NoSQL 面臨以下的安全挑戰:
模式成熟度不夠:目前的標準SQL技術包括嚴格的訪問控制和隱私管理工具,而在NoSQL模式中,并沒有這樣的要求。事實上,NoSQL無法沿用SQL的模式,它應該有自己的新模式。例如,與傳統SQL數據存儲相比,在NoSQL數據存儲中,列和行級的安全性更為重要。此外,NoSQL允許不斷對數據記錄添加屬性,需要為這些新屬性定義安全策略。
系統成熟度不夠:在飽受各種安全問題的困擾后,關系型數據庫和文件服務器系統的安全機制已經變得比較成熟。雖然 NoSQL 可以從關系型數據庫安全設計中學習經驗教訓,但至少在幾年內NoSQL仍然會存在各種漏洞。
客戶端軟件問題:由于NoSQL服務器軟件沒有內置足夠的安全機制,因此,必須對訪問這些軟件的客戶端應用程序提供安全措施,這樣又會產生其他問題。
數據冗余和分散性問題:關系型數據庫通常在相同位置存儲數據。但大數據系統完全采用另外一種模式,將數據分散在不同地理位置、不同服務器中,以實現數據的優化查詢處理及容災備份。這種情況下,難以定位這些數據并進行保護。
互聯網企業對大數據安全需求如下:
可靠的數據存儲:互聯網企業在應用大數據時,常會涉及數據安全和用戶隱私問題。隨著電子商務、手機上網行為的發展,互聯網企業受到攻擊的情況比以前更為隱蔽。攻擊的目的并不僅是讓服務器宕機, 更多是以滲透APT的攻擊方式進行。因此防止數據被損壞、篡改、泄露或竊取的任務十分艱巨。同時,由于用戶隱私和商業機密涉及的技術領域繁多、機理復雜。很難有專家可以貫通法理與專業技術,界定出由于個人隱私和商業機密的傳播而產生的損失,也很難界定侵權主體是出于個人目的還是企業行為。因此,互聯網企業的大數據安全需求是可靠的數據存儲。安全的挖掘分析,嚴格的運營監管,呼喚針對用戶隱私的安全保護標準、法律法規、行業規范,期待從海量數據中合理發現和發掘商業機會和商業價值。
確保核心數據保密、完整和可用性:大量數據的產生、存儲和分析,使得運營商在數據對外應用和開放過程中面臨著數據保密、用戶隱私、商業合作等一系列問題。運營商需要利用企業平臺、系統和工具實現數據的科學建模,確定或歸類這些數據的價值。由于數據通常散亂在眾多系統中,信息來源十分龐雜,因此運營商需要進行有效的數據收集與分析,保障數據的完整性和安全性。在對外合作時,運營商需要能夠準確地將外部業務需求轉換成實際的數據需求,建立完善的數據對外開放訪問機制。在此過程中,如何有效保護用戶隱私,防止企業核心數據泄露,成為運營商對外開展大數據應用需要考慮的重要問題。因此,電信運營商的大數據安全需求是確保核心數據與資源的保密性、完整性和可用性。在保障用戶利益、體驗和隱私的基礎上充分發揮數據價值。
加強機構內部控制:金融行業的系統具有相互牽連、使用對象多樣化、安全風險多方位、信息可靠性、保密性要求高等特征。而且金融業對網絡的安全性、穩定性要求更高。系統要能夠高速處理數據,提供冗余備份和容錯功能,具備較好的管理能力和靈活性,以應對復雜的應用。雖然金融行業一直在數據安全方面追加投資和技術研發,但是由于金融領域業務鏈條的拉長、云計算模式的普及、自身系統復雜度的提升以及對數據的不當利用。都增加了金融業大數據的安全風險。因此,金融行業的大數據安全需求是對數據訪問控制、處理算法、網絡安全、數據管理和應用等方面提出安全要求,期望利用大數據安全技術加強金融機構的內部控制,提高金融監管和服務水平,防范和化解金融風險。
構建更加安全的網絡環境:大數據分析在安全上的潛能已經被各國政府組織發現,它的作用在于能夠幫助國家構建更加安全的網絡環境。例如,美國進口安全申報委員會不久前宣布,通過6個關鍵性的調查結果證明,大數據分析不僅具備強大的數據分析能力,而且能確保數據的安全性。美國國防部已經在積極部署大數據行動,利用海量數據挖掘高價值情報,提高快速響應能力,實現決策自動化。而美國中央情報局通過利用大數據技術,提高從大型復雜的數字數據集中提取知識和觀點的能力,加強國家安全。因此,政府組織對大數據安全的需求是隱私保護的安全監管、網絡環境的安全感知、大數據安全標準的制定、安全管理機制的規范等內容。
安全需求特性與共性并存:大數據時代,各行業都避免不了不同程度上的黑客攻擊,安全防護可以說已經成為了一個全“業”運動。但雖然領域不同,行業不同,具體的防護需求也都不盡相同,但是歸根結底,最深層、最根本的方向是一樣的,那就是保證數據本源的安全。因為只要保證了本源數據安全,無論是哪種安全隱患都可以將風向將至最低。對癥下藥可以達到事半功倍的效果,但也不要忘了,包治百病的萬能藥是更可靠的存在。
滲透測試判斷驗證碼是否復用常用方法輸入用戶名、密碼、驗證碼后,點擊登錄按鈕,同時用burpsuite攔截數據包,并使用repeater模塊或Intruder模塊進行數據生,重新發送5次觀察頁面變化,檢查代碼輸入錯誤等信息。該登錄功能存在圖形認證代碼時,輸入正確的圖形認證代碼后進行數據再放,發現圖形認證代碼沒有立即失效則說明驗證碼復用。
修復方案:
系統在開發時注意驗證識別后,銷毀session中的驗證代碼。
限制用戶提交的驗證碼不能是空的。
判斷提交的驗證代碼是否與服務器存儲的一致。
禁止將驗證代碼的明確信息發送給客戶。
信息安全的目的就是要保證信息資產的三個元素:保密性,完整性和可用性(CIA),CIA這個也就是這三個元素開始為人們所關注的時間的先后。現在系統設計中所使用的安全模型的出現的順序也大概如此,先出現專門針對保密性的BLP模型,然后出現針對完整性的Biba模型、Clark-Wilson模型等,在訪問控制中所使用的訪問控制列表/矩陣(Access Control List(ACL)/Access Control Matrix(ACM)),在CISSP的CBK內容中也把它劃分到安全模型的范圍內。
保密性(confidentiality):確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。
完整性(integrity):確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改,同時還要防止授權用戶對系統及信息進行不恰當的篡改,保持信息內、外部表示的一致性。
可用性(availability):確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。
自動化反彈Shell防御技術有以下優點:
快速響應:由于Netlink通信機制占用系統資源很少,對于Shell進程啟動事件的響應基本無延時,后續主動檢測確認為反彈Shell后直接Kill。
繞過較難:由于一般反彈Shell的姿勢都是調用bash且通過重定向獲取bash的標準輸入輸出,因此沒有前置經驗的情況下基本都會被防御住。
信息全面:發現反彈Shell后,收集到Shell相關的信息包括PID、SID(可用于判斷究竟是哪個進程組出現了漏洞)、當前路徑(方便查找Webshell)、系統用戶等,可以再深入挖掘這個技術的應用場景,也可以統一匯總到SOC等分析平臺進行聯動。
PDCERF方法論是一種防范使用的方法,其將應急響應分成以下六個階段:
準備階段:準備階段以預防為主。主要工作涉及識別機構、企業的風險,建立安全政策,建立協作體系和應急制度。按照安全政策配置安全設備和軟件,為應急響應與恢復準備主機。依照網絡安全措施,進行一些準備工作,例如,掃描、風險分析、打補丁等。如有條件且得到許可,可建立監控設施,建立數據匯總分析體系,制定能夠實現應急響應目標的策略和規程,建立信息溝通渠道,建立能夠集合起來處理突發事件的體系。
檢測階段:檢測階段主要檢測事件是已經發生的還是正在進行中的,以及事件產生的原因。確定事件性質和影響的嚴重程度,以及預計采用什么樣的專用資源來修復。選擇檢測工具,分析異常現象,提高系統或網絡行為的監控級別,估計安全事件的范圍。通過匯總,查看是否發生了全網的大規模事件,從而確定應急等級及其對應的應急方案。
抑制階段:抑制階段的主要任務是限制攻擊/破壞波及的范圍,同時也是在降低潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上的,抑制活動必須結合檢測階段發現的安全事件的現象、性質、范圍等屬性,制定并實施正確的抑制策略。
根除階段:根除階段的主要任務是通過事件分析找出根源并徹底根除,以避免攻擊者再次使用相同的手段攻擊系統,引發安全事件。并加強宣傳,公布危害性和解決辦法,呼吁用戶解決終端問題。加強監測工作,發現和清理行業與重點部門問題。
恢復階段:恢復階段的主要任務是把被破壞的信息徹底還原到正常運作狀態。確定使系統恢復正常的需求內容和時間表,從可信的備份介質中恢復用戶數據,打開系統和應用服務,恢復系統網絡連接,驗證恢復系統,觀察其他的掃描,探測可能表示入侵者再次侵襲的信號。一般來說,要想成功地恢復被破壞的系統,需要干凈的備份系統,編制并維護系統恢復的操作手冊,而且在系統重裝后需要對系統進行全面的安全加固。
總結階段:總結階段的主要任務是回顧并整合應急響應過程的相關信息,進行事后分析總結和修訂安全計劃、政策、程序,并進行訓練,以防止入侵的再次發生。基于入侵的嚴重性和影響,確定是否進行新的風險分析,給系統和網絡資產制作一個新的目錄清單。這一階段的工作對于準備階段工作的開展起到重要的支持作用。
黑客的入侵策略有:
針對數據驅動實施攻擊:表面看來無害的特殊程序在被發送或復制到網絡主機上被執行發起攻擊時,就會發生數據驅動攻擊。舉個例子,你收到一個文件,該文件無法被打開,放到殺毒軟件中檢測也屬于正常文件,但黑客會利用他發起數據驅動攻擊,這種攻擊也很難被防御。
非法利用系統文件進行攻擊:這主要是針對你的系統如Boot.ini等文件,這樣會導致你的計算機在你無法感知的情況下死機。或他們會直接將你的系統盤格式化。
針對信息協議弱點攻擊:IP地址的源路徑選項允許IP數據包自己選擇一條通往系統目的的路徑。設想攻擊者試圖與防火墻后面的一個不可到達主機A連接。他只需要在送出的請求報文中設置IP源路徑選項,使報文有一個目的地址指向防火墻,而最終地址是主機A。防火墻的IP層處理改報文的源路徑被改變,并發送到內部網上,報文就這樣到達了不可到達的主機A。
遠端操縱:缺省的登陸界面(shellscr-ipts),配置和客戶文件是另一個問題區域,它們提供了一個簡單的方法來配置一個程序的執行環境。這有時會引起遠端操縱的攻擊:在被攻擊主機上啟動一個可執行程序,該程序顯示一個偽造的登陸界面。當用戶在這個偽裝的截面上輸入登陸信息后,該程序將用戶輸入的信息傳送到攻擊者主機,然后關閉界面給出提示信息說“系統故障”,要求用戶重新登錄。此后,才會出現真正的登錄界面。
重新發送攻擊:收集特定的IP數據包,纂改其數據,然后再一一重新發送,欺騙接收的主機。
對ICMP報文的攻擊:盡管比較困難,黑客們有時也使用ICMP報文進行攻擊。重定向信息可以改變路由列表,路由器可以根據這些信息建議主機走另一條更好的路徑。攻擊者可以有效地利用重定向消息把連接轉向一個不可靠的主機或路徑,或使多有報文通過一個不可靠主機來轉發。對付這種威脅的方法是對多有ICMP重定想報文進行過濾,有的路由軟件可對此進行配置。單純地拋棄所有重定向報文是不可取的:主機和路由器常常會用到它們,如一個路由器發生故障時。
網絡安全瀏覽器安全策略有以下這些:
DOM的同源策略:同源策略是指除非JavaScript所處的兩個頁面的協議、DNS域名、端口都完全一致,否則兩個獨立的JavaScript運行環境不能訪問彼此的DOM。這種由協議—域名—端口3個元素組合在一起的算法被稱為“源”。
Cookie的安全策略:對任何Cookie設置一個特定的path值,只有請求的路徑與Cookie里的path參數相吻合時,才可以使用該Cookie。使用path限制Cookie作用域可以減小Cookie被盜用的可能性。
瀏覽器沙盒機制:沙盒是按照安全策略限制程序行為的執行環境。可疑程序在沙盒環境中運行,沙盒記錄其每一項操作,當程序運行結束后,沙盒運行回滾機制,將程序的痕跡和動作抹去,恢復至初始狀態。
白名單制度:由網站開發者明確告訴客戶端,哪些外部資源可以加載和執行。CSP(內容安全策略)的實現和執行全部由瀏覽器完成,網站開發者只需要進行配置。CSP大大增強了網頁的安全性,攻擊者即使發現了漏洞,注入了惡意代碼,也由于CSP的存在導致惡意代碼在其他用戶瀏覽器上無法生效。
XMLHttpRequest同源策略:XMLHttpRequest對象提供了對HTTP協議的完全的訪問,包括做出POST和HEAD請求以及普通的GET請求的能力。XMLHttpRequest可以同步或異步地返回Web服務器的響應,并且能夠以文本或者一個DOM文檔的形式返回內容。
register_ globals = off
有些程序例如OSC需要啟用全局變量.這個設置的作用是關閉自動注冊的全局變量,在設置為On的時候, php會將$_ POST , $_ GET, $_ COOKIE, $_ ENV , $_ SESSION數組中的$key= > $value直接注冊為變量,比如$_ POST[‘username’]就會被注冊為$username.
short_ open. tag = On
這個設置決定是否允許使用PHP代碼開始標志的縮寫形式( ).如果禁用了,必須使用PHP代碼開始
標志的完整形式( )。
本指令也會影響到縮寫形式<?= ,它和<? echo等價。使用此縮寫需要short _open, _tag 的值為On。從
PHP 5.4.0起,<?=總是可用的。
處理方法過程如下:
定位時間和范圍:掃描WebShell位置;定位文件創建的時間;檢查Web根目錄.htaccess文件;
網絡日志審計:例如查看access.log(/var/log/nginx),下載到本地審計;
突破分析:分析可能存在突破的地方,復現突破GetShell;
漏洞修復:清除WebShell并修復漏洞;
對系統和Web應用進行安全加固。
蠻力攻擊(Brute-force attack),又稱為蠻攻、窮舉攻擊(Exhaustive attack)或暴力破解,是一種密碼分析的方法,主要精神是透過軟件逐一測試可能的密碼,直到找出真正的密碼為止況。蠻力攻擊有以下這些攻擊方式:
字典攻擊:字典攻擊使用可能的密碼字典并對所有密碼進行測試。黑客沒有使用詳盡的密鑰搜索來嘗試所有可能的組合,而是從假定通用密碼開始。他們建立了一個密碼字典并迭代輸入。通過這種方法,黑客無需再隨機攻擊網站。相反,他們可以獲取密碼列表以提高成功的機會。字典攻擊通常需要針對多個目標進行大量嘗試。
簡單蠻力攻擊:一種簡單的暴力攻擊可用來訪問本地文件,因為對訪問嘗試的次數沒有限制。攻擊的規模越大,進入的機會就越成功。簡單的暴力攻擊會一次循環輸入所有可能的密碼。
混合暴力攻擊:混合暴力攻擊結合了字典和簡單暴力攻擊的各個方面。它從外部邏輯開始,例如字典攻擊,然后繼續修改密碼,類似于簡單的蠻力攻擊。混合攻擊使用一個密碼列表,而不是測試每個密碼,它會創建并嘗試對密碼列表中的單詞進行小的修改,例如更改大小寫和添加數字。
反向蠻力攻擊:反向暴力攻擊會顛倒猜測密碼的方法。與其猜測密碼,不如使用密碼,而是嘗試使用一種通用的用戶名。
憑證回收:聽起來,憑證回收會重用密碼。由于許多機構不使用密碼管理器或沒有嚴格的密碼策略,因此密碼重用是獲得帳戶訪問權限的簡便方法。由于這些網絡攻擊完全取決于從數據泄露中獲得的二手憑證列表,因此它們的成功率很低。定期更新用戶名和密碼,以限制憑據被盜的有效性至關重要。
彩虹表攻擊:Rainbow Table攻擊不針對密碼,因此具有獨特性。相反,它們用于定位哈希功能,該功能對憑據進行加密。該表是純文本密碼和相應的哈希值的預先計算的字典。然后,黑客可以查看哪些純文本密碼會產生特定的哈希并將其公開。用戶輸入密碼時,它將轉換為哈希值。如果輸入的密碼的哈希值與存儲的哈希值匹配,則用戶進行身份驗證。Rainbow table攻擊利用了這一過程。
防止被蠻力攻擊的措施有以下這些:
確保服務器密碼是唯一的,保證內網每一臺服務器的登錄密碼都是唯一的,不能讓不同服務器使用相同的登錄密碼,以防止一臺設備密碼丟失連帶多臺設備;
服務器管理員在設置密碼時不能設置為自己常用的密碼,并且不能將密碼記錄在自己的移動設備上;
使用長密碼請不要使用少于12個字符的內容,密碼越短,破解它們所需的時間和精力就越少;
使用組合不要只是輸入單詞或短語,利用完整的ASCII編碼來完善密碼口令;
經常更改密碼不要長時間使用同一個密碼,要經常修改但是不要規律性修改;
不用使用服務器默認口令,服務器默認口令都是弱密碼很容易就被破解,需要及時更改;
DNS域名空間中存在以下幾種服務器:
根服務器:用“. ”表示,位于整個域名空間的最上層,主要用來管理根域和頂級域名。目前世界上一共有13臺計算機作為根服務器。
緩存域名服務器:域名系統中的域名服務器把不是它們授權管理的遠程域名信息保存在自己的緩存中。遇到域名查詢時,首先查找緩存中的記錄,如果找到該記錄,則把結果返回給客戶端;否則,按照DNS的查找規則進一步查找。緩存服務器只用來緩存DNS域的信息,沒有本地的域名數據庫,不管理任何域名信息。
主域名服務器:每個域必須有一個主域名服務器。該域的所有DNS數據庫文件的修改都在這臺服務器上進行。主域名服務器管理對其子域的授權,并且對該域中的輔助域名服務器進行周期性的更新和同步。
輔助域名服務器:每個域至少應有一個輔助域名服務器。輔助域名服務器從相應的主域名服務器獲得所有域名數據庫文件的副本,并對所有服務的域提供和主域名服務器一樣的授權信息。
轉發域名服務器:轉發域名服務器是主域名服務器和輔助域名服務器的一種變形,負責所有非本地域名的非本地查詢。如果在網絡中存在一臺轉發域名服務器,則所有對非本地域名的查詢將先轉發給它,再由轉發域名服務器進行域名解析。
云計算平臺面臨的安全威脅包括以下這些:
數據丟失、篡改或泄露:在云計算環境下,數據的實際存儲位置可能在境外,易造成數據泄露。云計算系統聚集了大量云租戶的應用系統和數據資源,容易成為被攻擊的目標,云計算系統一旦遭受攻擊,會導致嚴重的數據丟失、篡改或泄露。
網絡攻擊:云計算基于網絡提供服務,應用系統都放置于云端;一旦攻擊者獲取到用戶的身份驗證信息,假冒合法用戶,那么用戶的云中數據將面臨被竊取、篡改等威脅;DDoS攻擊也是云計算環境中最主要的安全威脅之一,攻擊者發起一些關鍵性操作來消耗大量的系統資源,如進程、內存、硬盤空間、網絡帶寬等,導致云服務反應變得極為緩慢或者完全沒有響應。
利用不安全接口的攻擊:攻擊者利用非法獲取的接口訪問密鑰,將能夠直接訪問用戶數據,導致敏感數據泄露;通過接口實施注入攻擊,進行篡改或者破壞用戶數據;通過接口的漏洞,攻擊者可繞過虛擬機監視器的安全控制機制,獲取到系統管理權限,將給云租戶帶來無法估計的損失。
云服務中斷:云服務基于網絡提供服務,當云租戶把應用系統遷移到云計算平臺后,一旦與云計算平臺的網絡連接中斷或者云計算平臺出現故障,造成服務中斷,將影響到云租戶應用系統的正常運行。
越權、濫用與誤操作:云租戶的應用系統和業務數據處于云計算環境中,云計算平臺的運營管理和運維管理歸屬于云服務提供商,運營管理和運維管理等人員的惡意破壞或誤操作在一定程度上會造成云租戶應用系統的運行中斷和數據丟失、篡改或泄露。
濫用云服務:面向公眾提供的云服務可向任何人提供計算資源,如果管控不嚴格,不考慮使用者的目的,很可能被攻擊者利用,如通過租用計算資源發動拒絕服務攻擊。
利用共享技術漏洞進行的攻擊:由于云服務是多租戶共享,如果云租戶之間的隔離措施失效,一個云租戶有可能侵入另一個云租戶的環境,或者干擾其他云租戶應用系統的運行;而且,很有可能出現專門從事攻擊活動的人員繞過隔離措施,干擾、破壞其他云租戶應用系統的正常運行。
過度依賴:由于缺乏統一的標準和接口,不同云計算平臺上的云租戶數據和應用系統難以相互遷移,同樣也難以從云計算平臺遷移回云租戶的數據中心;另外,云服務方出于自身利益考慮,往往不愿意為云租戶的數據和應用系統提供可移植能力。這種對特定云服務提供商的過度依賴可能導致云租戶的應用系統隨云服務提供商的干擾或停止服務而受到影響,也可能導致數據和應用系統遷移到其他云服務提供商的代價過高。
數據殘留:云租戶的大量數據存放在云計算平臺上的存儲空間中,如果存儲空間回收后剩余信息沒有完全清除,存儲空間再分配給其他云租戶使用容易造成數據泄露;當云租戶退出云服務時,由于云服務提供商沒有完全刪除云租戶的數據,包括備份數據等,帶來數據安全風險。
保證云計算安全的方法有以下這些:
可信訪問控制技術:云計算模式下,云服務提供商是否忠實執行用戶定義的訪問控制策略十分重要。在云計算模式下,如何針對云計算特點,實施有效的訪問控制手段,包括傳統的和最新發展的手段,實施可靠、可信的訪問控制,是需要解決的重要問題。
密文檢索與處理:因為一般加密機制不支持對密文的直接操作,所以數據加密在確保數據隱私的同時,也導致傳統的對數據的分析和處理方法失效。比如數據被加密,即使執行一個簡單的計數查詢,通常也需要把全部的數據下載到本地,實施解密操作后才能執行。密文的檢索與處理研究是當前的一個工作重點,典型方法有基于安全索引和基于密文掃描的方法,秘密同態加密算法設計也是當前一個研究重點。
數據存在與可使用性證明:由于大規模數據所導致的巨大通信代價,用戶不可能將數據下載后再驗證其正確性。因此,云用戶需要在取回很少數據的情況下,通過某種知識證明協議或概率分析手段,以高置信概率判斷遠端數據是否完整,如數據持有證明方法。
數據安全和隱私保護:數據安全和隱私保護涉及數據生命周期的每一個階段。數據生成與計算、數據存儲和使用、數據傳輸、數據銷毀等不同階段,都需要有隱私保護機制,幫助用戶控制敏感數據在云端的使用。
虛擬化安全技術:虛擬化技術是實現云計算的關鍵核心技術,使用虛擬化技術的云計算平臺上的云架構提供者必須向其客戶提供安全性和隔離保證。
虛擬機隔離機制:在虛擬化環境中,虛擬機之間隔離的有效性標志著虛擬化平臺的安全性。虛擬機的隔離機制目的是保障各虛擬機獨立運行、互不干擾,因此,若隔離機制不能達到預期效果,當一個虛擬機出現性能下降或發生錯誤時,就會影響到其他虛擬機的服務性能,甚至會導致整個系統的癱瘓。
虛擬機信息流控制:信息流是指信息在系統內部和系統之間的傳播和流動,信息流控制是指以相應的信息流策略控制信息的流向。信息流控制策略一般包括數據機密性策略和完整性策略,機密性策略是防止信息流向未授權獲取該信息的主體,完整性策略是防止信息流向完整性高的主體或數據。信息流控制機制實現的核心思想是將標簽附著在數據上,標簽隨著數據在整個系統中傳播,并使用這些標簽來限制程序間的數據流向。機密性標簽可以保護敏感數據不被非法或惡意用戶讀取,而完整性標簽可以保護重要信息或存儲單元免受不可信或惡意用戶的破壞。
虛擬網絡:虛擬網絡映射問題是網絡虛擬化技術研究中的核心問題之一,它的主要研究目標是在滿足節點和鏈路約束條件的基礎上,將虛擬網絡請求映射到基礎網絡設施上,利用已有的物理網絡資源獲得盡可能多的業務收益。虛擬網絡映射分為節點映射和鏈路映射兩個部分。節點映射是將虛擬網絡請求中的節點映射到物理網絡中的節點上,而鏈路映射是指在節點映射階段完成后,將虛擬網絡請求中的鏈路映射到所選物理節點之間的物理路徑上。
虛擬機監控:基于虛擬機的安全監控技術有不同于傳統安全監控技術的特點及優點。首先,基于虛擬機的安全監控是通過在母盤操作系統中部署安全監控系統來達到監控各個虛擬子系統的目的,并不需要在每個子系統中都部署單獨的監控系統,系統部署較為方便,系統本身也不易受到黑客的直接攻擊。此外,基于虛擬機的安全監控不需要對被監控系統進行修改,保證了虛擬子系統運行環境的穩定。虛擬機監控可分為進程監控、文件監控和網絡監控。進程可以描述計算機系統中的所有活動,通過對進程進行監控能夠對可疑的活動進行及時的發現和終止;文件是操作系統中必不可少的部分,操作系統中的所有數據都以文件的方式存放,特別是系統文件在遭到惡意修改后會帶來不可逆轉的破壞,因此有必要對文件系統進行監控;網絡是計算機和外部通信的媒介,也是黑客進行破壞的有效途徑,如果對網絡數據做到全方位的監控,必然能對整個虛擬機環境提供有效的保護。
網絡安全空間由以下部分組成:
網絡設備:網絡空間是由計算機、智能終端、路由器、交換機、纜線等硬件設備聯網構成的電子空間,這些硬件設備是構成網絡空間的物理層。一些聯網的移動終端如手機、移動電腦也是構成網絡空間的一部分。以上的所有設備都統稱為網絡設備。
軟件和協議:軟件和協議用于幫助設備之間處理和傳輸信息,沒有軟件和協議的幫助,任何設備都不可能成為網絡空間的一部分。軟件是一系列按照特定順序組織的計算機數據和指令的集合。軟件主要是給計算機系統或用戶提供一系列的功能或特定的功能。協議則是為了在計算機網絡中進行數據交換而建立的規則、標準或約定的集合。協議主要規定了數據如何發送、設備之間如何建立連接,簡單來說就是按照怎樣的順序做怎樣的事。
信息:從廣義上來說,信息可以泛指人類社會傳播的一切內容。對于計算機網絡來講,信息主要是指電子線路中傳輸的信號。網絡最重要的意義在于處理、存儲和傳輸信息,因此網絡設備上生成、存儲和傳輸的信息是網絡空間的必備要素。網絡上的信息主要表現為電子數據形態。
網絡主體:網絡空間的主體非常廣泛,包括網絡建設者、運營者、服務提供者、監督管理者、用戶等。其中最主要的是網絡服務提供者和用戶。
網絡行為:網絡空間是虛擬的電子空間,人們通過實施各種網絡行為與其他網絡主體發生社會關系,形成人與人、人與計算機的互動。網絡行為主要包括網絡信息行為和網絡技術行為。網絡信息行為以信息為對象,例如,訪問瀏覽網頁信息、下載和上傳信息、播放網絡音/視頻、接收或發送電子郵件、入侵或破壞信息系統、竊取或篡改信息等。網絡技術行為主要有網絡技術開發、網絡維護、程序的升級等。正是因為有人的活動,才使網絡社會得以形成。
