【扩展】数据安全可以注意的那些点!

DataEase
1

一、数据加密
1 对称加密

image
image1036×605 129 KB

2 非对称加密

image
image1040×603 113 KB

3 混合加密

image
image1045×602 81.2 KB

4 小扩展

image
image1043×508 62.6 KB

二、身份验证
1 双因素验证概念
双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。因每次认证时的随机参数不同,所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。

2 具体表现形式
2.1 验证码
2.1.1 登录验证码

image
image720×770 37 KB

2.1.2 短信验证码

image
image573×1280 25.3 KB

2.1.3 登录验证码变式

image
image1280×698 139 KB

2.2 硬件令牌

image
image960×720 24.3 KB

原理图

image
image1280×558 37.2 KB

2.3 生物特征识别
2.3.1 指纹识别

image
image970×720 79 KB

2.3.2 虹膜识别

image
image786×720 97 KB

2.3.3 人脸识别

image
image1280×720 48.1 KB

三、访问控制

image
image1041×597 218 KB

image
image1040×596 84.5 KB

四、网络安全
1 防火墙
1.1 防火墙知识小问答

image
image1041×597 69.1 KB

拿柏林墙举例,防火墙只能防住它策略内能防住的东西,而且也不能消灭侵入者!
防火墙还是需要通过升级(完善策略)来提升防护!
image
image1080×720 77.4 KB

1.2 防火墙常见指令

image
image1041×601 77.6 KB

1.3 DE 安装后有可能的小问题

image
image1044×371 34 KB

网络连通性测试更多指令:curl检查端口_Linuxt命令检测端口是否监听_己见明的博客-CSDN博客

2 IDS & IPS

image
image1042×428 99.9 KB

3 VPN

image
image1036×599 202 KB

五、备份恢复
1 常见手段

image
image1043×598 50.5 KB

六、漏洞修复
1 HW 行动

image
image896×311 129 KB

image
image1041×589 90 KB

七、数据遗失防护

image
image728×329 85.2 KB

1 911 事件
image
image713×920 143 KB

(转自搜狐新闻)

2 其他事件

image
image1293×1124 376 KB

(转自和力记易)

3 灾备的一些概念

3.1 数据级灾备
数据级灾备主要关注数据,在灾难发生时,如何保护数据不被破坏?最早期的数据级灾备,是通过卡车运输硬盘来完成。现在则主要通过数据中心之间,超大容量光纤数据同步来完成。

3.1 应用级灾备
应用级灾备主要关注应用是否可以被延续,通常会在异地灾备中心备份一套完整的支撑系统,以保证主生产中心出现问题时,可以立即切换生产中心,缩短系统的停机时间。

3.1 业务级灾备
业务级灾备一般被认为是最高级别的灾备方案,不仅仅要对所有代码进行备份,还包括线下规章制度以及人员组成。

八、安全审计与监控
监控和审计机制是用来保证服务安全性的常用手段。
1 常见的安全审计与监控软件

image
image900×520 178 KB

2 扩充知识点-ISO/IEC27001
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。
ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

九、物理安全

image
image953×720 56.9 KB

1常见手段

1.1 门禁系统
物理门禁系统可以限制未经授权的人员进入数据中心或机房。只有经过身份验证的人员才能访问敏感数据。

1.2 锁定设备
将服务器、计算机和其他数据存储设备锁定在机柜或机架中,以防止物理盗窃或未经授权的访问。

1.3 CCTV 监控
闭路电视摄像头可以监控数据中心或机房的物理安全情况,记录潜在的安全事件。

1.4 防火墙和防火设备
物理防火墙和灭火系统可以防止火灾对数据中心或机房的损害。

1.5 生物识别技术
生物识别技术,如指纹识别和虹膜扫描,可用于确认访问者的身份,并防止未经授权的人员访问敏感数据。

1.6 硬件加密
使用硬件加密设备可以加密存储在硬盘驱动器或移动存储设备上的数据,以确保即使设备丢失或被盗,数据也不容易被窃取。

1.7 温度和湿度控制
维护适当的温度和湿度水平可以确保硬件设备的正常运行,并减少因环境因素导致的数据丢失。

1.8 电源备份
使用不间断电源(UPS)和备用发电机等电源备份设备可以确保数据中心在电力中断情况下仍能正常运行。

1.9 安全储存介质
将备份数据存储在安全的介质中,如火保险柜或离线磁带库,以防止数据泄漏。

1.10 物理审计
定期进行物理审计,检查设备和数据存储位置,以确保一切都在正常状态下,并且没有未经授权的访问。

十、数据隔离
1 虚拟化容器化技术

1.1 虚拟化技术
虚拟化是指通过软件的技术将一台物理主机虚拟化为多台逻辑计算机,每台逻辑计算机可独立的运行不同的操作系统和各种应用程序。
通过虚拟化技术,使得每一台虚拟机都拥有自己的虚拟硬件(虚拟cpu、网卡、内存等),并让运行在虚拟机上的操作系统认为自己独占一台物理主机;
虚拟机上的软件运行在一个虚拟的平台上,而非真实的硬件平台;

1.2 容器化技术
容器是一个不依赖操作系统的运行应用程序的环境。它通过linux的Namespaces(linux命名空间,可以隔离进程的id、主机名、用户id、网络访问和进程通信等相关资源)和Cgroups(控制组是一项内核功能,能够控制和限制一个进程或多组进程的资源使用)技术对应用程序进程进行隔离和限制;Namespace的作用是隔离,它让应用进程只能看到该Namespace内的世界;而Cgroups 的作用是限制分配给进程的宿主机资源。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。
容器只是运行在宿主机上的一种特殊进程,多容器之间使用的还是同一个宿主机的操作系统内核(该特点导致隔离性比虚拟机差)。

详见:理解容器和虚拟化技术_虚拟化容器技术-CSDN博客

在日益数字化的世界中,数据安全成为了至关重要的挑战。保护个人、企业和政府的敏感信息,防止数据泄露和滥用,已经成为了一个不可忽视的责任。本文中引入的东西其实也只是数据安全领域中的一些皮毛,感兴趣的朋友可以更加参考以上的点进行深入的学习。
当然除了以上说到的点,数据安全领域还有「端点安全」、「区块链」等技术手段,甚至还有相关的专业培训和认证,所谓「一入安全深似海」呀!那这次就先到这里啦!大家拜了个拜!

2

原创吗?有才啊~

3

:+1: :+1: :+1: 安全审计与监控软件 JumpServer