就比如苹果的ICloud 数据就存在国内。

    在这里插入图片描述

    《数据安全法》综述
    今年还发布了《数据安全法》,其中有三点立法背景:

    从外部看其实是国家网络空间主权和数据话语权的要求。很多美国公司不愿意在中国成立公司之后把数据放在中国,因为这些数据回流到美国之后,对于美国建立跟中国的竞争优势是非常有帮助的,还包括有很多国家间的竞争成分在里面。

    从内部的安全需求出发,是国家对基础性战略资源的保护。我们的国家要保护我们的数据资源,来防止被敌对的国家利用。

    从经济上的需求出发,可以促进数据的开发利用。数据如果不保护,到处都分发下去,就没有任何隐私可言了,个人隐私权会受到很大的侵害。但通过立法,规范之后再使用,数据就可以安全地流通起来,可以给企业创造出更多价值,比如说数据风控,企业就可以把数据拿来做业务风控。

    数据安全法适用范围是境内开展数据处理活动及其安全监督监管,这个范围非常大。所以刚刚说密评对一些企业暂时不适用,但是数据安全法对所有企业都适用。还有如果在境外开展数据处理活动,损害到了国家安全或者公共利益的话,企业也会受到相应的惩罚。

    在这里插入图片描述

    《数据安全法》框架概要
    可以在下图中看到《数据安全法》整个框架共分成了7章,这里主要讲解下前四章:

    在这里插入图片描述

    第一章是总则,需要企业建立数据安全治理体系。治理体系不等于堆砌产品,要分为治理、持续安全、监管三部分。
    第二章是数据安全与发展,针对这部分,国家推出了数据安全的评估和认证,这意味着以后企业会有数据安全相应的合规要求,类似于等保。数据交易的管理制度,就是要促进数据的流通。

    第三章是数据安全制度,这个是企业要重点去看的。企业要建立数据分级分类保护、风险评估、监测预警机制;数据安全审查、数据出口管制、重要数据的出境管理等,这些都是国家层面的。

    第四章是数据安全保护义务,就是技术层面要做的事情。比如说安全缺陷与漏洞的监控、数据来源的核实、定期的数据安全风险评估、数据安全技术措施。通过数据安全法会发现,其实很多条款都是正好戳中前面的网络安全审查中被处罚下架的APP这个事件。除了罚钱之外,更严重的处罚是吊销营业执照。

    还有三章就是政务数据安全与开放、法律责任和最后的附则。

    《数据安全法》重点条文解读
    关于数据安全评估认证已经有一个数据安全标准,称为DSMM。这是由阿里巴巴集团牵头做的,叫数据安全能力成熟度模型,它是一个立体的框架。从安全能力维度、能力成熟度等级,还有数据安全生命周期维度来看,整个数据安全可以这样去做:从数据安全生命周期可以把它分解成6块,有8个核心能力,就是图中红色标注出来的,比如说数据的分类分级、数据的传输加密、存储的安全。存储安全里面可能有加密的措施、有逻辑隔离的措施。

    在这里插入图片描述

    其它还有数据的脱敏、数据资产管理、数据访问控制、监控与审计等等关键的技术能力。这些关键的技术能力在之后要去过数据安全合规要求的时候,基本上都会用到。但是今天大多数企业可能这里面一大半的机制都没有。你用传统数据库的时候,可能会用一些数据库审计,但是只能满足里面的数据安全审计很小的这一块。像数据的分类分级、传输存储加密这些机制基本上大多数企业都是没有的。

    另外一个重点条文解读是针对数据分类分级的。分类分级其实是做数据安全的一个前提条件。企业如果对自己的数据资产存在哪里,哪些是重要的数据,这些数据分哪些类别都搞不清楚的话,数据安全肯定是做不出来的。

    数据的分类分级一定是跟业务场景相结合,很多行业都会去制定自己行业的数据分类分级的标准,比如说金融行业、汽车行业等。法律里面比如刑法也有一些比较简单的规范,还有近期刚颁发的《个人信息保护法》也提到了什么叫敏感个人信息。举个例子,电商行业必然会涉及到敏感个人信息,用户在电商平台注册的家庭地址、身份证号、手机号、银行卡卡号之类的这些东西都是非常敏感的个人信息,不得泄露。

    在这里插入图片描述

    实际违规案例解读

    综合以上法律法规的解读,可以回过头看下某互联网公司被处罚的依据。如图左边是网络安全审查办法原来的版本,右边是新的版本。新的版本其实一直在准备中,因为该公司发生的数据安全事件触发了它,所以很快就放了出来。内容可以看一下,比如说将数据处理活动作为重点的规范对象,这是以前没有的。数据处理就是企业如何去使用这些数据。
    在这里插入图片描述

    中国企业上市和证监会有关,不光是在国内,在国外上市也受证监会管辖。如果掌握超过100万用户个人信息的运营者要赴国外上市,必须提前向网信办申报网络安全审查。但被处罚的该公司没做这个事情,所以就引发了后续一系列的事情。国外上市后关键信息基础设施、核心数据等存在被国外政府影响控制、恶意利用的风险,因此针对境外上市公司修订了《网络安全审查办法》,还延长了审查的时间,特别审查程序在3个月内完成,一般是45个工作日。还有第16条,也是对数据处理活动以及国外上市行为的要求,其实都是针对于这次的事件提出的。

    如何从安全被动合规转变到主动战略风控

    最后,鉴于以上的分析,企业如果从被动安全合规要转到主动战略风控需要做以下几件事情:

    一是理念的转变。企业不能被动地等着公安上门,等着网信办上门,然后开始执法的时候,才去做合规。那时候都晚了,所以要主动,这是第一个。

    二是企业要了解从国家法律到行政法规到相关标准有哪些。从法律层面出发,国家安全法到网络安全法、密码法、数据安全法,都是国家层面的法律,个人信息保护法,相当于数据安全这个领域的一个特定的法律。然后是各种各样的行政法规,从网信办、工信部、公安部到人行,基本上都是针对于数据安全管理、个人数据保护、数据出境这样的规范。个人数据保护也越来越重要,大家可以看到手机上很多APP更新之后再点进去的话,它会有隐私保护策略的政策,需要用户再读一遍。它那个策略其实都变更过了,为的就是来符合相应的标准,所以企业最后还是要通过标准合规去落地。

    在这里插入图片描述

    以上就是本次分享的内容,谢谢大家。(完)
    安全合规新变化,阿里云首席安全架构师苏建东独家解读

    展开全文
  • 为人才创造匹配的成长环境 为人才创造匹配的成长环境 记者 / 蒲婧 雅虎北京全球研发中心(以下简称“雅虎北研”)从2009年创立以来,这一路的努力给张晨留下了很多难忘的事。尽管雅虎北研的今天离不开张晨自己和团队...
  • 网络安全领域的人工智能  今年1月,世界经济论坛发布《2021年全球风险格局报告》,认为网络安全风险是全世界今后将面临的一项重大风险。  随着机器越来越多地占据人们的生活,黑客和网络犯罪不可避免地成为一个更...
  • 吴家金矿在复杂的地质环境及开采技术条件下,从实际出发,因地制宜,与时俱进。通过技术创新和管理创新,创造了建矿以来连续17年安全生产无重伤以上事故的佳绩,为矿山安全生产提供了有益的借鉴。
  • 关于等级保护2.0变化 1、命名的变化 原标准《信息安全技术信息...分类框架统一了“基本要求、设计要求和测评要求”的标准,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”的三位一
  • 网络安全基础知识点

    万次阅读 2022-04-11 21:04:59
    文章目录一、网络安全概述1.1 定义1.2 信息安全特性1.3 网络安全的威胁1.4 网络安全的特征二、入侵方式2.1 黑客2.1.1 入侵方法2.1.2 系统的威胁2.2 IP欺骗与防范2.2.1 TCP等IP欺骗基础知识2.2.2 IP欺骗可行的原因...
  • 单斗—卡车间断开采工艺,其系统简单,可靠性性强,虽然...在分析某一事故的基础上,总结了该类型矿山安全管理的"创造安全作业的环境、杜绝不安全的行为、强化培训提高意识"的工作思路,提出了隐患排查与治理的工作方法。
  • 网络安全专业名词解释

    千次阅读 2022-03-04 16:02:18
    Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是...
  • 专家们的普遍共识是,Linux 是设计上最安全的操作系统之一,这一令人印象深刻可归因于多种因素,包括其透明的开源代码、严格的用户权限模型、多样性、内置的内核安全防御和在其上运行的应用程序的安全性。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 99,557
精华内容 39,822
热门标签
关键字:

创造安全环境