一、阿里云安全
阿里云致力于以 在线公共服务 的方式,提供安全、可靠的计算和数据处理能力让计算和人工智能成为普惠科技
此外,阿里云为全球客户部署 200 多个 飞天数据中心 ,通过底层统一的 飞天操作系统 ,为客户提供全球独有的混合云体验
根据已公开的资料, 阿里云的安全体系结构 如图
针对云安全,阿里云建立了 安全防护机制、监控机制、审计机制、身份认证机制 以及 安全运维机制 , 如图
面对云上租户的安全需求,阿里云 提供 云盾、DDoS高防IP、Web应用防火墙、态势感知、SSL证书、云防火墙、加密服务、实人认证 等
多种云安全服务产品
二、腾讯云安全
腾讯云提供了 网络安全、终端安全、应用安全、数据安全、业务安全、安全管理、安全服务、身份认证 等 网络安全防护技术体系 , 具体的
安全措施描述如下
1.网络安全
- DDoS防护( Anti-DDoS ): 提供DDoS高防包、DDoS高防IP等多种DDoS解决方案,应对DDoS攻击问题;通过充足、优质的 DDoS 防护资源,结合持续进化的 “自研+AI 智能识别“清洗算法 ,保障用户业务的稳定、安全运行
- 云防火墙: 基于 公有云环境 的 SaaS化防火墙 ,为用户提供互联网边界、VPC边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化
- 网络入侵防护系统: 通过 旁路部署 方式, 无变更无侵入 地对网络4层会话进行实时阻断,并提供了阻断API,方便其他安全检测类产品调用;此外, 网络入侵防护系统 提供全量网络日志存储和检索、安全告警、可视化大屏等功能,解决等保合规、日志审计、行政监管以及云平台管控等问题
- 腾讯云样本智能分析平台: 依靠 深度沙箱 中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化、可定制化的样本分析;通过建设大规模分析集群,包括深度学习在内的多个高覆盖率的恶意样本检测模型,可以得知样本的基本信息、触发的行为、安全等级等信息,从而精准高效地对现网中的恶意样本进行打击
2.终端安全
- 主机安全: 基于腾讯安全积累的海量威胁数据,利用 机器学习 为用户提供黑客入侵检测和漏洞风险预警等安全防护服务, 主要包括 密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能
- 腾讯云反病毒引擎(Antivirus): 腾讯反病毒实验室独立研发的 反病毒产品 ,运行于终端的判毒程序,其包含腾讯反病毒本地引擎和腾讯反病毒云两大功能模块,开放多个功能性接口SDK,可支持多种平台使用且无须联网
- 腾讯终端安全管理系统: 基于腾讯20年安全积累和腾讯电脑管家十余年数亿用户的产品、运营与技术沉淀,将 百亿量级 云查杀病毒库、AI杀毒引擎、大数据安全分析引擎等 安全技术和能力 应用到政企内部,打造集病毒查杀、桌面管控、安全运维、安全检测与响应等新一代的一体化的终端安全解决方案
- 腾讯云零信任无边界访问控制系统 (Zero Trust Access Control system,ZTAC):依赖终端安全、身份安全、链路安全 三大核心能力 ,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据
- 移动终端安全管理系统: 用户可以根据自身需求,集中管理、配置和保护终端设备、应用程序及移动数据,提高IT管理效率,保障移动环境安全
3.应用安全
- 腾讯云Web应用防火墙: 解决腾讯云内及云外用户应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及Web业务安全防护问题
- 腾讯应用级智能网关: 基于零信任策略,对企业应用和服务提供集中管控,统一防控和统一审计,保障企业应用和服务更安全、更可靠
- 漏洞扫描服务: 用于监测网站漏洞的安全服务,提供7 × 24小时准确、全面的漏洞监测服务
- 移动应用安全: 涵盖应用加固、安全测评、兼容性测试、盗版监控、崩溃监测、安全组件等服务
- 手游安全: 具备24小时安全保障能力,支持手游厂商快速应对手游作弊、手游篡改破解等常见的游戏安全问题
4.业务安全
- 天御借贷反欺诈: 识别银行、证券、保险等金融行业的欺诈风险。通过腾讯云的人工智能和机器学习能力,准确识别恶意用户与行为,解决客户在支付、借贷、理财、风控等业务环节遇到的欺诈威胁,提升风险识别能力
- 保险反欺诈: 通过Al人工智能风控模型,准确定位在申保、核保、理赔等业务环节中所遇到的欺诈威胁
- 登录保护服务: 针对网站和App的用户登录场景,实时检测是否存在盗号、撞库等恶意登录行为,发现异常登录,降低恶意用户登录风险
- 腾讯云验证码: 基于十道安全栅栏,为网页、App、小程序开发者打造立体、全面的人机验证,最大限度地保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下的业务安全
- 腾讯云活动防刷: 针对电商、O2O、P2P、游戏、支付等行业在促销活动中遇到“羊毛党”恶意刷取优惠福利的行为,通过防刷引擎,精准识别出“薅羊毛”恶意行为的活动防刷服务,避免了企业被刷带来的巨大经济损失
- 注册保护服务: 针对网站、App的线上注册场景,遇到 “恶意注册”“小号注册”“注册器注册” 等恶意行为,提供基于天御DNA算法的恶意防护引擎,从账号、设备和行为 三个维度 有效识别“恶意注册”,从“源头”上防范业务风险
- 营销风控服务: 通过 腾讯安全风控模型 和 AI关联算法 ,快速识别恶意请求,精准打击“羊毛党”,提升资金使用效率,还原数据真实性
- 文本内容安全服务: 使用了深度学习技术,可有效识别涉黄、涉政、涉恐等有害内容,支持用户配置词库,打击自定义的违规文本。 识别结果 分为正常、可疑与违规 三部分 ,建议放行正常的图片,人工审查可疑的图片,屏蔽违规的图片,节省人力成本,提高审核效率
- 营销号码安全: 提供一站式、精准的 号码安全感知保护及预防服务 ,涵盖号码安全防护、风险号码识别及恶意呼叫治理等多领域能力
- 业务风险情报: 提供全面、实时、精准的 业务风险情报服务 。通过简单的API接入,即可获取业务中IP、号码、App、URL等的画像数据,对其风险进行精确评估,做到对业务风险、黑产攻击实时感知、讦估、应对、止损
5.数据安全
- 腾讯云堡垒机: 结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密
- 腾讯云数据安全审计: 基于人工智能的数据库安全审计系统,可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航
- 数据安全治理中心: 通过数据资产感知与风险识别,对企业云上敏感数据进行定位与分类分级,并帮助企业针对风险问题设置数据安全策略,提高防护措施有效性
- 敏感数据处理 (Data Mask,DMask):提供敏感数据脱敏与水印标记工具服务,可为数据系统中的敏感信息进行脱敏处理并在泄露时提供追溯依据
- 云加密机: 基于国密局认证的 物理加密机 (Hardware Security Module,HSM),利用 虚拟化技术 ,提供弹性、高可用、高性能的数据加解密、密钥管理等云上数据安全服务;符合国家监管合规要求,满足金融、互联网等行业加密需求,保障业务数据隐私安全
6.安全管理
- 安全运营中心 (Security Operation Center,SOC):腾讯云原生的统一安全运营与管理平台,提供资产自动化盘点、互联网攻击面测绘、云安全配置风险检查、合规风险评估、流量威胁感知、泄漏监测、日志审计与检索调查、安全编排与自动化响应及安全可视等能力,帮助云上用户实现事前安全预防,事中事件监测与威胁检测,事后响应处置的一站式、可视化、自动化的云上安全运营管理
- 安全运营中心(私有云): 以安全检测为核心,以事件关联分析、腾讯威胁情报为重点,以3D可视化为特色,以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险进行深度检测,为企业提供及时的安全告警。适用于多种安全运营管理场景,通过海量数据多维度分析、及时预警,对威胁及时做出智能处置,实现全网安全态势可知、可见、可控的闭环
- 密钥管理系统: 让用户创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求
- 凭据管理系统: 提供凭据的创建、检索、更新、删除等全生命周期的管理服务,结合资源级角色授权轻松实现对敏感凭据的统一管理。针对敏感配置、敏感凭据硬编码带来的泄露风险问题,用户或应用程序可通过调用Secrets Manager API来检索凭据,有效避免程序硬编码和明文配置等导致的敏感信息泄密以及权限失控带来的业务风险
7.安全服务
- 专家服务: 由专业的安全专家团队提供安全咨询、网站渗透测试、应急响应等保合规等服务
- 公共互联网威胁量化评估: 提供实时的、客观的网络安全风险量化与风险评估的服务,通过微信小程序能够直观呈现企业网络安全指数、安全等级及详细安全问题等信息
- 威胁情报云查服务: 提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务
- 网络资产风险监测系统: 能够对网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性的风险预警和漏洞检测,并且提供专业的修复建议,降低安全风险
8.用户身份验证
- 腾讯云拥有海量的数据分析和人脸、图片的训练集
- 腾讯云提供 身份证OCR、人脸比对、活体检测 等技术,能在线实现用户身份 秒级确认 ,有效解决高风险行业线下复杂的身份验证问题,满足核身要求极高的业务场景需求
腾讯云人脸核身安全机制 如图
三、华为云安全
- 华为云提供 云计算、云存储、云网络、云安全、云数据库、云管理与部署应用 等IT基础设施云服务
- 为保护云安全,华为云构建了 芯片、平台、系统、应用、数据、开发、生态、隐私 等安全防护技术体系
具体技术措施描述如下
1.芯片级可信计算和安全加密
- 华为公司推出支持国密算法的 可信服务器 和 可信云平台 解决方案
- 基于可信计算模块芯片,华为云具备对云平台主机进行完整性度量及提供更多安全特性的能力,降低云主机的软硬件被篡改的风险,满足更高的安全需求
2.平台安全
- 华为云统一虚拟化平台(UVP) ,直接运行于物理服务器之上,通过对服务器物理资源的抽象,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境
- UVP基于 硬件辅助虚拟化技术 提供虚拟化能力,为虚拟机提供高效的运行环境,并且保证虚拟机运行在合法的空间内,避免虚拟机对UVP或其他虚拟机发起非授权访问
3.系统安全
华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证,EulerOS能够提供 可配置的加固策略、内核级OS安全能力
等各种安全技术以防止入侵,保障客户的系统安全
4.应用安全
- 各应用通过华为公司自研的API网关向客户提供标准化集成接口,具备严格的身份认证及鉴权、传输加密保护、细粒度流量控制等 安全能力 ,防范数据被窃取和嗅探
- 并且,华为云通过深度学习、运行时应用保护、去中心化认证等技术的运用,进一步打造用户行为画像、业务风险控制等高级安全能力,实时监控和拦截异常行为,保护应用服务安全稳定运行
5.数据安全
- 华为云构建 全数据生命周期的安全防护能力 。通过自动化敏感数据发现、动态数据脱敏、高性能低成本数据加密、快速异常操作审计、数据安全销毁等多项技术的研究与应用,实现数据在创建、存储、使用、共享、归档、销毁等多个环节的管控,保障云上数据安全
- 具体的 数据安全机制 主要有数据隔离、数据加密、数据冗余
6.开发安全
华为云通过完善的制度和流程以及自动化的平台和工具,对软硬件全生命周期进行端到端的管理, 全生命周期
包括安全设计、安全编码和测试、安全验收和发布、漏洞管理等环节
7.生态安全
华为云基于 严进宽用
的原则,保障开源及第三方软件的安全引入和使用。华为云对引入的开源及第三方软件制订了明确的安全要求和完善的流程控制方案,在选型分析、安全测试、代码安全、风险扫描、法务审核、软件申请和软件退出等环节,均实施严格的管控
8.隐私保护
华为云各服务产品的设计遵循《隐私保护设计规范》,该规范建立了 隐私基线、维护隐私的完整性 和 指导隐私风险分析
,制定对应措施并作为需求落入服务产品开发设计流程
此外,针对云用户的安全需求, 华为云提供的安全服务: DDoS高防、Anti-
DDoS流量清洗、数据库安全服务DBSS、数据加密服务、企业主机安全、容器安全服务、安全专家服务、SSL证书管理、云堡垒机、漏洞扫描服务、Web
应用防火墙WAF等
四、微软Azure云安全
主要 网络安全措施描述如下
- 数据存储安全: 所有客户数据、处理这些数据的应用程序以及承载世纪互联在线服务的数据中心全部位于中国境内
- 业务连续性保障: 位于中国东部和中国北部的数据中心在距离相隔1000km以上的地理位置提供异地复制,为Azure服务提供了业务连续性支持,实现了数据的可靠性
- 物理环境安全: 所有数据中心选取国内电信运营商的项级数据中心,采用N+1或者2N路不间断电源保护。此外还有大功率柴油发电机为数据中心提供后备电力,配有现场柴油存储和就近加油站
- 隐私保护: 客户全权管理自己的客户数据以及权限,决定客户数据的存储位置,未经批准任何人都无法使用客户数据
- 合规性: 满足国际和行业特定标准ISO/IEC 27001,公安部信息系统安全等级保护评定第三级备案,以及多项可信云服务认证
- 基础结构安全: 通过加密通信、威胁管理和缓解实践(包括定期渗透测试)来帮助保障客户数据的安全。主要 网络安全技术措施如下:
1. 密钥保管库: 保护云应用程序和服务使用的加密密钥及其他密文密码
2. Azure Active Directory: 实现跨云应用程序的单一登录
3. 应用程序网关: 提供高可用的HTTP负载均衡、Web应用程序防火墙等服务,多实例网关可实现99.9%持续运行时间
4. VPN网关: 提供行业标准的站点到站点IPSec VPN,随处进行站点到站点的VPN访问。VPN网关提供99.9%运行时间的服务级别协议保证,支持从任何位置连接到Azure的虚拟网络或虛拟机 - 数据服务保障: 通过安全技术和流程确保客户数据的机密性、完整性和可用性,提供有财务保障的最高达99.99%的月度服务级别协议以及 最多6个数据备份
五、云计算隐私保护
按照 隐私保护责任主体 ,整理了国内外 云计算隐私保护的安全措施 ,具体如下
1.云计算服务提供方的个人隐私保护措施
- 个人信息备份保管: 服务器多备份、密码加密等安全措施,防止信息泄露、毁损、丢失
- 建立严格的管理制度和流稗以保障个人信息安全: 通过严格限制访问信息的人员范围,并进行审计,要求相关人员遵守保密义务
- 建立信息安全合规机制与开展安全认证: 通过国际和国内的安全认证,强化和规范个人信息安全保护
- 强化身份验证和访问控制: 在访问、修改和删除相关信息时,要求进行身份验证,以保障账户安全
- 限制个人信息存储地理位置: 收集信息保存在位于国内的服务器
- 个人信息留存管理: 仅提供服务期间保留个人的信息,保留时间不会超过满足相关使用目的所必需的时间,基于法律法规要求及合法权益保护、社会公共利益等原因可较长时间保留个人信息
2.用户个人隐私保护措施
- 加强用户自我保护意识: 不随意向任何第三人提供账号密码等个人信息
- 个人信息收集符合性监督: 发现违反法律法规的规定或者双方的约定收集、使用个人信息的,主动要求服务方删除
- 个人信息更正: 发现收集、存储的个人信息有错误的,且无法自行更正的,可以要求服务方更正
- 个性化服务选择: 个人用户可以根据自身利益,通过浏览器设置拒绝或管理Cookies
3.个人信息安全事件应急响应措施
针对个人信息安全事件,制定应急响应预案
个人导航:http://xqnav.top/
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。