云安全服务¶
云安全是指在云平台上,对数据、应用和网络等资源进行安全保护的措施。
1. 信息安全威胁与防护基础¶
1.1. 常见安全威胁¶
云安全威胁分析:
- 基础设施安全加固
- 云账号安全防护
- 应用系统安全加固
了解以上每个方面的具体措施。
常见安全威胁:
- DDoS 攻击
- Web 攻击
- 僵木蠕毒
- APT 攻击
1.2. 信息安全防护基础¶
信息安全:
什么是信息安全?
信息安全的发展历程:
- 20 世纪 40-60 年代:通信安全阶段
- 20 世纪 80 年代:信息安全阶段
- 20 世纪 90 年代:信息保障阶段
- 现在:网络空间安全阶段
信息安全保障:
- 生命周期:规划 - 开发 - 实施 - 运行 - 废弃
- 保障要素:技术 - 管理 - 工程 - 人员
- 安全特征:保密性 - 完整性 - 可用性
信息安全模型 - PDR:
- P:保护
- D:检测
- R:相应
PPDR 在此基础上增加了 Policy。
1.3. 信息安全体系¶
信息安全标准组织:
- 国际上:ISO、IEC
- 国内:TC260、CCSA
常见信息安全标准与规范:
- 信息安全等级保护
- ISO 27001
- 网络安全法
- 中华人民共和国保守国家秘密法
- 美国标准 TCSEC
- 欧盟标准 ITSEC
2. 应用安全¶
2.1. Web 基础¶
- Web 客户端和服务器
- 统一资源定位符 URL
- 事务
-
请求方法
- 常见 HTTP 方法:
GET,PUT,DELETE,POST,HEAD
- 常见 HTTP 方法:
-
状态码
- 常见 HTTP 码:
200,302,404,503
- 常见 HTTP 码:
-
报文
了解 HTTP 请求报文和响应报文的结构
- HTTP 请求包:请求行、请求头部、空行、请求体(都要了解)
- HTTP 响应包:响应行、响应头部、空行、响应体
-
Web 攻击
- SQL 注入
- XSS 攻击
- CSRF
2.2. Web 应用防火墙¶
为什么需要 WAF?
Web 应用防护 - WAF:
WAF 是什么?他能干什么?了解其机制和防护原理。
WAF 八大核心功能:
- 注入攻击防护
- CC 攻击防护
- 恶意扫描防护
- 敏感信息过滤
- 多种部署模式
- 负载均衡
- 高可用
- 安全审计和分析
腾讯 Web 应用防火墙:
腾讯云提供两种类型的云上WAF:
- SaaS 型 WAF
- 负载均衡 型 WAF
3. 云安全中心¶
为什么需要云安全中心?
云安全中心(Cloud Security Center,CSC)是腾讯云一站式安全管理平台,通过资产中心(覆盖30+类型云上资产)、风险中心(一键检测漏洞、配置不当等9大风险)、告警中心(聚合、关联分析日志和处置响应)、高级安全管理(集团账号、多云一站式管理),帮助用户实现事前威胁检测、事中响应处置、事后溯源分析的安全运营闭环,一键搞定安全问题。
看文档。