导航:首页 > 文档加密 > 网络安全基础应用与标准pdf

网络安全基础应用与标准pdf

发布时间:2023-07-31 06:41:26

1. 《游戏安全—手游安全技术入门》pdf下载在线阅读全文,求百度网盘云资源

《游戏安全—手游安全技术入门》网络网盘pdf最新全集下载:
链接: https://pan..com/s/1ojqu3_v3ikxQVyr1bFmttQ

?pwd=pw7j 提取码: pw7j
简介:本书是国内移动游戏安全领域的开山之作,填补了移动游戏安全书籍的空白,揭开了移动游戏外挂的神秘面纱。

随着移动互联网的日益普及,业内对移动安全领域的专业人才的需求逐年增加,而该领域的专业人才相对匮乏,很多开发人员和有志于从事相关行业的在校学生等一直缺少相关的参考资料和书籍。作为移动安全领域的入门书籍,《游戏安全——手游安全技术入门》以移动端(涵盖了Android 和iOS两大平台)的游戏逆向分析和外挂技术为切入点,详细讲述了手游安全领域的诸多基础知识和技能,包括:移动端开发和调试环境搭建、典型的移动游戏特性、与外挂相关的安全开发技术、游戏和外挂的逆向分析方法、外挂开发实战演练、游戏引擎逆向分析等内容,书中的部分源代码可免费从网上下载。读者在掌握本书的内容之后,便可入门手游安全领域,同时可以很容易地将在本书中学到的知识扩展至移动端的其他领域,例如:安全方案开发、病毒分析、软件逆向及保护等。

2. 计算机信息安全等级保护的标准都有那些

计算机信息安全等级保护的标准,我在易启标准网为您找到一些不知是不是您要的,因为不知道您具体要哪个,所以只列出了一些供参考,您可到易启标准网搜索后下载:
GA/T 483-2004 计算机信息系统安全等级保护工程管理要求 1374KB
GA/T 391-2002 计算机信息系统安全等级保护管理要求 文本版 467KB
GA/T 390-2002 计算机信息系统安全等级保护通用技术要求 文本版 756KB
SJ 20628-97 通用型军用计算机信息安全技术要求 1256KB
GA/T 712-2007 信息安全技术 应用软件系统安全等级保护通用测试指南 3548KB
GBT 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则.pdf 1067KB
GBZ 20985-2007信息技术 安全技术 信息安全事件管理指南.pdf 2208KB
GBT 20988-2007 信息安全技术 信息系统灾难恢复规范.pdf 1956KB
GB/T 20984-2007 信息安全技术 信息安全风险评估规范.pdf 1254KB
GB/T 17964-2008 信息安全技术 分组密码算法的工作模式 975KB
GB/T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求 3014KB
YD/T 1800-2008 信息安全运行管理系统总体架构 540KB
YD/T 1799-2008 网络与信息安全应急处理服务资质评估方法(缺第3页) 1116KB
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南.pdf 755KB
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 1642KB
GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 4747KB
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 3813KB
GBT 20520-2006信息安全技术 公钥基础设施 时间戳规范 (单行本完整清晰扫描版).pdf 2516KB
GB-T 20010-2005 信息安全技术 包过滤防火墙评估准则.pdf 1487KB
YD/T 1536.1-2006 电信设备的电磁信息安全性要求和测量方法 第1部分:电磁辐射信息泄漏 287KB
SJ 20924-2005 保密通信与信息安全设备结构设计要求 372KB
GA 560-2005 互联网上网服务营业场所 信息安全管理系统营业场所端与营业场所 经营管理系统接口技术要求 271KB
GA 559-2005 互联网上网服务营业场所信息安全管理系统营业场所端功能要求 340KB
GA 558.8-2005 互联网上网服务营业场所信息安全管理系统数据交换格式 第8部分:营业场所运行状态基 104KB
GA 558.7-2005 联网上网服务营业场所信息安全管理系统数据交换格式 第7部分:上网卡信息基本数据交换格式 111KB
GA 558.6-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 6部分:消息基本数据交换格式 103KB
GA 558.5-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 5部分:营业场所营业状态 基本数据交换格式 101KB
GA 558.4-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第4部分:营业场所处罚结果信息 基本数据交换格式 102KB
GA 558.3-2005 互联网上网服务营业场所信息安全管理系统数据交换格式 第3部分:营业场所信息 基本数据交换格式 117KB
GA 558.2-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 2部分:终端下线数据 基本数据交换格式 101KB
GA 558.1-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 1部分:终端上线数据 基本数据交换格式 124KB
GA 557.9-2005 互联网上网服务营业场所信息安全管理代码 第9部分:规则动作代码 70KB
GA 557.8-2005 互联网上网服务营业场所信息安全管理代码 第8部分:系统操作日志操作行为代码 77KB
GA 557.7-2005 互联网上网服务营业场所信息安全管理代码 第7部分:管理端代码 82KB
GA 557.6-2005 互联网上网服务营业场所信息安全管理代码 第6部分:营业场所接入方式代码 74KB
GA 557.5-2005 互联网上网服务营业场所信息安全管理代码 第5部分:服务类型代码 179KB
GA 557.4-2005 互联网上网服务营业场所信息安全管理代码 第4部分:营业场所处罚结果代码 81KB
GA 557.3-2005 互联网上网服务营业场所信息安全管理代码 第3部分:审计级别代码 71KB
GA 557.2-2005 互联网上网服务营业场所信息安全管理代码 第2部分:营业场所营业状态代码 81KB
GA 557.12-2005 互联网上网服务营业场所信息安全管理代码 第12部分:审计规则代码 86KB
GA 557.1-2005 互联网上网服务营业场所信息安全管理代码 第1部分:营业场所代码 85KB
GA 557.11-2005 互联网上网服务营业场所信息安全管理代码 第11部分:营业场所运行状态代码 73KB
GA 557.10-2005 互联网上网服务营业场所信息安全管理代码 第10部分:接入服务商代码 78KB
YD/T 1536.1-2006 电信设备的电磁信息安全性要求和测量方法 第1部分:电磁辐射信息泄漏 277KB
SJ 20924-2005 保密通信与信息安全设备结构设计要求 359KB
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 2801KB
GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3) 3574KB
YD/T 1700-2007 移动终端信息安全测试方法 866KB
YD/T 1699-2007 移动终端信息安全技术要求 900KB
YD/T 1621-2007 网络与信息安全服务资质评估准则 665KB
YD/T 1621-2007 网络与信息安全服务资质评估准则 645KB
YD/T 1700-2007 移动终端信息安全测试方法 841KB
YD/T 1699-2007 移动终端信息安全技术要求 875KB
GA/T 686-2007 信息安全技术 虚拟专用网安全技术要求 1737KB
GA/T 685-2007 信息安全技术 交换机安全评估准则 (单行本完整清晰扫描版) 3976KB
GA/T 681-2007 信息安全技术 网关安全技术要求 1627KB
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 2732KB
GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3) 3487KB
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 985KB
GA/T 681-2007 信息安全技术 网关安全技术要求 1589KB
GA/T 686-2007 信息安全技术 虚拟专用网安全技术要求 1697KB
GBZ 20986-2007 信息安全技术 信息安全事件分类分级指南.pdf 947KB
GB/T 21028-2007信息安全技术 服务器安全技术要求 1296KB
GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 单行本完整清晰扫描版 4897KB
GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法 单行本完整清晰扫描版 4879KB
GB/T 20271-2006信息安全技术 信息系统通用安全技术要求- 4412KB
GB/T 20270-2006信息安全技术 网络基础安全技术要求- 2431KB
GB/T 20269-2006信息安全技术 信息系统安全管理要求- 4472KB
GB/T 20009-2005信息安全技术 数据库管理系统安全评估准则- 1572KB
GB/T 18018-2007信息安全技术 路由器安全技术要求 单行本完整清晰扫描版 1485KB
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 单行本完整清晰扫描版 4823KB
GB/T 20272-2006 信息安全技术 网络基础安全技术要求 单行本完整清晰扫描版 1281KB
GB/T 20011-2005 信息安全技术 路由器安全评估准则 544KB
GB/T 20008-2005 信息安全技术 操作系统安全评估准则 1374KB
GB/T 19716-2005 信息技术 信息安全管理实用规则 2624KB
GB/T 20276-2006 信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级) 8846KB
SJ 20628-97 通用型军用计算机信息安全技术要求 1256KB
GB/T 20282-2006 信息安全技术+信息系统安全工程管理要求 1547KB

3. 《计算机网络(第5版)》pdf下载在线阅读全文,求百度网盘云资源

《计算机网络(第5版)》(Andrew S. Tanenbaum)电子书网盘下载免费在线阅读

链接: https://pan..com/s/1_FT5uQzJYWKGkOydnahe3A

提取码: a47w

书名:计算机网络(第5版)

作者:Andrew S. Tanenbaum

译者:严伟

豆瓣评分:9.0

出版社:清华大学出版社

出版年份:2012-3-1

页数:739

内容简介:

本书是国内外使用最广泛、最权威的计算机网络经典教材。全书按照网络协议模型自下而上(物理层、数据链路层、介质访问控制层、网络层、传输层和应用层)有系统地介绍了计算机网络的基本原理,并结合Internet给出了大量的协议实例。在讲述网络各层次内容的同时,还与时俱进地引入了最新的网络技术,包括无线网络、3G蜂窝网络、RFID与传感器网络、内容分发与P2P网络、流媒体传输与IP语音,以及延迟容忍网络等。另外,本书针对当前网络应用中日益突出的安全问题,用了一整章的篇幅对计算机网络的安全性进行了深入讨论,而且把相关内容与最新网络技术结合起来阐述。

本书的适用对象非常广泛。由于本书的重点立足于计算机网络的基本原理,同时兼顾了Internet体系结构与TCP/IP协议等内容,因此对于学习计算机网络课程的本科生和研究生,本书都是绝佳的教材或教学参考书。本书每章后面给出了大量练习题,有助于教师根据教学目的酌情安排课后练习。此外,本书对于从事网络相关技术研究和网络应用开发的广大科研工作者也具有重要的参考价值。

作者简介:

Andrew S.Tanenbaum获得过美国麻省理工学院的理学学士学位和加利福尼亚大学伯克利分校的哲学博士学位,目前是荷兰阿姆斯特丹Vrije大学的计算机科学系的教授,并领导着一个计算机系统的研究小组。同时,他还是一家计算与图象处理学院的院长,这是由几家大学合作成立的研究生院。尽管社会工作很多,但他并没有中断学术研究。多年来,他在编译技术、操作系统、网络及局域分布式系统方面进行了大量的研究工作。目前的主要研究方向是设计规模达数百万用户的广域分布式系统。在进行这些研究项目的基础上,他在各种学术杂志及会议上发表了70多篇论文。他同时还是5本计算机专着的作者。

Tanenbaum教授还开发了大量的软件。他是Amsterdan编译器的原理设计师,这是一个被广泛使用的;用来编写可移植编译器的工具箱。他领导编写的MINIX,是一个用于操作系统教学的类UNIX(的小型操作系统。他和他的博士研究生及其他编程人员一道设计的Amoeba分布式操作系统,是一个高性能的微内核分布式操作系统。目前,可在因特网上免费得到MLNIX及Amoeba,用于教学和研究。

他的一些博士研究生,在获得学位后继续进行研究,并取得了更大的成就,赢得了社会的赞誉,对此他深感自豪。人们称他为桃李满天下的教育家。

4. 即时通讯行业首个安全合规白皮书发布


前言
随着移动互联网和5G通信新技术的浪潮席卷全球,传统的通信方式已经发生了翻天覆地的变化。人们已经习惯了通过即时通讯软件和网络交流平台分享自己生活的方方面面,随着人们越来越公开自己碰皮的生活,人们也开始关注隐私和安全等问题。
隐私作为人们不愿为他人知晓的私密空间、私密活动和私密信息,历来被互联网用户所关注。尤巧胡其是在即时通讯服务的使用过程中,用户可以轻易将自己的隐私传输至互联网上,这使得用户在享受便捷服务的同时,更容易因隐私泄露而影响生活安宁。近些年来各类隐私泄露事件更是让人们在享受便捷的互联网服务时,对网络服务提供者的隐私保护能力持怀疑态度。甚至在某种程度上,隐私保护逐渐成为用户选择网络服务时考虑的重要因素。为了保护用户的隐私,世界各地都相继出台了隐私保护相关的法律法规,使得企业的隐私保护合规工作更加具有挑战性。
作为全球互联网消息云的开创者和引领者,数据和用户隐私安全是环信最关切的问题。环信始终将数据和用户隐私安全作为首要安全原则,并将其作为理念融入安全能力建设当中,2021年环信行业首家通过了史上最严格的数据保护法案“GDPR”的相关安全合规标准。
为帮助开发者及用户感知和理解环信在即时通讯服务上的努力,了解环信服务的安全属性,CSDN联合环信特发布即时通讯行业首个《安全合规白皮书》。该白皮书全面分析了安全合规的趋势及国内外监管重点,同时给出环信在即时通信领域安全合规开发的经验及建议,还列举了环信云服务的相关安全和合规工作,希望能够为业界提供了全面、详实的安全能力建设参考。
目录
1.安全合规的趋势
1.1隐私监管趋紧
1.2APP/SDK趋严
1.3安全合规的基本框架
2.国内外的监管重点
2.1国内App上架-信息采集
2.2国内App上架-符合安全规定
2.3海外的关注-?户权利
2.4共同关注点-数据跨境
3.如何评估和满?安全合规要求
3.1如何评估安全合规的要求
3.2产品架构维度
3.3数据处理流程的维度
4.安全合规开发经验及建议
4.1安全合规能?建设需要做什么
4.2?前安全合规的能?
4.3开发建议-即时通讯领域
5.环信安全合规、隐私保护及相关认证
5.1环信安全合规和隐私保护
5.2安全标准和认证(GDPR)
6.环信即时通讯PaaS服务的安全
6.1数据中心计算资源安全
6.2SDK安全
6.3RESTfulAPI安全
7.数据安全
7.1数据安全政策
7.2数据采集
7.3数据脱敏
7.4数据保护和加密传输
7.5数据使用和存储
7.6用户的数据权利
8.安全运营
8.1安全开发生命周期管理SDL
8.2反入侵和安全监控
8.3安全应急响应机制
8.4安全合作
9.APP开发者接入环信SDK的合规要求
9.1隐私政策内容合规
9.2隐私政策展示形式合规
10.结语
引言
在监管趋紧的形式下,即时通讯场景会遇到很多安全合规领域的挑战,如何满足这些安全合规的要求,如何保护用户的隐私安全,是一件非常有挑战的事情。
一、安全合规的趋势
1.1、隐私监管趋紧
最近四五年来,安全合规的趋势变得越来越严格,各个国家都有比较重磅的安全合规的相关法规出台,比如美国加州的《消费者隐私法案》《儿童在线隐私保护法》、保险医疗领域的HIPPA,以及欧盟推出的比较有代表性的《通用数据保护条例》。国内去年也出台了《个人信息保护法》
《数据安全法》,加上之前发布的《网络安全法》,对于安全合规领域的覆盖逐渐比较完善。
1.2、App/SDK趋严
图1所示为国内主要的有关法规和内容,而且这个趋势也是越来越严格,比如工信部发布的各种应用下架的新闻或者公告,都涉及了个人数据隐私相关的内容。
1.3、安全合规的基本框架
安全合规的基本框架可以总结成两个方向,一个是用户知情同意,另一个就是安全保障义务。我们以《通用数据保护条例》(GDPR)为例,它是一个法规条文,内容包括各种监管措施、惩罚措施,还规定了应保障的用户权利,后续章节将介绍一些具体的用户权利说明。
二、国内外的监管重点
关于国内外监管的重点,从国内这几年的角度来看,主要包括以下几个方面:
2.1、国内App上架——信息采集
如图2所示,用户信息的采集方面正受到越来越多的重视,国家部委笑宽差出台了《常见类型移动互联网应用程序必要个人信息的范围规定》,指出了二三十个场景下能够采集的必要的个人信息。
比如地图导航类,它的基本功能是定位和导航,必要的个人信息为位置信息、出发地和到达地。开发者在开发应用的时候首要确认相关信息,如果收集了其余非必要数据App就无法上架。
再比如网络社区类应用,它的基本功能是博客、论坛等,这些个人信息跟即时通讯类的必要信息比较接近,诸如用户的移动电话号码和账号联系人等信息。网约车类型中也规定了电话号码,包括出发地、到达地、支付时间、支付信息等。为什么即时通讯类需要移动电话号码呢?一般认为是只需要账号就可以了?接下来的篇幅就解释了这个问题。
2.2、国内App上架——符合安全规定
除了可以采集的必要信息的约束之外,我国还有很多特定的相关不同行业或领域的约束。
在应用的上架流程中,应用商店都有详细的审查规定,如果涉及即时通讯、直播或者用户舆论领域,就需要一个安全评估报告,这个安全评估报告中增加了额外的要求,比如说用户真实身份的核验,就是要核验服务中用户的身份是真实可靠的,这里就回答了前面即时通讯领域的问题,想真正地服务客户,就要能够做到实名制,而实名制其实一般就是通过校验手机号和短信等方式。
另外,其实这还涉及用户舆论的问题,需要针对这个问题建立投诉举报的机制,公布投诉举报的联系方式和处理情况,对于这些用户的昵称、信息发布、转发评论等,要有相关的记录保存措施,通过一定的保存机制来支持追查这些信息。这样一方面约束了必要的个人信息的采集;另一方面在不同的领域也补充了额外的要求,比如金融或者医疗领域就有更高级别的相关要求。
根据工信部数据显示,近期违规下架应用累计为3000款左右,涉及的问题大部分是违规收集个人信息,少量是强制或者索取权限相关的问题,国内的应用、网站可能涉及的问题主要集中在这几个方面。
2.3、海外的关注——用户权利
如果目标客户是在海外,那么会发现海外的侧重点稍有不同。除了常见的这些安全约束之外,其更关注用户的权利。
举几个例子,比如用户的知情权、信息获取权、修改权和被遗忘权。知情权就是明确地告知用户要收集哪些信息、信息用来做什么以及保存多久;信息获取权就是用户必须能够导出自己的数据;修改权就是用户可以对个人信息进行修改;被遗忘权就是用户有权利注销和删除自己的数据。Facebook等海外的大型平台都支持注销账号、导出个人数据等功能,这些是海外比较重视的方面。
图3案例所示,英国的数据保护监管机构向加拿大的一家数据分析公司发出通知,要求其删除
所有跟英国公民相关的个人数据,如果不履行义务,将面临着2000万欧元或者上一年全球总
营业额4%的罚款。这里的2000万欧元和4%的罚款就是《通用数据保护条例》中所做的规定,从中不难看出这个措施是非常严格的。
2.4、共同关注点——数据跨境
国内和国外还有一个共同的关注点,就是热点数据跨境,简单来说就是个人信息和重要的数据应当在境内,这里的在境内应该就是说,比如中国公民的信息和重要的数据不能被随意地存储到境外的服务器上,欧盟地区的数据也不能被随意地存储在欧盟以外。其他的地区比如东南亚或者印度,也有当地的相关法律法规来约束。
如果确实需要向境外提供数据,我国的要求是要通过评估办法进行慎重的评估。欧盟则是要求他们认为已经采取足够的安全保护措施的地区可以跨境转移数据,但至少现在为止中国还不在这个名单上,所以欧盟的数据也不能随意存储在中国境内的服务器上。
三、如何评估和满足安全合规要求
了解了安全合规的趋势和相应的重点之后,我们如何评估和满足安全合规的要求呢?首先回溯前面介绍的安全合规的框架。
用户知情同意包括充分告知和权利保障。充分告知就是提供用户隐私协议,权利保障就是用户可以拒绝、可以删除,而且收集的数据要符合最小化原则(最小必要)。
安全保障义务比较复杂。首先,从风险评估、公司内部的制度建设到安全开发流程中都会涉及这个问题,比如产品从需求阶段就要有安全方面的专家确认是否涉及用户数据、用户数据怎么传输、用户数据怎么来保存、是否是必要的等等,因此从产品需求阶段到方案设计阶段,到最后上线阶段都要有必要的安全评估。
其次是技术保障,这里的技术保障指的是采集过程当中的传输、存储都应当采取足够的技术保障,换算成技术角度就是说,传输过程中要进行传输的加密,存储过程中要进行存储的加密。法律法规不会规定具体的某个安全措施,只是要求采取必要的技术措施保障用户数据的安全。
所以从技术角度侧理解,要采取业内比较标准的或者比较高标准的安全措施,比如https默认是使用其他的传输协议,比如TCP、UDP等也应当符合业内的安全标准。
当然,安全保障还少不了审计和监管,就是说要有一定的安全开发流程或者安全制度,满足监管机构的监管要求。
3.1、如何评估安全合规的要求
那么,如何评估安全合规的要求呢?这要看我们具体的涉及的业务,不同领域的要求是不一样的。诸如金融、医疗等领域的要求会更加严格。在某些医疗领域,对于医疗用户(患者)的数据或者处理要记录至少5年以上,这是该领域的一个特殊要求。另外,针对不同区域用户的要求也不一样,比如刚才提到的东南亚,新加坡就有自己的特殊规定,其他地区也有相关的特殊要求。
客户的行业之间也有不同的安全要求,重要的企业或者事业单位,对于数据库有时会有一些特殊的要求,比如要求必须是国内的数据库,这就是不同的行业或者不同的客户可能面临的特殊要求。还有一个重要的因素就是要评估依赖的
节,我们将系统性地介绍各层中的技术及运营环节的安全风险控制措施。
6.1数据中心计算资源安全
环信即时通讯服务由国内外多个数据中心(IDC)以及头部公有云供应商的云服务组成,以构建一个统一、高可用、高扩展、高效率、高安全的基础资源环境。
6.1.1网络隔离
对网络进行合理的划分,定义清晰用途,制定适配的访问控制策略,是网络安全的前提之一。环信基于IMPaaS承载功能和安全级别的不同,将网络划分出了核心、边缘、IT等几大安全区域。在不同的安全域之间,根据不同的业务访问需求和安全级别,环信制定了不同的路由策略以及严格的安全访问策略。
6.1.2防DDoS攻击
分布式拒绝服务攻击(DistributedDenialofService,DDoS)会对IM服务的系统和业务可用性产生重大影响,严重时可导致服务中断或质量下降。为此,环信基于自身服务的特性,结合公有云能力,在核心服务上部署了DDoS防御方案。该方案能够实时检测并防御来自网络层、传输的DDoS攻击。防DDoS攻击方案,能够自动检测、自动调度并触发清洗功能,数秒内就可以完成攻击、流量清洗动作,保证核心服务的可用性。
此外所有DDoS攻击事件,都会通过邮件、短信、电话等方式,第一时间知会安全团队,以便安全团队持续关注和响应决策。
6.1.3主机、数据库、中间件等计算资源安全
各类服务运行所依赖的资源,由操作系统或容器化为关联的后台程序、缓存、数据库等中间件,合理地调度分配CPU、内存、磁盘等资源来满足。环信结合自身基础服务场景,在实际安全运营中,通过制定适配的安全基线、漏洞管理规范,并落地纵深威胁检测机制,确保基础运算负载资源的安全性。
6.1.3.1安全基线
环信制定了IDC和公有云的安全基线,涵盖主机操作系统、容器、数据库、存储、Web服务等中间件,内容包括账户安全、身份认证、最小服务、最小授权、日志审计、时钟同步等。并根据不同的用途,对操作系统或中间件进行不同程度的安全配置加固,确保新交付的运算负载资源满足相关安全基线要求。对于运行中的负载资源,安全团队会进行定期的配置巡检,对比与安全基线的差异,输出不符合项,通知到关联的运维和业务技术团队,并落实整改。
6.1.3.2漏洞管理
所有交付上线的运算负载资源,均来自统一管理的操作系统镜像或中间件软件包。对于交付使用中的资源,安全团队会采集操作系统和中间件版本信息,然后发送到安全运营系统中分析,从而识别是否存在受漏洞影响的版本。对于公有云上的主机资源,环信会部署公有云的安全客户端,实现对操作系统和中间件等软件产品的实时漏洞检测。另外,安全团队通过部署业界知名商业漏洞扫描产品,定期对运算负载资源发起扫描巡检,输出漏洞扫描报告,并将信息采集到安全运营系统。
一旦发现存在漏洞版本匹配的组件,安全团队会对漏洞的风险做综合评估,提供应急处置措施和修复建议,并联合运维及相关业务技术团队落实漏洞修复、配置加固、镜像更新,从而实现漏洞管理的闭环。
6.1.3.3计算资源中的安全运维
运维账号安全
在日常运维中,环信制定并启用了IAM(IdentityandAccessManagement,身份和访问控制管理)机制,所有涉及运维内容的人员必须具有有效的身份和授权才可进行操作,运维账号与员工身份一一对应,其默认启用MFA(Multi-factorauthentication,多重要素验证)。
操作系统账号安全
对于系统账号,环信制定了一系列安全制度和操作规范,例如,避免使用弱口令作为密码,并要求定期更换,信息安全团队也会通过定期的安全检查。
运维操作审计
环信在日常运维过程中,会实时记录归档各类操作,制定实时监控告警策略,并对风险操作及时处置。
6.2SDK安全
环信提供iOS、Android、Flutter、ReactNative、Windows、小程序、Web等平台的SDK支持,以满足开发者及用户的各类实时音视频互动接入需求。IMSDK不仅仅为开发者及用户提供简单、易用、统一、可信、安全的即时通讯开发套件,也竭尽全力为开发者及用户提供合规、安全的配置选项,以提升开发者及用户在实时音视频互动场景和应用中合规监管和应对信源数据安全威胁的能力。
根据国家法律法规规定及监管机构执法要求,APP在使用第三方SDK时,必须在APP《隐私政策》中告知用户,并在调用时序上做好延迟初始化配置,确保用户同意APP《隐私政策》后SDK才可以被启动,进行数据采集和服务。为了帮助开发者避免合规风险,环信推出隐私政策合规要求,包括隐私政策展示内容和展示形式合规。关于环信所收集的信息种类、用途、个人信息保护的规则及退出机制等,详见环信官网(
6.2.1SDK的合规与安全保证
环信在为开发者提供SDK时,SDK的可信和安全是首要保证的内容之一。在评审SDK新增或迭代的功能时,会充分评估功能需求在合规隐私以及安全上的风险点,确保与环信合规和隐私政策的一致性。功能实现时,会在进行充分的质量保证(QA)测试时对代码进行安全审计,在涉及引用或集成第三方SDK、库文件时进行安全检测,尤其是合规性确认,例如,是否存在恶意代码或后门,是否遵守版权或使用协议。如果检测出存在风险,SDK只有在修复并确认无风险后,才允许进入下一阶段。在分发环节,会在官方渠道更新。
6.2.2对开发者及用户的安全与合规支持
在SDK上,环信提供了设备端存储内容加密,日志安全等安全配置选项,以协助开发者及用户完善即时通讯数据安全及隐私合规。有需要的开发者及用户,可以参考开发者文档进行配置启用。
6.2.2.1本地存储内容
环信SDK使用行业标准的加密技术对在设备本地的消息等内容记录进行加密存储。
6.2.2.2日志脱敏
环信SDK提供不同的日志级别,方便开发者在开发调试和发布时使用,同时对设备上的日志进行脱敏,防止用户数据被识别和窃取。
6.3RESTfulAPI安全
为方便开发者高效地管理自己的应用和服务,诸多业务功能和管理功能以RESTfulAPI的方式供开发者调用。在安全保障上,除了将站点接入WAF外,还有如下的安全控制措施。
身份鉴权
开发者在使用RESTfulAPI前,需先登录控制台,创建开发者专属的key
amp;secret。后续API调用,需使用对应的key
amp;secret对,以区分不同项目或应用。
传输安全
RESTfulAPI支持HTTPS协议,以确保使用SSL/TLS对所有API通信进行加密,可以保护API凭据和传输的数据,以及防止一些如中间人攻击(MITM,maninthemiddle)等。
API限速
服务端对API请求的速率有限制,在保证正常用户请求可以得到响应的同时,限制恶意用户的API请求。
输入验证
开发者请求的参数会经过服务器后台过滤,以避免一些常见的易受攻击缺陷(SQL-注入,远程代码执行等)。
七、环信数据安全
数据作为信息活动的载体,经过合法合规且安全的处理尤为重要。数据安全是环信最为关切的问题之一,本节将介绍环信在数据安全上采取的政策及落实的管理和技术控制措施。
7.1数据安全政策
针对日益严峻的网络安全态势,以及逐渐趋紧的监管要求,环信坚持以数据保密、完整和高可用作为业务服务的数据安全发展战略,并将数据安全理念融入安全体系建设过程中,即
保密性:防止未经授权的访问和窃听
完整性:防止恶意篡改和伪造数据
可用性:通过不同数据中心和边缘节点保障数据高可用
因此环信对所有员工均开展信息保护、隐私合规及保密意识安全培训,并签订保密协议;对违反数据安全制度和保密要求的人员,我们会视情形严重程度以采取相应的违规处理措施,包括但不限于谈话、加强培训考核、解除劳动协议及追究其他法律责任等措施。
7.2数据采集
采用最小化的数据采集原则,只采集经用户授权同意的,且业务所必须的数据字段。
7.3数据脱敏
为保护数据隐私,环信针对官网控制台的企业和个人信息均进行脱敏后的展示,此策略同样也适用于不同的服务和SDK。
7.4数据保护和加密传输
在IMPaaS服务中,对于不同的传输通道例如SDK与服务器,服务器与用户的应用服务器之间等,都支持安全传输协议(HTTPS/TLS/WSS等)
7.5数据使用和存储
对于开发者及用户的机密信息,如密码,我们会以哈希加盐值(salt)的方式进行存储。对已存储的信息,将根据相关监管要求和制定的数据备份和存储策略,严格制定数据保存期限,并按要求在需要时对其进行销毁;对来自开发者及用户的数据处理申请,我们将根据开发者及用户的授权及相应监管要求配合实施数据清理或转移。
7.6用户的数据权利
提供了不同维度的用户权益的API方面支持用户数据的导出和删除。
八、环信安全运营
安全是一个持续的过程,在实际安全运营中,环信基于自身业务特性,通过如下维度来开展。
8.1安全开发生命周期管理SDL
在软件开发生命周期中,嵌入了安全和隐私的相关要求,结合当前流行的DevSecOps,让SDL流程更自动化,从而在原有的安全开发生命周期的基础上,更高效的进行安全和隐私的检查。
8.1.1威胁建模
在设计和架构阶段,为了能够更早的发现风险,通过威胁建模来识别潜在的安全问题并实施响应环节措施。为了有效发现并解决设计阶段的潜在风险,参考STRIDE的威胁建模方法,主要聚焦攻击面最小化,基本隐私,权限最小化,默认安全,数据加密等。
8.1.2CI/CD黑白盒检测
在安全测试层面更注重DevSecOps崇尚的内置安全防护,且已在CI/CD层面进行了黑白盒工具的集成,包含开源代码扫描工具SonarQube,组件及合规扫描商业工具BlackDuck,App/Sdk扫描工具MobSF等,从而完善在集成发布过程中的风险监测。
8.2反入侵和安全监控
环信的各类运算系统、业务应用服务每天都会产生海量的日志数据。在落实纵深防御以应对威胁的基础之上,安全团队也会在最小权限范围内采集用于安全分析的日志。基于这些日志,通过安全监控分析平台实时运算。对识别的安全异常事件,会及时告警,安全运营人员会进一步展开关联以及溯源分析复核;对确认的风险,会根据应急响应机制进行处置和追踪,以保障业务系统的安全性和可用性。
8.3安全应急响应机制
基于自身即时通讯业务特性,对服务类型进行分类分级,系统性地安全评估和威胁识别,制定不同的安全事件分类标准,以及响应时效和处置流程,以确保及时有效地处理安全异常。
8.4安全合作
在自身内部安全建设的基础上,环信已与Trustwave等多家第三方安全厂商合作,定期进行渗透测试,代码审查,逆向工程等来帮助环信发现线上应用、系统、服务以及SDK等层面的安全漏洞和各类潜在风险,从而提升整体服务安全性和系统健壮性。
九、APP开发者接入环信SDK的合规要求
根据国家法律法规规定及监管机构执法要求,APP在使用第三方SDK时,必须在APP《隐私政策》中告知用户,并在调用时序上做好延迟初始化配置,确保用户同意APP《隐私政策》后SDK才可以被启动,进行数据采集和服务。为了帮助环信开发者避免合规风险,环信推出了隐私政策合规要求,包括隐私政策展示内容和展示形式合规。
9.1.隐私政策内容合规
注意:本信息收集范围说明适用于SDK3.8.4版本及以上
当APP开发者接入环信SDK服务时,请务必按照我国法律法规、规范性文件之要求,在APP自身的隐私政策或个人信息保护政策等相关公示文件中“第三方服务”/“第三方合作伙伴”部分明确列出本APP所集成的环信SDK收集、使用个人信息的目的、方式和范围,环信提供如下两种参考表达话术,以方便APP开发者更高效、更合规地调整自身的隐私政策,共同保护个人信息。
参考表达一、以文字方式向用户呈现
如:我们使用了第三方(北京亿思摩博网络科技有限公司,以下称“环信”)环信SDK服务为您提供【】功能。为了顺利实现该功能,您需要授权环信SDK提供对应的服务;在您授权后,环信将收集您相关的个人信息。关于环信所收集的信息种类、用途、个人信息保护的规则及退
出机制等,详见环信官网(
参考表达二、以表格方式向用户呈现
如:【您的APP名称】(iOS版/Android版)内嵌第三方SDK详情
9.2隐私政策展示形式合规
需要增加明确弹窗,有明显同意和拒绝按钮,让用户自主选择是否接受隐私政策。App隐私政策包含的环信隐私权政策链接可允许用户点击查看。
十、结语
为开发者提供合规、安全、可信的即时通讯云平台,是环信所有架构和产品服务首要考虑的要素之一。环信从人员、技术、管理、流程等多个方面系统性推进信息安全政策的落地,履行监管合规义务,与行业客户以及第三方社区或团体个人紧密合作,同时积极探索新的技术,推进安全自动化、智能化,实现安全防护能力高效输出。
在日趋复杂的互联网环境下,技术迭代周期越来越短,新型攻击手段层出不穷,我们无时不刻都在面临各类安全威胁。筚路蓝缕启山林、栉风沐雨砥砺行,在此背景下,希望本白皮书能够为企业或机构的安全建设提供参考和借鉴,也欢迎业界同仁共同参与完善,助力行业高质量稳健发展!
访问环信官网,免费下载白皮书PDF全文。

5. 《网络空间安全拒绝服务攻击检测与》pdf下载在线阅读全文,求百度网盘云资源

《网络空间安全拒绝服务攻击检测与》网络网盘pdf最新全集下载:
链接:https://pan..com/s/1AODmK0WbFvxT1eJuUXp6PQ

?pwd=7b45 提取码:7b45
简介:网络空间安全拒绝服务攻击检测与防御一书系统地论述了网络安全领域的现状,存在的问题和挑战,也系统地总结了学术界在该领域研究所取得的进展和成果。


6. 网络信息安全 清华大学出版社 pdf文档

你是要这本书的电子档吗 http://wenku..com/view/de24783010661ed9ad51f314.html

7. 《Web安全之强化学习与GAN》pdf下载在线阅读,求百度网盘云资源

《Web安全之强化学习与GAN》(刘焱)电子书网盘下载免费在线阅读

资源链接:

链接:https://pan..com/s/12om48l7F--lLYOjkYu47RA

提取码:u1s8

书名:Web安全之强化学习与GAN

作者:刘焱

出版社:机械工业出版社

出版年份:2018-4-18

页数:262

内容简介:

刘焱编着的《Web安全之强化学习与GAN》重点介绍强化学习和生成对抗网络的基础知识和实际应用,特别是在安全领域中攻防建设的实际应用。从AI安全攻防的基础知识,到智能工具的打造,全面介绍如何使用AI技术提升Web安全。本书作者有丰富的实战经验,他在书中用风趣幽默的语言描述了实际工作的体会,包含大量案例,每个案例都使用互联网公开的数据集并配有基于Python的代码,代码和数据集可以在本书配套的GifHub下载,可帮助读者降低学习门槛,快速将最新人工智能成果应用到实际工作中。

作者简介:

刘焱 网络安全Web防护产品线负责人,负责网络安全Web安全产品,包括防DDoS、Web应用防火墙、Web威胁感知、服务器安全以及安全数据分析等,具有近十年云安全及企业安全从业经历,全程参与了网络企业安全建设。研究兴趣包括机器学习、Web安全、僵尸网络、威胁情报等。他是FreeBuf专栏作家、i春秋知名讲师,多次在OWASP 、电子学会年会等发表演讲,参与编写了《大数据安全标准白皮书》。他还建立了微信公众号:“兜哥带你学安全”,发布了大量信息安全技术知识。

8. 《Linux网络安全技术与实现第二版》pdf下载在线阅读全文,求百度网盘云资源

《Linux网络安全技术与实现第二版》网络网盘pdf最新全集下载:
链接:https://pan..com/s/1EOKq--8KIe7f0xJkBegX_A

?pwd=qtdz 提取码:qtdz
简介:《Linux网络安全技术与实现(第2版)》首先讨论网络基础架构,然后循序渐进地讲解安全、基于策略的路由、流量控制和虚拟专用网络等知识,带您在网络安全世界中尽情畅游。如果您准备投身Linux安全领域,那么这本将理论与实践融为一体的书籍将是您的良师益友,将全面系统地指导您构建固若金汤的企业网络安全屏障。

阅读全文

与网络安全基础应用与标准pdf相关的资料

热点内容
怎么把微信抖音加密 浏览:302
android滑动进度条 浏览:834
javagmt转换 浏览:826
linux查看snmp 浏览:24
ug80车床编程 浏览:516
怎么加速python计算素数 浏览:241
腰椎第五节压缩性骨折 浏览:91
程序员开会的句子 浏览:993
用哪个app写编程 浏览:645
android通讯录增删改查 浏览:731
车贷解压过户可以同时进行吗 浏览:921
java面向对象编程题目 浏览:884
二次元压缩包 浏览:701
stc仿真器编程器 浏览:156
服务器销售怎么做好 浏览:89
什么是com编程 浏览:850
算法工程师最新资讯 浏览:613
邮政银行卡怎么在app签约绑定 浏览:51
压缩卷一直转 浏览:978
初一编程小程序怎么做 浏览:828