計算機病毒最基本特征如下:
繁殖性:計算機病毒可以像生物病毒一樣進行自我復制;
破壞性:計算機中毒后,可能會導致正常的程序無法運行文件刪除或受到不同程度的損壞;
傳染性:病毒通過修改別的程序將自身的復制品或其變體傳染到其它無毒的對象上;
潛伏性:算機病毒可以依附于其它媒體寄生的能力;
隱蔽性:隱蔽性計算機病毒時隱時現、變化無常,這類病毒處理起來非常困難;
可觸發性:編制計算機病毒的人,一般都為病毒程序設定了一些觸發條件。
Anna艷娜 的所有回復(650)
排序:
排序:
評論于 1年前,獲得 0 個贊
評論于 9個月前,獲得 0 個贊
云計算的網絡架構面臨的脆弱點有:
瀏覽器安全:每個客戶端使用瀏覽器發送的信息都要途徑互聯網。瀏覽器可以使用SSL技術來加密用戶的身份和憑據。但是黑客可以通過使用探嗅包等工具來獲得他們的身份信息。為了克服這個問題,每個人應該有一個單一的身份,但此憑據必須允許各種級別的保證,可以通過數字獲得批準。
SQL注入攻擊:此類攻擊是云計算中的惡意行為,表現為惡意代碼注入SQL代碼中,使未經授權入侵者訪問數據庫,最終得到機密的信息。
泛洪攻擊:在這個攻擊中,入侵者對云中資源瞬間發送大量請求,使得云自動分配足夠的資源來滿足入侵者的要求,而正常用戶則難以正常訪問資源。
XML簽名元素包裝:這是一個常見的網頁服務攻擊。XML簽名元素包裝簡單改變了消息的簽名內容,而不用篡改簽名,進而誤導用戶。
不完整數據刪除:在云計算中,刪除不完整的數據存在一定危害。當數據被刪除后,保存在備份服務器上的數據備份不會被刪除,該服務器的操作系統也不會刪除備份數據,除非對服務提供者提出特定的要求。
鎖定:鎖定意味著數據被鎖定在某云服務供應商。由于目前還沒有能保證云計算、數據、應用或服務實現可移植性的通用標準,這使得用戶從一個云服務提供商遷移到另一個,或將服務和數據遷回一個內部IT環境成為一個難以實現的任務。當云服務提供商破產或倒閉時,這種數據被鎖定的結果是災難性的,即使到時能夠轉移,其成本也非常昂貴。
評論于 6個月前,獲得 0 個贊
等級保護制度要評測的原因如下:
通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之后,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
等級保護是我國關于信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《信息安全等級保護管理辦法》和《中華人民共和國網絡安全法》。
落實個人及單位的網絡安全保護義務,合理規避風險。
很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業,還有一些主管單位發過相關文件或通知要求去做。
評論于 1年前,獲得 0 個贊
系統安全隔離典型方案有以下這些:
Docker實現軟件隔離:Docker為應用程序提供隔離的運行空間,是從操作系統內部實現了進程的隔離,是一種操作系統層的虛擬化,每個容器獨享一個完整的用戶環境空間,且一個容器的變動不會影響其他容器的正常運行。Docker容器之間共享一個系統內核,因此啟動速度快,然而同一個庫可能被多個容器同時使用,因此內存的使用效率顯著提高。
沙盒:一種軟件隔離的運行機制,按照嚴格的安全策略來限制不可信進程或不可信代碼運行的訪問權限,用戶執行未被測試或不可信的應用,能夠為不可信應用提供虛擬化的內存、文件系統和網絡資源等,也正是其內資源虛擬化,才能將不可信應用的惡意行為限制在有限的機制內。防止其損害其他應用甚至威脅系統安全。
蜜罐:是一種入侵檢測機制,能收集系統所遭受的攻擊,因此能夠提高系統檢測機制的檢測能力誘騙攻擊者,使其誤認為成功侵入目標主機或網絡,從而對攻擊行為進行分析并完善安全策略,進而構建更加安全全面的入侵檢測機制,只能捕獲與他直接交互的攻擊行為而且,它一般自身攜帶一定的預期特征或者行為,攻擊者能夠識別出其身份,并對他實施狗估計,甚至危害系統的安全。
評論于 10個月前,獲得 0 個贊
保證電子商務網站最大安全的措施有以下這些:
利用安全操作系統提供不同安全等級的網站資源,網站服務能夠根據用戶級別、資源安全級別提供服務網站相應的資源服務,防止越權訪問。
以IDS對潛在威脅進行監測,發現異常的安全行為,提供安全狀態報告以及安全預警,從而可以降低安全事件造成的影響,提高應急響應的能力。
以SSL軟件包,支持網站安全通信,保證傳輸安全。同時啟用防火墻來限制網站端口訪問以及過濾有害IP地址,阻止網站攻擊行為發生。
對網站安全進行定期或非定期安全健康檢查,及時發現安全隱患,便于事前響應。所有的度量指標都能以圖表的形式生動顯示出來,讓網站管理員對當前網站的安全狀況一目了然。
設計防攻擊組件系統,自動阻止攻擊者通過網站服務器程序或網站應用服務程序的漏洞來攻擊操作系統本身,提升操作權限。
安全檢查應用于每一處代碼中,每個提交到系統查詢語句中的變量都經過過濾,可自動屏蔽惡意攻擊代碼,從而全面防止SQL注入攻擊、密碼猜解、上傳木馬等各種攻擊手段,最大限度地保證系統的安全和穩定。
提供智能卡強身份認證和支持獨立的網站CA系統,利用認證系統,用戶訪問網站資源之前,需要進行嚴格的身份識別,當系統管理員進入網站后臺操作,除了輸入用戶名、密碼、驗證碼外,還要持有智能卡才能進入網站系統。攻擊者即使得到管理口令,也無法控制網站系統。
有分級的會員權限和管理權限的控制功能。提供角色授權管理,滿足不同的設置需求。將管理員與會員分開管理,確保會員與管理者的后臺安全與權限分配。利用系統提供的安全性功能來實現用戶的身份認證和對資源的訪問授權,并提供了收集、存儲、管理用戶信息的界面和工具。
評論于 2個月前,獲得 0 個贊
WiFi探針這種對用戶手機進行入侵的技術,原理是把自己偽裝成一個給用戶提供WiFi無線上網的AP,受害者一但鏈接到該WiFi會導致以下危害:
你發出和接收的信息都是通過別人的路由器轉換的,信息泄露是必然的結果;
如果你在手機上使用了聊天軟件,那么賬號、密碼都會被知曉甚至篡改;
使用了淘寶網銀、支付寶,那么密碼也都會泄露,這個是最嚴重的,一般如果支付寶上的錢被轉走了,基本上就找不回來了,會造成大筆的金錢損失;
在連接陷阱wifi是,你點開彈出頁面鏈接,手機會中病毒,經常被綁定惡意消耗話費軟件,不用一個晚上,手機肯定欠費,而且這種病毒型軟件基本卸不掉,只能刷機,一刷機手機的信息就會丟失。
評論于 1年前,獲得 0 個贊
iot物聯網內部敏感信息保護手段有:
更改路由器的默認設置:更改路由器的出廠默認名稱和密碼。出廠時的名稱可能會泄露路由器的品牌和型號,使黑客更易于訪問。在設置路由器的新名稱和密碼時,請避免使用任何可能泄露個人信息的單詞、短語或數字。
使用強密碼:使用強密碼會使黑客更難滲透到您的帳戶中,密碼越強大、越復雜,越能從內而外保護自己。
定期更新設備:由于物聯網設備的創建并非具有出色的安全性,因此持續更新他們至關重要。更新軟件可確保了解最新的防病毒和防惡意軟件對策,還有助于清除舊版設備中存在的安全漏洞。
啟用雙因素身份驗證:在日常生活中,使用雙因素身份驗證。每次刷借記卡時,都需要提供密碼,以防止可能的犯罪分子竊取我們的錢。有人可以竊取您的借記卡,有人可以侵入您的帳戶并訪問敏感信息,這就是為什么應該像保護金錢一樣加倍關注網絡安全的原因。這是雙因素身份驗證為您提供保護的方式:例如,如果某人成功入侵了您的電子郵件帳戶,雙向身份驗證將立即通知您, 并要求您授予進一步的訪問權限。如果是您本人或您認識的人,則可以批準該請求,如果不知道是誰在嘗試訪問您的電子郵件,則可以阻止黑客追蹤他們。您幾乎可以在任何物聯網設備上激活雙因素身份驗證,而且好消息是它的操作相對簡單。
禁用UPnP功能:大多數物聯網設備具有UPnP或通用即插即用功能,該功能允許多個設備連接。
評論于 1年前,獲得 0 個贊
Docker容器虛擬化安全風險有以下這些:
容器隔離問題:對于Docker容器而言,由于容器與宿主機共享操作系統內核,因此存在容器與宿主機之間、容器與容器之間隔離方面的安全風險,具體包括進程隔離、文件系統隔離、進程間通信隔離等。雖然Docker通過Namespaces進行了文件系統資源的基本隔離,但仍有/sys、/proc/sys、/proc/bus、/dev、time、syslog等重要系統文件目錄和命名空間信息未實現隔離,而是與宿主機共享相關資源。
容器逃逸攻擊:容器逃逸攻擊指的是容器利用系統漏洞,“逃逸”出了其自身所擁有的權限,實現了對宿主機和宿主機上其他容器的訪問。由于容器與宿主機共享操作系統內核,為了避免容器獲取宿主機的root權限,通常不允許采用特權模式運行Docker容器。
計算型DoS攻擊:Fork Bomb是一類典型的針對計算資源的拒絕服務攻擊手段,其可通過遞歸方式無限循環調用fork系統函數快速創建大量進程。由于宿主機操作系統內核支持的進程總數有限,如果某個容器遭到了Fork Bomb攻擊,那么就有可能存在由于短時間內在該容器內創建過多進程而耗盡宿主機進程資源的情況,宿主機及其他容器就無法再創建新的進程。
存儲型DoS攻擊:針對存儲資源,雖然Docker通過Mount命名空間實現了文件系統的隔離,但CGroups并沒有針對AUFS文件系統進行單個容器的存儲資源限制,因此采用AUFS作為存儲驅動具有一定的安全風險。如果宿主機上的某個容器向AUFS文件系統中不斷地進行寫文件操作,則可能會導致宿主機存儲設備空間不足,無法再滿足其自身及其他容器的數據存儲需求。
Docker自身漏洞:作為一款應用Docker本身實現上會有代碼缺陷。CVE官方記錄Docker歷史版本共有超過20項漏洞。黑客常用的攻擊手段主要有代碼執行、權限提升、信息泄露、權限繞過等。目前Docker版本更迭非常快,Docker用戶最好將Docker升級為最新版本。
解決容器安全問題方法有以下這些:
Docker自身安全性改進:在過去容器里的root用戶就是主機上的root用戶,如果容器受到攻擊,或者容器本身含有惡意程序,在容器內就可以直接獲取到主機root權限。Docker從1.10版本開始,使用UserNamespace做用戶隔離,實現了容器中的root用戶映射到主機上的非root用戶,從而大大減輕了容器被突破的風險,因此建議盡可能使用最新版Docker。
保障鏡像安全:為保障鏡像安全,我們可以在私有鏡像倉庫安裝鏡像安全掃描組件,對上傳的鏡像進行檢查,通過與CVE數據庫對比,一旦發現有漏洞的鏡像及時通知用戶或阻止非安全鏡像繼續構建和分發。同時為了確保我們使用的鏡像足夠安全,在拉取鏡像時,要確保只從受信任的鏡像倉庫拉取,并且與鏡像倉庫通信一定要使用HTTPS協議。
加強內核安全和管理:宿主機內核盡量安裝最新補丁;使用Capabilities劃分權限,它實現了系統更細粒度的訪問控制;啟動容器時一般不建議開啟特權模式,如需添加相應的權限可以使用–cap-add參數。
使用安全加固組件:Linux的SELinux、AppArmor、GRSecurity組件都是Docker官方推薦的安全加固組件,這三個組件可以限制一個容器對主機的內核或其他資源的訪問控制,目前容器報告里的一些安全漏洞。
資源限制:在生產環境中,建議每個容器都添加相應的資源限制,這樣即便應用程序有漏洞,也不會導致主機的資源被耗盡,最大限度降低了安全風險。
使用安全容器:容器有著輕便快速啟動的優點,虛擬機有著安全隔離的優點,有沒有一種技術可以兼顧兩者的優點,做到既輕量又安全呢?答案是有的,那就是安全容器。安全容器與普通容器的主要區別在于,安全容器中的每個容器都運行在一個單獨的微型虛擬機中,擁有獨立的操作系統和內核,并且有虛擬機般的安全隔離性。
評論于 9個月前,獲得 0 個贊
信息安全中使用的防火墻技術有以下功能:
靜態包過濾:運行在網絡層,根據IP包的源地址、目的地址、應用協議、源接口號、目的接口號來決定是否放行一個包。其優點是對網絡性能基本上沒有影響,成本很低,路由器和一般的操作系統都支持。缺點是工作在網絡層,只檢查IP和TCP的包頭;不檢查包的數據,提供的安全性不高;缺乏狀態信息;IP易被假冒和欺騙;規則很好寫,但很難寫正確,規則測試困難;保護的等級低。
動態包過濾:是靜態包過濾技術的發展和演化,它與靜態包過濾技術的不同點在于,動態包過濾防火墻知道一個新的連接和一個已經建立的連接的不同點,而靜態包過濾技術對此一無所知。對于已經建立的連接,動態包過濾防火墻將狀態信息寫進常駐內存的狀態表,后來的包的信息與狀態表中的信息進行比較,該動作是在操作系統的內核中完成的。因此,動態包過濾增加了很多的安全性,其速度和效率都較高,成本低,但仍具有與靜態包過濾技術相同的缺點。
電路網關:電路網關工作在會話層。電路網關在執行包過濾功能的基礎上,增加一個握手再證實及建立連接的序列號的合法性檢查的過程。同時電路網關還要對客戶端進行認證,使其安全性有所提高。認證程序決定用戶是否是可信的,一旦認證通過,客戶端便發起TCP握手標志,并確保相關的序列號是正確且連貫的,這樣該會話才是合法的。一旦會話有效,便開始執行包過濾規則的檢查。電路網關對網絡性能的影響不是很大,中斷了網絡連接,其安全性要比包過濾高。
應用網關:應用網關截獲所有進和出的包,運行代理機制,通過網關來復制和轉發信息,其功能像一個代理服務器,防止任何直接連接出現。應用網關的代理是與具體應用相關的,每一種應用需要一個具體的代理,代理檢查包的所有數據,包括包頭和數據,以及工作在OSI的第七層。由于應用協議規定了所有的規程,因此較為容易設計過濾規則。應用代理要比包過濾更容易配置和管理。通過檢查完整的包,應用網關是目前最安全的防火墻。
狀態檢測包過濾:狀態檢測綜合了很多動態包過濾、電路網關和應用網關的功能。狀態檢測包過濾有一個最基本的功能,即檢查所有開放系統互連(Open System Interconnect,OSI)七層的信息,但主要是工作在網絡層,而且主要是采用動態包過濾的工作模式。狀態檢測包過濾也能像電路網關那樣工作,決定在一個會話中的包是否是正常的。狀態檢測也能作為一個最小化的應用網關,對某些內容進行檢查,但也與應用網關相同,一旦采用這些功能,防火墻的性能也是直線下降。
切換代理:切換代理是動態包過濾和電路網關的一種混合型防火墻。切換代理首先作為一個電路代理來執行RFC(Internet 標準)規定的三次握手和認證要求,然后切換到動態包過濾模式。因此,開始時,切換代理工作在網絡的會話層,在認證完成并建立連接之后,轉到網絡層。因此,切換代理又稱為自適應防火墻,在安全性和效率之間取得了一定程度的平衡。切換代理比傳統的電路網關對網絡性能的影響更小,三次握手檢查機制減小了IP假冒和欺騙的可能性,但是切換代理并沒有中斷網絡連接,因此安全性比電路網關更低,另外,切換代理防火墻的規則也不易設計。
評論于 9個月前,獲得 0 個贊
寬帶城域網技術的主要特征表現在以下幾個方面:
寬帶城域網是基于計算機網絡技術與IP協議,以電信網的可擴展性、可管理性為基礎,在城市范圍內匯聚寬帶和窄帶用戶的接入,為滿足政府、企業、學校等集團用戶和個人用戶對互聯網和寬帶多媒體服務的需求而組建的綜合寬帶網絡。
從傳輸技術角度來看,寬帶城域網以光纖傳輸網為基礎,連接計算機網絡、公共電話交換網、移動通信網和有線電視網,為語音、數字、視頻提供了一個互聯互通的通信平臺。
城域網與廣域網在設計上的出發點不同。廣域網要求重點保證高數據傳輸容量,而城域網則要求重點保證高數據交換容量。因此,廣域網設計的重點是保證大量用戶共享主干通信鏈路的容量,而城域網設計的重點不完全是鏈路,而是交換節點的性能與容量。城域網的每個交換節點都要保證大量接入用戶的服務質量。當然,城域網連接每個交換節點的通信鏈路帶寬也必須得到保證。
寬帶城域網是傳統的計算機網絡、電信網絡與有線電視網技術的融合,也是傳統的電信服務、有線電視服務與現代互聯網服務的融合。
既不能簡單地認為城域網是廣域網的縮微版本,也不能簡單地認為城域網是局域網的自然延伸。寬帶城域網應該是一個在城市區域內為大量用戶提供接入和各種信息服務的綜合網絡平臺,也是現代化城市重要的基礎設施之一。
評論于 2個月前,獲得 0 個贊
WiFi探針這種對用戶手機進行入侵的技術,原理是把自己偽裝成一個給用戶提供WiFi無線上網的AP,受害者一但鏈接到該WiFi會導致以下危害:
你發出和接收的信息都是通過別人的路由器轉換的,信息泄露是必然的結果;
如果你在手機上使用了聊天軟件,那么賬號、密碼都會被知曉甚至篡改;
使用了淘寶網銀、支付寶,那么密碼也都會泄露,這個是最嚴重的,一般如果支付寶上的錢被轉走了,基本上就找不回來了,會造成大筆的金錢損失;
在連接陷阱wifi是,你點開彈出頁面鏈接,手機會中病毒,經常被綁定惡意消耗話費軟件,不用一個晚上,手機肯定欠費,而且這種病毒型軟件基本卸不掉,只能刷機,一刷機手機的信息就會丟失。
評論于 2年前,獲得 0 個贊
公司進行等保測評開展流程如下:
系統升級
信息系統運營使用單位按照《信息安全等級保護管理辦法》和《網絡安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草《網絡安全等級保護定級報告》;三級以上系統,定級結論需要進行專家評審。
系統備案
信息系統安全保護等級為第二級以上時,備案時應當提交《網絡安全等級保護備案表》和定級報告;第三級以上系統,還需提交專家評審意見、系統拓撲和說明、安全管理制度、安全建設方案等。
建設整改
依據《網絡安全等級保護基本要求》,利用自有或第三方的安全產品和專家服務,對信息系統進行安全建設和整改,同時制定相應的安全管理制度。
等級測評
運營使用單位應當選擇合適的測評機構,依據《網絡安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。
監督檢查
公安機關及其他監管部門會在整個過程中,履行相應的監管、審核和檢查等職責。
評論于 1年前,獲得 0 個贊
常見的數據庫安全漏洞類型有以下這些:
默認、空白密碼或者弱密碼:這種類型漏洞本身不是數據庫自身的問題,而是使用者或者說是開發者沒有對用戶注冊時進行驗證導致產生這種漏洞;
SQL注入:指web應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程序中事先定義好的查詢語句的結尾上添加額外的SQL語句,在管理員不知情的情況下實現非法操作;
失效的配置管理:這種漏洞產生原因是數據庫的配置因為沒有及時修改或者更新檢測,導致很多原有配置已經失效,這些失效的配置則會產生相應的漏洞;
啟用不必要的數據庫功能:一個數據庫有多種功能,但是開啟多種功能會導致管理不足,這些多余的功能則會因為沒有及時更新或者本身具有缺陷而造成數據庫漏洞;
緩沖區溢出:緩沖區溢出是指當計算機向緩沖區填充數據時超出了緩沖區本身的容量,溢出的數據覆蓋在合法數據上;
權限提升:指在數據庫因為配置不當或者未及時更新補丁導致攻擊者可以得到數據庫內部管理員信息來提升自身權限;
敏感數據未加密:這種漏洞主要是未對數據庫內部的重要數據進行加密,攻擊者可以輕易的破解數據庫獲取內部信息導致數據庫信息泄露危害數據庫安全。
加強數據庫的安全性措施主要有以下幾個方面:
用戶身份鑒別:首先要保證數據庫用戶的權限的安全性,用戶在訪問數據庫時,必須經過身份認證,對非超管用戶,必須設定有限的權限和專用的密碼。比如,sa是超管用戶,其他用戶就不能使用這個驗證。
定義視圖:為不同的用戶定義不同的視圖,可以限制用戶的訪問范圍。通過視圖機制把需要保密的數據對無權存取這些數據的用戶隱藏起來,可以對數據庫提供一定程度的安全保護。
數據加密:數據安全隱患無處不在,因此對數據的加密,是保護數據庫安全的有效措施。數據加密是應用最廣、成本最低廉而相對最可靠的方法。數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。
啟動事務管理和故障恢復:事務管理和故障恢復主要是對付系統內發生的自然因素故障,保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制;事務運行的每一步結果都記錄在系統日志文件中,并且對重要數據進行復制,發生故障時根據日志文件利用數據副本準確地完成事務的恢復。
數據庫備份與恢復:數據庫系統必須采取必要的措施,以保證發生故障時,可以恢復數據庫。數據備份需要仔細計劃,制定出一個策略測試后再去實施,備份計劃也需要不斷地調整。
審計追蹤機制:審計追蹤機制是指系統設置相應的日志記錄,特別是對數據更新、刪除、修改的記錄,以便日后查證,確保系統的安全。
加強服務器安全:Web數據庫的三層體系結構中,數據存放在數據庫服務器中,大部分的事務處理及商業邏輯處理在應用服務器中進行,由應用服務器提出對數據庫的操作請求。因此,加強數據庫的安全,才是最有效的保護。
評論于 1年前,獲得 0 個贊
使用安全容器框架時要考慮以下這些因素:
UI界面管理和API:管理用戶界面UI,包括那些基于API的圖形化UI,即外部系統直接使用API訪問系統。
鏡像倉庫:公共鏡像倉庫,例如Docker Hub提供公共管理的容器鏡像倉庫。許多容器管理系統都提供私有鏡像倉庫,企業組織可以在其中管理自己的鏡像。
編排和調度:編排層能夠使容器以所需的狀態運行,并提供滾動更新和回滾的功能。當然,Kubernetes已經成為容器編排的實際標準。
容器運行時:容器運行時,可以讓集群節點在鏡像倉庫中獲取容器鏡像,還可生成正確的文件結構在主機上運行容器,也可與網絡和存儲插件交互,也能創建、啟停容器。
安全管控:通過安全組件執行安全策略,包括秘鑰管理、安全掃描、圖像簽名、網絡隔離和加密、以及基于角色的訪問控制(RBAC)等。
持續監控:監控程序能夠提供集群節點、容器和微服務級別的可視化能力。
DevOps工作流:DevOps對于容器部署并不重要,但是它們通常一起使用,例如,DevOps工具、CI/CD管道工具和容器鏡像生成器等工具需要協同工作。
評論于 11個月前,獲得 0 個贊
云服務提供商方面存在以下安全風險:
用戶驗證和授權風險:云服務提供商根據服務模型針對不同的用戶提供相應的服務,用戶在訪問資源的同時必須滿足相應的許可。這一過程主要是通過用戶驗證的方法來進行。用戶驗證過程通過網絡進行,網絡本身是不可靠的,用戶口令在傳輸過程中也存在泄露的風險。在資源授權方面,云服務根據其授權機制必須維護一個授權列表,對于驗證通過的用戶才可以訪問相應的資源。
數據機密性風險:對于一些敏感數據,用戶不希望被第三方知曉,因此云服務提供商應該提供對數據做加密處理服務。為了保證數據加密的速度,常采用對稱加密算法如AES。數據機密性風險在于加密密鑰的管理方面可能存在的潛在風險。
數據完整性風險:用戶在訪問數據的時候,應該得到數據的校驗信息和簽名信息。數據簽名主要采用數據加密體制中的非對稱加密算法如RSA。數據校驗信息通過消息摘要來生成,消息摘要通過對任意長度的數據進行散列,生成特定長度的散列值。在保證數據完整性的實施中通常會結合這兩種方法,即在簽名中引入了散列。
可用性風險:云服務必須有一定的容錯機制來保證數據的可用性。數據可用性的風險主要來自軟件性能故障和硬件性能故障兩個方面。
不可抵賴性風險:不可抵賴性是指在一個會話過程中,任何一方的會話實體不能否認其動作行為,服務器在會話過程中需要保證會話的紀錄以便進行審計和核查。不可抵賴性的風險主要來自于云服務方的會話日志記錄的完整性。
資源共享可能引發的風險:為了保證云計算資源可動態擴展,云計算中的計算能力、存儲與網絡資源等在多用戶間進行共享,這就難以保證良好的隔離性。
加強云安全的措施有以下這些:
終端初始化:應支持根據安全策略對終端進行操作系統配置,支持根據不同的策略自動選擇所需應用軟件進行安裝,完成配置。
補丁管理:應建立有效的補丁管理機制,可自動獲取或分發補丁,補丁獲取方式應具有合法性驗證安全防護措施,如經過數字簽名或哈希校驗機制保護。
病毒、惡意代碼防范:終端應安裝客戶端防病毒和防惡意代碼軟件,實時進行病毒庫更新。支持通過服務器設置統一的防毒策略。可對防病毒軟件安裝情況進行監控,禁止未安裝指定防病毒軟件的客戶端接入。
終端接入網絡認證:終端安全管理必須具備接入網絡認證功能,只允許合法授權的用戶終端接入網絡。
終端安全性審查與修復:應支持對試圖接入網絡的終端進行控制,在終端接入網絡之前必須進行強制性的安全審查,只有符合終端接入網絡的安全策略的終端才允許接入網絡。
細粒度網絡訪問控制:應對接入網絡的終端進行精細的訪問控制,可根據用戶權限控制接入不同的業務區域,防止越權訪問。
非法外聯檢測:應定義有針對性的策略規則,限制終端非法外聯行為。
終端上網行為檢測:應支持終端用戶上網記錄審計,可支持設置上網內容過濾,以及對終端網絡狀態及網絡流量等信息進行監控和審計。
終端應用軟件使用控制:應支持對終端用戶軟件安裝情況進行審計,同時對應用軟件的使用情況進行控制。
