SWIM訪問控制框架執行包括以下階段:
服務請求者根據服務信息的命名規則構建相應的NAR,通過傳輸路徑中各節點的FIB找到含有請求信息或對應副本的SWIM服務節點,并將NAR傳送給該節點中的PEP模塊中。
PEP將接收到的NAR交至上下文處理器,上下文處理器依據NAR所攜帶的訪問請求信息,向AA請求所需的用戶、資源等屬性,并利用這些屬性構建相應的AAR傳輸給PDP模塊。
PDP模塊依據AAR中所請求服務信息的命名,向PAP請求相匹配的訪問策略,并根據AAR中所攜帶的請求者屬性集和操作類型、所返回策略中的訪問結構以及當前網絡環境來判定權限,最后將判定結果返回給上下文處理器。
上下文處理器對接收到的基于屬性的判定結果進行格式轉換,并將轉換后結果返回給PEP。
若判定結果為允許訪問,則PEP從本地CS中獲取相應的服務信息返回給請求者;若判定結果為拒絕訪問,PEP將返回相應的失敗信息。
態勢感知需要考慮以下關鍵能力的應用與建設:
實戰化安全運行:一支組織明確、技能合格的運行團隊應該利用面向實戰化支撐的態勢感知平臺,通過高效的安全運營流程和規程,既能通過日常的安全運行工作消除隱患,提升政企安全防護水平,又能從容應對安全事件。
采用AOH框架進行信息采集和分析:通過采用AOH框架,將分析工作建立在3個關鍵的認知結構基礎上:動作、觀察、假設。3個認知結構相互迭代并形成推理的周期,循環迭代。
自動化模擬攻擊:能夠對縱深防御的各個環節進行自動化驗證的技術與能力。通過自動化方式,極大地提升模擬攻擊的效率與準確性。
可視化交互分析:具有對多源頭、多維度數據進行綜合分析并以可視化方式展現的能力。通過可視化交互分析,分析人員可以進行高效的安全事件分析、研判、溯源、驗證等。
多源威脅情報處理:能夠接收不同來源的威脅情報并通過處理生成適合政企用戶的有針對性的威脅情報。
安全編排與自動化響應:依靠編排的能力通過預定義的安全預案和劇本驅動各類安全設備和分析手法,并利用威脅情報快速響應和處置安全事件。
威脅狩獵:通過可視化、自動化等大數據分析和挖掘技術發現潛在的威脅。
企業監測APT攻擊的方式有以下這些:
異常檢測:這一方案是同時解決兩大問題的,即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型,通過將所有數據量與這一標準模型進行對比,從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的,由于警察并不知道壞人的姓名,性別,長相已經其他行為特征,但是警察是知道好人的行為特征的,他可以利用這些行為特征建立一個可行的標準模型,當一個人的行為特征與現有的好人的行為特征模型大部分不相符時,警察就可以判斷這個人不是個好人,是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。
基于連接特征的惡意代碼檢測:是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。
全流量審計:這一方案是解決無線接入點問題的,即是為了解決傳統特征匹配不足而產生的解決方案。這一方案的核心思想是通過對檢測到的流量進行應用識別,還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原,識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時,回溯分析與之相關的流量。包含了大數據存儲處理,應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力,是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。
基于記憶的檢測系統:這是一個由全流量審計與日志審計相結合形成的系統,APT 攻擊發生的時間很長,我們應該對長時間內的數據流量進行更加深入,細致的分析。
沙箱:這一方案是為了解決高級入侵手段引起的問題的,即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用 0day 漏洞,使特征碼的匹配不成功,這樣我們就可以對癥下藥使用非特征匹配,利用沙箱技術識別 0day 漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱,通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控,監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術,沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。
基于深層次協議解析的異常識別:可以仔細檢查發現是哪一種協議,一個數據在哪個地方出現了異常,直到找出它的異常點時停止檢測。
攻擊溯源:通過已經提取出來的網絡對象,可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序,可以幫助我們迅速的發現攻擊源。
屏蔽子網結構防火墻的主機組成部分有以下功能:
周邊網絡:這種結構中周邊網絡是一個防護層,在其上可放置一些信息服務器,它們是犧牲主機,可能會受到攻擊,因此又被稱為非軍事區(Demilitarized Zone,DMZ)。周邊網絡的作用是即使堡壘主機被入侵者控制,它仍可阻止入侵者對內部網的偵聽。
堡壘主機:堡壘主機位于周邊網絡,是整個防御體系的核心。堡壘主機可被認為是應用層網關,可以運行各種代理服務程序。對于出站服務不一定要求所有的服務都經過堡壘主機代理,但對于入站服務應要求所有服務都通過堡壘主機。
外部路由器(訪問路由器):外部路由器的作用是保護周邊網絡和內部網絡不受外部網絡的侵犯。它可以把入站的數據包路由到堡壘主機。為了防止部分IP欺騙,它可以分辨出數據包是否真正來自周邊網絡,而內部路由器則無法做到。
內部路由器(阻塞路由器):內部路由器的作用是保護內部網絡不受外部網絡和周邊網絡的侵害,它執行大部分過濾工作。外部路由器一般與內部路由器應用相同的規則。屏蔽子網結構防火墻的主要優點是安全性高。若攻擊者試圖破壞防火墻,他必須重新配置連接三個網的路由,既不能切斷連接,同時又不能使自己被發現,難度系數高。
信息系統安全管理體系各組成部分的關系具體如下:
信息系統的安全目標由與國家安全相關的法律法規、機構組織結構、機構的業務需求等因素確定;
將安全目標細化、規范化為安全需求,安全需求再按照信息資產(如業務功能、數據)的不同安全屬性和重要性進行分類;
安全需求分類后,要分析系統可能受到的安全威脅和面臨的各種風險,并對風險的影響和可能性進行評估,得出風險評估結果;
根據風險評估結果,選擇不同的應對措施和策略,以便管理和控制風險;
制定安全計劃;
設定安全策略和相應的實現策略的機制;
實施安全措施。
有漏洞掃描工具的廠商如下:
安恒信息;
榕基;
啟明星辰;
綠盟科技;
銥迅信息;
極地銀河;
藍盾;
WebRay遠江;
江南天安;
杭州迪普;
天融信;
交大捷普;
安犬漏洞掃描云平臺;
經緯信安;
上海觀安;
中鐵信睿安;
斗象科技;
宿州東輝;
四葉草安全;
恒安嘉新;
安天;
藍盾;
君眾甲匠;
博智軟件;
中科網威;
立思辰;
六壬網安;
安普諾。
AWVS可以掃描以下但不止以下類型的漏洞:
SQL注入
SQL注入就是通過把SQL命令插入到Web表單,遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令的目的。
XSS(跨站腳本攻擊)
跨站腳本攻擊(CrossSiteScripting,縮寫為XSS),為了不與層疊樣式表(CascadingStyleSheets)的縮寫CSS混淆,故將跨站腳本攻擊縮寫為XSS。XSS是一種經常出現在Web應用中的計算機安全漏洞,其允許惡意Web用戶將代碼植入到提供給其他用戶使用的頁面中,這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞進行非法訪問控制——例如同源策略(SameOriginPolicy)。這種類型的漏洞由于被黑客用來編寫危害性更大的網絡釣魚(Phishing)攻擊,所以廣為人知。對于跨站腳本攻擊,黑客界的共識是:跨站腳本攻擊是新型的“緩沖區溢出攻擊”,而JavaScript是新型的“ShellCode”。
文件上傳
文件上傳漏洞是指用戶上傳一個可執行的腳本文件,并通過此腳本文件獲得了執行服務器端命令的能力。這種攻擊方式是最為直接和有效的,有時幾乎不具有技術門檻。“文件上傳”本身沒有問題,有問題的是文件上傳之后服務器怎么處理、解釋文件。如果服務器的處理邏輯做得不夠安全,則會有嚴重的不安全隱患。
文件下載
可以下載網站所有的信息數據,包括源碼、網站的配置文件等信息。
目錄遍歷
如果Web設計者設計的Web內容沒有恰當的訪問控制,允許HTTP遍歷,攻擊者就可以訪問受限的目錄,并可以在Web根目錄以外執行命令。
本地文件包含(LocalFileInclude)
這是PHP腳本的一大特色,程序員們為了開發方便常常會用到包含。比如把一系列功能函數都寫進fuction.php中,之后當某個文件需要調用時就直接在文件頭中寫上一句<?phpinclude(“fuction.php”);?>,然后調用內部定義的函數。本地包含漏洞是PHP中一種典型的高危漏洞。由于程序員未對用戶可控的變量進行輸入檢查,導致用戶可以控制被包含的文件名,當被成功利用時可以使WebServer將特定文件當成PHP腳本執行,從而導致用戶獲取一定的服務器權限。7.遠程文件包含服務器通過PHP的特性(函數)去包含任意文件時,由于要包含的文件來源過濾不嚴,可以包含一個惡意文件,而我們可以構造這個惡意文件達到滲透系統的目的。幾乎所有的CGI程序都有這樣的Bug,只是具體的表現方式不一樣罷了。
全局變量覆蓋
register_globals是PHP中的一個控制選項,可以設置成Off或者On,默認為Off,決定是否將EGPCS(EGPCS是Environment、GET、POST、Cookie、Server的縮寫)變量注冊為全局變量。如果打開register_globals,客戶端提交的數據中含有GLOBALS變量名,就會覆蓋服務器上的$GLOBALS變量。
代碼執行
由于開發人員編寫源碼時沒有針對代碼中可執行的特殊函數入口做過濾,導致客戶端可以提交惡意構造語句,并交由服務器端執行。Web服務器沒有過濾類似system()、eval()、exec()等函數是該漏洞攻擊成功的最主要原因。10.信息泄露由于代碼編寫不嚴謹或應用固有的功能,造成網站服務器信息被非法獲取,但這只是一個低危漏洞。、
弱口令
弱口令的危害就猶如你買了一個高級保險箱,什么刀斧工具都破壞不了它,但遺憾的是你把鑰匙掛在了門上。常見的弱密碼出現在個人郵箱、網游賬號、系統口令等環境。
跨目錄訪問
開發人員沒有正確地限制能夠訪問存儲系統的網頁路徑。通常,跨目錄攻擊的受害者大多是社交網站,或者是全球性的Web服務器。因為在同一個Web服務器上可能為不同的用戶或部門分配不同的目錄。例如,每個MySpace用戶都有一個個人的網絡空間。此時,如果使用Cookie或者DOM存儲,就可能產生跨目錄攻擊。
緩沖區溢出
緩沖區溢出是一種非常普遍、非常危險的漏洞,在各種操作系統、應用軟件中廣泛存在。利用緩沖區溢出攻擊會導致程序運行失敗、系統宕機、重新啟動等后果。更為嚴重的是,可以利用它執行非授權指令,甚至可以取得系統特權進而進行各種非法操作。
Cookies欺騙
Cookies能夠讓網站服務器把少量數據儲存到客戶端的硬盤,或從客戶端的硬盤讀取數據。當你瀏覽某網站時,由Web服務器置于你硬盤上一個非常小的文本文件,它可以記錄你的用戶ID、密碼、瀏覽過的網頁、停留的時間等信息。當你再次來到該網站時,網站通過讀取Cookies得知你的相關信息,就可以做出相應的動作,如在頁面顯示歡迎你的標語,或者讓你不用輸入ID、密碼就可以直接登錄等。從本質上講,它可以看作是你的身份證。但Cookies不能作為代碼執行,也不會傳送病毒,為你所專有,且只能由提供它的服務器來讀取。保存的信息片斷以“名/值對”(Name-ValuePairs)的形式儲存,一個“名/值對”僅僅是一條命名的數據。Cookies欺騙就是修改其中保存的信息,從而實現某些特殊的目的。
反序列化
如果服務端程序沒有對用戶可控的序列化代碼進行校驗,而是直接進行反序列化使用,并且在程序中運行一些比較危險的邏輯(如登錄驗證等),那么就會觸發一些意想不到的漏洞。比如經典的有Weblogic反序列化和Joomla反序列化漏洞。16.CSRF(跨站請求偽造)攻擊者通過用戶的瀏覽器注入額外的網絡請求,破壞一個網站會話的完整性。瀏覽器的安全策略是允許當前頁面發送到任何地址,因此也就意味著當用戶在瀏覽其無法控制的資源時,攻擊者可以控制頁面的內容來控制瀏覽器,發送其精心構造的請求。17.命令注入系統對用戶輸入的數據沒有進行嚴格過濾就運用,并且使用bash或cmd執行。
web網站的安全設計原則可以從以下方面考慮:
網絡拓撲結構:合理的拓撲結構能夠有效地抑制黑客攻擊,即便在黑客攻擊后,也能使得攻擊的影響能降低到最小程度。
安全原則:用戶認證、賬號管理、加密傳輸等原則的綜合部署和使用,能從根本上多層面地增強網站的健壯性,數據的完整性和可靠性,從而保證網絡和信息的安全。
審計和追蹤:強大和適時的審計與追蹤,能夠使得網站的防御體系能夠盡快地從黑客攻擊中解脫出來,完成對黑客的追蹤,并通過相應的手段來增強網站的抗攻擊性。
備份和災難恢復:能夠保證在黑客攻擊以及自然災害下,網站系統可以不間斷地運行。
自我漏洞挖掘及防護:能夠周期性、自發地對Web系統的漏洞進行自我挖掘,并根據挖掘的漏洞,通過各種安全機制和補丁等方式進行防護,以有效地避免“零日攻擊”等。
合法監聽場景的安全需求如下:
當合法監聽功能不可用時,能夠通過快速監測和LI業務缺失報告及時觸發修正流程,確保功能可用。
目標列表作為關鍵信息應該受到保護,僅有恰當的LI功能才能對其進行讀取或修改。監聽產品到執法機構(LEA,Law Enforcement Agencies)的遞交路徑也應保證機密性。
宿主業務的信任需要來自外部實體,可以是NFV平臺內部的可信計算平臺模塊或外部可信實體,此時需要使用LI功能硬件鑒別信任根。
需要保證元數據、流程及相關元數據的機密性。
需要隱藏資源使用情況,當LI發生時可以減少被察覺的概率。當LI開始或結束時,要求未授權實體幾乎察覺不到任何變化。另外,LI流量統計數據不應輕易被判別出來。
管理和監聽產品遞交均應保證安全的通信。
應保證目標列表的安全存儲。
需要確保工作負載配置策略正確且合理,如當業務遷移時確保目標業務不會遷移到LI不能或不宜實施的點。
只能在已得到相關授權的國家實施。
屏蔽子網結構防火墻的主機組成部分有以下功能:
周邊網絡:這種結構中周邊網絡是一個防護層,在其上可放置一些信息服務器,它們是犧牲主機,可能會受到攻擊,因此又被稱為非軍事區(Demilitarized Zone,DMZ)。周邊網絡的作用是即使堡壘主機被入侵者控制,它仍可阻止入侵者對內部網的偵聽。
堡壘主機:堡壘主機位于周邊網絡,是整個防御體系的核心。堡壘主機可被認為是應用層網關,可以運行各種代理服務程序。對于出站服務不一定要求所有的服務都經過堡壘主機代理,但對于入站服務應要求所有服務都通過堡壘主機。
外部路由器(訪問路由器):外部路由器的作用是保護周邊網絡和內部網絡不受外部網絡的侵犯。它可以把入站的數據包路由到堡壘主機。為了防止部分IP欺騙,它可以分辨出數據包是否真正來自周邊網絡,而內部路由器則無法做到。
內部路由器(阻塞路由器):內部路由器的作用是保護內部網絡不受外部網絡和周邊網絡的侵害,它執行大部分過濾工作。外部路由器一般與內部路由器應用相同的規則。屏蔽子網結構防火墻的主要優點是安全性高。若攻擊者試圖破壞防火墻,他必須重新配置連接三個網的路由,既不能切斷連接,同時又不能使自己被發現,難度系數高。
外網可以借助以下辦法來訪問內網系統或者文件、服務器等:
使用防火墻等安全設備來加固內網安全來減少泄露和外部攻擊;
劃分網絡邊界留下安全區來交換文件;
使用內網穿透代理軟件來進行訪問;
借助網絡準入控制模塊來解決;
借助內外網安全交換系統。
電子商務安全隱私保護技術有以下這些:
匿名信息技術:所謂的匿名信息技術指的是隱去住址、電話、姓名等一些個人信息數據。一般情況下,這些數據都會被系統自動保存起來。但是系統的匿名信息,不一定能夠做到真正意義上的匿名。在調查研究中發現,匿名的數據信息比指紋更加容易識別一個人的身份。只需要從用戶的匿名信息中提取一部分數據就能夠對用戶的個人信息進行識別,但是在進行指紋識別的時候,則需要更多的信息。
社交網站匿名技術:社會網絡中,用戶的交互可以利用鏈接來實現其確立并加以表示。在簡單關系網絡中,通過對用戶鏈接的預測,可以預測出符合社會網絡的類型和關系。同時將產業聚集特征匯總,通過網絡關系能夠預測聚集特征的重要影響,可以對企業本地鏈接的密度增加聚類系數。匿名保護技術一直在向著有效抵抗推測類數據攻擊的方向發展。
數字水印技術:用戶信息安全越來越被人們重視,人們將一些特定的表示信息以不被人察覺的方式嵌入信息內部,這是一種不會造成影響的技術,也就是人們常說的數字水印。數據的形式決定了水印添加到數據庫中的方式不同,但是在數據信息內部的冗余信息依舊存在一些精準度上的差距。嵌入水印信息能夠在特定的環境下識別對象信息,或者特定技術對于數字水印進行不公開處理。
角色訪問控制技術:角色模式能夠進行權限關聯集合,從而實現用戶的授權功能和簡化權限功能的權限管理,也是訪問控制模式中最常應用的一種控制模式。在早期的權限管理中,根據企業的分工,在大場景模式的應用中,需要大量的人工參與和角色分配,加大了實際運用的難度。但是通過設計特征的提取與自動化算法的實現,設計的合理性與角色挖掘水平也有了很大的提高。
風險訪問控制技術:電子商務時代分析技術的出現,能夠幫助企業在發現安全威脅時更加具有主動性。電子商務安全所運用的安全工具中,能夠有效地檢測出自企業內部和外部的安全威脅,在電子商務時代的發展前景中,以企業和社會各界的信賴和依賴作為支撐信息安全服務系統的基礎,形成一個良好的生態環境。
建立私人信息保護機制的技術:如Cookies管理、提供匿名服務、防火墻和數據加密技術等。Cookies管理技術允許用戶管理Web站點放置在其硬盤上的Cookies。Cookies管理技術使用戶可以選擇禁用或有條件使用Cookie,以避免其私人信息泄露。提供匿名服務的技術通過代理或其他方式為用戶提供了匿名訪問和使用因特網的能力,使用戶在訪問和使用因特網的時候隱藏其身份和屬于個人隱私的信息。不過,不同的技術和隱私保護工具對私人信息保護的強度是不同的,而在防范別有用心的人蓄意獲取他人臆私的行為上尤其不同。
增強隱私政策的透明性:這類保護隱私的技術雖然不直接提供保護私人信息的能力,但能夠增加Web站點隱私政策的透明性,加強用戶在隱私政策上與站點的交流,從而有利于隱私保護,如P3P(Privacy Preferences Project)標準。在能夠使用P3P的Web站點上,用戶訪問該站點之前,瀏覽器首先把該站點的隱私政策翻譯成機器可識別的形式,然后把它傳遞給用戶,這樣用戶就可以基于該信息決定是否進入該網站。
保證NFS安全的使用原則有以下這些:
要考慮好總體的安全,拒絕所有的訪問,只有在需要的時候才提供訪問。也就是說,不要把NFS導出到任何主機,而只應該將它導出到所需要的主機,尤其是不要將文件系統導出到不信任的主機。用戶要盡量使用只讀(ro)權限導出文件系統,不要使用(rw)或者(no_root_squash)權限。
不要提供太多的根用戶賬號。特別要注意保證任何用戶都沒有NFS客戶機的根用戶賬號,如果具有的話,那么該客戶機將會具有最高的權限,會引起很大的安全問題,它可以修改任何它想修改的內容,這顯然是不安全的。而且用戶應該在NFS服務器上使用(root_squash)和(ro)選項。
盡量使用限制性的NFS客戶機方掛接選項,用只讀(ro)選項掛接文件系統,除非確實有必要,不然不要允許設置UID二進制文件(nosuid)、設備(nodev)和執行文件(noexec)。
要嚴格地控制好導出的目錄文件。這主要包括導出的數量以及導出的安全選項。導出的數量依據實際情況而定,避免導出過多的和不必要的選項。另外,要嚴格地控制好導出的安全選項,安全選項就是上面所描述的只讀(ro)、可寫(rw)和根用戶擠壓(root_ squash)等選項。
在導出的文件系統下的目錄的設置過程中,應當要注意一些控制的問題。在通常情況下,應該要將訪問權限一致的目錄和文件作為父目錄、子目錄,而訪問權限不一致的就另開一個目錄進行導出,這實際上就是一個管理的粒度問題。例如,現有4個目錄要進行導出,它們依次是 /direct1、/direct2、/direct3和/direct4。其中,前兩個目錄的訪問權限是只讀,而后面兩個目錄的訪問權限是可讀/寫的,那么,我們在導出的時候可以將/direct2作為/direct1的子目錄,放入/direct1中進行導出,然后設置共享權限為只讀。
云計算應用安全的防護策略如下:
構建安全的邏輯邊界:在典型云計算應用環境下,物理的安全邊界逐步消失,取而代之的是邏輯的安全邊界,應通過采用VPN和數據加密等技術,實現從用戶終端到云計算數據中心傳輸通道的安全;在云計算數據中心內部,采用VLAN以及分布式虛擬交換機等技術實現用戶系統、用戶網絡的安全隔離。
數據加密與安全存儲:采用數據加密技術實現用戶信息在云計算共享環境下的安全存儲與安全隔離;采用基于身份認證的權限控制方式,進行實時的身份監控、權限認證和證書檢查,防止用戶間的非法越權訪問。同時應做好剩余信息保護措施,存儲資源分配給新用戶(如虛擬機等)之前,需要進行完整的數據擦除,防止被非法恢復。
虛擬化技術等安全漏洞風險防范:通過采用虛擬防火墻、防惡意軟件和虛擬設備管理軟件對虛擬機環境實施安全策略,確保構建的虛擬網絡與構建的物理網絡一樣可靠、安全;采用版本和補丁管理控制機制防范虛擬化等安全漏洞引起的潛在安全隱患。
云服務提供商和用戶之間各盡其職:由于三種云計算應用模式(IaaS、PaaS、SaaS等)各具特點,以及云計算用戶對云計算資源的控制能力不同,使得云服務提供商和云計算用戶各自承擔的安全責任與職責也有所不同。
定期審計和進行滲透測試:定期審計和進行滲透測試可以幫助企業識別云系統中的漏洞。這樣,可以在漏洞被黑客利用之前修復。企業可以自己做這項工作,也可以請外部專家幫你做這項工作。
制定事件響應計劃:如果云上業務系統被黑客闖入,快速啟動事前制定好的響應計劃很重要。企業制定響應計劃應包括明確減小破壞、確定事件原因和恢復系統的步驟。如果客戶或用戶的數據泄露,還應該落實與對方進行溝通的計劃。
做好云數據備份:備份數據很重要,原因有兩個:首先,它可以幫助企業在受到黑客攻擊或丟失其他數據后能夠快速恢復。其次,它為企業提供了一份數據副本,必要時可用于恢復系統。因此,企業應該定期備份數據,并將備份內容存儲在安全的異地位置。
網絡安全審查辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。
網絡安全審查重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險,包括:
產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
產品和服務提供者遵守中國法律、行政法規、部門規章情況;
其他可能危害關鍵信息基礎設施安全和國家安全的因素。
