觸發點簡單來說就是這個漏洞的入口,也就是所謂的突破口。尋找觸發點的目的是為了更好的構造Payload,好一點的方法就是通過逆向找到觸發點然后構造好的payload然后進行攻擊。觸發點對于ssrf來說還是很重要的。高危觸發點有如下這些:
圖片加載與下載:通過URL地址加載或下載圖片。
從遠程服務器請求資源。
數據庫內置功能(Orage,MongoDB,MSSQL,Posgres,couchDB)。
Web Mail收取其他郵箱郵件。
文件處理、編碼處理、屬性信息處理(FFmpeg,docx,pdf,XML處理)。
gbps是防火墻吞吐量的單位,30Gbps完整寫法是30GBits bits per second,意思是防火墻吞吐量是30G比特每秒。1byte=8bits,那么30Gbps實際速率=30/8=3.75GBps,下載速率每秒3.75G。
評估防火墻設備(包括傳統防火墻和NGFW)的主要指標,是設備的吞吐量,其他指標還包括丟包率、延時等。吞吐量指的是被測設備在不丟包的情況下,所能轉發的最大數據流量。吞吐量有很多種,如大包、小包、UDP包、HTTP包等吞吐量;同一臺設備,在處理不同報文時,會表現出迥然不同的吞吐量。為了總體評估NGFW的性能,全球知名的獨立測評機構NSS Labs提出了具體的評估指標與測試方法:
UDP裸包處理性能(Raw Packet Processing Performance (UDP Traffic))
延遲(Latency)
最大性能(Maximum Capacity)
無延時情況下的HTTP性能(HTTP Capacity With No Transaction Delays)
應用平均響應時間(Application Average Response Time: HTTP)
有延時情況下的HTTP性能(HTTP Capacity With Transaction Delays)
“逼近真實”的通訊(“Real-World” Traffic)
可見大部分測試指標是跟吞吐量相關的,包括一些傳統的網絡層性能指標,如UDP裸包處理能力,這是為了衡量設備對數據報文的基本轉發能力。
預防失效的身份認證與會話管理漏洞措施有以下這些:
始終生成新的會話。如用戶登錄成功生成新ID,登錄失敗后嘗試再次登錄時原有的ID失效,重新給與一個新ID,防止ID重用,
不應使用簡單或可預期的密碼恢復問題,登錄出錯時不應提供太多的提示,應使用統一的出錯提示。
登錄驗證成功后更換Session ID,并且最好使用128位以上具備隨機性的Session ID,不應在URL中顯示Session ID。
第一次登錄時強制修改密碼,對多次登錄失敗的賬號進行短時鎖定,設置會話閑置超時,超時后強制刷新頁面否則無法登陸。
提供用戶注銷退出功能,用戶關閉瀏覽器或者注銷時,刪除用戶Session;
保護Cookie,如在應用程序中為Cookie設置安全屬性為Secure flag和HttpOnly flag。
強制使用一定復雜度的密碼且加密存儲,登錄驗證使用用戶名、密碼、后臺驗證碼三者結合,驗證碼具有時效性,登錄失敗后的提示信息模糊化,不得提示具體是用戶名錯誤還是密碼錯誤。
登錄后的接口均需要攜帶認證后的token方可正確訪問,token具有時效性,超時將會失效,時效時長設置合理。
不需要認證的接口,也需要采用公司內部制定的token生成方法,前端工程師調用接口時攜帶,且前端代碼必須被混淆。
內網滲透代理是指攻擊者通過邊界主機進入內網,往往會利用它當跳板進行橫向滲透,但現在的內部網絡大多部署了很多安全設備,網絡結構錯綜復雜,對于某些系統的訪問會受到各種阻撓,這就需要借助代理去突破這些限制,因此面對不同的網絡環境對于代理的選擇及使用顯得格外重要。
對于代理的選擇可以參考下述常見場景。一個簡單的網絡環境,拿到Shell后無法連接3389端口,這時若只考慮反彈3389,可以選擇LCX和SSH等端口轉發工具。若是只考慮Shell反彈,可以選擇SSH、Bash、NC等。對于多級網絡,EW是用得比較多的代理工具,Termite是EW的升級版,雖然功能較EW更多,用起來更方便,但是由于作者已經將其下架,很難找到穩定的版本,所以用得比較少。若邊界主機存在公網IP,且沒有任何端口限制時,可以使用轉發工具或Socks代理工具通過正向或反向連接進行內網穿透。若邊界主機只對外開放Web,但是可以訪問外網,可以通過基于Web的reGeorg建立正向代理,或是用FRP、NPS等建立反向代理從而進行內網穿透。若內網防火墻對外網訪問進行了流量識別與屏蔽,可以使用FRP或NPS代理的加密傳輸。若是搭建了代理服務器,可以選擇與ProxyChains、SocksCap或Proxifer等代理客戶端搭配使用,通過代理客戶端便可以代理應用訪問目標。
0day 漏洞,是已經被發現 (有可能未被公開), 而官方還沒有相關補丁的漏洞。 信息安全意義上的 0Day 信息安全意義上的 0Day 是指在系統商在知曉并發布相關補丁前就被掌握或者公開的漏洞信息。0Day 的概念最早用于軟件和游戲破解,屬于非盈利性和非商業化的組織行為,其基本內涵是 “即時性”。
漏洞的0/1/N day類型,就是利用漏洞進行攻擊的時間(Texp),對應上邊時間軸中漏洞的狀態而決定的。
當Texp < T1,此時漏洞即0day漏洞,又稱“零日漏洞”(zero-day),是已經被發現,還未被公開,官方還沒有相關補丁的漏洞,攻擊者此時攻擊如入無人之境,攻擊效果最佳。
當T1 <Texp < T2,此時漏洞即1day漏洞,漏洞信息已經被披露,某些勤快的系統管理員已經關注并使用了臨時修補手段,但大部分受影響系統因官方補丁的缺失導致其脆弱性依然廣泛存在,攻擊者此時攻擊有效性仍較高。
當Texp>T2,此時漏洞即Nday漏洞,由于官方補丁已出,此時攻擊者利用該漏洞進行攻擊,有效性已大幅降低,只能寄希望于撿漏了。
只要有代碼,就會有漏洞。0day漏洞本質上也是漏洞,漏洞產生的內因就是代碼的缺陷,代碼的缺陷率可以降低卻不可以完全消除,因此,代碼與漏洞注定相伴相生。公開數據顯示,每1000行代碼中就會有2-4個漏洞,操作系統、中間件、應用系統、軟件以及應用軟件開發過程中難免要引入的各類第三方開源組件、框架等,每年都會爆出很多0day漏洞,甚至某些安全產品自身也會遭受0day漏洞的攻擊,因為安全產品自身功能也是由代碼實現的。
有市場就有需求。多年前,0day漏洞還只是“炫技小子”跟朋友炫耀的談資,而在信息化如此發達的今天,互聯網像是一座金礦,0day漏洞則更多的被用來實現攻擊者的經濟目的甚至政治目的。在數據為王的時代,數據的增值無形中也帶動了0day漏洞賞金水漲船高,所謂重賞之下必有“勇”夫,0day漏洞的挖掘者越來越多,0day漏洞越來越多浮出水面也就不足為奇了。
IPv4過渡到IPv6會產生以下安全問題:
從IPv4翻譯至IPv6處理過程中的安全漏洞:因為IPv4和IPv6不是完全兼容的,所以協議翻譯被看作是擴大部署和應用的一個途徑。把IPv4通信翻譯為IPv6通信將不可避免地導致信息在網絡上通過的時候產生額外處理過程。此外,這種做法引進必須包含處理狀態的中間設備將破壞端對端的原則,使網絡更加復雜。
大型網段既是好的也是壞的:IPv6引進了比現在所看到的更大的網段,當前建議的IPv6子網的前綴是/64(264),能夠在一個網段容納大約18quintillion(百萬的三次方)個主機地址。雖然這能夠實現局域網的無限增長,但是,它的規模也帶來了難題。這將使全面的IP地址管理和監視比現在更加重要。人們預計,將看到攻擊者使用被動域名系統分析和其他偵查技術取代傳統的掃描。
鄰居發現協議和鄰居請求能夠暴露網絡問題:IPv6的鄰居發現協議使用五個不同類型ICMPv6信息用于若干目的,如確定在附加鏈路上的鄰居的鏈路層地址、清除非法的緩存值和發現愿意代表它們發送數據包的鄰居。雖然鄰居發現協議提供了許多有用的功能(包括重復地址檢測),但是它也給攻擊者帶來了機會。IPv6中的攻擊很可能取代ARP欺騙攻擊等IPv4中的攻擊。
阻塞大型擴展標頭、防火墻和安全網關可能成為分布式拒絕服務攻擊的目標:在IPv6中,IP地址選擇功能已經從主標頭中刪除,取而代之的是采用名為擴展標頭的一套額外的標頭,這些擴展標頭將指定目的地選擇、逐個跳點的選擇、身份識別和其他許多選擇。這些擴展標頭緊接在IPv6主標頭后面,并且連接在一起創建一個IPv6數據包(固定標頭+擴展標頭+負載)。IPv6主標頭固定為40字節。有大量擴展標頭的IPv6通信可能淹沒防火墻和安全網關或者甚至降低路由器轉發性能,從而成為分布式拒絕服務攻擊和其他攻擊的潛在目標。
6to4和6RD代理服務器也許會鼓勵攻擊和濫用:6to4以及互聯網服務提供商迅速部署的6RD會允許IPv6數據包跳出IPv4的瓶頸,不用配置專用的隧道。但是,使用IPv6代理服務器也許會給代理服務器運營商帶來許多麻煩,如發現攻擊、欺騙和反射攻擊。代理服務器運營商本身可能被利用為攻擊和濫用的“源”。
支持IPv6服務可能會暴露現有的IPv4應用或者系統:IPv6向IPv4轉換的一個限制是現有的安全補丁也許僅適用于IPv4。因此,在IPv4之前,在進行DNS查詢已經更快部署IPv6的時候,大多數內核將更依賴IPv6接口。IPv6與IPv4之間的相互作用方式可能會導致每一個DNS查詢的通信量增加一倍。這將導致大量的不必要的DNS通信量,嚴重影響用戶的體驗。
許多用戶被隱蔽在固定的一套地址后面:把用戶隱蔽在大型網絡地址轉換協議轉換設備后面會破壞一些有用的功能,如地理位置或者查找惡意網絡行為根源的工具,使基于號碼和名稱空間信任的安全控制出現更多的問題。
當建立通向其他網絡的隧道:時的IP安全問題IPSec可能對發送者進行身份識別,提供完整性保護,加密數據包以提供傳輸數據的保密性。IPSec對于IPv4來說是一個可選擇的功能,但是IPv6是強制規定的功能。
預防敏感數據泄露漏洞被利用的措施有以下這些:
對用戶輸入的異常字符做過濾,防止網站絕對路徑、網頁源代碼和SQL語句等信息輸出。不要相信用戶輸入的任何數據,對用戶輸入的數據進行轉譯后使用,例如可以將用戶數據先進行編碼然后在使用。
屏蔽應用程序報錯回顯,防止惡意用戶獲得服務器的敏感信息,或對出錯信息進行跳轉,例如跳轉到自定義404、500等頁面,并且這些頁面不能使用原有的報錯頁面,需要開發人員自行編寫,防止攻擊者從這些頁面中再次獲取敏感信息。
所有重要信息進行加密。使用足夠強度的加密算法,如AES、RSA等。存儲密碼時,用SHA-256等健壯哈希算法進行處理。
提高對信息安全的重視,一方面加大對信息安全方面的投入,部署信息安全設備,加強對敏感信息的保護。另一方面提高人員敏感信息保護意識,組織應加強信息安全意識培訓及宣傳,防止無意識泄密事件的發生。
實施安全的單點登錄:對于大多數系統和應用來說,單點登錄可以確保所有員工更安全地登錄系統。用戶只需要記住一組憑據,管理員就可以在不受更多限制的情況下更好地保護這些信息,同時又不會減少訪問的次數。通過將入口點限制在一個位置,可以很好地防止潛在的數據泄露。可配置的安全設置(例如日期和時間限制)能夠讓管理員更安全地控制其IT環境,即使系統和應用程序在云環境中也是如此。
漏洞利用的工作方式
在普通的SSH會話中,用戶將嘗試使用用戶名和密碼登錄,并且根據憑據是否有效,服務器將接受或拒絕連接。在下面的示例中,我們嘗試通過在終端窗口中鍵入ssh username @ ipaddress來使用錯誤的密碼登錄到運行libssh的服務器 。
ssh root@159.180.132.163
The authenticity of host '159.180.132.163 (159.180.132.163)' can't be established.
RSA key fingerprint is SHA256:Vkx9gDp1E/df1Yn0bDrgXIIYcTnyCVU6vmgqLKKqrhQ.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '159.180.132.163' (RSA) to the list of known hosts.
root@159.180.132.163's password:
Permission denied, please try again.
root@159.180.132.163's password:
Permission denied, please try again.
root@159.180.132.163's password:
root@159.180.132.163: Permission denied (publickey,keyboard-interactive,password).因為我們不知道密碼,所以連接嘗試被拒絕,并且我們被排除在服務器之外。最重要的是,如果我們嘗試登錄太多次而失敗,則我們將被禁止連接該服務器一段時間。
在帶有問題的libssh版本中,用戶可以通過發送意外消息來指示連接已經成功,從而誘使系統認為他們已通過身份驗證,而無需提供密碼。它使攻擊者可以在不知道密碼的情況下完全控制受影響的系統,并且在具有受影響版本的libssh的任何系統中,它都是一個嚴重漏洞。
那么,該錯誤如何起作用?
想象一下,如果您僅告訴他們您住在那里,就能進入一個陌生人的房子。在這個技巧中,我們跳過了使用密碼證明屬于我們的過程,而是發送“成功”消息。
登陸防火墻的方式有以下幾種:
Web(網頁)登錄方式:這個要求防火墻設備的HTTP/HTTPS服務開啟,開啟該服務的即可通過瀏覽器直接登陸管理了;
控制口(console)登錄:直接通過防火墻上的console口使用控制線直接連接到防火墻,這種方式級別最高只要設備無損壞都可以成功連接管理不需要任何服務提供協助;
Telnet登錄:需提前開啟防火墻的Telnet服務,然后使用Telnet工具直接連接到防火墻進行配置;
SSH登錄:這種方式類似Telnet都是需要提前開啟服務然后使用相應的實施工具進行連接即可。
常見的加密類型如下:
鏈路加密類型:對網絡中兩個相鄰節點之間傳輸的數據進行加密保護;
節點加密類型:指在信息傳輸路過的節點處進行解密和加密;
端到端加密類型:指對一對用戶之間的數據連續的提供保護;
算法加密類型:MD5加密、Base64加密、DES加密、AES加密、RSA加密、SHA1、SHA256、SHA512加密。
虛擬化技術面臨以下安全威脅:
數據泄露和丟失:相較于物理獨立的傳統計算系統而言,在多租戶的虛擬化環境下,計算資源是物理共享的,其隔離是軟件層面的。例如CPU的隔離是基于時間片輪轉的,內存的隔離是基于Hypervisor維護的邏輯頁表。虛擬化平臺的多租戶資源共享和動態遷移等特性使得數據泄露和丟失威脅在該框架中更容易。在虛擬化平臺中,數據泄露表現為兩種形式:外部數據泄露給虛擬機內部,虛擬機自身數據泄露給外部軟件,是主要的安全威脅。DMA攻擊、側信道攻擊、虛擬機跨域訪問等方式都可以導致嚴重的信息泄露,給個人或企業帶來不可估量的災難。數據丟失是指數據被刪除、銷毀或者毀壞。攻擊者的目的并不僅僅是竊取用戶的數據,而是對用戶的數據進行破壞。近幾年數據竊取和丟失事件不斷出現,針對此類攻擊采取的主要防護方式是數據加密、訪問控制和隔離機制。
控制流截獲及后門:控制流截獲是攻擊者利用系統漏洞或脆弱性使指令按攻擊者的意圖執行。控制流截獲主要是對系統內部的控制結構(中斷表、系統調用表)、跳轉結構(控制指針、空指針)進行修改,或者利用系統原有指令組合執行。
拒絕服務:在云服務中,虛擬化層的DoS威脅所占比例很高,包括對硬件資源(如內存、CPU和網卡等)及虛擬網絡等資源的訪問不響應。攻擊者通過網絡風暴、中斷風暴以及掛起硬件或控制服務,導致其他虛擬機產生資源饑餓、服務不響應來實現攻擊。同時攻擊者在虛擬化環境下可以方便地批量租用虛擬機,或者利用虛擬平臺的漏洞批量控制該平臺上的虛擬機實施DDoS攻擊。對于DoS威脅,主要的防護方式是對資源進行監控或者對吞吐量進行限制。
虛擬機鏡像威脅:在虛擬平臺中,虛擬機的啟動和容災恢復都是利用虛擬機鏡像。雖然可以直接對虛擬機鏡像打補丁以防范虛擬機中的漏洞,但也為內部攻擊者提供了可乘之機。如果攻擊者事先對虛擬機的鏡像文件進行了修改、替換,則啟動后的虛擬機完全受攻擊者控制。對于虛擬機鏡像的防護主要是利用完整性驗證方案,在系統啟動之前對鏡像文件進行完整性檢測。
運行時代碼和數據篡改:保證系統和軟件啟動過程中的完整性可以利用可信啟動等技術,然而該方法并不適用于運行時。代碼篡改是一個非常嚴重的安全問題,攻擊者通過緩沖區溢出、庫函數映射等實現對 Hypervisor、GOS 等代碼的注入和修改,這些都可導致控制流截獲、安全機制被關閉或繞過、提權、隱藏攻擊行為、遺留后門等。
權限提升:權限提升包括從用戶層到內核層、從內核層到虛擬化層兩部分,其在虛擬化中舉足輕重。權限提升可以使攻擊者獲得更高的權限,運行的代碼級別更高,危害更大。在虛擬化中權限提升的主要表現形式是虛擬機逃逸,該威脅表現為客戶虛擬機利用Hypervisor 的脆弱性漏洞使Hypervisor與客戶虛擬機之間的隔離被破壞,從而導致客戶虛擬機的代碼運行在 Hypervisor 特權級,因此可以直接執行特權指令。
不可信的云內部人員:云提供商員工在理論上被認為是可信的。但是Google員工竊聽用戶數據事件和棱鏡門事件足以證明云內部人員并非完全可信。云內部人員可能擁有過高的訪問權限,而且他們的行為不受防火墻和入侵檢測系統限制。正因如此,內部人員在利益驅動下很容易侵犯用戶的隱私,竊取用戶的數據,甚至將用戶的個人數據提供給第三方。以 Xen 為例,管理員可以對用戶的虛擬機做快照和 dump 備份,甚至可以監聽用戶的網絡。對這類威脅的防護一方面是讓虛擬機的管理過程對用戶可見,另一方面是提供安全有效的硬件機制來保護客戶的數據安全。
應對APT的威脅和挑戰的防護措施如下:
加強宏觀安全管理。包括健全企業安全管理制度。實施網絡安全評估,找出企業網絡中存在的漏洞或者可能的缺失以及整個網絡最薄弱的環節在哪里,做到心中有數,及時整改完善。
增強終端用戶安全素養。提高終端用戶安全意識,整個安全里面最薄弱的環節就是人。一條通用法則是:你不能阻止愚蠢行為發生,但你可以對其加以控制。完善終端用戶知識結構,使其掌握基本的安全知識。
異常行為檢測。無論哪種攻擊,都可能會在主機和網絡中產生異常行為。相應的系統異常行為檢測則可分為主機行為檢測和網絡行為分析兩個方面。通過主機行為異常和網絡異常行為的分析和關聯,發現APT存在的端倪。
研究大數據分析技術應對APT的挑戰。相比于傳統攻擊,APT帶來兩大難題:一是A難題,高級入侵手段帶來的難題。另一個是P難題,即持續性攻擊帶來的難題。這使得基于特征匹配的邊界防御技術和基于單個時間點的實時檢測技術都難以施效。為此,需要對整個網絡內部所有節點的訪問行為進行可持續監控。需要從多個角度綜合分析安全事件,進行整合。需要以時間對抗時間,對長時間、全流量數據進行深度分析。
要壓實各部門網絡安全防范主體責任,確保各環節網絡安全保密工作職責清晰、責任到人、可究可查。從已發現查處的部分案件看,一些環節的保密職責不清,是漏洞風險存在、案件發生的重要原因之一。因此,在網絡安全責任劃分時,應針對具體的網絡應用情形、業務應用模式和崗位特點,專門制定網絡安全保密工作要求,并切實細化分解。
要加強常態化網絡安全教育和技能培訓,提升網絡安全敵情意識和防范技能。工作人員的疏忽大意和違規操作,是絕大多數網絡安全事件和失泄密案件發生的主要原因。提高工作人員的網絡安全防范意識和技能,徹底杜絕不安全操作行為,是做好網絡安全管理的根本。必須嚴格做到“涉密不上網,上網不涉密”,不在非涉密計算機和移動存儲介質中存儲涉密資料,不通過互聯網郵箱存儲傳遞涉密文件資料,不在固定電話和手機中談論涉密內容,涉密計算機和移動存儲介質嚴禁連接互聯網。
要加強對計算機、電子郵箱的安全防護。除了在辦公計算機、手機上安裝殺毒、防護軟件等措施,還要不定期的對連網設備進行安全檢測,發現計算機、手機等是否感染病毒木馬程序,存在可疑的網絡請求或連接,郵箱是否存在異常的登錄情況。在出差特別是出國時,最好攜帶新的、不存儲任何文件的新計算機、新手機,注冊新的電子郵箱,在經過技術檢測前不輕易使用別人以禮品形式贈送的電子設備。
要加強網絡技術防范能力建設,確保技術防范措施到位并發揮實效。根據網絡應用情形和保密級別要求,設置相適應的足夠強度的技術防范措施;網管員對各技術防護手段設備的運行情況和監測記錄要定期查看,既確保設備一直正常有效運轉,又能及時發現各種違規、可疑或危險的技術操作行為。
要切實強化網絡安全保密規章制度的執行監管。通過強化監管,提醒和約束涉密人員遵守保密制度,推動各項保密要求和保密責任落實到位。同時,抓早抓小,及早發現處置異常情況和安全隱患,盡可能減少信息安全保密的空白點和薄弱點,有效管控風險。
要加強同國家安全機關等專業部門的協作配合。國家安全機關是網絡反間諜對敵斗爭的專業部門,有責任、有義務指導協助各單位做好網絡安全防范工作。國家安全機關將積極協助各涉密單位開展反間諜技術竊密檢測,發現計算機網絡被境外間諜情報機關攻擊竊密情況及運行管理中存在的漏洞和薄弱環節,及時消除危害隱患。同時,指導各單位落實網絡安全防范措施,提高技術防范能力,防范敵人網絡攻擊竊密活動。
云安全與傳統的網絡安全在本質上是一樣的沒有區別的,因為云安全與網絡安全關注的,都是數據、數據中心、網絡等領域的問題,并且安全威脅同樣來自木馬、病毒和密碼破譯等幾種方式。因此,從技術角度來看,云安全與網絡安全并無本質的差別。如果說從邊界來上看云安全把安全的邊界無限擴大化了,傳統網絡安全還是沒有變化。
云安全基礎服務可以分為以下四類:
云用戶身份管理服務:主要涉及身份的供應、注銷以及身份認證過程。在云環境下,實現身份聯合和單點登錄可以支持云中合作企業之間更加方便地共享用戶身份信息和認證服務,并減少重復認證帶來的運行開銷。
云訪問控制服務:云訪問控制服務的實現依賴于如何妥善地將傳統的訪問控制模型和各種授權策略語言標準擴展后移植到云環境。
云審計服務:由于用戶缺乏安全管理與舉證能力,要明確安全事故責任就要求服務商提供必要的支持,因此,由第三方實施的審計就顯得尤為重要。云審計服務必須提供滿足審計事件列表的所有證據以及證據的可信度說明。云審計服務也是保證云服務商滿足各種合規性要求的重要方式。
云口令服務:除典型的加、解密算法服務外,口令運算中密鑰管理與分發、證書管理及分發等都以基礎類云安全服務的形式存在。云口令服務不僅為用戶簡化了口令模塊的設計與實施,也使得口令技術的使用更集中、規范,更易于管理。
大數據時代工業大數據安全主要面臨以下挑戰:
外部非授權人員對信息系統進行惡意入侵,非法訪問隱私數據。
數據具有易復制性,發生數據安全事件后,無法進行有效的追溯和審計。
大數據有流動、共享的需求,大量數據的匯聚傳輸加大了數據泄露的風險。
保護工業大數據安全需要搭建統一的數據安全管理體系,通過分層建設、分級防護,達到平臺能力及應用的可成長、可擴充,創造面向數據的安全管理體系框架。平臺架構自下而上可以分為:數據分析層、敏感數據隔離交互層、數據防泄露層、數據脫敏層和數據加固層。
