网络安全治理架构图 网络安全管理架构

news2025/2/11 8:49:10

网站安全攻防战

XSS攻击

网络安全治理架构图 网络安全管理架构_网站架构

防御手段:

- 消毒。 因为恶意脚本中有一些特殊字符,可以通过转义的方式来进行防范

- HttpOnly 对cookie添加httpOnly属性则脚本不能修改cookie。就能防止恶意脚本篡改cookie

注入攻击
SQL注入攻击需要攻击者对数据库结构有所了解才能进行,攻击者获取数据库表结构方式:
  • 1.

- 开源, 如果使用开源软件搭建,则数据库是公开的
- 错误回显, 把数据库错误抛到页面上
- 盲注。 主要是根据页面变化来做的
通常防止的办法有:
- 消毒, 对drop等关键字进行过滤
- 参数绑定 就是预编译

CSRF 攻击

跨站请求伪造
要求有两个条件就能进行攻击。

  1. 用户使用浏览器登陆了授信网站并且没有退出,生成了本地token
  2. 用户访问攻击者网站,攻击者通过302等让用户带一定的攻击参数再次访问授信网站
    因为浏览器发送请求自带token,因此授信网站不知道请求来源于用户自己还是攻击者,这样就会有问题了。
    防止办法:
  • 页面随机数。 每次页面请求生成一个随机数,然后在后台进行校验
  • 验证码。 比如手机验证码。 比较麻烦,可以在支付页上请求一下
  • Referer check HTTP请求头的Referer域zh录着请求来源,可通过检查请求来源验证是否合法。 很多网站使用这个功能实现图片防盗链
其他攻击方法和漏洞
  • 直接异常信息,会给攻击者以提示。 可以使用mvc中的工具,把错误码异常等进行封装
  • HTML注释, 会暴露功能,方便攻击。 上线时去除注释
  • 文件上传, 如果本身功能就是上传文件去执行,那么就有可能执行非常危险的命令。 解决方式是,设置文件白名单,限制文件类型,另外还可以重新命名文件,改名为不可执行的
  • 路径遍历, 使用相对路径来遍历未开放的目录。 方式是将JS,CSS部署在独立的服务器,使用独立域名。 其他文件不使用静态URL访问,动态参数不包含文件路径信息。
WEB应用防火墙

ModSecurity 统一拦截请求,过滤恶意参数,自动消毒,添加token。并且能够自动升级。
分成了处理逻辑和攻击规则集合 两个部分,有点像策略模式, 处理逻辑负责过滤请求识别攻击方式, 然后去找对应的攻击规则执行他来确定对应的防御手段。

网站安全漏洞扫描

有开源和商用的安全漏洞扫描工具

信息加密技术及密钥安全管理

CSDN被拖库,居然明文保存用户名密码。

单项三散列加密

就是MD5,这种,无法反转的。 但是因为固定的字符加密后是一样的,因此可以加点随机盐来增加破解难度

对称加密

DES算法。 用同一个密钥进行加密和解密
适用于信息交换的场合,比如Cookie啊,数据啊等等。
加解密效率高。但是要防止密钥丢失

非对称加密

加密解密使用不同的钥匙。 对外界公开的是公钥, 用公钥加密的信息,用私钥才能解开(https),反之也成立(数字签名)。
用在https, 和数字签名的场合。
这样能保证及时公钥被知悉,以及传输数据被窃取了仍然无法破解数据信息。

密钥安全管理

上面的几种方式都会涉及到密钥的管理。
通常有如下的办法:

  • 建立密钥服务器 减少接触密钥的人。 但是可能会成为瓶颈
  • 将密钥算法放在应用系统中,密钥放在单独的服务器中。 这样就兼顾了安全和性能。

    应用调用密钥管理服务进行加解密。 该服务提供了多种算法,并且可扩展。 密钥服务从密钥服务器获取密钥,并缓存一定期限。 密钥服务器存储密钥的时候分片存储。

信息过滤与反垃圾

文本匹配

使用敏感词过滤。

简单的可以使用正则表达式

但是并发较高的网站可以使用Trie树的变种算法。

还有一种比较简单的办法是构造多级hash表。如:

网络安全治理架构图 网络安全管理架构_网络安全治理架构图_02

这可过滤树,可以建立多级hash表,可能会浪费一定的内存

另外一些手段可以绕过敏感词检查,比如阿波 这样的需要降噪处理

分类算法

对广告贴,垃圾邮件等使用分类算法。
先输入正常邮件和垃圾邮件通过分类算法训练进行分类模型创建,然后利用分类模型来处理对邮件的识别。
常用的算法有贝叶斯(基于统计概率论)的算法合Association RuleClustering System.

黑名单

黑名单可以通过hash表实现,但是这样会占用太多的内存。
另外有一个稍微好点的办法是使用布隆过滤器。 2G内存,映射为16个big.
然后一个邮箱随机映射到0-16g中的一个范围设置为1. 判断的时候就看为不为1.这种只有1/8的空间。但是效果上差不多。

电子商务风险控制

风险
  • 账户风险 被盗
  • 买家风险 买家恶意下单占用库存进行不正当竞争,黄牛抢购低价,良品拒收等等
  • 买家风险 假货,违禁商品等
  • 交易风险 信用卡盗刷,洗钱等
风控

一般风控风味自动和人工两种。 通常是机器自动识别高风险然后交给人工去审核。 主要有两种手段:规则引擎和统计模型。

  • 规则引擎

    不可能在代码里写死规则,所以就搞成这个模式的。可以随时修改业务规则。 业务执行部分逻辑不变只变规则。其实跟密钥管理的模型很想
  • 统计模型
    规则引擎会变得难以维护,性能差。
    会使用分类算法或者其他机器学习的算法进行智能统计。 根据历史交易欺诈信息训练分类算法。然后进行加工得到交易风险分值。 可以有一定的模糊识别,会有一定预判性。并且性能更好。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2295345.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

调用deepseek的API接口使用,对话,json化,产品化

背景 最近没咋用chatgpt了,deepseek-r1推理模型写代码质量是很高。deepseek其输出内容的质量和效果在国产的模型里面来说确实算是最强的,并且成本低,它的API接口生态也做的非常好,和OpenAI完美兼容。所以我们这一期来学一下怎么调…

DeepSeek大模型本地部署实战

1. 下载并安装Ollama 打开浏览器:使用你常用的浏览器(如Chrome、Firefox等)访问Ollama的官方网站。无需特殊网络环境,直接搜索“Ollama”即可找到。 登录与下载:进入Ollama官网后,点击右上角的“Download…

Spring Boot Actuator使用

说明&#xff1a;本文介绍Spring Boot Actuator的使用&#xff0c;关于Spring Boot Actuator介绍&#xff0c;下面这篇博客写得很好&#xff0c;珠玉在前&#xff0c;我就不多介绍了。 Spring Boot Actuator 简单使用 项目里引入下面这个依赖 <!--Spring Boot Actuator依…

[css] 黑白主题切换

link动态引入 类名切换 css滤镜 var 类名切换 v-bind css预处理器mixin类名切换 【前端知识分享】CSS主题切换方案

阿里云专有云网络架构学习

阿里云专有云网络架构 叶脊&#xff08;spine-leaf&#xff09;网络和传统三层网络拓扑对比 阿里云网络架构V3拓扑角色介绍推荐设备设备组网举例带外管理网络带外网和带内网对比设备介绍 安全网络设备介绍 参考 后续更新流量分析叶脊&#xff08;spine-leaf&#xff09;网络和传…

【AIGC】冷启动数据与多阶段训练在 DeepSeek 中的作用

博客主页&#xff1a; [小ᶻ☡꙳ᵃⁱᵍᶜ꙳] 本文专栏: AIGC | ChatGPT 文章目录 &#x1f4af;前言&#x1f4af;冷启动数据的作用冷启动数据设计 &#x1f4af;多阶段训练的作用阶段 1&#xff1a;冷启动微调阶段 2&#xff1a;推理导向强化学习&#xff08;RL&#xff0…

GenAI + 电商:从单张图片生成可动态模拟的3D服装

在当今数字化时代,电子商务和虚拟现实技术的结合正在改变人们的购物体验。特别是在服装行业,消费者越来越期待能够通过虚拟试衣来预览衣服的效果,而无需实际穿戴。Dress-1-to-3 技术框架正是为此而生,它利用生成式AI模型(GenAI)和物理模拟技术,将一张普通的穿衣照片转化…

harmonyOS生命周期详述

harmonyOS的生命周期分为app(应用)的生命周期和页面的生命周期函数两部分 应用的生命周期-app应用 在app.js中写逻辑,具体有哪些生命周期函数呢,请看下图: onCreated()、onShow()、onHide()、onDestroy()这五部分 页面及组件生命周期 着重说下onShow和onHide,分别代表是不是…

记一次调整磁盘分区大小的经验

背景 redhat 6 系统 根目录挂载的逻辑卷满了&#xff0c;系统都不能正常运行了 但是/home目录挂载的另外一个逻辑卷却占用只有4% 所以想把/home挂的逻辑卷分一部分给/ 挂的逻辑卷 备份 先把系统整盘备份一下&#xff0c;用clonezilla做一个磁盘镜像&#xff0c;免得失误了搞…

软件测试就业

文章目录 2.6 初识一、软件测试理论二、软件的生产过程三、软件测试概述四、软件测试目的五、软件开发与软件测试的区别&#xff1f;六、学习内容 2.7 理解一、软件测试的定义二、软件测试的生命周期三、软件测试的原则四、软件测试分类五、软件的开发与测试模型1.软件开发模型…

后缀表达式(蓝桥杯19I)

有减于号时 假设有n个大于0从大到小的数&#xff0c;加减符号数为n-1&#xff1a;a,b,c,d,。。。。。&#xff0c;e sum求最大&#xff1a;(max )-(min ) a - (e - ( ) -&#xff08;&#xff09;)( ( )( ) ( ) 。。。。 ) 当序列中有负数时&#xff1a; a -&am…

mac环境下,ollama+deepseek+cherry studio+chatbox本地部署

春节期间&#xff0c;deepseek迅速火爆全网&#xff0c;然后回来上班&#xff0c;我就浅浅的学习一下&#xff0c;然后这里总结一下&#xff0c;我学习中&#xff0c;总结的一些知识点吧&#xff0c;分享给大家。具体的深度安装部署&#xff0c;这里不做赘述&#xff0c;因为网…

TypeScript 中的联合类型:灵活的类型系统

&#x1f90d; 前端开发工程师、技术日更博主、已过CET6 &#x1f368; 阿珊和她的猫_CSDN博客专家、23年度博客之星前端领域TOP1 &#x1f560; 牛客高级专题作者、打造专栏《前端面试必备》 、《2024面试高频手撕题》 &#x1f35a; 蓝桥云课签约作者、上架课程《Vue.js 和 E…

DeepSeek-R1 32B Windows+docker本地部署

最近国产大模型DeepSeek兴起&#xff0c;本地部署了一套deepseek同时集成Open WebUI界面,给大家出一期教程。 软件&#xff1a;Ollama、docker、Open WebUI 一、用Ollama下载模型 首先我们需要安装Ollama&#xff0c;它可以在本地运行和管理大模型。 到Ollama官网 https://ol…

MySQL部署基于二进制日志文件位置的主从复制集群

MySQL主从复制介绍 MySQL 主从复制&#xff08;Master-Slave Replication&#xff09; 作为一种经典的数据库复制方案&#xff0c;被广泛应用于企业生产环境&#xff0c;尤其是在提升数据库性能、实现数据备份和分布式扩展方面具有重要作用。 官方文档&#xff1a;https://de…

C++Primer学习(2.2)

2.2 变量 变量提供一个具名的、可供程序操作的存储空间。C中的每个变量都有其数据类型,数据类型决定着变量所占内存空间的大小和布局方式、该空间能存储的值的范围&#xff0c;以及变量能参与的运算。对C程序员来说,“变量(variable)”和“对象(object)”一般可以互换使用。 术…

Mac 基于Ollama 本地部署DeepSeek离线模型

最近节日期间最火的除了《哪吒》就是deepseek了&#xff0c;毕竟又让西方各个层面都瑟瑟发抖的产品。DeepSeek凭借其强大的AI能力真的是在全球多个领域展现出强大的影响力。由于受到外部势力的恶意攻击倒是deepseek官方服务不稳定&#xff0c;国内其他厂家的适配版本也不是很稳…

DeepSeek-V2 论文解读:混合专家架构的新突破

论文链接&#xff1a;DeepSeek-V2: A Strong, Economical, and Efficient Mixture-of-Experts Language Model 目录 一、引言二、模型架构&#xff08;一&#xff09;多头部潜在注意力&#xff08;MLA&#xff09;&#xff1a;重塑推理效率&#xff08;二&#xff09;DeepSeekM…

C语言的灵魂——指针(3)

前言&#xff1a;上期我们介绍了const修饰指针&#xff0c;saaert断言都是针对指针本身的&#xff0c;文章后面我们用指针与数组建立了联系&#xff0c;这种联系或者是关系就是这篇文章所要介绍的。上一篇文章的传送门&#xff1a;指针2 指针3 一&#xff0c;数组名的含义及理解…

SSD1306 128*32屏幕驱动

最近在做一个小项目&#xff0c;使用合宙air001做主控&#xff0c;arduino开发环境&#xff0c;项目设计一个小屏作为显示&#xff0c;本身使用u8g2库&#xff0c;奈何这个air001空间太小&#xff0c;没写多少就把程序储存空间占满了&#xff0c;log也没办法打印&#xff0c;对…