【文章內(nèi)容簡介】 和攻擊策略匹配，試試防護(hù)，%，低時(shí)延，低網(wǎng)絡(luò)抖動(dòng)。高防IP的接入：1） DNS服務(wù)器更換對(duì)外服務(wù)IP（把原域名進(jìn)行更換）；2） 流量完成切換（客戶端向源站的方位流量直接流向高防ip，安全防護(hù)由高防接管）3） 回源正常用戶（回注方式與傳統(tǒng)方式不同，傳統(tǒng)要打上vpn標(biāo)簽回注隔離主機(jī)路由，阿里采用協(xié)議棧更換技術(shù)，把處理完成的流量再送給源站，實(shí)現(xiàn)回注）。不光為用戶實(shí)現(xiàn)了攻擊防護(hù)，同時(shí)作為業(yè)務(wù)前置，把源站網(wǎng)絡(luò)完全對(duì)外隱藏，降低安全風(fēng)險(xiǎn)。第四章 云上數(shù)據(jù)安全主要介紹數(shù)據(jù)安全的防護(hù)原理，教會(huì)大家在阿里云上如何完美地解決數(shù)據(jù)安全問題，包括數(shù)據(jù)的安全存儲(chǔ)、備份恢復(fù)、安全傳輸?shù)取art 1 數(shù)據(jù)安全概述數(shù)據(jù)本身的安全：保密性；——加密、證書。完整性； ——完整性驗(yàn)證。可用性；——主備實(shí)例，異地實(shí)例。數(shù)據(jù)防護(hù)的安全：物理安全；——及時(shí)備份和恢復(fù)安全防護(hù)?！獢?shù)據(jù)訪問授權(quán)和審批2. 阿里云的數(shù)據(jù)安全防護(hù)1） 數(shù)據(jù)備份和容災(zāi)云服務(wù)器快照；云數(shù)據(jù)庫的主備實(shí)例和災(zāi)備實(shí)例；云數(shù)據(jù)庫導(dǎo)入導(dǎo)出；云存儲(chǔ)多副本和異地備份。2） 數(shù)據(jù)加密云數(shù)據(jù)庫加密存儲(chǔ)；云存儲(chǔ)加密存儲(chǔ)；加密機(jī)。3） 數(shù)據(jù)傳輸安全云盾證書；HTTPDNS。Part 2 數(shù)據(jù)備份、恢復(fù)和容災(zāi)1. 常見不同級(jí)別的備份方法按地理位置：本地備份；同城備份；異地備份。（理想狀態(tài)：兩地三中心）按備份模式：物理備份（數(shù)據(jù)塊級(jí)）；邏輯備份（文件級(jí)）。按時(shí)效性：熱備；冷備。2. 云服務(wù)器ECS快照快照：某一時(shí)間點(diǎn)上某一磁盤的數(shù)據(jù)備份。阿里云提供了快照機(jī)制，通過為云盤創(chuàng)建快照，您可以保留某一個(gè)或者多個(gè)時(shí)間點(diǎn)的磁盤數(shù)據(jù)拷貝，有計(jì)劃地對(duì)磁盤創(chuàng)建快照，從而保證您的業(yè)務(wù)可持續(xù)運(yùn)行。3. 云數(shù)據(jù)庫RDS備份與恢復(fù)可以通過設(shè)置備份策略調(diào)整RDS數(shù)據(jù)備份和日志備份的周期來實(shí)現(xiàn)自動(dòng)備份。4. 云數(shù)據(jù)庫RDS數(shù)據(jù)導(dǎo)入、導(dǎo)出。數(shù)據(jù)備份、日志備份。5. 云數(shù)據(jù)庫RDS主備實(shí)例、災(zāi)備實(shí)例。主備實(shí)例：RDS采用熱備架構(gòu)，物理服務(wù)器出現(xiàn)故障后服務(wù)秒級(jí)完成切換。災(zāi)備實(shí)例：主節(jié)點(diǎn)和唄節(jié)點(diǎn)均無法連接時(shí)，可將異地災(zāi)備實(shí)例切換為主實(shí)例。6. 云存儲(chǔ)OSS多備本、異地備份Part 3數(shù)據(jù)加密1. 常見的加密算法：對(duì)稱加密算法；非對(duì)稱加密算法；哈希（HASH、摘要）算法1）對(duì)稱加密算法指加密和解密使用相同密鑰加密。特點(diǎn)：算法公開、計(jì)算量小、加密速度快、加密效率高。不足：交易雙方都使用同樣的密鑰，安全性得不到保證。常見對(duì)稱算法：DES AES IDEA RC42)非對(duì)稱加密算法至加密和解密使用兩個(gè)不同的密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。特點(diǎn)：算法強(qiáng)度復(fù)雜、保密性比較好、它消除了最終用戶傳輸密鑰的需要。常見的非對(duì)稱加密算法：RSA、elgamal、背包算法、ECC（橢圓曲線加密算法）3）哈希算法將任意長度的二進(jìn)制值映射為較短的固定長度的二進(jìn)制值，這個(gè)小的二進(jìn)制值成為哈希值。特點(diǎn)：計(jì)算快速，常用在不可還原的密碼存儲(chǔ)、信息完整性校驗(yàn)。常用的哈希加密算法：MD2/ MD4/ MD5。 CRC 16/CRC32/CRC64。SHA/SHA12. 如何選擇加密算法和密鑰如何選擇加密算法：數(shù)據(jù)量、速度：量大速度快——對(duì)稱加密； 量小速度慢——非對(duì)稱加密；簽名：非對(duì)稱加密不可還原的密碼存儲(chǔ)、信息完整性校驗(yàn)——哈希算法3. 如何選擇密鑰密鑰越長，運(yùn)行的速度就越慢，但安全等級(jí)越高。Rsa建議采用1024位，ecc建議采用160位，aes建議采用128位。4. 云數(shù)據(jù)庫加密存儲(chǔ)——TDE透明數(shù)據(jù)加密對(duì)實(shí)例數(shù)據(jù)文件執(zhí)行實(shí)時(shí)I/O加密和解密，數(shù)據(jù)在寫入磁盤前加密，從磁盤讀入內(nèi)存時(shí)解密；不會(huì)增加數(shù)據(jù)文件大小，開發(fā)人員無需更改任何應(yīng)用程序；會(huì)增加CPU使用率。5. 云存儲(chǔ)OSS加密存儲(chǔ)——客戶端加密保護(hù)數(shù)據(jù)用戶數(shù)據(jù)在發(fā)送給遠(yuǎn)端服務(wù)器之前就完成加密；加密所用的密鑰和明文只保留在本地。6. 云存儲(chǔ)OSS數(shù)據(jù)完整性驗(yàn)證數(shù)據(jù)在客戶端和服務(wù)器之間傳輸有可能會(huì)出現(xiàn)數(shù)據(jù)丟失， OSS可對(duì)各種方式上傳的object返回其CRC64值，客戶端可以和本地計(jì)算的CRC64值做對(duì)比。7. 阿里云加密服務(wù)1）云上的數(shù)據(jù)安全加密方案；2）服務(wù)底層使用經(jīng)國家密碼管理局檢測認(rèn)證的硬件密碼機(jī)；3）密碼算法：全面支持國產(chǎn)算法以及部分國際通用密碼算法（對(duì)稱、非對(duì)稱、摘要）4）金融支付領(lǐng)域的加解密支持5）權(quán)限認(rèn)證：設(shè)備與敏感信息管理分離6）高可用性保障Part 4 數(shù)據(jù)傳輸安全方案1. 數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)認(rèn)識(shí)流量劫持是目前最典型的數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)。2. HTTPS協(xié)議HTTP協(xié)議+SSL協(xié)議=HTTPS協(xié)議1）HTTP的安全版，基于SSL協(xié)議的網(wǎng)站加密傳輸協(xié)議。2）SSL安全套階層協(xié)議，采用公開密鑰技術(shù)，為網(wǎng)絡(luò)連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。3）遵循SSL安全套階層協(xié)議的服務(wù)器數(shù)字證書，具有身份驗(yàn)證功能。網(wǎng)站安裝SSL證書后，使用HTTPS加密協(xié)議訪問，可激活客戶端到服務(wù)器之間的“SSL加密通道”（SSL協(xié)議），實(shí)現(xiàn)高強(qiáng)度雙向加密傳輸，識(shí)別網(wǎng)站真實(shí)身份，防止傳輸數(shù)據(jù)被泄露或篡改。3. 云盾證書服務(wù)，是和有資質(zhì)的CA中心或代理商共同在阿里云為客戶提供直接申請(qǐng)購買管理SSL證書的產(chǎn)品。在云上簽發(fā)symantec、gobalsign、Geotrust證書，實(shí)現(xiàn)網(wǎng)站HTTPS化，