【文章內容簡介】 和攻擊策略匹配，試試防護，%，低時延，低網絡抖動。高防IP的接入：1） DNS服務器更換對外服務IP（把原域名進行更換）；2） 流量完成切換（客戶端向源站的方位流量直接流向高防ip，安全防護由高防接管）3） 回源正常用戶（回注方式與傳統(tǒng)方式不同，傳統(tǒng)要打上vpn標簽回注隔離主機路由，阿里采用協(xié)議棧更換技術，把處理完成的流量再送給源站，實現回注）。不光為用戶實現了攻擊防護，同時作為業(yè)務前置，把源站網絡完全對外隱藏，降低安全風險。第四章 云上數據安全主要介紹數據安全的防護原理，教會大家在阿里云上如何完美地解決數據安全問題，包括數據的安全存儲、備份恢復、安全傳輸等。Part 1 數據安全概述數據本身的安全：保密性；——加密、證書。完整性； ——完整性驗證。可用性；——主備實例，異地實例。數據防護的安全：物理安全；——及時備份和恢復安全防護?！獢祿L問授權和審批2. 阿里云的數據安全防護1） 數據備份和容災云服務器快照；云數據庫的主備實例和災備實例；云數據庫導入導出；云存儲多副本和異地備份。2） 數據加密云數據庫加密存儲；云存儲加密存儲；加密機。3） 數據傳輸安全云盾證書；HTTPDNS。Part 2 數據備份、恢復和容災1. 常見不同級別的備份方法按地理位置：本地備份；同城備份；異地備份。（理想狀態(tài)：兩地三中心）按備份模式：物理備份（數據塊級）；邏輯備份（文件級）。按時效性：熱備；冷備。2. 云服務器ECS快照快照：某一時間點上某一磁盤的數據備份。阿里云提供了快照機制，通過為云盤創(chuàng)建快照，您可以保留某一個或者多個時間點的磁盤數據拷貝，有計劃地對磁盤創(chuàng)建快照，從而保證您的業(yè)務可持續(xù)運行。3. 云數據庫RDS備份與恢復可以通過設置備份策略調整RDS數據備份和日志備份的周期來實現自動備份。4. 云數據庫RDS數據導入、導出。數據備份、日志備份。5. 云數據庫RDS主備實例、災備實例。主備實例：RDS采用熱備架構，物理服務器出現故障后服務秒級完成切換。災備實例：主節(jié)點和唄節(jié)點均無法連接時，可將異地災備實例切換為主實例。6. 云存儲OSS多備本、異地備份Part 3數據加密1. 常見的加密算法：對稱加密算法；非對稱加密算法；哈希（HASH、摘要）算法1）對稱加密算法指加密和解密使用相同密鑰加密。特點：算法公開、計算量小、加密速度快、加密效率高。不足：交易雙方都使用同樣的密鑰，安全性得不到保證。常見對稱算法：DES AES IDEA RC42)非對稱加密算法至加密和解密使用兩個不同的密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。特點：算法強度復雜、保密性比較好、它消除了最終用戶傳輸密鑰的需要。常見的非對稱加密算法：RSA、elgamal、背包算法、ECC（橢圓曲線加密算法）3）哈希算法將任意長度的二進制值映射為較短的固定長度的二進制值，這個小的二進制值成為哈希值。特點：計算快速，常用在不可還原的密碼存儲、信息完整性校驗。常用的哈希加密算法：MD2/ MD4/ MD5。 CRC 16/CRC32/CRC64。SHA/SHA12. 如何選擇加密算法和密鑰如何選擇加密算法：數據量、速度：量大速度快——對稱加密； 量小速度慢——非對稱加密；簽名：非對稱加密不可還原的密碼存儲、信息完整性校驗——哈希算法3. 如何選擇密鑰密鑰越長，運行的速度就越慢，但安全等級越高。Rsa建議采用1024位，ecc建議采用160位，aes建議采用128位。4. 云數據庫加密存儲——TDE透明數據加密對實例數據文件執(zhí)行實時I/O加密和解密，數據在寫入磁盤前加密，從磁盤讀入內存時解密；不會增加數據文件大小，開發(fā)人員無需更改任何應用程序；會增加CPU使用率。5. 云存儲OSS加密存儲——客戶端加密保護數據用戶數據在發(fā)送給遠端服務器之前就完成加密；加密所用的密鑰和明文只保留在本地。6. 云存儲OSS數據完整性驗證數據在客戶端和服務器之間傳輸有可能會出現數據丟失， OSS可對各種方式上傳的object返回其CRC64值，客戶端可以和本地計算的CRC64值做對比。7. 阿里云加密服務1）云上的數據安全加密方案；2）服務底層使用經國家密碼管理局檢測認證的硬件密碼機；3）密碼算法：全面支持國產算法以及部分國際通用密碼算法（對稱、非對稱、摘要）4）金融支付領域的加解密支持5）權限認證：設備與敏感信息管理分離6）高可用性保障Part 4 數據傳輸安全方案1. 數據傳輸安全風險認識流量劫持是目前最典型的數據傳輸安全風險。2. HTTPS協(xié)議HTTP協(xié)議+SSL協(xié)議=HTTPS協(xié)議1）HTTP的安全版，基于SSL協(xié)議的網站加密傳輸協(xié)議。2）SSL安全套階層協(xié)議，采用公開密鑰技術，為網絡連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。3）遵循SSL安全套階層協(xié)議的服務器數字證書，具有身份驗證功能。網站安裝SSL證書后，使用HTTPS加密協(xié)議訪問，可激活客戶端到服務器之間的“SSL加密通道”（SSL協(xié)議），實現高強度雙向加密傳輸，識別網站真實身份，防止傳輸數據被泄露或篡改。3. 云盾證書服務，是和有資質的CA中心或代理商共同在阿里云為客戶提供直接申請購買管理SSL證書的產品。在云上簽發(fā)symantec、gobalsign、Geotrust證書，實現網站HTTPS化，