阿里云弹性认证ACP集锦7

七、安全（云盾、云安全）：10%

全国首个等级保护三级认证云平台。

全球首个CSA-STAR金牌认证云平台。

云安全体系：云盾+云产品安全

云盾：数据库防火墙、数据库审计、web应用防火墙、web弱点分析、主机入侵防护、DDOS防护

云产品安全：3副本、快照、备份、加密。SDL、自动宕机迁移、安全镜像、安全组。

责任分担、共建安全（客户负责上层业务系统，阿里云负责数据中心基础设施）。

云盾+大数据：恶意IP库、恶意行为库、恶意样本库、安全漏洞库（大数据）--》DDOS防御能力、入侵防御能力、弱点分析能力。

TCP/IP、广域网、通信五元组、IP/PORT

TCP三次握手及DDOS攻击（不只有DDOS攻击,CC，SQL注入，XSS攻击，暴力破解，安装木马后门，网络钓鱼）。

1、 云盾的网络级防护

a) 基础DDOS防护

1. DDos是分布式拒绝服务攻击，让指定目标无法提供正常服务，是最强大、最难防御额攻击之一。
2. 防护流程：

组成：DDOS攻击预警模块，DDOS攻击清理集群，DDOS防护管理中心。

防护：流量镜像进入预警模块，攻击流量牵引至清理集群，干净流量回注至业务服务器。

1. 防护功能：攻击流量的发现，牵引和自动处理；有效抵御DNS Query Flood、NTP reply Flood攻击；总体响应时间<2秒
2. 开通方法：自动开通，其中CC防护开关需要手动打开。

b) Ddos高防IP

1. 适用于大流量攻击（大于5G）；强大云端高防；
2. 功能：游戏空连接；防御CC攻击；防御僵尸网络；防御WEB攻击；
3. 接入步骤：DNS服务器更换对外服务IP（隐蔽服务器IP），实现这一步就可以了，流量会自动完成切换，用户会访问回源内容。
4. 原理：四层攻击直接被黑洞；正常用户访问高防VIP1；
5. 组成：流量监测；DDOS清洗；CC攻击防御；WAF；后台管理。
6. 特点：极低的网络抖动，实现无阻塞实时网络（考题）；3秒处理完成，实时高防业务体验；
7. WAF保护七层应用。防御全球最大DDOS攻击453G.

c) WAF

基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站的安全与可用性。

1. Web应用防火墙目前支持HTTP、HTTPS（高级版及以上）的Web安全防护。目前仅支持80和443端口的流量。
2. 安全配置主要分为三种，第一是关于Web应用攻击防护，可以进行功能开关及工作模式的调整；第二是关于CC防护，同样也支持功能开关及工作模式的调整；第三是精准访问控制，可以对业务进行规则的定制防护。
3. Web应用防火墙或高防IP生产的cname域名，用于DNS解析的，不能直接访问，直接访问原域名。
4. 跨站攻击(XSS): 发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。
5. CRLF攻击: HTTP响应拆分漏洞，也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。攻击者可能注入自定义HTTP头。
6. SQL注入攻击: 被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
7. 写入webshell攻击: 是指WAF检测到攻击者正在往用户网站写入网页木马，企图控制服务器。攻击者可以在用户网站上写入一个web木马后门，用于操作用户网站上的文件，执行命令等等。
8. 本地文件包含: 是指程序代码在处理包含文件的时候没有严格控制。攻击着可以利用该漏洞，在服务器上执行命令。
9. 远程文件包含: 是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行，进而获取到服务器权限，造成网站被恶意删除，用户和交易数据被篡改等一系列恶性后果。
10. 远程代码执行: 是指由于服务端代码漏洞导致恶意用户输入在服务端被执行的一种高危安全漏洞。利用该漏洞，可以在服务器上执行攻击者拼装的代码。
11. FastCGI攻击: nginx中存在一个较为严重的安全问题，FastCGI模块默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析。这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。
12. WAF专注于应用层的攻击，包括CC和web攻击。和高防IP的主要差别在于：WAF会在第一时间最快更新最新的Web 0day漏洞防护规则。比如大面积爆发的strust2和imagemagick漏洞。Web防护上具备预警模式和防护模式，帮助用户业务初次上线时启用，了解业务误报状况。CC防护具备宽松、严格的防护策略，用户可以自定义调整适应业务实际情况。企业版支持用户关于web攻击规则的自定义调整以及CC策略的定制调整，避免误报。针对诸如wordpress的pingback以及挂链导致的CC攻击，只有Web应用防火墙具备。支持用户对管理员登陆页面等特定URL做重点访问控制。实时解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重业务风险，最佳用户体验、无需网站修改源码/调用API接口等繁琐操作即可实现快速上线防护。

d) 网络安全专家防护

1. 基于云盾DDOS高防ip，推出的安全代维托管服务，由阿里云云盾专家团队，提供私家定制的策略优化、重大活动保障，攻防专家分析报告、真是攻击源分析、人工值守等服务。

2、 云盾的主机级防护

a) 安骑士：支持卸载、安装

1. 基于云端联动防御，可以为云服务器提供防黑客入侵。
2. 木马查杀；防密码暴力破解；异动登陆提醒；漏洞检测修复---补丁管理。
3. 木马查杀：网站类后门、二进制程序、恶意脚本；精准查杀（实时更新基于阿里云的恶意文件库）；实时查杀（第一时间通知，主动隔离，实时通知用户）
4. 账户安全保护：暴力破解拦截；黑客账户检测；异常登录报警；
5. 特点：轻量化Agent（CPU使用率1%、10M内存、无第三方依赖）；安全状况实时掌控（控制台、短信邮件告警）；发现风险快速阻断；云平台全链路联动防御；适应各种云平台环境（支持公有云、私有云、混合云、传统IDC）；

b) 补丁管理：基于安骑士

1. 解决客户漏网发现不及时、不会修漏洞、无法批量进行补丁更新等问题，可一键下发补丁更新、漏洞快速修复。
2. 发现漏洞（在漏洞曝光之前）-》获取修复方案（快于官方发布）-》执行修复（批量修复、异常回滚）
3. 工作原理：执行漏洞扫描、并将漏洞信息上报到云盾，同时给用户推送漏洞预警信息。
4. 特点：多渠道漏洞获取、专家团队自研补丁、6小时修复、支持批量修复和回滚。

c) 服务器安全托管

1. 管家式的服务
2. 定制化的安全防护策略、木马文件检测和高危漏洞监测与修复
3. 发生安全事件，提供安全事件分析、响应，并优化防护策略。
4. 成果：安全事件分析报告

3、 云盾的业务防护

a) 阿里绿网（考题：阿里绿网只提供网站内容检测?）

1. 违规信息管控政策背景（国家法律法规要求、违规事件频发，处罚成本巨大，信息安全问题持续升温，新法不断出台）；违规形式多样化，提前发现成难题；
2. 阿里绿网基于深度学习技术及阿里巴巴多年的海里数据支撑，提供多样化的内容识别服务，能有效帮助用户降低违规风险。
3. 网站内容检测（违规网页检测、挂马检测）和图片鉴黄服务，后续推出垃圾广告过滤、图片识别和视频识别等服务。
4. 核心能力：文本算法（可准确高效的检测各类违规违法文本）；色情图片检测（基于鉴黄模型，自动发现图片特征，准确率高达99.6%）；多媒体指纹技术（视频特征提取、特征量化，由于占用空间小，可大规模索引和检索）；OCR（图片文字检测、识别服务，有极高的准确率和很好的泛化能力，快速迭代更新）
5. 特点：大数据；强大的识别能力；灵活的服务方式；海量数据快速检测；

b) 反欺诈服务

1. 常见：垃圾注册、刷库、撞库、营销作弊、垃圾内容
2. 概念：基于阿里大数据风控服务能力，通过领先的行为收集技术和机器学习模型，解决企业账号、活动、支付等关键业务环节存在的欺诈威胁。
3. 特点：精准识别风险；实时防御风险；基于海量数据分析；
4. 核心：防垃圾注册；风险用户核实；防营销作弊；防恶意登录；支付保护；饭垃圾服务。

c) 加密服务

1. 加密的重要性：有效阻止非授权的人获取数据；数据即便丢失也没有关系；密钥的管理是一个严谨的过程；企业的敏感数据都应该加密保护；海量数据的加密是核心的问题；
2. 概念：通过在阿里云使用经国家密码管理局检测认证的硬件加密机，帮助客户满足数据安全的监管合规要求，确保云上业务数据的隐私性和机密性。客户可以借助云加密服务实现对加密密钥的完全控制和加解密操作。
3. 算法支持：对称加密算法；非对称加密算法；摘要算法；全面支持国家和国际通用算法；
4. 特点：安全的密钥管理；云上合规；弹性扩展；云计算带来的可靠性。
5. 适合场景：企业合同、核心专利、重要客户信息、董事会纪要；

4、 云盾的安全管理

a) 态势感知（网络层、主机层、业务层）

1. 专为企业安全运维团队打造，结合云主机和全网的威胁情报，利用机器学习，进行安全大数据分析的威胁检测平台；全面、快速、准确感知过去、现在、未来的安全威胁。
2. 还原事件、分析原因、着眼未来
3. 特点：免安装、Saas服务，无需任务部署，在浏览器上即可使用；大数据+专业团队
4. 态势感知，让安全决策变得简单。

b) 云监控（设置报警规则、获取监控信息）

1. 是一项针对阿里云资源和互联网应用进行监控的服务。可用于收集获取阿里云资源的监控指标，探测互联网服务可用性，以及针对指标设置警报。
2. 模块：站点监控、云服务监控、自定义监控、报警联系人、事件订阅。
3. 站点监控：支持8种协议的探测，探测频率1、5、15分钟。HTTP/HTTPS，PING,TCP,UDP,DNS,POP3,SMTP,FTP
4. 云服务监控：可查看11种云产品的监控数据并设置报警，每个产品提供了不同的监控指标和统计周期。ECS/RDS/SLB/OSS/EIP/CDN/MQ/LOG/。。。
5. 自定义监控：提供给用户自由定义监控项及报警规则的一项功能。可以针对自己关心的业务进行监控，上报监控数据，由云监控进行数据处理，并形成报警数据。
6. 报警服务：监控项、统计周期、统计方法、联系人通知组等信息。

c) RAM

1. 稳定可靠的集中式访问控制服务，可授权第三方合作。
2. 特点：集中式身份管理；集中式权限管理；统一访问控制（STS）；集中记录用户行为；统一账单（主账号买单）；
3. 身份管理：RAM-user，独立的身份管理，实体身份，拥有独立的登陆密码和AK，支持多因素认证；RAM-Role，与各种身份管理系统结合，是虚拟身份，没有独立的登录密码和AK，可以与外部实体身份联结。
4. 权限管理：授权策略管理；STS访问令牌管理；
5. 应用场景：企业子账号管理与分权；不同企业之间的资源操作与授权管理； 云服务之间的资源代理操作与授权管理；身份联盟与授权管理；针对不可信客户端APP的临时授权管理； 

d) 渗透测试—提交工单，申请开通

1. 是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法，进行安全性评估。
2. 测试手段：以黑客的视角，用黑客的工具和方法进行测试，只进行安全评估，不进行破坏；
3. 测试范围：操作系统漏洞、网络漏洞、web应用漏洞、常见服务漏洞、安全管理漏洞、员工安全意思漏洞。
4. 服务报告：服务范围描述；渗透过程详细描述；发现的漏洞列表、漏洞验证方法；漏洞修复建议；渗透总结。
5. 特点：渗透测试专家团队；云盾技术与大数据支撑。

e) 先知计划

1. 帮助企业建立私有安全应急响应中心（漏洞收集平台）
2. 加入先知计划，企业可自主发布奖励计划，激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞，保证安全风险可以快速进行响应和修复，防止造成更大的安全损失。
3. 功能：私有的安全中心；可靠的安全专家；完整的漏洞闭环。
4. 可覆盖的风险：敏感信息泄露；业务逻辑设计缺陷；越权敏感操作；弱口令；

f) 数据安全险

1. 是众安保险针对阿里云用户推出的信息安全综合保险，若因黑客攻击导致用户云服务器上的数据泄露并造成经济损失，众安保险将为用户提供最高100万的现金赔偿，降低投保用户因黑客攻击意外事件带来的经济损失。
2. 典型场景：数据被黑客窃取，企业收到黑客敲诈；网站用户收到欺诈信息，企业被索赔；媒体公布企业数据被黑客窃取，企业声誉损失。

5、 安全防护建议

a) 安全责任

1. 阿里云上安全管理责任不变；数据归属关系不变；安全管理标准不变；
2. 提高风险意识，完善管理流程，建立（考题）--安全习惯（强密码、安全验证、密码文件单独加密，不在网络上传输、不连接不安全AP，不下载、不安装未知软件。）

b) 架构+网络优化建议

1. 架构优化：存放关键内容的ECS，不开通公网IP；使用SLB，增加一层防护；RDS不开通外网IP；远程管理采用堡垒机中转；开通“态势感知”，并定期查看报告。
2. 网络层优化：关注云盾报表关于DDos的基础防护；打开CC开关，配置DDOS清洗阈值；超过5G攻击，开启高防IP；重大活动保障，启用网络安全专家服务。

c) 主机+应用优化建议

1. 主机优化：启用操作系统自带防火墙功能；开放端口时，采用最小化原则；管理端口增加白名单IP；关闭ECS的无用端口；开启安骑士、阿里绿网；可选择服务器安全托管；
2. 应用优化：遵循软件安全开发生命周期（SDL）；进行安全评估和安全测试；定期查看安骑士、态势感知、云监控报告；对业务系统进行分组，启用RAM账号，最小化权限。

d) 报警测录配置

1. 态势感知模块报警
2. 阿里绿网模块报警
3. 云监控报警

这四张也很重要，可以结合以上产品进行综合理解，考题演变的基础：