數據安全中將安全劃分為以下方面：

• 軟件安全：軟件安全是指我們選擇的數據庫產品、版本是否穩定安全，廠商所能提供的補丁集和Bug修正是否及時，基礎硬件與操作系統是否經過認證。很多用戶在部署數據庫軟件時，僅僅選擇了最容易獲得的初始發布版本（如Oracle Database 10.2.0.1或者Oracle Database 11.2.0.1等），遺漏了可能已經存在的補丁修正，并且在運行維護中并不能夠及時跟蹤軟件更新，也無法獲得Bug信息、補丁修正和安全告警。這就使得軟件本身的很多風險隱患得不到修正。如果軟件安全無法保證，數據庫安全的基礎也就喪失了。

• 備份安全：備份安全是指用戶數據能否得到及時有效的備份保全，能否在故障災難之后獲得及時的恢復和挽救。在數據庫運行期，最為重要的就是備份安全，如果沒有可靠的備份，將數據集中起來就只能是等待數據災難，所以我們將備份安全提升到核心地位，備份及隨之衍生的容災安全等，都是企業整體數據架構應該考慮的因素。很多企業在數據災難之后因為缺乏有效備份而一蹶不振。

• 訪問安全：訪問安全是指用戶數據庫的訪問來源和訪問方式是否安全可控。通常數據庫系統處于IT系統的核心，其安全架構涉及主機、系統、存儲、網絡等諸多方面。如果沒有明確的訪問控制，缺乏足夠的訪問分析與管理，那么數據庫的安全將是混亂和無法控制的。在應用軟件使用和訪問數據庫時，要正確設置權限，控制可靠的訪問來源，保證數據庫的訪問安全。唯有保證訪問安全才能夠確保數據不被越權使用，不被誤操作所損害。通常最基本的訪問安全要實現程序控制、網絡隔離、來源約束等。

• 安全防范：安全防范是指通過主動的安全手段對數據庫通信、傳輸等進行增強、監控、防護、屏蔽或阻斷，諸如數據加密、審計、數據防火墻等技術都屬于這一范疇。我們必須認識到，在IT技術高度發展的今天，風險是無處不在、層出不窮的，可能我們從未思考過的安全問題每天都在不斷涌現，在數據庫環境中采取主動式防護，將可以幫助我們監控分析和屏蔽很多未知風險。目前已經有很多成熟的產品和技術可以用于安全防范。

• 管理安全：管理安全是指在企業數據的日常管理維護范疇內，能否充分保證數據安全及服務的高可用連續提供。諸如DBA的維護、文件的管理、參數或數據結構的變更等都可能引入數據風險，管理安全要求我們通過規范、制度及技術手段去確保維護管理安全。另外，基于硬件、電力等基礎平臺的故障都可能影響數據庫服務的高可用性，在管理中要通過監控手段及時預警，通過集群、備庫等的切換與服務分擔保障服務的連續性。

使用安全軟件

我們的許多個人信息常常是通過手機、電腦等設備泄露的，我們日常的聊天、購物、瀏覽網站等行為，都有可能被設備內的某個軟件記錄，出現信息被盜賣、泄露的情況。這時候，我們可以使用安全軟件來幫助保護我們，安全軟件的防護功能，除了能夠保護設備的數據信息，還能防護病毒。

使用密碼管理器

各種App、平臺賬號使用相同的密碼，也會造成我們的信息被盜取。為了防止出現密碼重復導致多個賬號被入侵的情況，我們可以使用密碼管理器幫助我們。密碼管理器可以存儲我們的密碼，還可以為我們的賬號生成強密碼，保證賬號的安全。

啟用雙重身份驗證

在我們處理敏感的個人的信息時，使用雙重身份驗證，能夠減輕賬號被盜的風險。開啟雙重身份驗證后，即使黑客拿到了賬號的登錄信息，也不能輕易登入，因此，雙重身份驗證能夠避免我們遭受信息泄露的損失。

將數據進行備份

當我們的個人設備被黑客攻擊后，黑客進行勒索，一旦不從我們的個人數據很有可能損害或者被盜取，這時候，備份數據就能幫助我們避免這個情況。備份數據的方法有很多，但最重要的是，將備份數據整理好后，我們也要確保它的安全。

風險評估的一般工作流程可以大概地分為如下九個步驟：

1. 對信息系統特征進行描述，也就是分析信息系統本身的特征以及確定信息系統在組織中的業務戰略。對信息系統本身的特征，包括軟件、硬件、系統接口、數據和信息、人員和系統的使命，都要有清楚地描述。這個步驟需要產生一系列的文檔，包括系統邊界、系統功能的描述、系統和數據的關鍵性描述、系統和數據的敏感性描述（數據和系統本身的重要程度，在整個組織里占據什么地位）。

2. 識別評估系統所面臨的威脅。分析內容包括系統被攻擊的歷史和來自信息咨詢機構和大眾信息的數據。比如，網上銀行系統，根據一些信息咨詢機構和媒體、網絡銀行范圍和手段，以這些信息作為基礎，對系統所面臨的威脅進行標志和分類。這個步驟需要輸出一系列的威脅說明，系統可能遭受什么樣的威脅，包括天災人禍、管理上的威脅和人員上的威脅等，都需要按照規范做出威脅程度和性質的說明。

3. 對內在的脆弱性進行識別。脆弱性識別包括：以前風險評估的報告和新的風險評估需要參考以前的風險評估報告，因為，以前的脆弱性可能是系統固有的；同時來源于安全檢查過程中，提出的一些整改意見和安全漏洞；以及根據組織本身已有的安全要求和安全期限（Deadline），在系統上線和運行的過程中進行安全測試，如漏洞掃描等。這個步驟還需要輸出可能的脆弱性列表，對系統本身的可能脆弱性進行歸一化整理。

4. 分析當前和規劃中的安全防護措施。這個步驟需要輸出當前和規劃中的安全防護措施的分析報告，作為下一步安全防護的依據。

5. 主要目的是確定威脅利用脆弱性對資產發生破壞導致負面影響發生的可能性。這個可能性需要對每一項威脅利用每一個安全事件的可能事件，構建一個安全矩陣，在矩陣上的每一個交點確定可能性的級別。這個步驟需要輸出可能性級別的分析文檔，這個安全事件最有可能發生，或者是基本不可能發生。

6. 分析影響。這個步驟需要分析風險對整個組織的影響，評估資產的關鍵性、數據的關鍵性和數據的敏感性。這個步驟需要輸出影響級別的分析包括，作為影響級別的矩陣，根據影響和可能性的函數，以及安全防護的措施情況，來確定安全風險。最后形成風險分析結果，包括評價縫隙結果和給出風險等級，以及建議風險控制的措施。

7. 確定風險的級別，例如，高風險、低風險，還是其他級別的。

8. 根據所確定的風險的級別，建議和提出相應的安全防護措施。安全措施落實以后，需要進行殘余風險的分析，判斷殘余風險是否可以接受。

9. 對風險評估的整個過程進行結果記錄，這個步驟需要輸出一份完整的風險評估報告。

在實際落實風險評估時，以上各步驟必須通過一個體系化的工作流程，有效、有序地進行。

文件上傳漏洞存在以下安全問題：

• 代碼執行：上傳文件是web腳本語言，服務器的web容器解釋并執行了用戶上傳的腳本，導致代碼執行，甚至導致網站甚至整個服務器被控制。

• 域控制：上傳文件是flash的策略文件crossdomiain.xml，黑客用以控制flash在該域下的行為。

• 網站掛馬：上傳文件是病毒、木馬，黑客用以誘騙用戶或者管理員下載執行。

• 釣魚：上傳文件是釣魚圖片或為包含了腳本的圖片，在某些版本的瀏覽器中會被作為腳本執行，被用于釣魚和欺詐。

檢測電腦攝像頭是否被入侵的方法如下：

1. 通過電腦任務欄上的小電腦標識來查看數據流量，如果你電腦被監控或被黑客攻擊那會有大量流量產生；

2. 一般攝像頭會有提示燈，當攝像頭啟動時提示燈會亮，可以根據這個來檢測是否攝像頭被入侵；

3. 使用安全掃描工具對電腦進行全面掃描，看是否有木馬病毒等等，存在木馬等攝像頭也可能被入侵。

Https原理是以安全為目標的Http通道，是Http的安全版。Https的安全基礎是SSL。SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。

其他區別

• HTTP 明文傳輸，數據都是未加密的，安全性較差，HTTPS（SSL+HTTP） 數據傳輸過程是加密的，安全性較好。

• 使用 HTTPS 協議需要到 CA（Certificate Authority，數字證書認證機構） 申請證書，一般免費證書較少，因而需要一定費用。證書頒發機構如：Symantec、Comodo、GoDaddy 和 GlobalSign 等。

• HTTP 頁面響應速度比 HTTPS 快，主要是因為 HTTP 使用 TCP 三次握手建立連接，客戶端和服務器需要交換 3 個包，而 HTTPS除了 TCP 的三個包，還要加上 ssl 握手需要的 9 個包，所以一共是 12 個包。

• http 和 https 使用的是完全不同的連接方式，用的端口也不一樣，前者是 80，后者是 443。

主要通過以下辦法來檢測是否被入侵攻擊：

1. 通過檢測日志文件來查看是否有入侵痕跡；

2. 通過查看自己的服務器看網站是否有來歷不明文件；

3. 檢查自己網站首頁、列表頁等等看看有沒有黑鏈；

4. 使用木馬掃描器對自己的服務器或者計算機進行全盤掃描開是否有木馬。

這里以堡壘機使用ssh協議傳文件到服務器為例，具體步驟如下：

1. 將文件從本地拷貝至堡壘機

    # scp {目標文件} {堡壘機用戶名}@{堡壘機地址}:{堡壘機上放置文件的目錄}
    # 需要輸入密碼
    hanchaodeMacBook-Pro:~ hanchao$ scp demo.jar hanchao@20.20.20.20:/home/hanchao/
    hanchao@20.20.20.20's password:
    demo.jar

2. 登錄堡壘機查看文件

    # 登錄堡壘機，需要輸入密碼
    hanchaodeMacBook-Pro:~ hanchao$ ssh 20.20.20.20
    hanchao@20.20.20.20's password:
   
    # 查看目標文件
    [hanchao@20.20.20.20 ~]$ ls /home/hanchao/demo.jar
    /home/hanchao/demo.jar

3. 將文件從堡壘機拷貝至服務器

      # scp {目標文件} {服務器用戶名}@{服務器地址}:{服務器上放置文件的目錄}
      [hanchao@20.20.20.20 ~]$ scp demo.jar hanchao@30.30.30.30:/home/hanchao/
      hanchao@0.30.30.30's password:
      demo.jar

4. 登錄服務器查看文件

      # 登錄服務器，需要輸入密碼
      hanchaodeMacBook-Pro:~ hanchao$ ssh 30.30.30.30
      hanchao@0.30.30.30's password:
   
      # 查看目標文件
      [hanchao@0.30.30.30 ~]$ ls /home/hanchao/demo.jar
      /home/hanchao/demo.jar

PS:操作環境如下：

• 本地計算機：Mac OS 10.13.4，假定IP為10.10.10.10

• 堡壘機：Linux version 3.10.0-514.2.2.el7.x86_64，假定IP為20.20.20.20

• 遠程服務器：Linux version 3.10.0-514.2.2.el7.x86_64，假定IP為30.30.30.30

• 目標文件：假定文件名為demo.jar

企業規避遠程辦公信息泄露的措施有以下這些：

• 使用安全的家庭WiFi：企業員工遠程辦公時，保護公司數據的最佳方法可能是使用安全的家庭 WiFi 網絡。可以考慮將現有的路由器換成一個全天候提供響應迅速、基于AI的智能設備。智能的WiFi網絡會在網絡威脅出現時主動進行調整，增加額外的保護層，更好的確保公司數據安全。

• 不要重復使用密碼：作為企業員工，切記一定永遠不要使用重復的密碼，尤其時在創建工作帳戶時。設置密碼時，應該盡量避免被其他人猜到。不要隨意使用本人或親人生日、寵物名稱等特征性明顯的數字符號，應盡量使用沒有意義的字母、數字和字符的隨機字符串。

• 密碼需要定期更換：面臨日益嚴峻的網絡環境，個人“秘密”似乎已經成為公開信息，因此定期更換密碼尤為重要。正常的情況下，個人公司賬戶密碼一個月更換一次是有必要的，當然每周一次的話，效果會更好。值得注意的是，當你收到必須更改密碼的信息提示時，個人數據已經面臨泄露風險了，需要立刻更改密碼。

• 對企業帳戶采用雙因素身份驗證：設置復雜的賬戶密碼確實能夠保護賬戶安全，但仍舊存在弊端。當惡意攻擊者已經獲取了賬戶密碼后，可能不需要任何其他信息驗證就可以訪問公司帳戶。因此，復雜密碼不一定能夠確保我們賬戶絕對的安全，這時可以通過激活帳戶雙因素身份驗證來防止這種情況發生。雙因素認證（2FA），在輸入賬戶密碼之前或之后增加了另外一個安全步驟，可能需要發送一個驗證到電子郵件或手機、掃描你的指紋等，個人賬戶就有了兩道安全保障。

• 使用專用的VPN連接網絡：遠程辦公連接公司網絡時，一個可靠的虛擬專用網絡（VPN）會覆蓋個人IP地址，可以使某些類型的攻擊難以利用個人設備。雖然這種方式不是靈丹妙藥，但當遠程辦公或處于其他WiFi安全有問題的地方工作時，使用VPN連接到互聯網似乎并沒有什么壞處。

• 將可信網站列入白名單：如果想確保避免遭受網絡安全威脅，需要個人計算機設備屏蔽掉任何不可信的網站。這樣的話，可以通過計算機防火墻或瀏覽器將特定網站“列入白名單”。此舉可能極大地限制了上網的自由度，因此，如果工作需要訪問許多不同的網站來完成時，請您三思而后行。

• 永遠不要打開陌生人的電子郵件：大家可能早已知道不能隨意打開陌生人的郵件，但是好奇心會驅使我們忍不住點擊。需要牢記的是，惡意電子郵件依然是惡意軟件的主要來源，其中往往包括能夠閱讀和竊取公司數據的腳本，一但打開，公司數據就存在了泄露風險。當接收到陌生郵件時，需要立即刪除！

• 定時更新安全防護軟件：在日常工作中，一定要保證安全防護軟件是最新的版本，在官方發布補丁后立即應用。另外，至少每周一次檢查個人設備的安全性，運行全系統掃描，確保電腦處于最佳狀態。

Web欺騙是一種電子信息欺騙，攻擊者在其中創造了整個web世界的一個令人信服但是完全錯誤的拷貝。錯誤的web看起來十分逼真，它擁有相同的網頁和鏈接。然而，攻擊者控制著錯誤的web站點，這樣受攻擊者瀏覽器和web之間的所有網絡信息完全被攻擊者所截獲。雖然這種攻擊并不會直接造成攻擊者主機的軟、硬件損壞，但攻擊者可以輕而易舉得到被攻擊者的用戶名、密碼等，而被攻擊者對此卻全然不知。

防御web欺騙的方法有以下這些：

• 配置網絡瀏覽器使它總能顯示目的URL，并且習慣查看它。

• 檢查源代碼，如果發生了URL重定向，就一定會發現。不過，檢查用戶連接的每一個頁面的源代碼對普通用戶來說是不切實際的想法。

• 使用反網絡釣魚軟件。

• 禁用JavaScript、ActiveX或者任何其他在本地執行的腳本語言。

• 確保應用有效和能適當地跟蹤用戶。無論是使用cookie還是會話ID，都應該確保要盡可能的長和隨機。

• 培養用戶注意瀏覽器地址線上顯示的URL的好習慣。培養用戶的安全意識和對開發人員的安全教育。

訪問控制的基本目標是防止非法用戶進入系統和合法用戶對系統資源的非法使用。為了達到這個目標，訪問控制常以用戶身份認證為前提，在此基礎上實施各種訪問控制策略來控制和規范合法用戶在系統中的行為。例如對于存有用戶口令的文件的訪問不僅應當進行身份認證，還應當進行訪問控制，而且所有的訪問行為都應當被記錄。

網絡安全訪問控制三要素指以下這些：

• 主體（Subject）：主體是訪問操作的主動發起者，它請求對客體進行訪問。主體可以是用戶，也可以是其他任何代理用戶行為的實體，如設備、進程、作業和程序。

• 客體（Object）：客體通常是指包含被訪問信息或所需功能的實體。客體可以是計算機、數據庫、文件、程序、目錄等，也可以是位、字節、字、字段、變量、處理器、通信信道、時鐘、網絡節點等。主體有時也會成為訪問或受控的對象，如一個主體可以向另一個主體授權，一個進程可能控制幾個子進程等情況，這時受控的主體或子進程也是一種客體。本書中有時也把客體稱為目標或對象。

• 安全訪問規則：安全訪問規則用以確定一個主體是否對某個客體擁有某種訪問權利。

建議不卸載可以將其關閉，如果邁克菲關閉后還影響正常工作可以將其卸載，以下分別是關閉和卸載步驟可以根據需求自行選擇：

關閉步驟：

1. 打開電腦進入系統后，雙擊電腦的McAfee應用圖標進入。

2. 進入主界面后，選擇上方的PC安全的選項進入。

3. 點擊進入后，在左側的選項內，點擊實時掃描的選項。

4. 點擊后，在實時掃描界面，點擊頁面的關閉的選項。

5. 點擊后，在關閉時間中，選擇需要關閉的時間，如果需要立即關閉，將其選擇為從不。

6. 選擇完畢后，點擊下方的關閉選項，即可關閉電腦的McAfee應用。

卸載步驟：

1. 打開控制面板。你可以從開始菜單進入控制面板。如果你使用的是Windows 8系統，那么你可以右鍵點擊位于桌面左下角的Windows按鈕，然后選擇“控制面板”選項。

2. 選擇“程序和功能”或點擊“卸載程序”鏈接。

3. 選中邁克菲安全中心軟件，然后點擊.卸載。 如果這樣做沒有用，那么嘗試下面的步驟。

4. 關閉所有程序窗口，重啟計算機。這樣可以保證計算機沒有運行多余的程序和進程。

5. 點擊開始按鈕，輸入“services.msc”進行搜索。在搜索結果中選擇“services”

6. 右鍵點擊每個邁克菲服務，選擇“屬性”。

7. 點擊.常規 選項卡。 然后點擊“啟動類型”菜單，并選擇“禁用”選項。

8. 點擊.恢復 選項卡。在選擇服務失敗時計算機的反應時，選擇“無操作”。

9. 重啟計算機。當你再次啟動計算機時，將不再運行任何邁克菲服務。

下面以某開源堡壘機搭建為例：

1. 準備Python3和Python虛擬環境：

   a. 安裝依賴包；

   b. 編譯安裝python3；

   c. 建立Python虛擬環境；

2. 安裝堡壘機：

   a. 下載或Clone項目；

   b. 安裝依賴RPM包；

   c. 安裝Python庫依賴；

   d. 安裝Redis；

   e. 創建數據庫堡壘機并授權；

   f. 修改堡壘機配置文件；

   g. 生成數據庫表結構和初始化數據；

   h. 運行堡壘機；

3. 安裝SSHServer和WebSocketServer：

   a. 下載或Clone項目；

   b. 安裝依賴；

   c. 查看配置文件并運行；

   d. 測試連接；

4. 安裝WebTerminal前端；

5. 配置Nginx整合各組件；

通常所說的網絡系統的安全性主要包括以下這些：

• 機密性：是指網絡中的數據、程序等信息不會泄露給非授權的用戶或實體。即信息只能夠被授權的用戶所使用，它是保護網絡系統安全的重要手段。

• 完整性：是指網絡中的數據、程序等信息未經授權保持不變的特性。即網絡中的數據、程序等信息在傳輸過程不會被篡改、刪除、偽造、重放等破壞。

• 可用性：是指網絡中的信息可以被授權用戶或實體訪問，并且可以根據需要使用的特性。即網絡信息服務在需要時，準許授權用戶或實體使用，或者當網絡部分受到破壞需要降級使用時，仍可以為授權用戶或實體提供有效的服務。

• 可靠性：是指網絡系統能夠在特定的時間和特定的條件下完成特定功能的特性。可靠性是網絡系統安全最基本的要求。

• 可控性：是指對網絡信息的傳播和內容具有控制能力的特性。它可以保證對網絡信息進行安全監控。

• 不可抵賴性：是指在網絡系統的信息交互過程中，確認參與者身份的真實性。它可以保證發送方無法對他發送的信息進行否認，并且可以通過數字取證、證據保全，使公證方可以方便地介入，通過法律來管理網絡。

入侵檢測技術主要彌補了防火墻只進行被動防御沒有對攻擊進行實時的檢測發現入侵行為即可做出反應的缺點，但是入侵檢測技術沒有允許內部的一些主機被外部訪問的功能，兩者互補。

入侵檢測系統的主要任務：

• 監視、分析用戶及系統活動

• 對異常行為模式進行統計分析，發行入侵行為規律

• 檢查系統配置的正確性和安全漏洞，并提示管理員修補漏洞

• 能夠實時對檢測到的入侵行為進行響應

• 評估系統關鍵資源和數據文件的完整性

• 操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為