大數(shù)據(jù)系統(tǒng)運(yùn)維（大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材）

1、大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材大數(shù)據(jù)系統(tǒng)運(yùn)維第五章安全管理5.1安全概述5.2資產(chǎn)安全管理5.3應(yīng)用安全5.4安全威脅習(xí)題大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材5.5安全措施5.1 安全概述 第五章 安全管理安全管理的主要目標(biāo)保密性是指對(duì)數(shù)據(jù)的訪問限制，只有被授權(quán)的人才能使用。完整性特別是與數(shù)據(jù)相關(guān)的完整性，指的是保證數(shù)據(jù)沒有在未經(jīng)授權(quán)的方式下改變?？捎眯允侵赣?jì)算機(jī)服務(wù)時(shí)間內(nèi)，確保服務(wù)的可用。5.1 安全概述第五章 安全管理自從互聯(lián)網(wǎng)誕生以來，黑客和攻擊就伴隨而來，信息安全的問題一直呈現(xiàn)上升態(tài)勢(shì)。第五章安全管理5.1安全概述5.2資產(chǎn)安全管理5.3應(yīng)用安全5.4安全威脅習(xí)題大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材5.5安全

2、措施5.2 資產(chǎn)安全管理第五章 安全管理環(huán)境設(shè)施管理環(huán)境可以分為服務(wù)器機(jī)房環(huán)境和終端辦公環(huán)境門禁系統(tǒng)目前應(yīng)用比較廣泛的主要分為卡片式，密碼式，生物特征和混合式：卡片式的門禁系統(tǒng)，人員需憑刷卡進(jìn)出；密碼式門禁系統(tǒng)，人員憑借口令輸入進(jìn)出；生物特征式的門禁系統(tǒng)，人員可以通過指紋，虹膜，面部識(shí)別等生物特征進(jìn)行進(jìn)出?；旌戏绞降拈T禁系統(tǒng)可能會(huì)采取卡片，密碼或者生物特征中的多種方式。而對(duì)于非企業(yè)內(nèi)部的工作人員，最好有一套臨時(shí)人員的進(jìn)出登記制度，對(duì)于機(jī)房等關(guān)鍵場(chǎng)所，需要有內(nèi)部人員陪同。為保護(hù)昂貴的電子設(shè)備和數(shù)據(jù)資源，機(jī)房一般都會(huì)采用報(bào)警及滅火系統(tǒng)。傳統(tǒng)的水因?yàn)闀?huì)破壞電子設(shè)備，該系統(tǒng)是將某些具有滅火能力的氣態(tài)化

3、合物，常溫下貯存于常溫高壓或低溫低壓容器中，在火災(zāi)發(fā)生時(shí)通過自動(dòng)或手動(dòng)控制設(shè)備施放到火災(zāi)發(fā)生區(qū)域，從而達(dá)到滅火目的。視頻監(jiān)控也是一個(gè)通用的安全管控手段，在關(guān)鍵的通道，入口處安裝音視頻監(jiān)控設(shè)備，通過攝像和錄音的方式獲取環(huán)境的實(shí)時(shí)狀態(tài)，并根據(jù)存儲(chǔ)容量，保存數(shù)天或者數(shù)月的存檔，方便以后調(diào)檔查詢。5.2 資產(chǎn)安全管理第五章 安全管理設(shè)備安全為防各種設(shè)備的丟失或者損壞，設(shè)備的管理必不可少。常見的管控措施對(duì)所有設(shè)備進(jìn)行統(tǒng)一登記和編碼，在新購、維修、報(bào)廢、遷移等環(huán)節(jié)對(duì)資產(chǎn)的配置信息進(jìn)行及時(shí)維護(hù)，每年固定時(shí)間對(duì)設(shè)備信息進(jìn)行審計(jì)復(fù)核。目前，已經(jīng)有二維碼或者RFID內(nèi)置的標(biāo)簽，可以粘貼在各種設(shè)備的物理表面，方便進(jìn)

4、行統(tǒng)一管理。第五章安全管理5.1安全概述5.2資產(chǎn)安全管理5.3應(yīng)用安全5.4安全威脅習(xí)題大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材5.5安全措施5.3 應(yīng)用安全第五章 安全管理技術(shù)安全A安全漏洞B安全開發(fā)C安全測(cè)試D運(yùn)維加固5.3 應(yīng)用安全第五章 安全管理技術(shù)安全漏洞概述注入注入攻擊漏洞， 例如SQL，OS以及LDAP注入。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語句的一部分，被發(fā)送給解釋器的時(shí)候。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者在未被恰當(dāng)授權(quán)時(shí)訪問數(shù)據(jù)。失效的身份認(rèn)證和會(huì)話管理與身份認(rèn)證和回話管理相關(guān)的應(yīng)用程序功能往往得不到正確的實(shí)現(xiàn)，這就導(dǎo)致了攻擊者攻擊者破壞密碼、密鑰、會(huì)

5、話令牌或攻擊其他的漏洞去冒充其他用戶的身份（暫時(shí)或永久的）?？缯灸_本（XSS）當(dāng)應(yīng)用程序收到含有不可信的數(shù)據(jù)，在沒有進(jìn)行適當(dāng)?shù)尿?yàn)證和轉(zhuǎn)義的情況下，就將它發(fā)送給一個(gè)網(wǎng)頁瀏覽器，或者使用可以創(chuàng)建javaScript腳本的瀏覽器API利用用戶提供的數(shù)據(jù)更新現(xiàn)有網(wǎng)頁，這就會(huì)產(chǎn)生跨站腳本攻擊。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會(huì)話、危害網(wǎng)站或者將用戶重定向到惡意網(wǎng)站。失效的訪問控制對(duì)于通過認(rèn)證的用戶所能夠執(zhí)行的操作，缺乏有效的限制。攻擊者就可以利用這些缺陷來訪問未經(jīng)授權(quán)的功能和/或數(shù)據(jù)，例如訪問其他用戶的賬戶，查看敏感文件，修改其他用戶的數(shù)據(jù)，更改訪問權(quán)限等。安全配置錯(cuò)誤好的安全需

6、要對(duì)應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、web服務(wù)器、數(shù)據(jù)庫服務(wù)器和平臺(tái)定義和執(zhí)行安全配置。由于許多設(shè)置的默認(rèn)值并不是安全的，因此，必須定義、實(shí)施和維護(hù)這些設(shè)置。此外，所有的軟件應(yīng)該保持及時(shí)更新。5.3 應(yīng)用安全第五章 安全管理技術(shù)安全漏洞概述敏感信息泄露許多web應(yīng)用程序和API沒有正確保護(hù)敏感數(shù)據(jù)，如財(cái)務(wù)、醫(yī)療保健和PII。攻擊者可能會(huì)竊取或篡改此類弱保護(hù)的數(shù)據(jù)，進(jìn)行信用卡欺騙、身份竊取或其他犯罪行為。敏感數(shù)據(jù)應(yīng)該具有額外的保護(hù)，例如在存放或在傳輸過程中的加密，以及與瀏覽器交換時(shí)進(jìn)行特殊的預(yù)防措施。攻擊檢測(cè)與防護(hù)不足大多數(shù)應(yīng)用和API缺乏檢測(cè)、預(yù)防和響應(yīng)手動(dòng)或自動(dòng)化攻擊的能力。攻擊保護(hù)措施不限

7、于基本輸入驗(yàn)證，還應(yīng)具備自動(dòng)檢測(cè)、記錄和響應(yīng)，甚至阻止攻擊的能力。應(yīng)用所有者還應(yīng)能夠快速部署安全補(bǔ)丁以防御攻擊?？缯菊?qǐng)求偽造（CSRF）一個(gè)跨站請(qǐng)求偽造攻擊迫使登錄用戶的瀏覽器將偽造的HTTP請(qǐng)求，包括受害者的會(huì)話cookie和所有其他自動(dòng)填充的身份認(rèn)證信息，發(fā)送到一個(gè)存在漏洞的web應(yīng)用程序。這種攻擊允許攻擊迫使受害者的瀏覽器生成讓存在漏洞的應(yīng)用程序認(rèn)為是受害者的合法請(qǐng)求的請(qǐng)求。使用含有已知漏洞的組件組件，比如：庫文件、框架和其他軟件模塊，具有與應(yīng)用程序相同的權(quán)限。如果一個(gè)帶有漏洞的組件被利用，這種攻擊可以促成嚴(yán)重的數(shù)據(jù)丟失或服務(wù)器接管。應(yīng)用程序和API使用帶有已知漏洞的組件可能會(huì)破壞應(yīng)用程

8、序的防御系統(tǒng)，并使一系列可能的攻擊和影響成為可能。安全配置錯(cuò)誤現(xiàn)代應(yīng)用程序通常涉及豐富的客戶端應(yīng)用程序和API，如：瀏覽器和移動(dòng)APP中的JavaScript，其與某類API(SOAP/XML、REST/JSON、RPC、GWT等）連接。這些API通常是不受保護(hù)的，并且包含許多漏洞。5.3 應(yīng)用安全第五章 安全管理數(shù)據(jù)安全存儲(chǔ)安全傳輸安全訪問安全5.3 數(shù)據(jù)安全第五章 安全管理水印信號(hào)技術(shù)水印信號(hào)嵌入水印信號(hào)的驗(yàn)證第五章安全管理5.1安全概述5.2資產(chǎn)安全管理5.3應(yīng)用安全5.4安全威脅習(xí)題大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材5.5安全措施5.4 安全威脅第五章 安全管理人為失誤01人自身原因02環(huán)境原

9、因03工具原因04流程原因5.4 安全威脅第五章 安全管理外部攻擊分類詳細(xì)內(nèi)容惡意程序惡意程序是未經(jīng)授權(quán)運(yùn)行的、懷有惡意目的、具有攻擊意圖或者實(shí)現(xiàn)惡意功能的所有軟件的統(tǒng)稱，其表現(xiàn)形式有很多：計(jì)算機(jī)病毒、特洛伊木馬程序、蠕蟲、僵尸程序、黑客工具、漏洞利用程序、邏輯炸彈、間諜軟件等。網(wǎng)絡(luò)入侵網(wǎng)絡(luò)入侵，是指根據(jù)信息系統(tǒng)存在的漏洞和安全缺陷，通過外部對(duì)信息系統(tǒng)的硬件、軟件及數(shù)據(jù)進(jìn)行攻擊行為。網(wǎng)絡(luò)攻擊的技術(shù)與方法有很多種類型，通常從攻擊對(duì)象入手，可以分為針對(duì)主機(jī)、協(xié)議、應(yīng)用和信息等攻擊。拒絕服務(wù)攻擊拒絕服務(wù)攻擊（DoS）即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之。常見的造成網(wǎng)絡(luò)帶寬的耗

10、盡，使合法用戶無法正常訪問服務(wù)器資源的攻擊，DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)，它的效果是明顯的。社會(huì)工具為某些非容易的獲取訊息，利用社會(huì)科學(xué)尤其心理學(xué)，語言學(xué)，欺詐學(xué)將其進(jìn)行綜合，有效的利用人性的弱點(diǎn)，并最終獲得信息為最終目的學(xué)科稱為“社會(huì)工程學(xué)”（Social Engineering）。社會(huì)工程學(xué)中比較知名的案例是網(wǎng)絡(luò)釣魚，通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號(hào)ID、ATMPIN碼或信用

11、卡詳細(xì)信息）的一種攻擊方式。5.4 安全威脅第五章 安全管理信息泄露信息泄露是信息安全的重大威脅，國內(nèi)外都發(fā)生過大規(guī)模的信息泄露事件。2015年2月，國內(nèi)多家酒店的網(wǎng)站存在高危漏洞，房客開房信息大量泄露，一覽無余，黑客可輕松獲取到千萬級(jí)的酒店顧客的訂單信息，包括顧客姓名、身份證、手機(jī)號(hào)、房間號(hào)、房型、開房時(shí)間、退房時(shí)間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。2016年5月，位于美國紐約的輕博客網(wǎng)站Tumblr賬戶信息泄露，涉及的郵箱賬號(hào)和密碼達(dá)65,469,298個(gè)。由于一般用戶在互聯(lián)網(wǎng)上習(xí)慣使用相同賬號(hào)和密碼，一旦一個(gè)網(wǎng)站的賬號(hào)遭到泄露，其他網(wǎng)站會(huì)受到撞庫攻擊，造成更

12、大規(guī)模的信息泄露。5.4 安全威脅第五章 安全管理災(zāi)害洪災(zāi)災(zāi)害01地震災(zāi)害03火災(zāi)災(zāi)害02人為因素04第五章安全管理5.1安全概述5.2資產(chǎn)安全管理5.3應(yīng)用安全5.4安全威脅習(xí)題大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材5.5安全措施5.5 安全措施第五章 安全管理安全制度規(guī)范分類詳細(xì)內(nèi)容人員組織明確各級(jí)人員對(duì)于信息安全的責(zé)任和義務(wù)，明確信息安全的領(lǐng)導(dǎo)機(jī)構(gòu)和組織形式。行為安全明確每個(gè)人在組織內(nèi)部允許和禁止的行為。機(jī)房安全明確出入機(jī)房，上架設(shè)備所必須遵守的流程規(guī)范。網(wǎng)絡(luò)安全明確組織內(nèi)部的網(wǎng)絡(luò)區(qū)域劃分，以及不同網(wǎng)絡(luò)的功能和隔離措施。開發(fā)過程安全明確軟件的開發(fā)設(shè)計(jì)和測(cè)試遵守相關(guān)規(guī)范，開發(fā)和運(yùn)維分離，源代碼和文檔應(yīng)

13、落地保存。終端安全明確終端設(shè)備的使用范圍，禁止私自修改終端設(shè)備，應(yīng)設(shè)置終端口令，及時(shí)鎖屏，及時(shí)更新操作系統(tǒng)補(bǔ)丁等。數(shù)據(jù)安全不對(duì)外傳播敏感數(shù)據(jù)，生產(chǎn)數(shù)據(jù)的使用需要在監(jiān)督和授權(quán)下執(zhí)行?？诹畎踩鞔_口令的復(fù)雜程度，定期修改的時(shí)間等。臨時(shí)人員的管理明確非內(nèi)部員工的的行為列表，外包人員的行為規(guī)范，防范非法入侵。5.5 安全措施第五章 安全管理安全防范措施分類詳細(xì)內(nèi)容機(jī)房門禁系統(tǒng)，消防系統(tǒng)，攝像系統(tǒng)。服務(wù)器防病毒軟件，漏洞掃描工具，配置核查系統(tǒng)。網(wǎng)絡(luò)防火墻，入侵監(jiān)測(cè)系統(tǒng)，入侵防御系統(tǒng)。終端防病毒軟件，行為控制和審計(jì)軟件，堡壘機(jī)。應(yīng)用程序漏洞掃描工具，源代碼掃描軟件，證書管理系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)，身份管理系統(tǒng)

14、。數(shù)據(jù)備份數(shù)據(jù)備份軟件。流程管理運(yùn)維管理平臺(tái)，安全管理平臺(tái)，審計(jì)平臺(tái)。5.5 安全措施第五章 安全管理SSL中間人攻擊第五章安全管理5.1安全概述5.2資產(chǎn)安全管理5.3應(yīng)用安全5.4安全威脅習(xí)題大數(shù)據(jù)應(yīng)用人才培養(yǎng)系列教材5.5安全措施習(xí)題：1.安全中的完整性指的是計(jì)算機(jī)服務(wù)時(shí)間內(nèi)，確保服務(wù)的可用。2.視頻監(jiān)控重點(diǎn)是實(shí)時(shí)監(jiān)控，一般不需要存檔。3.跨站腳本（XSS）漏洞的原因是因?yàn)槿鄙購?qiáng)壯的認(rèn)證措施。4.健壯的輸入和輸出過濾可以大大降低Web應(yīng)用受攻擊的風(fēng)險(xiǎn)。5.開發(fā)過程中的漏洞只能通過修改代碼規(guī)避，其他方式都不可行。AIRack人工智能實(shí)驗(yàn)平臺(tái)一站式的人工智能實(shí)驗(yàn)平臺(tái)DeepRack深度學(xué)習(xí)一體機(jī)開箱即用的AI科研平臺(tái)BDRack大數(shù)據(jù)實(shí)驗(yàn)平臺(tái)一站式的大數(shù)據(jù)實(shí)訓(xùn)平臺(tái)云計(jì)算頭條微信號(hào)：chinacloudnj中國大數(shù)據(jù)微信號(hào)：cstorbigdata劉鵬看未來