网络安全

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 关于DDoS攻击，我想只要做过网站的人应该都知道DDoS攻击是非常可怕的，因为这种攻击本质上不能被防御的， 或者说DDoS攻击只能被缓解，不能被完全消除。DDoS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，是一种恶意的资源占用行为。攻击者利用非法控制的机器或者攻击软件对目标网站所在的服务器发送大量的无效请求，使服务器的资源被大量的占用，从而导致正常用户的服务请求无法处理， 网站打开缓慢或者停止网络服务。 当下主要的防御DDoS攻击的方式有两种:一种是使用高防服务器，还有一种是使用高防CDN。对于这两种方式，他们各有优缺点。小编就详细解说一下高防服务器和高防CDN在防御DDoS方面的优缺点。 现阶段高防服务器主要通过定期扫描现有的网络节点、在骨干节点配置防火墙、查找可能存在的安全漏洞、用足够的机器承受黑客攻击、充分利用网络设备保护网络资源、过滤不必要的服务和端口等方式来防御DDoS攻击。但DDoS攻击是直接打在源服务器上，如果防御策略不到位的话，攻击还是会导致服务器的带宽 CPU 内存使用率过高，甚至直接影响到源站，导致卡死或者网站打不开和访问不了等问题。 相对于高防服务器，高防CDN更受人们的欢迎。简单的说高防CDN的原理就是构建在网络之上的内容分发网络

网络安全 网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露， 系统能连续、可靠、正常地运行，服务不中断。 网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。 网络安全的5大要素 保密性 保护数据避免非授权泄露，保障数据来源的可靠性 完整性 阻止对数据进行非授权篡改 可用性 数据可访问，无延迟 可控性 控制数据传播范围和方式 可审查性 对出现的网络安全问题提供调查的依据和手段 安全机制位于协议栈的哪一层（没有一个单独的位置，因为安全性与每一层都有关） -物理层:传输线封装在包含高压氩气的密封管，漏气报警 -数据链路层:点到点线路加解密，不能经过中间路由器 -网络层:防火墙、IP报文头的安全域 -传输层:端到端连接的加解密 -应用层:大多数安全机制都集中在此层 加密技术 利用技术手段把数据变为乱码(加密)传送，到达目的地后再用 相同或不同的手段还原(解密) 加密技术 概念 features problems 哈希 :无秘钥，单向 单密钥加密又称对称加密DES 1个密钥 优点:加解密速度快 1.密钥管理量大，2，密钥传输信道要求更高安全性，3，数字签名的问题 公开密钥加密（非对称加密算法）RSA 2个密钥(key)，公钥和私钥，公钥密码学的提出是为了解决两个问题: • 密钥的分配与• 数字签名 1

网络隔离：把两个或者两个以上可路由的网络（如：TCP/IP） 通过不可路由的协议（如：IPX/SPX、NetBEUI等） 进行数据交换 而达到隔离目的。主要原理是使用了不同的协议，故也叫协议隔离。 网络隔离主要目的：将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。 一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。 网络隔离技术分类 物理隔离 物理隔离：两个网络物理上互不连接。 物理隔离需要做两套或者几套网络，一般分为内外、外网。客户端需要安装隔离卡，隔离卡有两种，数据隔离和电源隔离。 数据隔离：硬盘电源接口接主板电源，数据接口接隔离卡。 电源隔离：硬盘电源接口接隔离卡，数据接口接主板电源。 逻辑隔离 逻辑隔离：一般两套或者几套网络共用一套网络设备，在网络设备上做配置，各个网络不能互相访问。这种隔离技术非常不安全，容易泄漏数据。 逻辑隔离主要技术 虚拟局域网VLAN 工作在第二层。支持VLAN的交换机可以借由使用VLAN标签的方式将预定义的端口保留在各自的广播区域中，从而建立多重的逻辑分隔网络。 虚拟路由和转发 工作在第三层。允许多个路由表同时共存在同一个路由器上，用一台设备实现网络的分区。 多协议标签转换（MPLS） 工作在第三层，使用标签而不是保存在路由表里的网络地址来转发数据包

导读 在现在这个世道中，Linux操作系统的安全是十分重要的。但是，你得知道怎么干。一个简单反恶意程序软件是远远不够的，你需要采取其它措施来协同工作。那么试试下面这些手段吧。 使用SELinux SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。（LCTT译注：虽然NSA也给SELinux贡献过很多代码，但是目前尚无证据证明SELinux有潜在后门） 订阅漏洞警报服务 安全缺陷不一定是在你的操作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。 禁用不用的服务和应用 通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。（LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。） 检查系统日志 你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕，这是你第一条防线

如何保护你的linux操作系统 导读 在现在这个世道中，Linux操作系统的安全是十分重要的。但是，你得知道怎么干。一个简单反恶意程序软件是远远不够的，你需要采取其它措施来协同工作。那么试试下面这些手段吧。 使用SELinux SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。（LCTT译注：虽然NSA也给SELinux贡献过很多代码，但是目前尚无证据证明SELinux有潜在后门） 订阅漏洞警报服务 安全缺陷不一定是在你的操作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。 禁用不用的服务和应用 通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。（LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。） 检查系统日志 你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕

（一）网络操作系统安全 网络操作系统安全是整个网络系统安全的基础。操作系统安全机制主要包括 访问控制 和 隔离控制 。 访问控制系统一般包括主体、客体和安全访问政策 访问控制类型： 自主访问控制 强制访问控制 访问控制措施： 入网访问控制 权限访问控制 属性访问控制 身份验证 网络端口和结点的安全控制 （二）网络实体安全 计算机网络实体是网络系统的核心，既是对数据进行加工处理的中心，也是信息传输的控制中心 网络设备的冗余 网络服务器系统冗余： 双机热备份：设置两台服务器（一个主服务器，一个备份服务器） 存储备份冗余 磁盘镜像 RAID 电源冗余：采用双电源系统（即服务器电源冗余） 网卡冗余 核心交换机冗余 供电系统冗余：使用UPS作为备份电源 链接冗余 网络边界设置冗余 ACL(路由器访问控制列表) 基于包过滤的流控制技术，主要作用一方面保护网络资源，阻止非法用户对资源的访问，另一方面限制特定用户所能具备的访问权限 类型： 标准ACL：序列号1-99 扩展ACL：序列号100-199 VRRP(虚拟路由器冗余协议) 选择性协议，可把一个虚拟路由器的责任动态分配到局域网上VRRP路由器 交换机端口汇聚 端口聚合也称以太通道，主要用于交换机之间的连接。就是将多个物理端口合并成一个逻辑端口 Internet上的应用服务器 HDCP服务器 Web服务器 FTP服务器 DNS服务器

代码安全审计产品、代码缺陷分析产品、代码安全分析等基于源代码静态分析技术的产品市场上越来越多，但是质量却层次不齐，误报率非常高，漏报率也不低，究其原因是为什么呢？因为一款静态分析类产品研发不是轻松的事，往往要经历几年时间，产品才会逐渐成熟，支持的开发语言和安全漏洞类型才能达到企业级应用水平，一般中小企业是很难投入如此长的时间进行研发的，而且静态分析类产品底层技术是采用的与编译器非常类似的技术，也就是说大学课堂中编译原理课程上讲得哪些分析技术（例如：抽象语法树、切片、数据流分析、符号执行、指向分析、区间计算、到达定值分析、守卫值和非守卫值等等让人理解起来头疼的技术）大多都要用上，我记得当时学这些原理时就似懂非懂的，再把这些技术应用到产品中，难度可想而知，所以说市场上国内外的主流静态分析工具必然采用这些技术，把程序代码转化为抽象语法树是必须的一步，在抽象语法树上基础上，形成控制流图、函数调用图等之后再次进行切片分析，各种守卫值计算等等，零星的技术分析在网络上大多都能找到，但是缺乏系统化的技术分析，用这些技术、算法编码实现，在工程实践中会遇到各种各样的问题，产品市场化更是具有非常高的门槛，市场很多产品并非采用这样的主流技术，大多只是通过文件遍历扫描过程中，使用规则表达式、关键字搜索等技术匹配的特征字符串，所以这样的分析工具必然误报率非常高

云技术的出现确实带给了现代企业非常大的便利。但是与好处伴随而来的，当然也有不愿触及的信息安全隐患。既然企业想要利用云技术带来的好处，那么自然也要想办法解决云中安全隐患，降低企业面临的风险。下面Aone云根据多年的云服务运营经验与大家一起探讨云服务器的安全防护的七大技巧！精彩不容错过哦！ 秘诀一：从基本做起，及时安装系统补丁。不论是Windows还是Linux，任何操作系统都有漏洞，及时打上补丁避免漏洞被蓄意***利用，是服务器安全重要的保证之一。 秘诀二：安装和设置防火墙。对服务器安全而言，安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了。在安装防火墙之后，还需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。 秘诀三：安装杀毒软件。现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播。同时，在网络杀毒软件的使用中，要定期或及时升级杀毒软件，并且每天自动更新病毒库。 秘诀四：关闭不需要的服务和端口。服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭;对于其间要使用的服务器，也应该关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。 秘诀五：定期对服务器进行备份

  随着某某站被“tuoku”的新闻弥漫整个互联网、朋友圈、it饭局等,已经成为了众多圈内人士关注的热点议题。海量用户数据被泄露很有可能造成个人财产等各方面受到威胁。“洗库”、“撞库”也随之发生,数据泄漏不光是用户损失,对于企业来讲声誉、可靠性、安全性的门面将会被打破,法律的制裁、监管机构的约谈和通报、用户流失等都将是对企业致命的打击,所以数据安全对于企业来讲如同命脉自然成为了企业的命脉,但是对于数据防护我们应该怎么去防护?怎么去保存?如何分类?如何定级?针对数据安全的防护本人总结了一句话“技术是手段,业务是王道。”   回顾一下“华住”用户数据库泄漏事件,我们发现代码上传github首先不去分析上传行为是否合规,文件包含了数据库的对外管理端口、用户名、密码、互联网映射地址信息,一系列组合给hacker提供了便利,由此事件我们做安全的应该深思如下几点: 代码上传是否对内制定了管理机制?是否部署或者监控了有企业敏感字段的git检测? 数据对外发布是否有严格的审计制度,数据库管理端口映射到公网上本就是个危险动作,属于不安全行为,存在风险。若真是数据库管理为何不使用堡垒机多因子身份认证来完成? 关于访问控制是否存在严格的审计制度?外网对内的访问权限除发布服务端口外是否遵循了最小化原则优先。 对于事后分析是否有健全的溯源和回溯的机制,能否对已经发生的安全事件有效的追溯。  

服务器进行安全防护的方法？ 防护一：从基本做起，及时安装系统补丁 不论是Windows还是Linux，任何操作系统都有漏洞，及时的打上补丁避免漏洞被蓄意***利用，是服务器安全较重要的之一。 防护二：安装和设置防火墙 现在有很多基于硬件或软件的防火墙，很多安全厂商也推出了相关产品。对于服务器安全，必须安装防火墙。防火墙对非法访问具有很好的预防作用，但防火墙不等于服务器的安全性。在安装防火墙后，需要根据自己的网络环境配置防火墙，以达到较佳的保护效果。 防护三：安装网络 现在网络病毒的泛滥，这就要求在网络服务器上安装网络版杀毒软件来控制病毒的传播，同时，在使用网络杀毒软件时必须定期更新杀毒软件，并及时更新病毒库。 防护四：关闭不需要的服务和端口 在服务器操作系统的安装中，会启动一些不需要的服务，这样会占用系统的资源，也会增加系统的安全隐患。一段时间不使用的服务器，可以有效关闭;本期使用的服务器，也应该关闭不需要的服务，如Telnet等。此外，还需关闭没必要的TCP端口。 防护五：定期对服务器进行备份 为了防止系统故障或非法操作，系统必须由系统备份。除了完整的系统备份外，还应对每周修改后的数据进行备份。同时，应该将重要的系统文件保存在不同的服务器上，以便在系统崩溃时出现（通常是硬盘错误），可以及时返回到正常状态。 防护六：账号和密码保护 账号和密码保护可以说是服务器系统的先进道防线