云安全思维导图模板_ProcessOn思维导图、流程图

4、云上网络安全

网络安全概述

tcp/ip协议介绍

网络通信五元组

源ip

源port

协议

目标ip

目标port

常见网络安全问题

广域网

监听

扫描

大流量

木马

城域网

黑客大流量扫描

城域网之间明文传输监听危险

接入网

明文传输

isp

idc

自身安全规范

局域网

病毒

email

员工

系统bug

流量缺陷

管理漏洞

网络攻击

攻击手段

网络钓鱼攻击

大流量DDos

cc/慢速攻击

安装木马后门

直接问题

业务中断

信息窃取

数据篡改

通信被监控

间接影响压力

监管方压力

社会舆论压力

法律追责压力

运营成本压力

现金流失

网络防火墙使用

安全组（多数云平台）

防火墙规则

安全组授权方式

安全组功能

不同用户网络隔离

系统默认安全组

安全组访问限制方向

安全组限制

安全专有网络vpc

经典网络

ip地址有平台分发

快速部署ecs

专有网络

逻辑隔离私有网络

自定义网络拓扑

网络管理员使用

vpc功能

自主可控网络

IP地址规划

自定义路由

公网访问

安全隔离

租户隔离

生产测试

访问控制

公网出入（一个vpc相当于一个私网段，vpc提供公网出入）

弹性公网ip

负载均衡（内往外均有，一般云平台内网免费，公网收费）

NAT网关

弹性ip和nat区别

eip

一个云主机绑定一个eip

管理麻烦

公网ip暴露主机

eip单独购买带宽

nat网关

一个公网ip映射内网所有云主机

nat可以和eip一样绑定一台云主机

nat网关可以通过端口映射内部云主机服务

nat网关和eip相反是可以共享带宽

私网互联

支持网络互通

同区域间vpc的私网互通

跨区域vpc私网互通

不同账号下vpc私网互通

DDos攻击介绍与防护措施

ddos供给介绍

分布式拒绝服务供给

攻击主要目标，使其无法正常服务

强大，最难防御之一

衍生DRDOS（分布式反射攻击）

ddos攻击原理

介绍一下tcp三次握手

ddos攻击原理示意图

使用tcp三次握手的原理

直到最后服务器无资源可用（宕机）

谁会面临ddos攻击

任何网络可达的网络或设备

门户网站、政府网站、网吧、银行

dns、城域网、骨干网、路由交换设备

ddos带来的危害

政府网无法访问

邮件服务器瘫痪

dns域名无法解析

电商网站

常见防护措施

隐藏服务器ip

多节点加速

异常流量清洗

防火墙合理配置

专有抗D设备（云设备）

云产品防护ddos攻击

基础防护ddos主要功能

攻击流量发现

牵引和自动处理

抵御所有基于网络层的ddos攻击

大数据分析实现全自动检测

攻击侧率全自动匹配

响应时间<2s

清洗设备99.99

基础防护ddos流程

网络入口

流量复制

ddos攻击预警模块

触发

ddos防护管理中心

清理路由器（到ddos清理集群）

为出触发

ddos防护管理中心

干净流量放行

5、云上数据安全

数据安全概述

常见的数据安全问题

数据泄露案例

数据篡改

彩票修改时间

数据丢失

数据问题

数据非法访问

正常用户无法访问

数据本身及数据防护安全

数据本身安全

保密性

完整性

可用性

数据本身安全

加密、整数

完整性校验

主备实例、异地实例

数据防护安全

物理安全

安全防护

数据防护安全

及时备份和恢复

数据访问授权和审批

产品保护数据

数据备份和容灾

云服务器快照

云数据备份实例和容灾实例

云存储多副本和异地备份

数据加密

云数据库加密存储

云存储加密存储

数据传输安全

https

dns防劫持

数据备份、恢复和容灾

常见不同级别备份

按地理位置

本地备份

同机房备份（不同机架）

同城备份

同一个城市不同数据中心

异地备份

备份到异地（至少距离300意外，不在同一个地震带）

按备份模式

物理备份（数据块级）

忽略文件结构，开销少，性能高，实时备份，不收文件系统限制

逻辑备份（文件级）

备份灵活，磁盘开销大，不能实时备份

按时效性

热备

冷备

云主机快照

多种云平台均为增量快照

多种云平台都支持镜像创建新的云主机

云数据库备份恢复

数据备份

日志备份

手动备份

自动备份

数据加密

常见的加密算法

对称加密

加密和解密使用相同秘钥

速度快，效率高

解密和加密要用相同秘钥，互相传送秘钥，不能保证安全性

加密算法：

Des

Aes

Idea

Rc4

非对称加密

加密和解密使用不同的秘钥

算法强度复杂，保密性好

取消对称加密传输秘钥的过程

加密算法：

RSA

Elgamal

背包算法

ECC

哈希（hash）

单向加密，没有解密

计算快速，信息完整校验

加密算法：

MD2

MD5

SHA

SHA-1

如何选择加密算法和秘钥

如何选择加密算法

数据、速度

量大速度快--对称加密

量小速度慢---非对称加密

签名

非对称加密

不可以还原密码存储、信息完整性校验

哈希加密

如何选择秘钥

秘钥越长，运行速度越慢

根据实际安全等级要求选择

RSA建议采用1024位

ECC建议采用160位

AES采用128位

数据传输安全

风险

风险细化

数据劫持

问题

页面内容被篡改了，加塞内容强行加入广告

解决方案

ssl证书

md5校验

域名劫持

问题

请求local dns解析域名，目标域名被恶意解析到其他ip地址

解决方案

httpdns

https协议

http+ssl=https

http

常用传输协议

数据未加密

ssl

ssl安全套阶层

采用公开秘钥技术

消息完整西验证

https

http的安全版本

基于ssl的网站加密传输协议

有效的https安全传输

https+ssl证书=有效https安全传输

https

ssl证书

遵循ssl安全套阶层协议服务

不同云厂商会有自己的ssl云证书

有效的https传输

网站安装ssl证书

激活客户端到服务器之间ssl加密通道

双方验证失败，可用拒绝握手协议

httpdns

云产品数据传输安全

负载均衡slb https支持

负载均衡提供https单向和双向认证

支持http回源

6、云上应用安全防护

web应用安全概念

web应用安全问题案例

web用用安全问题

应用资源消耗性

网站变卡、打不开

恶意海量肉鸡访问

web通用型攻击

网站数据被恶意爬取

数据接口被刷

短信榴莲滥刷网站用户信息

账号数据、资金损失

官网充值

商品交易

恶意免费

获取服务器管理员权限

利用0day漏洞

命令注入

owasp十大安全漏洞列表简单介绍

web组成部分及web安全分类

web服务器

通信协议http（s）

web客户端

web服务器安全

sql注入

文件上传

系统命令执行漏洞

权限漏洞

web客户端安全

xss漏洞

csrf漏洞

其他浏览器插件漏洞

应用安全防护方法

加强监测

检测用户访问web应用权限

检测用户对web应用的输入数据

实时监控

监控系统进程、性能、状态

监控不正常行为

识别并拦截

识别攻击行为

拦截攻击行为

修补漏洞

第一时间修补web漏洞

安全管理

加强开放服务器管理

加强任务操作审核

应用防护工具

WAF应用防火墙

针对于web应用程序

在应用层不是在网络层

web服务器之前串行介入

要求性能高，不能影响web服务器提供服务

可以辅助slb负载均衡一起工作

云waf保护应用安全

云产品要求

稳定快速

强大攻防能力

大数据安全分析

解决业务风控

云产品功能

0day漏洞防护

防cc攻击

防数据泄露

业务风控

云WAF优势

弹性扩容

天然容灾

攻击阈值大

大厂商优势

海量ip信誉库

网站正常模型

sql注入保护

什么是sql注入

常见的注入

sql注入

os shell

LDAP

Xpath

sql注入攻击现象

数据泄露

猜测并授权数据库信息

数据篡改

破坏数据库信息

修改系统访问授权

私自添加、修改数据库账号

数据删除

数据库信息丢失

sql注入过程

选择数据价值高的网站

工具/脚本尝试扫描

通过页面返回判断有误漏洞

开始手工进行注入sql语句

入侵成功

sql注入防护手段

sql语句预编译和绑定变量

严格进行输入校验

使用安全函数

应用异常信息应该尽早给出可能少的提示

不要使用管理员权限的数据连接

不要把机密信息直接存放

采用一些工具或网络平台检测是否存在sql注入

云产品防护sql注入

模式

防护模式

预警模式

防护规则侧率

正常

宽松

严格

网站防篡改

什么是网站篡改

网站态势总览

.com

.net

.org

为什么篡改网站

纯炫耀黑客技术

增加自己的网站点击率

加入木马和病毒程序

发布虚假信息获利

骗取用户资料

政治性宣传

网站篡改的特点及危害

特点

受众人去多

传播速度快

无法预测、难以防范

难以追查攻击源头

危害

企业单位公信力及形象受影响

经济受损

成为不法分子的利用工具

传布社会不良信息

篡改网站原因

主观

密码管理不严格

为定期修改密码

强度不够

多人共享密码

补丁不及时更新

不同人员参与到应用开发

客观

系统复杂

漏洞频出（注入、csrf）

钓鱼、木马、间谍软件

网站篡改的过程

寻找高公信力的目标（金融、政府、信息发布平台）

进行渗透攻击
寻找网站漏洞上传后门木马

政治、恶意、竞争对手：网站篡改

植入暗链

获取肉鸡：访问网页的用户

网站防篡改

针对web服务器网页进行监控

人工对比

定期监控

缓存实时保护

云产品防篡改

cc攻击防护

什么是cc攻击

cc攻击是ddos的一种

单主机虚拟多ip地址

代理服务器攻击

僵尸网络攻击

cc攻击的特点

cc攻击来的ip都是真实且分散

cc攻击的数据包都是正常的数据包

cc攻击的请求，全部都是有效的请求且无法拒绝

cc攻击的都是页面，服务器什么都可以连接，ping都可以同，但是网页就是访问不了

cc攻击的原理及危害

勒索目标或竞争对手（电商、金融、互联网企业）

准备大量傀儡机器恶意集中访问网站

控制肉鸡机器同一时间内集中恶意访问

网站服务器cpu内存性能急剧下降，网站无法正常服务

防御cc攻击

禁止网站代理访问

尽量将网站做成静态页面

限制链接数量

修改最大超时时间

域名欺骗解析

更改web端口

waf

云waf的业务风控安全

业务欺诈

垃圾注册

平台推广新用户注册

新用户为不活跃用户

再向垃圾用户推广新活动

暴力破解

撞库

泄露账号隐私

盗用账户金额

冒用账号权限

营销作弊

刷软件

领红包

套现

售卖

话单

更多

自动完成任务软件

盗卡支付

垃圾内容

云产品风控

1、云概况基础

云架构和传统架构

传统架构演变至云架构

云架构和传统架构的对比

云的服务方式

iaas

paas

saas

企业云架构

allinone

应用与数据分离

应用集群部署

动静资源分离

云信息安全现状和趋势

重点安全事故

先去网上找例子

系统风险构成

什么是风险

云风险的产生

物理和环境

机房的供电

天气因素

网络和通信安全

网络冗余

访问控制

通信加密

设备和计算机安全

恶意代码防范

身份鉴别

集中管理

应用和数据的安全

安全审计

数据完整性

保密性

云上安全服务方式

用户

客户数据

平台、应用、身份访问

操作系统，网络及防火墙

云平台

计算、存储、数据库、网络

全球基础设施，边缘服务

云上安全防护

allinone部署

登录安全

弱口令

暴力破解

账号授权管理

不同部门

服务器安全漏洞

服务器本身漏洞

及时打补丁

应用访问攻击

web安全（xss、xxe、ssrf、cstrf等）

ftp安全（默认走本地用户，警告弱口令）

数据备份加密

网络攻击风险

应用和数据分离

存在之前allinone的风险

数据传输安全

网络通信安全

数据库访问白名单授权

数据库备份和容灾

应用集群部署

以上都包含

服务器安全区域隔离

负载均衡加密访问

动静资源分离

以上都包含

云存储数据备份和加密

云存储数据容灾

云主要的安全威胁

可用性

大规模非泵送拒绝攻击ddos、僵尸网络

网络也不可达

完整性

网站入侵、弱口令爆破

网站页面被篡改和植入后门

保密性

网站后门、数据库非法访问（拖库）

用户账号信息和敏感数据泄露

云计算（csa）top9

1、数据泄露

2、数据丢失

3、账号或服务流量劫持

4、不安全的编程接口

5、拒绝服务

6、恶意的内部员工

7、滥用云服务资源

8、没有足够尽职调查

9、多租户隔离失效

信息安全保护等级

1、数据丢失、篡改或泄露

2、不安全的接口

3、云服务终端

4、越权、滥用与误操作

5、滥用云服务资源

6、共享技术漏洞

7、安全责任界定不清

8、司法管辖范围受限

9、过度依赖

10、数据残留

11、审查不到位

产生安全风险主要原因

云平台

安全体系

技术实力

安全工具

管理平台

是否易用

isv

开发规范

测试规范

部署规范

运维规范

用户

安全意识

安全习惯

加入黑产

管理流程

缺乏经验

云安全解决方案

产品

木马查杀

防止密码暴力破解

异地登录提醒

漏洞检测修复（提示也可以）

网络安全防护

安全组

专有网络vpc（二层网络防御）

基础ddos防护（低流量防御）

ddos高防（高流量防御）

应用安全保护

web应用防火墙（WAF）

云监控管理

云监控

态势感知（类似雷达。通过数据预算是否有威胁进行警告）

2、云平台使用和密码账号

账号安全

登录验证

配置密码强度

定期修改登录用户密码

账号授权

遵循最小权限原则

及时清理有权限的用户

权限分配

不要为根用户账号穿常见

将用户管理、权限管理与资源管理分离

账号安全策略

登录密码

手机绑定

密保问题

操作保护（修改密码、释放实例等高级操作）

3、云上服务器安全

云服务器面临的安全风险

服务器安全状态

健康

亚健康

不健康

安全挑战

自身脆弱

漏洞（包括训虚拟化层面）

错误的配置

账号权限

不开放的端口等

外部威胁

后门植入

木马传播

暴力破解攻击等

高危漏洞攻击举例（针对底层虚拟化）

高危XSA-123(XEN)

毒液漏洞（Xen，KVM，QEMU）

开放端口攻击

永恒之蓝（蠕虫）

木马攻击

Dyre（针对了多个国外银行信息）

云服务器管理的方式

及时针对服务器打补丁

windows自动最新的补丁

linux自己去网站上下载补丁包

修改服务器默认账号和密码

修改administrator别名

禁用不必要的账号

启用系统防火墙

windows自带防火墙

linux不同版本使用适合的防火墙

iptables

firewalld

关闭不用的端口

关闭服务器和端口

日志服务器

查看服务器日志信息

使用日志阅读工具自动化

使用云产品进行服务器漏洞检测

漏洞管理

系统软件漏洞

cms漏洞

基线检查

账号安全检测

弱口令检测

配置风险检测

入侵检测

异地登录（重点）

暴力破解联动（重点）

登录ip白名单

后门查杀

异常进程查杀

使用云产品进行服务器漏洞修复

系统漏洞

系统版本漏洞

植入木马

应用漏洞

应用程序漏洞

ftp

samba

web漏洞

xss

sql注入

上传漏洞

软件漏洞

cve官方漏洞库

软件版本

组件型

配置型漏洞

cms漏洞

自研漏洞补丁

针对cms一键修复

wordpess

phpstudy