阿里云云安全助理工程师ACA复习资料

《阿里云云安全助理工程师ACA复习资料》由会员分享，可在线阅读，更多相关《阿里云云安全助理工程师ACA复习资料（17页珍藏版）》请在装配图网上搜索。

1、RDS第一章 云平台使用安全主要介绍当前信息安全的现状和形势，如何利用云平台的优势降低风险，以及如 何做好云上资产的安全管理等。Part 1典型IT系统架构介绍基础架构演进的趋势：大型机、PC机和小型机、互联网数据中心、云计算。2. 云计算的三种服务：SAAS （软件即服务）（行业应用如CRM、OA、ERP等）PAAS （平台即服务）（云扩展服务，中间件、安全、大数据等）IAAS （基础设施即服务）（虚拟服务器、存储、网络等）3. 企业上云常见架构：ALL in one： ECS （云服务器）应用与数据分离：ECSRDS （数据库）应用集群部署：SLB （负载均衡）一一ECS应用部署集群一一R

2、DS动静资源分离：SLBECS应用部署集群一一OSS （文件存储，图片音视频等非结构 化）Part 2信息安全现状及形式 对于云上攻击，一下三点会以安全检测报告形式列出来：Ddos攻击：大量请求造成拥塞口令暴力破解：SSH、RDP协议为主，针对端口攻击。Web应用攻击：SQL注入攻击为主，针对数据库。（注：SSH secure shell安全外壳协议，建立在应用层基础上的安全协议;RDP remote desktop protocol 远程桌面协议SQL结构化查询语言，数据库查询和程序设计语言。）2014年1月21日，互联网DNS大劫难，DNS被劫持；2014年4月，Heartbleed漏洞，

3、涉及网银、门户网站，可被用于窃取服务器敏感信 息，实时抓取用户信息。Part 3 IT系统风险构成1. 按照等保划分维度：物理和环境安全：机房环境等； 网络和通信安全：网络架构、边界保护、访问控制、入侵防范、通信加密等； 设备和计算安全：入侵防范、恶意代码防范、访问控制、身份鉴别、集中管控和安全审计等；应用和数据安全：安全审计、数据完整性和保密性；2. 云上安全的服务方式：责任分担，共建安全 用户负责“云中内容”的安全性：客户数据；平台、应用程序、身份和访问管理；操作系统、网络和防火墙配置安全。云平台负责云的安全性：计算、存储、数据库、网络、全球基础设施、边缘节 点。Part 4云上安全防护的

4、关键点1. 各类架构注意事项ALL in one部署：注意1.登陆安全；2. 账号授权管理；3. 服务器安全漏洞；4. 应用访问攻击；5. 数据备份和加密；6. 网络攻击风险；应用与数据分离：新增注意1 .数据通信安全；2. 网络通信安全；3. 数据库访问白名单授权；4. 数据库的备份和容灾；应用集群部署：新增注意1服务器访问授权；（授权SLB）2服务器安全区域隔离；（防止ECS之间被攻击）3. 负载均衡加密访问；（证书上传SLB,实现RDS访问）动静资源分离部署：新增注意1.云存储数据备份加密2. 云存储数据容灾2. 云计算面临的安全威胁可用性：大规模分布式拒绝服务攻击（DDos）、僵尸网络

5、（botnet）影响：网站业务不可用完整性：网站入侵、服务器口令暴力破解 影响：网站页面被篡改和植入后门。保密性：网站后门、数据库非法访问（拖库） 影响：用户的账户信息和敏感数据泄露。2. 产生安全风险的主要原因云平台：安全体系；技术实力；安全工具；管理平台；是否易用。ISV:开发规范；测试规范；部署规范；运维规范。用户：安全意识；安全习惯；加入黑产；管理流程；缺乏经验。Part 5阿里云解决方案1. 阿里云的服务器安全防护安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安全中心的联动，为您提供漏洞管理，基线检查和入侵告警功能。主要防护功能：木马查杀；防密码暴力破解；异地登陆提

6、醒；漏洞检测修复。2. 阿里云的网络安全防护免费：安全组、专有网络vpc、基础DDOS防护收费：DDOS高防IP。3. 阿里云的数据安全防护数据备份和容灾相关服务：云服务器快照；云数据库的备份实例和灾备实 例；云存储多副本和异地备份。数据加密相关服务：云数据库加密存储；云存储加密存储；加密机； 数据传输安全相关证书：云盾证书；HTTPDNS。4. 阿里云应用安全防护1）Web防火墙（web application firewall，简称waf）是一款网站必备安全产品。2）云盾web应用防火墙：基于云安全大数据能力实现运营+数据+攻防体系、综合 打造网站应用安全。3）通过防御sql注入、xss跨

7、站脚本、常见web服务器插件漏洞、木马上传、非 授权核心资源访问等。wasp常见攻击；过滤海量恶意cc攻击；禁止恶意的接口滥 刷，数据爬取；4）避免您的网站资产数据泄露，保障网站的安全与可用性。5. 阿里云的监控管理云监控：是一项针对阿里云资源和互联网应用进行监控的服务，云监控服务可 用于收集获取阿里云资源的监控指标，探测互联网服务的可用性，以及针对指标设置 警报。态势感知：是一个大数据安全分析平台，能对您云上所有资源产进行安全告 警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生 的安全事件。Part 6网络安全法2017年6月1日网络安全法正式实施。宏观层面：网络安

8、全同国土安全、经济安全等一样成为国家安全的一个重要组成 部分。微观层面：网络运营者（网络所有者、管理者和网络服务者）必须担负起网络安 全的责任。Part 7云平台使用的账号安全1. 云上账号安全的指导原则账号安全：1）登录验证：配置强密码策略；定期轮转用户登录密码。2）账号授权：遵循最小授权原则；及时撤销不再需要的权限。3）权限分配：不要为根帐号创建访问密钥；将用户管理、权限管理与资源管理分离。2. 阿里云账号安全策略阿里云对租户账号提供账号登录双因素验证机制（MFA）、密码安全策略、审计功 能，以确保云服务账号的安全性。3. 阿里云的账号权限管理访问控制（RAM ）是阿里云为客户提供的用户身

9、份管理与访问控制服务。使用 RAM,可以创建、管理用户账号，并可以控制这些用户账号对名下资源具有的操作 权限。包括：密钥、范围权限、资源访问方式。RAM应用场景： 企业子账号管理与分权；不同企业之间的资源操作与授权管理；针对不可信客户端app的临时授权管理。Part 8云资源管理1. 云资源的管理方式：web管理控制台；客户端工具；api2. 云资源的监控服务：云监控是一项针对阿里云云资源进行监控的服务，可用于手机 获取阿里云资源的监控指标，并针对指标设置报警的阀值。第二章云上服务器安全主要介绍云服务器主要面临的安全风险，并针对这些风险提供了切实可行的、免 费的防护方案。Part 1服务器面临

10、的安全挑战自身脆弱性：漏洞、错误的配置、账号权限、不该开放的端口等。外部威胁：后门、木马、暴力破解攻击等。Part 2服务器安全管理1 .服务器安全管理的五种方式：及时对服务器安装系统补丁；修改服务器默认的账号和密码；在服务器上启动及配置防火墙；关闭服务器不必要的服务及端口；检测服务器系统日志。Part 3通过安骑士发现登录风险安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安 全中心的联动，为您提供漏洞管理、基线检查和入侵告警等功能。漏洞管理：系统软件漏洞；CMS漏洞。基线检查：账户安全检测；弱口令检测；配置风险检测。入侵检测：异地登录提醒；暴力破解联动；网站后门查杀；异常进

11、程检测。Part 4通过安骑士修复常见漏洞1. 常见漏洞：系统漏洞；应用漏洞（应用程序的漏洞，主要由于编写代码留下的漏 洞，常见的有sql注入、xss漏洞、上传漏洞等）。2. 漏洞管理流程：漏洞预警（获取权威漏洞信息）-漏洞检测（检测资产存在的漏 洞）-风险管理（结合资产定位风险）-漏洞修复（补丁系统联动）-漏洞审计（确认漏 洞风险）。3. 安骑士系统软件漏洞支持并检测服务器上的三大类软件漏洞：系统软件漏洞、 Windows系统漏洞、web应用漏洞。4. 安骑士对于cms漏洞可通过及时获取最新的漏洞预警和相关补丁，并通过云端 下发补丁更新，实现漏洞快速发现、快速修复的功能。第三章 云上网络安全

12、主要介绍网络风险产生的原理并学会使用阿里云的防护方案，最大限度避免或减 少网络层攻击的危害。Part 1网络安全概述TCP/IP协议，温顿 瑟夫：tcp/ip协议和互联网架构的联合设计者之一，互联 网之父。网络通信的五元组：源IP、源端口、协议、目标端口、目标IP各种网络攻击：大流量DDos攻击、CC/慢速攻击、sql注入、xss攻击、暴力破解攻 击、安装木马后门、网络钓鱼攻击安全责任分担模型：Part 2网络防火墙的使用1. 安全组介绍：安全组指定了一个或多个防火墙规则，规则包含容许访问的网络 协议、端口、源ip等。2. 安全组功能不同用户网络隔离；系统默认安全组；安全组限制方向；安全组限制

13、数量。Part 3安全专有网络vpcVpc （virtual private cloud）虚拟私有云Vpc功能：自主可控的网络、公网出入、私网互联。自主可同的网络：1）网络规划：ip地址规划、自定义路由、公网访问。2）安全隔离：租户隔离、生产测试、访问控制公网出入三种形式：1）弹性公网ip,简称EIP，是可以独立购买和持有的公网IP地址资源，能动态 绑定到不同的ecs实例上。2）负载均衡3）Nat网关（公网ip共享带宽、一个公网ip的不同端口可映射到不同的vpc ecs、避免ecs被外界主动连接）私网互联：支持同region间、跨region、不同账户下v pc私网互通，支持客户I DC到阿里

14、云 间的私网互通。Part 4 DDos攻击介绍及防护措施1. DDos攻击介绍DDos （distributed denial of service）分布式拒绝服务攻击2. DDos攻击原理对客户端的第三次响应（握手）不反馈，导致tcp资源耗尽。3. DDos常见防护措施：隐藏服务器IP；多节点加速；异常流量清洗；分布式集群防御；防火墙合理配置；专有抗D设备Part 5如何使用阿里基础DDos防护1. 基础DDos防护的主要功能1）攻击流量的发现、牵引和自动处理；2）能有效防御所有各类基于网络层的各种DDos攻击，包括dns query flood，ntp reply flood。3）大数据

15、分析技术实现全自动检测。加入安全信誉防护联盟可以增加防御阀值，最高可到20GPart 6通过高防IP抵御大规模DDos攻击高防IP的原理：ISP四层清洗、七层清洗负载均衡云服务器高防IP的功能：1）防护海量DDos攻击：3个高防中心，电信、联通、BGP线路，总带宽超过1000Gbps。2）专业团队运营3）源站IP隐藏：高防服务可散列化业务IP,随时更换防护的IP,隐藏源站网络4）弹性防护：DDos防护阈值弹性调整，可以随时升级更高级别的防护，整个过程服务无中断。5）高可靠，高可用服务：全自动检测和攻击策略匹配，试试防护，清洗服务可用性%，低时延，低网络抖动。高防IP的接入:1）DNS服务器更换

16、对外服务IP （把原域名进行更换）；2）流量完成切换（客户端向源站的方位流量直接流向高防ip,安全防护由高防接管）3）回源正常用户（回注方式与传统方式不同，传统要打上vpn标签回注隔离主机路由,阿里采用协议栈更换技术,把处理完成的流量再送给源站,实现回 注）。不光为用户实现了攻击防护，同时作为业务前置，把源站网络完全对外隐藏， 降低安全风险。第四章 云上数据安全 主要介绍数据安全的防护原理，教会大家在阿里云上如何完美地解决数据安全问 题，包括数据的安全存储、备份恢复、安全传输等。Part 1数据安全概述1. 数据本身及数据防护的安全数据本身的安全:保密性；加密、证书。完整性；完整性验证。可用性

17、；主备实例，异地实例。数据防护的安全:物理安全；及时备份和恢复安全防护。数据访问授权和审批2. 阿里云的数据安全防护1）数据备份和容灾云服务器快照；云数据库的主备实例和灾备实例；云数据库导入导出；云存储 多副本和异地备份。2）数据加密云数据库加密存储；云存储加密存储；加密机。3）数据传输安全云盾证书；HTTPDNS。Part 2 数据备份、恢复和容灾1. 常见不同级别的备份方法 按地理位置：本地备份；同城备份；异地备份。（理想状态：两地三中心） 按备份模式：物理备份（数据块级）；逻辑备份（文件级）。 按时效性：热备；冷备。2. 云服务器ECS快照快照：某一时间点上某一磁盘的数据备份。 阿里云提

18、供了快照机制，通过为云盘创建快照，您可以保留某一个或者多个时间点的磁盘数据拷贝，有计划地对磁盘创建快照，从而保证您的业务可持续运行。3. 云数据库RDS备份与恢复可以通过设置备份策略调整RDS数据备份和日志备份的周期来实现自动备份。4. 云数据库RDS数据导入、导出。数据备份、日志备份。5. 云数据库RDS主备实例、灾备实例。主备实例：RDS采用热备架构，物理服务器出现故障后服务秒级完成切换。 灾备实例：主节点和呗节点均无法连接时，可将异地灾备实例切换为主实例。6. 云存储0SS多备本、异地备份Part 3数据加密1. 常见的加密算法：对称加密算法；非对称加密算法；哈希（HASH、摘要）算法1

19、）对称加密算法指加密和解密使用相同密钥加密。 特点：算法公开、计算量小、加密速度快、加密效率高。不足：交易双方都使用同样的密钥，安全性得不到保证。常见对称算法：DES AES IDEA RC42）非对称加密算法至加密和解密使用两个不同的密钥：公开密钥（publickey ）和私有密钥（priva tekey）。 特点：算法强度复杂、保密性比较好、它消除了最终用户传输密钥的需要。 常见的非对称加密算法：RSA、elgamal、背包算法、ECC （椭圆曲线加密算法）3）哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个 小的二进制值成为哈希值。特点：计算快速，常用在不可还原的密码存储

20、、信息完整性校验。常用的哈希加密算法：MD2/ MD4/ MD5; CRC 16/CRC32/CRC64;SHA/SHA-12. 如何选择加密算法和密钥如何选择加密算法：数据量、速度：量大速度快对称加密；量小速度慢非对称加密；签名：非对称加密 不可还原的密码存储、信息完整性校验哈希算法3. 如何选择密钥密钥越长，运行的速度就越慢，但安全等级越高。Rsa建议采用1024位，ecc 建议采用160位，aes建议采用128位。4. 云数据库加密存储TDE透明数据加密对实例数据文件执行实时I/O加密和解密，数据在写入磁盘前加密，从磁盘读 入内存时解密；不会增加数据文件大小，开发人员无需更改任何应用程序

21、；会 增加CPU使用率。5. 云存储0SS加密存储客户端加密保护数据 用户数据在发送给远端服务器之前就完成加密；加密所用的密钥和明文只保留 在本地。6. 云存储0SS数据完整性验证数据在客户端和服务器之间传输有可能会出现数据丢失，OSS可对各种方式 上传的object返回其CRC64值，客户端可以和本地计算的CRC64值做对比。7. 阿里云加密服务1）云上的数据安全加密方案；2）服务底层使用经国家密码管理局检测认证的硬件密码机；3）密码算法：全面支持国产算法以及部分国际通用密码算法（对称、非对 称、摘要）4）金融支付领域的加解密支持5）权限认证：设备与敏感信息管理分离6）高可用性保障Part

22、4数据传输安全方案1. 数据传输安全风险认识流量劫持是目前最典型的数据传输安全风险。2. HTTPS 协议HTTP协议+SSL协议=HTTPS协议1）HTTP的安全版，基于SSL协议的网站加密传输协议。2）SSL安全套阶层协议，采用公开密钥技术，为网络连接提供数据加密、服 务器认证、消息完整性以及可选的客户机认证。3）遵循SSL安全套阶层协议的服务器数字证书，具有身份验证功能。网站安 装SSL证书后，使用HTTPS加密协议访问，可激活客户端到服务器之间的“SSL加密通道”（SSL协议），实现高强度双向加密传输，识别网站真实身 份，防止传输数据被泄露或篡改。3. 云盾证书服务，是和有资质的CA中

23、心或代理商共同在阿里云为客户提供直 接申请购买管理SSL证书的产品。在云上签发symantec、gobalsign、Geotrust证书，实现网站HTTPS化，使网站可信、防劫持、防篡改、防监 听。并对云上证书进行统一生命周期管理，简化证书部署，一键分发到云上产 品。原理，使用HTTP协议进行域名解析，代替现有基于UDP的DNS协议，域名解 析请求直接发送到阿里云的HTTPDNS服务器，从而绕过运营商的Local DNS， 能够避免Local DNS造成的域名劫持问题和调度不精准问题。概念及特点：HTTPDNS是阿里云面向移动开发者推出的一款域名解析产品，具 有域名防劫持、精准调度的特性。Pa

24、rt 5阿里云的数据传输安全实践1. 负载均衡SLB HTTPS支持负载均衡提供了 HTTPS单向和双向认证；支持http回源。2. WAF HTTPS 支持WAF提供了 HTTPS支持。3. 云数据库RDS的传输安全SSL加密在传输层对网络连接加密，提升数据传输的安全性和完整性。第五章 云上应用安全主要介绍Web应用和APP面临的主要安全风险，以及防御方案、原理和最佳防护 实践。Part 1 web应用安全概述1. web应用安全问题：网站变卡、打不开；网站数据被恶意爬取，短信流量被滥刷；账号数据、资金损失；获取服务器管理员权限，篡改网站数据、页面。2. owasp (open web ap

25、plication security project) 开放式 web 应用程序安全项 目组织3. web组成及web安全分类web服务器端通过通信协议http (s)与web客户端通信。Web服务端安全问题：sql注入、文件上传、系统命令执行漏洞、权限漏洞。Web客户端安全问题：xss漏洞、csrf漏洞、其他浏览器或插件漏洞4. 应用安全防护工具：web应用防火墙(WAF),通过执行一系列针对HTTP/HTTPS 的安全策略来专门为web应用提供保护的一款产品。Part 2通过阿里云WAF保护应用安全1. 阿里云WAF基于云安全大数据能力实现运营+数据+攻防体系，综合打造网站应 用安全。通过

26、方旭SQL注入、网页防篡改、xss跨站脚本、常见web服务器插 件漏洞、木马上传、非授权核心资源方位等owasp常见攻击；过滤海量恶意cc 攻击；禁止恶意的接口滥刷、数据爬取；避免网站数据泄露。2. WAF核心能力：Oday漏洞防护、放数据泄密、防cc攻击、业务风控。3. WAF竞争优势资源能力：弹性扩容、天然容灾、攻击阈值大。数据模型：海量IP信誉库、网站正常模型4. 阿里云WAF应用防火墙安全检测流程：流量经过web应用防火墙时，首先依次 匹配精准访问控制中的规则、再进行CC攻击的检测、最后进行web应用攻击防 护。5. 云盾WAF包括高级版、企业版、旗舰版三个版本。Part 3 SQL注

27、入及防护1. 什么是SQL注入攻击通过把SQL命令插入到web表单递交或输入域名或页面 请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。2. SQL注入攻击的现象：数据泄露一一猜测并非授权获得数据库信息；数据篡改破坏数据库信息；数据删除数据库信息丢失；修改系统访问授权私自添加、修 改系统或数据库账号，甚至对数据库服 务器的完全控制4. SQL注入的过程：黑客对网站进行扫描，发现页面存在注入风险，通过手工构造 SQL注入语句，渗透入侵数据库，获取网站相关核心数据。5. SQL注入产生的原因：注入攻击的原因是web应用程序中存在漏洞，开发人员编 写的应用程序缺乏对数据库相关的输入数据进行

28、合法性检查，导致应用程序按 照攻击者的意图执行。6. SQL注入防护手段：SQL语句预编译和绑定变量；严格进行输入校验，检查参数的数据类型； 使用安全函数； 应用的异常信息应该给出尽可能少的提示； 不要使用管理员权限的数据库连接； 不要把机密信息直接存放；采用一些工具或网络平台检测是否存在SQL注 入。7. 通过阿里云WAF防护SQL注入web应用攻击防护，防护SQL注入、XSS跨站 等常见web应用攻击、实时生效。模式：防护模式，预警模式。 防护规则策略：正常、宽松、严格。Part 4网站防篡改1. 网站篡改攻击者利用网站漏洞恶意修改web页面内容的攻击事件。2. 网站篡改的动机：纯粹炫耀黑

29、客技术；增加自己网站点击率；加入木马的病毒程 序；发布虚假信息获利；骗取用户资料；政治性宣传。3. 网站篡改的特点及危害： 特点：被篡改的网站页面阅读人群多；传播速度快；影响深远且事后难以消除；无法预先检查，难以防范；难以追查攻击源；攻击工具简单且趋向智能化发展。 危害：企事业单位公信力及形象受影响；经济损失；成为不法分子利用的工具；在社会上进行不当信息的传播。4. 网站篡改的原因 主观：密码管理不严格；未定期修改；多人共用同一密码；补丁不及时更新；不同人员参与到应用开发。客观：系统复杂、漏洞频出、各种应用漏洞（注入、CSRF、身份认证失效、安全 配置错误、页面代码泄露等）都有可能造成网站被篡

30、改；漏洞发现、补丁公布的 时间均过长；钓鱼、木马、间谍软件。5. 网站篡改的过程：黑客对网站进行渗透注入，获取管理员权限留下的木马后门， 在网站页面中留下暗链或者篡改网站页面内容，损害企业对外的公众形象或是造 成经济损失。6. 网页防篡改基本原理：对web服务器上的页面文件进行监控，发现更改行为时及 时组织或者恢复。7. 阿里云WAF防网页篡改：WAF在高级版及以上版本上支持页面防篡改功能，可以 对制定的敏感页面进行缓存。缓存后，即使源站页面内容被恶意篡改，WAF也会返回预先缓存号的页面内容， 从而确保正常用户看到正确的页面。开启网页防篡改配置规则手动打开防护开关手动更新缓存Part 5 CC

31、攻击防护1. CC攻击CC攻击是DDos攻击的一种，主要用来攻击页面，分为：单主机虚拟多IP地 址、代理服务器攻击、僵尸网络攻击特点：CC攻击来的IP都是真实的、分散的；CC攻击的数据包都是正常的数据 包；CC攻击的请求，全都是有效的请求，无法拒绝的请求；CC攻击的网页， 服务器什么都可以连接，ping也没问题，但是网页就是访问不了。2. CC攻击的原理及危害网站被竞争对手攻击或者是黑客敲诈勒索，发起大量的恶意CC请求，长时 间占用消耗服务器的核心资源，造成服务器性能瓶颈，如CPU、内存、贷款，导致 网站业务响应缓慢或是无法正常提供服务。3. 防御CC攻击的方法：禁止网站代理访问；尽量将网站做

32、成静态页面；限制连 接数量；修改最大超时时间；域名欺骗解析；更改web端口；工具：web应用 防火墙。4. 通过阿里云WAF防止CC攻击WAF在企业版及以上版本支持防止CC攻击。独家算法防护引擎、结合大数据、秒级拦截机器恶意CC攻击。模式选择：正常模式；攻击紧急模式；针对性防护算法。CC自定义防护规则：支持在控制台自定义对于特定路径（URL）的访问频率限 制Part 6阿里云WAF的业务风控安全实践1. 关键业务欺诈场景：垃圾注册；垃圾内容；暴力破解；盗卡支付；暴力破解； 撞库；营销作弊。垃圾注册：平台推广拉新客户活动时，常常吸引网络上的“羊毛党”，通过注 册机和虚拟手机号码、人工打码等方式注

33、册一批账号，进入平台批量套取优 惠。登录撞库：登录网络的欺诈分子利用互联网中大量泄露的用户名密码进行尝 试，如果账户、密码不幸在泄露库中，可能导致关联平台上的账号被不发分子 盗用。营销作弊：平台推广活动时，欺诈分子会通过模拟器、虚假手机号码、人工打 码等方式绕过平台验证，批量套取优惠，给平台造成不必要的资金损失。2. 通过阿里云WAF进行数据风控数据风控为WAF基于阿里云的大数据能力，通过业内领先的风险决策引擎，结 合人机识别技术，防止关键业务欺诈行为。数据风控在WAF高级版及以上提供。接入数据风控，不需要服务器或客户端做任何改造，只需要接入WAF,即可轻 松获取风控能力。3. 通过阿里云WA

34、F进行数据风控原理第六章 云上安全管理主要介绍云上安全管理的措施，提升云上资产管理的综合技能，应用阿里云及生 态体系提供的安全服务设计并落实云上安全管理方案。Part 1云上安全管理概述1. 云上安全管理的六大措施：数据备份和恢复；强化网络访问控制；定期安全测 试，发现安全漏洞；建立全局的外部威胁和情报感知能力；建立应急响应和预 案；持续化的安全运营。2. 阿里云安全管理三字经3. 云上安全远程管理的最佳实践：VPN+堡垒机安全价值：1) VPN+堡垒机成为唯一的运维通道，ECS运维端口不必对外。2) 堡垒机实现运维实名制，所有操作可定位到人；3) 远程运维过程全审计，可实现实时监控、事后回放

35、；4) 满足等级保护等法律法规要求。4. 阿里云的堡垒机服务云盾堡垒机集中了运维身份鉴别、账号管控、系统操作审计等多种功能。基于 协议正向代理实现，通过正向代理可实现对SSH, Windows远程桌面、SFTP等 常见运维协议的数据流进行全程记录，再通过协议数据流重组的方式进行录像 回放，达到运维审计的目的。操作审计：追溯的保障和事故分析的依据。职权管控：人员和资产的职权关系管理。安全认证：防止身份冒用和复用。高效运维：支持多种协议和工具。Part 2案例云上的监控服务1. 阿里云上的两种监控服务1) 云监控：是一项针对阿里云资源和互联网应用进行监控的服务。云监控 服务可用于收集获取阿里云资源

36、的监控指标，探测互联网服务的可用 性，以及针对指标设置警报。2) 态势感知：是一个大数据安全分析平台，能对云上所有资源进行安全告 警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历 时，预测即将发生的安全事件。2. 云监控的使用场景3. 云监控的价值 借助云监控服务，可以全面了解在阿里云上的资源使用情况、性能和运行 状况。借助报警服务，可以及时做出反应，保证应用程序顺畅运行。4. 态势感知的使用场景5. 态势感知的价值 利用态势感知搭建全面的安全防护体系：事前+事中+事后1) 事前预防：弱点分析，资产态势监控，资产依赖关系梳理，定时漏洞扫 描，安全配置监控。预防：漏洞补丁，资产弱点告警。2) 事中阻断：入侵检测，攻击识别，异常检测，实时发现web层，主机层 攻击。阻断：攻击阻断，入侵防御。3) 事后回溯：回溯：对安全事件进行回溯和调查，并提供全量原始日志的 检索功能，对攻击事件的影响和系统防御效果态势进行调查。