1、大數據應用人才培養系列教材大數據系統運維第五章安全管理5.1安全概述5.2資產安全管理5.3應用安全5.4安全威脅習題大數據應用人才培養系列教材5.5安全措施5.1 安全概述 第五章 安全管理安全管理的主要目標保密性是指對數據的訪問限制，只有被授權的人才能使用。完整性特別是與數據相關的完整性，指的是保證數據沒有在未經授權的方式下改變。可用性是指計算機服務時間內，確保服務的可用。5.1 安全概述第五章 安全管理自從互聯網誕生以來，黑客和攻擊就伴隨而來，信息安全的問題一直呈現上升態勢。第五章安全管理5.1安全概述5.2資產安全管理5.3應用安全5.4安全威脅習題大數據應用人才培養系列教材5.5安全

2、措施5.2 資產安全管理第五章 安全管理環境設施管理環境可以分為服務器機房環境和終端辦公環境門禁系統目前應用比較廣泛的主要分為卡片式，密碼式，生物特征和混合式：卡片式的門禁系統，人員需憑刷卡進出；密碼式門禁系統，人員憑借口令輸入進出；生物特征式的門禁系統，人員可以通過指紋，虹膜，面部識別等生物特征進行進出。混合方式的門禁系統可能會采取卡片，密碼或者生物特征中的多種方式。而對于非企業內部的工作人員，最好有一套臨時人員的進出登記制度，對于機房等關鍵場所，需要有內部人員陪同。為保護昂貴的電子設備和數據資源，機房一般都會采用報警及滅火系統。傳統的水因為會破壞電子設備，該系統是將某些具有滅火能力的氣態化

3、合物，常溫下貯存于常溫高壓或低溫低壓容器中，在火災發生時通過自動或手動控制設備施放到火災發生區域，從而達到滅火目的。視頻監控也是一個通用的安全管控手段，在關鍵的通道，入口處安裝音視頻監控設備，通過攝像和錄音的方式獲取環境的實時狀態，并根據存儲容量，保存數天或者數月的存檔，方便以后調檔查詢。5.2 資產安全管理第五章 安全管理設備安全為防各種設備的丟失或者損壞，設備的管理必不可少。常見的管控措施對所有設備進行統一登記和編碼，在新購、維修、報廢、遷移等環節對資產的配置信息進行及時維護，每年固定時間對設備信息進行審計復核。目前，已經有二維碼或者RFID內置的標簽，可以粘貼在各種設備的物理表面，方便進

4、行統一管理。第五章安全管理5.1安全概述5.2資產安全管理5.3應用安全5.4安全威脅習題大數據應用人才培養系列教材5.5安全措施5.3 應用安全第五章 安全管理技術安全A安全漏洞B安全開發C安全測試D運維加固5.3 應用安全第五章 安全管理技術安全漏洞概述注入注入攻擊漏洞， 例如SQL，OS以及LDAP注入。這些攻擊發生在當不可信的數據作為命令或者查詢語句的一部分，被發送給解釋器的時候。攻擊者發送的惡意數據可以欺騙解釋器，以執行計劃外的命令或者在未被恰當授權時訪問數據。失效的身份認證和會話管理與身份認證和回話管理相關的應用程序功能往往得不到正確的實現，這就導致了攻擊者攻擊者破壞密碼、密鑰、會

5、話令牌或攻擊其他的漏洞去冒充其他用戶的身份（暫時或永久的）。跨站腳本（XSS）當應用程序收到含有不可信的數據，在沒有進行適當的驗證和轉義的情況下，就將它發送給一個網頁瀏覽器，或者使用可以創建javaScript腳本的瀏覽器API利用用戶提供的數據更新現有網頁，這就會產生跨站腳本攻擊。XSS允許攻擊者在受害者的瀏覽器上執行腳本，從而劫持用戶會話、危害網站或者將用戶重定向到惡意網站。失效的訪問控制對于通過認證的用戶所能夠執行的操作，缺乏有效的限制。攻擊者就可以利用這些缺陷來訪問未經授權的功能和/或數據，例如訪問其他用戶的賬戶，查看敏感文件，修改其他用戶的數據，更改訪問權限等。安全配置錯誤好的安全需

6、要對應用程序、框架、應用程序服務器、web服務器、數據庫服務器和平臺定義和執行安全配置。由于許多設置的默認值并不是安全的，因此，必須定義、實施和維護這些設置。此外，所有的軟件應該保持及時更新。5.3 應用安全第五章 安全管理技術安全漏洞概述敏感信息泄露許多web應用程序和API沒有正確保護敏感數據，如財務、醫療保健和PII。攻擊者可能會竊取或篡改此類弱保護的數據，進行信用卡欺騙、身份竊取或其他犯罪行為。敏感數據應該具有額外的保護，例如在存放或在傳輸過程中的加密，以及與瀏覽器交換時進行特殊的預防措施。攻擊檢測與防護不足大多數應用和API缺乏檢測、預防和響應手動或自動化攻擊的能力。攻擊保護措施不限

7、于基本輸入驗證，還應具備自動檢測、記錄和響應，甚至阻止攻擊的能力。應用所有者還應能夠快速部署安全補丁以防御攻擊。跨站請求偽造（CSRF）一個跨站請求偽造攻擊迫使登錄用戶的瀏覽器將偽造的HTTP請求，包括受害者的會話cookie和所有其他自動填充的身份認證信息，發送到一個存在漏洞的web應用程序。這種攻擊允許攻擊迫使受害者的瀏覽器生成讓存在漏洞的應用程序認為是受害者的合法請求的請求。使用含有已知漏洞的組件組件，比如：庫文件、框架和其他軟件模塊，具有與應用程序相同的權限。如果一個帶有漏洞的組件被利用，這種攻擊可以促成嚴重的數據丟失或服務器接管。應用程序和API使用帶有已知漏洞的組件可能會破壞應用程

8、序的防御系統，并使一系列可能的攻擊和影響成為可能。安全配置錯誤現代應用程序通常涉及豐富的客戶端應用程序和API，如：瀏覽器和移動APP中的JavaScript，其與某類API(SOAP/XML、REST/JSON、RPC、GWT等）連接。這些API通常是不受保護的，并且包含許多漏洞。5.3 應用安全第五章 安全管理數據安全存儲安全傳輸安全訪問安全5.3 數據安全第五章 安全管理水印信號技術水印信號嵌入水印信號的驗證第五章安全管理5.1安全概述5.2資產安全管理5.3應用安全5.4安全威脅習題大數據應用人才培養系列教材5.5安全措施5.4 安全威脅第五章 安全管理人為失誤01人自身原因02環境原

9、因03工具原因04流程原因5.4 安全威脅第五章 安全管理外部攻擊分類詳細內容惡意程序惡意程序是未經授權運行的、懷有惡意目的、具有攻擊意圖或者實現惡意功能的所有軟件的統稱，其表現形式有很多：計算機病毒、特洛伊木馬程序、蠕蟲、僵尸程序、黑客工具、漏洞利用程序、邏輯炸彈、間諜軟件等。網絡入侵網絡入侵，是指根據信息系統存在的漏洞和安全缺陷，通過外部對信息系統的硬件、軟件及數據進行攻擊行為。網絡攻擊的技術與方法有很多種類型，通常從攻擊對象入手，可以分為針對主機、協議、應用和信息等攻擊。拒絕服務攻擊拒絕服務攻擊（DoS）即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之。常見的造成網絡帶寬的耗

10、盡，使合法用戶無法正常訪問服務器資源的攻擊，DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當被攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高時，它的效果是明顯的。社會工具為某些非容易的獲取訊息，利用社會科學尤其心理學，語言學，欺詐學將其進行綜合，有效的利用人性的弱點，并最終獲得信息為最終目的學科稱為“社會工程學”（Social Engineering）。社會工程學中比較知名的案例是網絡釣魚，通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID、ATMPIN碼或信用

11、卡詳細信息）的一種攻擊方式。5.4 安全威脅第五章 安全管理信息泄露信息泄露是信息安全的重大威脅，國內外都發生過大規模的信息泄露事件。2015年2月，國內多家酒店的網站存在高危漏洞，房客開房信息大量泄露，一覽無余，黑客可輕松獲取到千萬級的酒店顧客的訂單信息，包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。2016年5月，位于美國紐約的輕博客網站Tumblr賬戶信息泄露，涉及的郵箱賬號和密碼達65,469,298個。由于一般用戶在互聯網上習慣使用相同賬號和密碼，一旦一個網站的賬號遭到泄露，其他網站會受到撞庫攻擊，造成更

12、大規模的信息泄露。5.4 安全威脅第五章 安全管理災害洪災災害01地震災害03火災災害02人為因素04第五章安全管理5.1安全概述5.2資產安全管理5.3應用安全5.4安全威脅習題大數據應用人才培養系列教材5.5安全措施5.5 安全措施第五章 安全管理安全制度規范分類詳細內容人員組織明確各級人員對于信息安全的責任和義務，明確信息安全的領導機構和組織形式。行為安全明確每個人在組織內部允許和禁止的行為。機房安全明確出入機房，上架設備所必須遵守的流程規范。網絡安全明確組織內部的網絡區域劃分，以及不同網絡的功能和隔離措施。開發過程安全明確軟件的開發設計和測試遵守相關規范，開發和運維分離，源代碼和文檔應

13、落地保存。終端安全明確終端設備的使用范圍，禁止私自修改終端設備，應設置終端口令，及時鎖屏，及時更新操作系統補丁等。數據安全不對外傳播敏感數據，生產數據的使用需要在監督和授權下執行。口令安全明確口令的復雜程度，定期修改的時間等。臨時人員的管理明確非內部員工的的行為列表，外包人員的行為規范，防范非法入侵。5.5 安全措施第五章 安全管理安全防范措施分類詳細內容機房門禁系統，消防系統，攝像系統。服務器防病毒軟件，漏洞掃描工具，配置核查系統。網絡防火墻，入侵監測系統，入侵防御系統。終端防病毒軟件，行為控制和審計軟件，堡壘機。應用程序漏洞掃描工具，源代碼掃描軟件，證書管理系統，統一認證系統，身份管理系統

14、。數據備份數據備份軟件。流程管理運維管理平臺，安全管理平臺，審計平臺。5.5 安全措施第五章 安全管理SSL中間人攻擊第五章安全管理5.1安全概述5.2資產安全管理5.3應用安全5.4安全威脅習題大數據應用人才培養系列教材5.5安全措施習題：1.安全中的完整性指的是計算機服務時間內，確保服務的可用。2.視頻監控重點是實時監控，一般不需要存檔。3.跨站腳本（XSS）漏洞的原因是因為缺少強壯的認證措施。4.健壯的輸入和輸出過濾可以大大降低Web應用受攻擊的風險。5.開發過程中的漏洞只能通過修改代碼規避，其他方式都不可行。AIRack人工智能實驗平臺一站式的人工智能實驗平臺DeepRack深度學習一體機開箱即用的AI科研平臺BDRack大數據實驗平臺一站式的大數據實訓平臺云計算頭條微信號：chinacloudnj中國大數據微信號：cstorbigdata劉鵬看未來