數據安全有以下應用領域：

• 信息安全領域在數據層主要面臨數據冒充、數據篡改、數據劫持等信息篡改的安全問題。相應地，應該關注數據安全技術，數據安全是指對信息在數據收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護，保障信息在數據處理層面依據授權使用，不被非法冒充、竊取、篡改、抵賴。數據安全主要涉及對機密性、真實性、完整性、不可否認性、可用性等信息安全屬性的保護。

• 信息保密領域：在數據層主要面臨通過暴力破解密碼來非法侵入系統并獲取私密信息等安全問題。暴力破解本質上是算法層面的對抗，常用辦法有字典攻擊和彩虹表，前者通過逐一嘗試字典中的各種明文字符串進行密碼破解，后者利用彩虹表進行散列值反查明文。針對上述安全問題，應該關注新型密碼的設計和實現。

• 信息對抗領域：在數據層主要面臨情報竊取的安全問題。攻擊者往往通過密碼破解、繞過認證以及加密機制破解等方式達到竊取信息的目的，并最終演化為沒有硝煙的情報戰爭。要贏得情報戰爭的勝利，需要關注情報對抗技術，情報對抗是指敵我雙方為獲取對方情報和破壞對方搜集己方情報，向對方宣傳虛假信息以掩飾己方軍事意圖而進行的各種對抗活動，主要包括信息竊取、軍事謀略、行動保密。

• 云安全領域：在數據層主要面臨操作抵賴的安全問題。為防止操作抵賴，需要建立可信的云，保證租戶在云中的程序不被其他租戶或云服務商所篡改和分析，保證租戶在云中的數據不被其他租戶或云服務商所篡改和竊取。可信云的研究可從可信云框架、數據安全、審計和權限分割等方面展開。

• 大數據領域：在數據層主要面臨數據混亂所造成的安全問題。大數據在數據層存在海量的混亂數據，有價值的數據與噪聲數據混雜在一起，導致數據無法被有效利用，如網絡水軍散布的虛假言論。針對數據混亂問題，主要關注大數據的數據確保技術，建立數據的甄選機制，將有價值的數據從混亂的數據中區分出來，進而解決大數據的可信問題。

• 物聯網領域：在數據層主要面臨隱私泄露的安全問題。相應地，應該關注物聯網的信息確保技術，主要包括數據的隱私保護和訪問控制技術。隱私保護是使個人或物體等實體不愿被其他人獲取的隱私信息得到應有的保護，隱私信息主要包括數據信息、位置信息。訪問控制是按用戶身份來限制用戶對某些信息的訪問，或限制對某些控制功能的使用。

• 移動安全領域：在數據層主要面臨電話竊聽的安全問題。電話竊聽內容包括移動終端之間的音視頻數據和文本數據，其本質是數據傳輸過程中出現的數據篡改問題。針對此問題，應該關注通信安全技術，建立端對端的安全通信。這類技術仍屬于傳統的信息安全技術范疇，但要考慮終端移動所帶來的特殊需求，如端對端加密、身份替換等。

• 可信計算領域：在數據層主要面臨非法程序所帶來的數據不可信問題。數據可信是一種觀念性的概念，涉及數據來源可信、數據傳輸途徑可信、數據處理過程可信等多個方面。要解決非法程序造成的數據不可信問題，需要關注可信證明技術，建立程序的鑒別體系，確定程序的可信性，涉及的主要技術包括加密簽名技術、數據溯源技術、數據訪問控制/使用控制技術等。

• 沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。

• 在信息時代，網絡安全對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。

• 網絡空間是億萬民眾共同的精神家園。網絡空間不是“法外之地”。網絡空間是虛擬的，但運用網絡空間的主體是現實的，大家都應該遵守法律，明確各方權利義務。

• 網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。 在信息時代，網絡安全對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。

• 要樹立正確的網絡安全觀，加強信息基礎設施網絡安全防護，加強網絡安全信息統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，積極發展網絡安全產業，做到關口前移，防患于未然。

• 網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，要從國際國內大勢出發，總體布局，統籌各方，創新發展，努力把我國建設成為網絡強國。

• 從老百姓衣食住行到國家重要基礎設施安全，互聯網無處不在。一個安全、穩定、繁榮的網絡空間，對一國乃至世界和平與發展越來越具有重大意義。

網絡空間戰略風險數據的來源非常廣泛：

• 從采集途徑看，它主要包括政府官方發布、研究型智庫發布、安全企業發布、網絡安全研究者、惡意團伙發布或系統設備主動上報的不同來源數據。

• 從形式上分，它主要包括威脅情報、日志、協議類結構化信息和文本、視頻、音頻、網頁等非結構化和半結構化信息。

• 從描述的內容看，它主要有動向型、技術型、事件型、漏洞型、資源型和綜合研究型。

物聯網提高數據安全的保障措施有以下這些：

• 數據可信認證：提供數據跨網跨域流轉時的全流程周期的可信認證功能，解決物聯網多源數據跨網跨域流轉時的安全可信與信任傳遞問題，提供大規模數據的有序受控共享。

• 共享訪問控制：提供基于身份認證的權限控制方式，實現實時的身份監控、權限認證，防止用戶間的非法越權訪問；提供虛擬應用環境中的邏輯邊界安全訪問控制策略，如通過加載虛擬防火墻等方式實現虛擬機間、虛擬機組內部精細化的數據訪問控制。

• 數據隱私保護：物聯網各類應用中需要收集用戶數據，如身份、位置、健康狀況、出行線路、消費習慣等，提供面向各類應用需求的數據脫敏、敏感數據的動態銷毀與遠程驗證等功能，解決物聯網數據跨域共享時數據敏感等級差異化的問題，實現跨系統數據融合與協同計算能力。

• 數據處理安全：提供數據匯聚與存儲、融合與處理、挖掘與分析過程中的安全保障，提供數據庫安全防護、數據備份、數據檢錯糾錯等功能，保障數據庫中數據的獨立性、安全性和完整性，使系統能迅速發現錯誤并尋找備份數據來完成存取訪問，保證數據讀/寫正確；提供文件加密系統，保障存儲系統安全。

• 跨域流轉管控：提供物聯網數據跨管理域交換時的細粒度管控，能夠實現基于數據知悉范圍與權限的精準數據流轉監管，保障數據跨網、跨安全域、跨系統受控傳播。

容器安全技術的目標是面向容器、容器環境、容器編排引擎等一系列對象，提供自適應的安全防護能力，健全用戶安全防護體系。容器安全技術發展的主要難點包括：

鏡像漏洞掃描技術難點

由于容器鏡像的特殊格式，傳統漏洞掃描技術無法適用于面向鏡像的漏洞掃描場景，首先需要對容器鏡像進行解析然后才能進行后續步驟。鏡像漏洞掃描技術的鏡像對象主要來源于 CI/CD 集成環境和鏡像倉庫兩部分，需要對相關對象進行對接和適配，形成標準化的解決方案。鏡像漏洞掃描技術也需要與威脅情報等外部情報、分析方法結合提供更準確和更有價值的信息。

容器級別的網絡隔離技術難點

容器級別的隔離技術需要適應容器環境，而容器網絡是虛擬化的邏輯網絡，傳統宿主機的網絡隔離技術難以適配，因此需要在容器環境中實現自適應的容器網絡隔離能力。

容器入侵檢測技術難點

隨著攻擊技術的發展，攻擊技術向復雜化、高級化和持續化發展，傳統面向網絡特征的入侵檢測技術難以適用于現在的網絡環境中。一方面，容器環境中通常一個容器提供一個服務，其網絡特征相對單一；另一方面，由于未知攻擊和未知漏洞的存在，容器入侵檢測技術還需要進行容器行為監測、容器異常行為檢測。

容器環境基線核查技術難點

容器場景下的各項問題、各項風險均處于研究過程中，因此面向容器環境的基線和合規條件還處于研究和逐步落地階段，對容器環境的基線核查基準需要進一步深化研究。

無服務器計算架構有以下應用場景：

• 移動應用后端服務：使用無服務器計算架構技術構建移動后端服務是非常常用的場景，它允許開發人員在基于云平臺的后端服務來構建應用。這使得開發人員可以更加專注在移動應用的優化上，只要按需選擇云計算服務提供商提供的豐富后端服務即可，例如微信小程序的開發。

• 物聯網后端服務：在物聯網的應用場景中，設備傳輸數據量小，且往往是以固定時間間隔進行數據傳輸的，數據傳輸存在明顯的波峰—波谷特征。數據傳輸的波峰時段觸發后端函數服務集中處理，處理結束后快速釋放，以提升資源的利用效率。

• 人工智能推理預測：人工智能推理預測的調用需求會隨著業務的起伏而變化，具有一定的波動性，與人工智能訓練時較固定的計算周期和運行時長有所不同。同時，人工智能推理一般會使用GPU加速，這種明顯的峰值變化會導致大量的資源浪費。使用無服務器計算架構可以有效解決上述問題。高業務請求到來時，云函數的執行實例自動擴容，滿足業務需求；而在請求低谷或無請求到來時，云函數自動縮容甚至完全停止，節省資源使用。

• 批處理或計劃任務：每天只需短期運行就能以異步計算的方式進行強大的并行計算能力，I/O或網絡訪問的任務非常適合無服務器計算架構。這些任務可以以彈性的方式在運行時消耗資源，而在不使用這些任務的當天剩余時間內不會產生任何資源成本，例如定期的數據備份等。

• 實時文件處理：有些應用會根據不同的應用需求將圖片裁剪成不同的尺寸，或添加不同的標簽水印。視頻類的應用會將視頻流轉碼成不同的清晰度推送給不同服務。當圖片或者視頻流通過對象存儲上傳時便會觸發相應的函數計算，根據計算規則自動按需處理，整個過程無須再搭建額外的服務器，也無須人工干預。

• 定制事件觸發：以用戶注冊時通過郵件驗證郵箱地址的場景為例，可以通過定制的事件來觸發后續的注冊流程，而無須再配置額外的應用無服務器計算來處理后續的請求。

具有代表性的異常檢測方法有:

• 基于特征選擇的異常檢測方法:基于特征選擇的異常檢測方法，是從一組特征值中選擇能夠檢測出入侵行為的特征值，構成相應的入侵特征庫，用于預測入侵行為。其關鍵之處是能否針對具體的入侵類型選擇到合適的特征值，因此理想的入侵檢測特征庫需要能夠進行動態的判斷。在基于特征選擇的異常檢測方法中，Maccabe提出的使用遺傳算法對特征集合進行搜索以生成合適的入侵特征庫的方法是一種比較有代表性的方法。

• 基于機器學習的異常檢測方法:基于機器學習的異常檢測方法，是通過機器學習實現入侵檢測，主要方法有監督學習、歸納學習、類比學習等。在基于機器學習的異常檢測方法中，Carla和Brodley提出的實例學習方法IBL比較具有代表性。該方法基于相似度，通過新的序列相似度計算，將原始數據轉化為可度量的空間，然后應用學習技術和相應的分類方法，發現異常類型事件，從而檢測入侵行為。其中，閾值由成員分類概率決定。

• 基于模式歸納的異常檢測方法:基于模式歸納的異常檢測方法，是假定事件的發生服從某種可辨別的模式而不是隨機發生。在基于模式歸納的異常檢測方法中，Teng和Chen提出的利用時間規則識別用戶正常行為模式特征的基于時間的推理方法比較具有代表性。該方法通過歸納學習產生規則集，并對系統中的規則進行動態的修改，以提高其預測的準確性與可信度。

• 基于數據挖掘的異常檢測方法:基于數據挖掘的異常檢測方法，是在對計算機網絡產生的大量文件進行分析的基礎上產生的，隨著計算機網絡的快速發展，其產生的文件數量也越來越多，單純依靠人工方法對其進行分析以發現異常已經變得非常困難，因此數據挖掘技術被引入入侵檢測領域。目前基于數據挖掘的異常檢測方法中，具有代表性的是KDD算法，其優點是適合處理大量數據，缺點是運算量偏大，對數據的實時性分析支持不夠。

• 基于神經網絡的異常檢測方法:基于神經網絡的異常檢測方法，是利用神經網絡的分類和識別功能對數據進行分析，特別適用于一些環境信息十分復雜、背景知識不詳、樣本有較大缺陷和不足的情況。基于神經網絡的異常檢測方法，首先要獲取研究主體，如主機、用戶等的行為模式特征知識，利用神經網絡的識別、分類和歸納能力，實現入侵檢測系統適用用戶行為的動態變化特征。神經網絡的缺點在于計算量較大，這將影響檢測的實時性要求。

• 基于統計模型的異常檢測方法:統計模型常用于對異常行為的檢測，在統計模型中常用的測量參數包括審計事件的數量、間隔時間、資源消耗情況等。

蠕蟲病毒具備以下特點：

• 較強的獨立性：普通病毒將自己的代碼寫到宿主程序中，當該程序運行時先執行寫入的病毒，從而造成感染和破壞。蠕蟲病毒不需要宿主程序，它是一段獨立的程序或代碼，因此也就避免了受宿主程序的牽制，可以不依賴于宿主程序而獨立運行，從而主動地實施攻擊。

• 利用漏洞主動攻擊：由于不受宿主程序的限制，蠕蟲病毒可以利用操作系統的各種漏洞進行主動攻擊。

• 傳播更快更廣：蠕蟲病毒比傳統病毒具有更大的傳染性，它不僅僅感染本地計算機，而且會以本地計算機為基礎，感染網絡中所有的服務器和客戶端。蠕蟲病毒可以通過網絡中的共享文件夾、電子郵件、惡意網頁以及存在著大量漏洞的服務器等途徑肆意傳播，幾乎所有的傳播手段都被蠕蟲病毒運用得淋漓盡致，因此，蠕蟲病毒的傳播速度可以是傳統病毒的幾百倍，甚至可以在幾個小時內蔓延全球，造成難以估量的損失。

• 更好的偽裝和隱藏方式：為了使蠕蟲病毒在更大范圍內傳播，病毒的編制者非常注重病毒的隱藏方式。在通常情況下，我們在接收、查看電子郵件時，都采取雙擊打開郵件主題的方式瀏覽郵件內容，如果郵件中帶有病毒，用戶的計算機就會立刻被病毒感染。

• 技術更加先進：一些蠕蟲病毒與網頁的腳本相結合，利用VBScript、Java、ActiveX等技術隱藏在HTML頁面里。當用戶上網瀏覽含有病毒代碼的網頁時，病毒會自動駐留內存并伺機觸發。還有一些蠕蟲病毒與后門程序或木馬程序相結合。

防止蠕蟲病毒侵害的措施有以下這些：

• 加強安全管理，提高安全意識。由于蠕蟲病毒是利用Windows系統漏洞進行攻擊的，因此，就要求網絡管理員盡力在第一時間內，保持系統和應用軟件的安全性，保持各種操作系統和應用軟件的及時更新。隨著Windows系統各種漏洞的不斷涌現，要想一勞永逸地獲得一個安全的系統環境，已幾乎不再可能。而作為系統負載重要數據的企業用戶，其所面臨攻擊的危險也將越來越大，這就要求企業的管理水平和安全意識也必須越來越高。

• 建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。

• 建立應急響應系統，盡量降低風險。由于蠕蟲病毒爆發的突然性，可能在被發現時已蔓延到了整個網絡，建立一個緊急響應系統就顯得非常必要，能夠在病毒爆發的第一時間提供解決方案。

• 建立災難備份系統。對于數據庫和數據系統，必須采用定期備份、多機備份措施，防止意外災難下的數據丟失。

• 對于局域網而言，可安裝防火墻式防殺計算機病毒產品，將病毒隔離在局域網之外；或對郵件服務器實施監控，切斷帶毒郵件的傳播途徑；或對局域網管理員和用戶進行安全培訓；建立局域網內部的升級系統，包括各種操作系統的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級等。

• 經常升級病毒庫。殺毒軟件對病毒的查殺是以病毒的特征碼為依據的，而病毒每天都層出不窮，尤其是在網絡時代，蠕蟲病毒的傳播速度快，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒。

勒索軟件入侵計算機的方式有以下這些：

• 特洛伊木馬和其他惡意軟件：大多數這類感染都是通過特洛伊木馬傳播的。Trojan.Lockscreen是在系統上安裝勒索軟件的最常用威脅。他們在用戶不知情的情況下進入系統，因為他們往往會到達電子郵件消息的附件中，這些電子郵件消息以信譽良好的各方(如Amazon、eBay、金融機構等)的消息的形式出現。一旦用戶被騙下載此類附件，攜帶勒索軟件有效負載的特洛伊木馬就會被激活。

• 假彈出通知：這類惡意軟件的一些樣本是通過在非法或合法網站上可以看到的假彈出通知來傳播的。大多數情況下，它們會報告更新丟失的情況，但它們也可以“通知”您需要免費掃描系統并清除病毒。這些廣告通常以不可疑的名字和合法的商標歸檔，所以它們可以欺騙最有經驗的電腦用戶點擊它們。

• 垃圾郵件：這是最有利可圖的技術在勒索軟件分發。具有諷刺意味的是，如果用戶更加謹慎，他們可以防止劫持最具破壞性的威脅。該技術的關鍵原理在于將惡意軟件包裝成.doc或.js文件。臭名昭著的加密惡意軟件Locky尤其擅長使用這種技術。

• 通過強調假發票或包裹遞送附件的重要性，說服受害者提取所附文件：如果它是.doc文件，它可能會要求用戶啟用宏設置。如果它們被啟用，被破壞的文件下載惡意軟件的主要有效載荷。另外，網絡犯罪分子偽造了傳票或據稱由聯邦調查局發送的電子郵件。用戶應該注意這類郵件的內容。它們通常包含語法錯誤和打字錯誤，以及修改過的憑證。

• 利用工具：這種技術通常是那些面臨更復雜威脅的開發人員的首選。Locky和Cerber病毒作者特別熱衷于使用Angler、RIG和中微子開發工具包。而前者，釣魚者，幸運地被終止，鉆井和中微子繼續促進傳輸特性的加密惡意軟件。他們的主要工作原則是在選定的領域妥協。通過注入被破壞的腳本，訪問這些域名的用戶最終會被這些威脅所攻擊。因此，防止此類網絡攻擊的唯一可行方法仍然是使用網絡安全工具。

• 軟件漏洞和盜版程序：網絡罪犯用勒索軟件感染用戶最簡單的方法就是讓用戶自己安裝。有數百萬的用戶訪問torrent, warez，和類似的網站，允許他們下載盜版應用程序或破解，這不是一個秘密。Keygens, crack，或loaders的設計目的是繞過合法程序的許可程序，獲得完全訪問權限或免費使用的高級功能。

• 有無數的網站散布裂縫：雖然安全軟件會立即警告感染的危險，但用戶往往會忽略這些消息，繼續打開惡意的可執行文件。被稱為Djvu的勒索軟件是最成功的勒索軟件之一，多年來一直在使用這種策略，成為最多產的針對家庭用戶的加密惡意軟件。

• 瀏覽器擴展：這是一種相對較新的技術，主要由Spora勒索軟件開發者使用。他們還依賴于EiTest腳本技術，這種技術會通過注入特定的腳本而破壞某個web頁面。網民訪問該域名后，內容會被轉換為一組無法讀取的數字和字符，并會出現“HoeflerText字體未找到”的通知。

在防火墻沒有數據連接的情況下在五秒左右會自動將TCP連接斷開，有長連接的情況下則不會斷開，如不想讓防火墻TCP連接自動斷開可以設置TCP長連接心跳機制或者設置socket的keepalive為true,這樣即使沒有數據，tcp/ip的底層也會保持連接。

設置TCP長連接心跳機制方法是直接修改套接字選項，配置文件如下：

    client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    client.setsockopt(socket.SOL_SOCKET, socket.SO_KEEPALIVE, 1)
    client.setsockopt(socket.SOL_TCP, socket.TCP_KEEPIDLE, 600)  # 覆蓋tcp_keepalive_time 表示多久時間未通信后進行探測
    client.setsockopt(socket.SOL_TCP, socket.TCP_KEEPCNT, 10)  # 覆蓋tcp_keepalive_probes 探測次數
    client.setsockopt(socket.SOL_TCP, socket.TCP_KEEPINTVL, 30)  # 覆蓋tcp_keepalive_intvl 每次探測的超時時間
    client.connect((host, port))

使用IP代理服務器有以下優點：

• 匿名保護：使用數據中心代理后，使用的IP地址將是您選擇的服務器的IP地址，隱藏您的真實IP地址，從而保護您的互聯網隱私。

• 保護系統：當您瀏覽網頁時，您很有可能最終會訪問惡意網站。如果您訪問此類網站，惡意軟件將潛入您的系統，造成不可逆轉的損害。同樣，黑客設置了許多不可信的網站。訪問其中一個最終會將您的所有個人信息置于危險之中。當您使用代理服務器時，您的系統不會直接向這些站點發出請求。代理端始終將面臨此類站點所施加的威脅。這使您的系統能夠保持最大程度的保護。

• 共享上網：很多人都在使用代理IP服務器軟件共享上網，利用局域網有線寬帶加快內網用戶的訪問速度，還可以共享ip上網，同時，可以作為防火墻，保護內網安全，監控網絡傳輸記錄，加強網絡安全性。

• 提高下載速度：突破下載限制，比如有的網站提供的下載資源，是一個ip一個線程下載，這時就可以使用代理IP服務器ip，實現多個ip下載，就可同時下載多個資源。

• 防御IP地址欺騙攻擊：IP地址欺騙是指行動產生的IP數據包為偽造的源IP地址，以便冒充其他系統或發件人的身份。這是一種黑客的攻擊形式，黑客使用一臺計算機上網，而借用另外一臺機器的IP地址，從而冒充另外一臺機器與服務器打交道。使用ip代理后就可以降低被欺騙攻擊的風險。

定期進行漏洞掃描的目的有以下：

• 定期進行漏洞掃描可以定期發現新增或者減少的網絡資產和資產所關聯產生的漏洞，避免遭受因未發現的漏洞造成經濟損失和信息泄露；

• 定期進行漏洞掃描可以及時發現各類安全風險，包括但不限于資產漏洞、安全違法違規內容（暴力、恐怖、涉政、色情等內容）、服務器漏洞等；

• 彌補防火墻的局限性和脆弱性，防火墻只能防御攻擊而無法解決漏洞問題；

• 定期進行漏洞掃描是網絡安全工作的奠基石，只有定期漏洞掃描才能及時和準確地審視自己信息化工作的弱點，審視自己信息平臺的漏洞和問題，才能在這場信息安全戰爭中，處于先機，立于不敗之地。

圍繞數據全生命周期的數據安全檢測內容包括以下這些：

• 資產分類：分級在大數據環境下，需要先進行數據資產安全的分類分級，然后對不同類型和安全等級的數據指定不同的加密要求和加密強度。尤其是大數據資產中的非結構化數據涉及文檔、圖像和聲音等多種類型，其加密等級和加密實現技術不盡相同，因此，需要針對不同的數據類型提供快速加解密技術。

• 大數據安全審計：大數據平臺的組件行為審計會將主客體的操作行為形成詳細日志，包含用戶名、IP、操作、資源、訪問類型、時間、授權結果。具體涉及風險事件、報表管理、系統維護、規則管理、日志檢索等功能。

• 大數據脫敏：針對大數據存儲數據全表或者字段進行敏感信息脫敏、啟動數據脫敏時，不需要讀取大數據組件的任何內容，只需要配置相應的脫敏策略。

• 大數據脆弱性檢測：對大數據平臺組件進行周期性漏洞掃描和基線檢測，掃描大數據平臺漏洞以及基線配置安全隱患，包含風險展示、脆弱性檢測、報表管理和知識庫等功能模塊。

• 大數據資產梳理：能夠自動識別敏感數據，并對敏感數據進行分類，且啟用敏感數據發現策略不會更改大數據組件的任何內容。

• 大數據應用訪問控制：能夠對大數據平臺賬戶進行統一的管控和集中授權管理，為大數據平臺用戶和應用程序提供細粒度級的授權及訪問控制。

網絡信息安全認證系統包括以下方面：

• 統一的PKI基礎設施：采用數字證書的手段來實現用戶身份的描述，通過建設PKI基礎設施來實現集團企業的用戶、設備的權威、統一描述，為整個行業提供權威的實體身份管理。統一的PKI基礎設施保證能夠平滑地納入集團部分公司已經建設的CA系統，同時又要滿足未來的信息化建設、整合對PKI基礎設施的需求。在業務系統需要時PKI基礎設施需要和集團企業范圍之外的其他行業或國家部委之間實現互聯互通。在未來國家信任體系建設完成后，可以方便地融入國家PKI基礎設施中。

• 全面的應用安全支撐體系：統一的應用安全支撐體系通過對底層PKI基礎設施的高度抽象，采用組件化服務器的方式向業務系統提供統一的、體系化的安全支撐服務。為業務系統提供用戶身份認證、傳輸加密、數字簽名、單點登錄等安全服務。業務系統通過調用應用安全支撐提供的服務，可以經過簡單的配置或少量的代碼更改就實現安全功能的嵌入，實現和數字證書的結合。通過應用安全支撐體系，能夠實現對用戶終端、內部網絡、業務系統、內部文檔的統一安全認證。

• 統一的審計和責任認定：針對用戶的身份狀態、授權狀態應能夠進行統一的查詢統計，使管理者能夠在統一的平臺中掌握任意用戶的身份狀態以及任意用戶在各業務系統中的授權狀況。分布在各種業務系統上的用戶行為數據采集到統一審計系統中，進行審計、分析，保證行為數據的可信性、抗抵賴性和有效性，便于日后的責任認定。責任認定功能為責任認定對象提供身份確認、責任認定信息的完整性和真實性服務，保證了責任認定的公正性和權威性。

• 建立安全管理體系：集團企業安全認證系統作為集團企業信息化建設的信息安全基礎設施，肩負著為集團企業提供信息安全保障的重任。任何一個安全認證系統其設計、建設非常重要，但是更為重要的是后期的管理，只有管理跟得上，安全認證系統才能夠真正用得好，才可以真正發揮其應有的效益。因此，一個完善的安全管理體系，是安全認證系統不可或缺的一部分。

• 技術標準體系：在工程建設過程中，逐步形成系統建設、系統推廣使用等各種規范，并且本著“理論指導實踐、實踐修正理論”的原則，最終形成符合集團企業需求的標準規范，以保證安全認證系統的全行業建設和全行業的應用安全開展。具體的標準規范包括：PKI應用接口、管理制度、目錄服務建設、數字證書格式、系統建設、系統命名、運行管理、證書存儲介質、證書管理。

源路由攻擊屬于IP欺騙攻擊的一種，是IP欺騙攻擊中一種常用的攻擊手法。源路由攻擊的原理是攻擊者使用假冒的地址向目的地發送數據包，但指定了寬松的源路由選擇，并把他的IP地址填入了地址清單，那么當接收端回應時，數據包返回到假冒地址，而不是前面他經過的攻擊者的地址，攻擊者沒有進行單向攻擊，原因是攻擊者能夠看到雙方對話。這種攻擊受害者很難發現，并且源路由欺騙攻擊會帶來巨大的利益，導致這種攻擊層出不窮。

防御IP欺騙攻擊的方法有以下這些：

• 對于來自網絡外部的欺騙，防范的方法很簡單，只需要在局域網的對外路由器上加一個限制設置就可以實現了，在路由器的設置中禁止運行聲稱來自于網絡內部的信息包。

• 通過對信息包的監控來檢查IP欺騙攻擊將是非常有效的方法，使用netlog等信息包檢查工具對信息的源地址和目的地址進行驗證，如果發現信息包是來自兩個以上的不同地址，則說明系統有可能受到了IP欺騙攻擊，防火墻外面正有黑客試圖入侵系統。

• 對于來自局域網外部的IP欺騙攻擊的防范則可以使用防火墻進行防范，但是對于來自內部的攻擊通過設置防火墻則起不到作用。這個時候應該注意內部網的路由器是否支持內部接口。如果路由器支持內部網絡子網的兩個接口，則必須提高警惕，因為它很容易受到IP欺騙，這也正是為什么Web服務器放在防火墻外面更加安全的原因。

• 保護自己免受信任關系欺騙攻擊最容易的方法就是不使用信任關系，但這并不是最佳的解決方案。不過可以通過做一些事情使信任關系的暴露達到最小。首先，限制擁有信任關系的人員。相比控制建立信任關系的機器數量，決定誰真正需要信任關系更加有意義。

• 部署防火墻：這點很有必要，防火墻可以通過設置策略將特定訪問請求阻擋在外面，保證內網服務器的安全。

• 更換端口：一般黑客會掃描一些常用的端口后進行攻擊，比如遠程桌面的3389以及數據庫的1433端口，都屬于高危端口，所以我們不要將默認端口號直接映射出去，更不要開DMZ，這都是很危險的操作。

• 數據備份：想做到滴水不漏真的很難，所以我們應該養成數據定期備份的好習慣，一旦服務器出現了問題，不會影響到我們的數據。