目录
一、云计算安全
1. 云计算定义
2. 云计算特征
3. 云计算服务形式
4. 云计算平台安全威胁
5. 云计算安全技术体系框架
6. 可信云计算
二、大数据安全
1. 大数据的定义
2. 大数据的特征
3. 大数据安全威胁
4. 大数据生命周期安全
5. 大数据安全防护管理要求
6. 大数据安全防护技术
三、移动互联网安全
1. 移动互联网概念
2. 移动互联网安全威胁
3. 移动互联网安全风险
4. 移动互联网安全防护
四、物联网安全
1. 物联网概念
2. 物联网安全风险
3. 物联网安全体系架构
4. 物联网安全架构
5. 工业互联网安全
一、云计算安全
1. 云计算定义
云计算是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。
2. 云计算特征
(1)按需自助服务:
在不需或较少云服务商的人员参与情况下,客户能根据需要获得所需计算资源,如自主确定资源专用时间和数量等。
(2)泛在接入:
客户通过标准接入机制,利用计算机、移动电话、平板等各种终端通过网络随时随地使用服务。
(3)资源池化:
云服务商将资源(如:计算资源、存储资源、网络资源等)提供给多个客户使用,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。
(4)快速伸缩性:
客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来讲,这些资源是“无限”的,能在任何时候获得所需资源量。
(5)服务可计量:
云计算可按照多种计量方式(如按次付费或充值使用等)自动控制或量化资源,计量的对象可以是存储空间、计量能力、网络带宽或账户数等。
3. 云计算服务形式
目前,云计算的主要服务形式有:
(1)Saas(Software as a Service),软件即服务;
(2)PaaS(Platform as a Service),平台即服务;
(3)laaS(Infrastructure as a Service),基础设施服务。
4. 云计算平台安全威胁
5. 云计算安全技术体系框架
6. 可信云计算
二、大数据安全
1. 大数据的定义
对于“大数据”(Big data)研究机构Gartner给出了这样的定义:"大数据"是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。
麦肯锡全球研究所给出的定义:—种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征.
2. 大数据的特征
3. 大数据安全威胁
4. 大数据生命周期安全
(1)数据收集阶段:数据源鉴别及记录、数据合法收集、数据标准化管理、数据管理职责定义、数据分类分级以及数据留存合规识别等问题;
(2)数据存储阶段:存储架构安全、逻辑存储安全、存储访问安全、数据副木安全、数据归档安全等;
(3)数据处理阶段:数据分布式处理安全、数据分析安全、数据加密处理、数据脱敏处理以及数据溯源等;
(4)数据分发阶段:数据传输安全、数据访问控制、数据脱敏处理等。
(5)数据删除阶段:删除源数据、原始数据及副本、断开与外部的实时数据流链接等。
5. 大数据安全防护管理要求
大数据安全管理目标
维织实现大数据价值的同时,确保数据安全。组织应:
(1)满足个人信息保护和数据保护的法律法规、标准等要求;
(2)满足大数据相关方的数据保护要求;
(3)通过技术和管理手段保证自身控制和管理的数据安全风险可控。
大数据安全管理的主要内容
大数据安全管理主要包含以下内容:
- 明确数据安全需求。组织应分析大数据环境下数据的保密性、完整性和可用性所面临的新问题,分析大数据活动可能对国家安全、社公影响、公共利益、个人的生命财产安全等造成的影响,并明确解决这些问题和影响的数据安全需求。
- 数据分类分级。组织应先对数据进行分类分级,根据不同的数据分级选择适当的安全措施。
- 明确大数据活动安全要求。组织应理解主要大数据活动的特点,可能涉及的数据操作,并明确各大数据活动的安全要求。
- 评估大数据安全风险。组织除开展信息系统安全风险评估外,还应从大数据环境潜在的系统的脆弱点、恶意利用、后果等不利因素,以及应对措施等评估大数据安全风险。
6. 大数据安全防护技术
(1)数据发布匿名保护技术
(2)社交网络匿名保护技术
(3)数据水印技术
(4)数据溯源技术
(5)角色挖掘技术
(6)风险自适应的访问控制
三、移动互联网安全
1. 移动互联网概念
移动互联网继承了桌面互联网的开发协作的特征,又继承了移动网的实时性、隐私性、便携性、准确性、可定位的特点。
(1)技术层面定义:以宽带IP为技术核心,可同时提供语音、数据、多媒休等业务服务的开放式基础电信网络。
(2)终端层面定义:广义上是指用户使用手机、上网本、笔记本等移动终端,通过移动网络获取移动通信网络服务和互联网;狭义上是指用户使用手机终端,通过移动网络浏览互联网站和手机网站,获收多媒体、定制信息等其他数据服务和信息服务。
2. 移动互联网安全威胁
3. 移动互联网安全风险
(1)开放信道带来的安全风险:
移动互联网依托的移动通信网络采用的无线通信信道,不像有线通信那样受通信电缆的限制,但由于无线信道的开放性,使得它在给与移动用户自由的通信体验同时,也带来了相应的不安全因素。包括通信内容可能被窃听、篡改,通信用户身份可能被假冒等安全风险。
(2)移动互联网应用安全性风险:
移动互联网作为一个较新的领域,在管理层面上,相关法律法规不足,行业对安全风险的认识也存在一定的不足。移动互联网的迅猛发展使得厂商更多的关注应用,大量的移动互联网应用开发没有将安全列入软件生命周期中,对业务流程缺乏安全风险分析等等,从而导致了大量脆弱的业务系统,使得越来越多用户的个人利益受到侵害。
(3)移动互联网用户终端安全风险:
移动互联网用户使用的智能终端功能不断的多样化,越来越多的功能被集成到智能终端中实现,使得安全风险不断累积,为用户带来了越来越多的安全风险。
(4)运营模式导致的安全问题:
在为移动互联网内容带来繁荣发展的同时,也产生了一些不良的影响,例如一些应用为了吸引用户点击率和留存,会在内容中添加或默许用户在提交的内容中包含一些“打擦边球”的内容,包括色情、虚假、夸大甚至非法言论。
4. 移动互联网安全防护
(1) 移动互联网终端安全
(2)移动互联网网络安全:
(3)移动互联网业务安全:
四、物联网安全
1. 物联网概念
物联网( Internet of Things,简称IOT)是把任何物品与互联网连接起来进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。
2013年,物联网全球标准协议(IoT-GSI)将物联网定义为“信息社会的基础设施”。物联网允许在现有网络基础设施上远程检测或控制对象,将物理世界更直接地整合到基于计算机的系统中。
2. 物联网安全风险
(1)物联网导致的隐私泄密问题;
(2)物联网平台存在的安全漏洞带来的安全问题;
(3)物联网终端的移动性对信息安全带来的管理困难问题;
(4)物联网快速增长的设备数量使得对设备的更新和维护都较为困难,终端设备的漏洞很难得到有效的修复。
3. 物联网安全体系架构
4. 物联网安全架构
物联网逻辑流程:
(1)在物联网应用中,多种类型的感知信息会被同时采集、处理,综合利用,甚至不同感知信息的结果会影响其他控制调节行为。
(2)在应用端信息融合处理后可能会面临多种不同的应用。
感知层安全
感知层的架构特点:
(1)感知单元功能受限,特别是无线传感器元件
(2)多个感知单元组成局部传感器网络
感知层的安全威胁:
(1)感知层的网关节点被恶意控制(安全性全部丢失);
(2)感知层的普通节点被恶意控制(攻击方控制密钥);
(3)感知层的普通节点被捕获(未控制密钥,节点未被控制);
(4)感知层的节点受到来自网络的Dos攻击;
(5)接入到物联网的超大量传感节点的标识、识别、认证和控制问题。
传输层安全
传输层安全机制:
(1)端对端机密性:认证机制、密钥协商机制、机密性算法选取机制和密钥管理机制;
(2)节点到节点机密性:认证、密钥协商,功耗以及效率。
传输层安全架构:
(1)建立节点认证机制,建立数据机密性、完整性机制,根据需求建立数据流保密性机制,建立DDoS攻击检测和预防机制;
(2)移动网中AKA机制是基于IMSI的兼容性或一致性、跨域/网络认证;
(3)相应密码技术:密钥管理、端对端加密和点对点加密、密码算法和协议等;
(4)建立广播、组播通信的机密性、认证性和完整性机制。
处理层安全
处理层安全构架:
(1)高强度数据机密性和完整性服务
(2)入侵检测和病毒检测
(3)可靠的高智能处理手段
(4)可靠的密钥管理机制,包括PKI和对称密钥相结合的机制
(5)可靠的认证机制和密钥管理方案
(6)密文查询、数据挖掘、安全多方计算、安全云计算等
(7)恶意指令分析和预防、访问控制和灾难恢复机制
(8)保密日志跟踪和行为分析、恶意行为模型的建立
(9)移动设备识别、定位和追踪机制
(10)移动设备文件的可备份和恢复
应用层安全
应用层安全构架:
(1)有效的数据库访问控制和内容筛选机制
(2)不同场景的隐私信息保护技术
(3)安全的数据销毁技术
(4)有效的数据取证技术
(5)叛逆追踪和其他信息泄露追踪机制
(6)安全的电子产品和软件的知识产权保护技术
5. 工业互联网安全
工控系统名词解释:
(1)工业控制系统(Industrial Control Systems简称:ICS):
是指由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。
(2)可编程逻辑控制器(Programmable Logic Controller简称:PLC):
是一种可以被编程,并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。
(3)分布式控制系统(Distributed Control System简称:DCS):
在国内自控行业又称之为集散控制系统。是相对于集中式控制系统而言的一种新型计算机控制系统,它是在集中式控制系统的基础上发展、演变而来的。
(4)数据采集和监视控制系统(Supervisory Control And Data Acquisition简称: SCADA):
SCADA系统是以计算机为基础的DCS与电力自动化监控系统,它应用领域很广,可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。
工控网络的特点:
工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段(如防火墙、病毒查杀等)无法有效地保护工控网络的安全。
(1)网络通讯协议不同:大量的工控系统采用私有协议;
(2)对系统稳定性要求高:网络安全造成误报等同于攻击;
(3)系统运行环境不同:工控系统运行环境相对落后;
(4)更新代价高:无法像办公网络或互联网那样通过补丁来解决安全问题;
(5)网络结构和行为稳定性高:不同于互联网和办公网络的频繁变动。
工控系统网络涵盖范围:
工业控制系统网络威胁来源:
工业互联网安全体系
七个主要任务:
(1)推动工业互联网安全责任落实;
(2)构建工业互联网安全管理体系;
(3)提升企业工业互联网安全防护水平;
(4)强化工业互联网数据安全保护能力;
(5)建设国家工业互联网安全技术手段;
(6)加强工业互联网安全公共服务能力;
(7)推动工业互联网安全科技创新与产业发展。
四项保障措施:
(1)加强组织领导,健全工作机制。
(2)加大支持力度,优化创新环境。
(3)发挥市场作用,汇聚多方力量。
(4)加强宣传教育,加快人才培养。