标签：防护 用户 信息安全 cisp 技术 day1 --- 安全 数据

信息安全的定义
为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露;保障信息不产生安全问题，保障信息的可用性
通讯传输安全：联网设备之间的通信收到保障，通信不会受到影响
网络安全：对信息进行收集、存储、传输、交换、处理
信息安全问题的根源
内因：系统复杂性导致漏洞的不可避免
外因：环境人为因素
信息安全的特性：系统性、动态性、无边界、非传统（传统安全：实体地区安全防护，实地防护，物理防护）

威胁情报分析案例
态势感知

提前可能预知到攻击，主动防御；监控全球的攻击，就可以判断是否会对自己造成影响；缺陷：只能监控到第二波攻击，第一波攻击是没有抵抗能力的
难点在于：信息收集过来怎么判断是否对我有影响

0day漏洞：没有补丁、只有少数人知道的系统漏洞
信息安全保障基础

信息安全属性
机密性©
完整性(i)
可用性(a)
其他属性
真实性、可问责性、不可否认性、可靠性
泄露：账号、身份信息、银行卡密码等等；只要产生了泄露，都算是机密性受到破坏
如何增加机密性，防止泄露？加密来实现机密性，密码学，对称加密、非对称加密，数字签名，数字认证
破坏了完整性：篡改、更改、修改；破坏信息的完整
怎么实现完整性：校验、哈希（MD5,SHA1） TCP/IP网络层叫做校验
只能发现数据是否被篡改，防止数据被篡改只能通过数据加密最有效
可用性攻击：DDOS攻击，破坏，删除；物理层面：断电、服务器受损，空调坏了，设备发热，不能继续工作
防止可用性攻击：冗余、灾难备份，两地三中心，CDN多节点的缓存服务
真实性攻击：欺骗，钓鱼网站、电信诈骗（我是xxx银行，网页地址非常相似但是不是相同的）；保护真实性：认证、鉴别；身份认证
可问责性：信源的追溯，审计，通过审计的方式找出做了什么；日志、记录：通过记录的手法对日志进行行程审计
不可抵赖（不可否认）：U盾，数字签名实现不可抵赖性；CA认证
可靠性：管理层面、技术层面
传输协议TCP可靠性协议，必须受到确认回复
审核公司机制，新兴公司是否有足够的能力来支撑，投标招标，设备后期维护，后期服务，稳定性好
国家关键基础设施，安全管理；网络战：军事战略
0day 纪录片 斯诺登风暴
NSA发起的棱镜计划（national security agency）
可信计算


企业视角：资产价值多少，能否接受损失，遭到破坏会损失多少，投入和回报的比例怎么样？风险评估；合规性：数据安全法、法律法规的合规，标准的合规性


个人隐私：电话、身份证号、购买记录、注册记录、账号密码、家庭住址

信息安全发展阶段：
通信安全：20世纪，40年代-70年代
主要关注传输过程中的数据保护，安全威胁：大仙窃听、密码学分析；核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性
计算机安全：20世纪70-90年代；主要关注数据处理额存储时的数据保护；安全威胁：非法访问、恶意代码、脆弱口令等；核心思想：预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果；安全措施：通过操作系统的访问控制技术来防止非授权用户的访问
信息系统安全：20世纪，90年代后；主要关注信息系统整体安全；安全威胁：网络入侵、病毒破坏、信息对抗等；核心思想：重点在于保护比“数据”更加精炼的“信息”；安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI,VPN等

信息安全保障：1996年，DDOD5-3600.1提出信息安全保障；关注信息、信息系统对组织业务以及使命的保障；制定策略、结合技术，技术与管理并重，正确处理安全和发展的关系

网络空间安全：互联网将传统的虚拟世界与物理世界相互连接，形成网络空间；工业控制系统、云大移物智


电脑编程实现机器的控制，工控系统里面用的弱口令太多了，容易被攻破

管理控制：风险评价、规划、系统和服务采购、认证认可和安全评价；
操作控制
技术控制：

云计算安全架构
云计算安全是交叉领域，覆盖物理安全到应用安全
云计算安全覆盖角色：云用户、云提供者、云承载者、云审计者和云经纪人
云计算安全服务体系三层架构：安全云基础设施、云安全基础服务、云安全应用服务
公有云和私有云
公有云：百度网盘
私有云：私有云盘，给自己公司提供服务
使用云的用户：租户

云计算的安全风险

数据管理和访问失控：用户只能上传、分享、下载，数据存储位置对用户失控；云计算服务商对数据权限高于用户（放在网盘里面，商家的权限高于用户）；用户不能有效监管云计算厂商内部人员对数据的非授权访问（员工可以访问数据，没有自己的秘密，除非是加密后的数据）
数据管理责任风险：不适用于“谁主管谁负责 谁运营谁负责”（数据丢了商家不会负责）
数据保护的风险：缺乏统一的标准，数据存储格式不同；存储介质由云服务商提供，用户对数据的操作要通过云服务商执行，用户无法有效掌控自己的数据

虚拟化安全：虚拟化是云计算的支撑技术，把硬件资源虚拟化，构成一个资源词从而提供云服务的各项特性（软件定义网络，一台两台硬件设备装很多服务器）
虚拟化安全：云计算中核心的安全问题；确保虚拟化多租户之间的有效隔离

物联网基本概念：“信息社会的基础设施”；物联网的核心和基础仍然是互联网


大数据安全
大数据的概念：传统数据架构无法有效处理的新数据集
大数据的价值：趋势分析
大数据安全：数据的生命周期安全（产生、存储、交换、共享、销毁）；技术平台安全（分布式存储）
数据泄露、数据丢失、数据被删除

移动互联网安全问题及策略：SIM卡最重要，加一个PIN码
系统安全问题、移动应用安全问题、个人隐私保护问题
政策管控、应用分发管控、加强隐私保护要求

信息安全保障框架
基于事件的PDR与PPDR模型
PDR:以技术的形式出现，买设备、检测、补漏洞，等到问题出现的时候无法应对，是一种被动的防护
PPDR模型思想：所有的防护、检测、相应都是依据安全策略实施

PPDR模型更强调控制和对抗，考虑了管理的因素，强调安全管理的持续性、安全策略的动态性

P2DR的基本原理（policy\protection\detection\response）
Policy策略
模型的核心：所有的防护、检测、相应都是一句安全策略实施的；策略体系的指定、评估与执行等；策略包括：访问控制策略、加密通信策略、身份认证策略、恢复备份策略
protection策略：通过传统的静态安全技术和方法提高网络的防护能力，主要包括：访问控制技术（ACL，Firmwall）、信息加密技术、身份认证技术（一次性口令X.509）
detection检测：利用检测工具，监视、分析、审计网络活动 ，了解网络系统的安全状态；使安全防护从被动防护演进到主动防御，是整个模型动态性的体现；主要方法包括：实时监控、检测、报警
response反应：在检测到安全漏洞和安全事件时，恢复系统功能和数据，启动备份系统；主要方法包括：关闭服务、跟踪、反击、消除影响

标签：防护,用户,信息安全,cisp,技术,day1,---,安全,数据
来源： https://blog.csdn.net/weixin_45796142/article/details/120741355

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。