数据安全架构设计与实战

对本书的赞誉

序　一

序　二

前　言

第一部分　安全架构基础

第1章　架构 2

1.1　什么是架构 2

1.2　架构关注的问题 4

第2章　安全架构 5

2.1　什么是安全 5

2.2　为什么使用“数据安全”这个术语 7

2.3　什么是安全架构 10

2.4　安全架构5A方法论 11

2.5　安全架构5A与CIA的关系 13

第二部分　产品安全架构

第3章　产品安全架构简介 16

3.1　产品安全架构 16

3.2　典型的产品架构与框架 17

3.2.1　三层架构 17

3.2.2　B/S架构 18

3.2.3　C/S架构 19

3.2.4　SOA及微服务架构 19

3.2.5　典型的框架 20

3.3　数据访问层的实现 21

3.3.1　自定义DAL 21

3.3.2　使用ORM 22

3.3.3　使用DB Proxy 23

3.3.4　配合统一的数据服务简化DAL 23

第4章　身份认证：把好第一道门 24

4.1　什么是身份认证 24

4.2　如何对用户进行身份认证 26

4.2.1　会话机制 27

4.2.2　持续的消息认证机制 29

4.2.3　不同应用的登录状态与超时管理 30

4.2.4　SSO的典型误区 31

4.3　口令面临的风险及保护 32

4.3.1　口令的保护 33

4.3.2　口令强度 33

4.4　前端慢速加盐散列案例 34

4.5　指纹、声纹、虹膜、面部识别的数据保护 35

4.6　MD5、SHA1还能用于口令保护吗 36

4.6.1　单向散列算法简介 36

4.6.2　Hash算法的选用 38

4.6.3　存量加盐HASH的安全性 38

4.7　后台身份认证 39

4.7.1　基于用户Ticket的后台身份认证 40

4.7.2　基于AppKey的后台身份认证 41

4.7.3　基于非对称加密技术的后台身份认证 41

4.7.4　基于HMAC的后台身份认证 42

4.7.5　基于AES-GCM共享密钥的后台身份认证 44

4.8　双因子认证 44

4.8.1　手机短信验证码 44

4.8.2　TOTP 44

4.8.3　U2F 45

4.9　扫码认证 45

4.10　小结与思考 46

第5章　授权：执掌大权的司令部 48

5.1　授权不严漏洞简介 48

5.2　授权的原则与方式 49

5.2.1　基于属性的授权 49

5.2.2　基于角色的授权 50

5.2.3　基于任务的授权 51

5.2.4　基于ACL的授权 51

5.2.5　动态授权 52

5.3　典型的授权风险 52

5.3.1　平行越权 52

5.3.2　垂直越权 53

5.3.3　诱导授权 53

5.3.4　职责未分离 53

5.4　授权漏洞的发现与改进 54

5.4.1　交叉测试法 54

5.4.2　漏洞改进 54

第6章　访问控制：收敛与放行的执行官 56

6.1　典型的访问控制策略 56

6.1.1　基于属性的访问控制 57

6.1.2　基于角色的访问控制 57

6.1.3　基于任务的访问控制 57

6.1.4　基于ACL的访问控制 58

6.1.5　基于专家知识的访问控制 58

6.1.6　基于IP的辅助访问控制 59

6.1.7　访问控制与授权的关系 61

6.2　不信任原则与输入参数的访问控制 61

6.2.1　基于身份的信任原则 61

6.2.2　执行边界检查防止缓冲区溢出 62

6.2.3　参数化查询防止SQL注入漏洞 62

6.2.4　内容转义及CSP防跨站脚本 68

6.2.5　防跨站请求伪造 70

6.2.6　防跨目录路径操纵 75

6.2.7　防SSRF 76

6.2.8　上传控制 77

6.2.9　Method控制 78

6.3　防止遍历查询 79

第7章　可审计：事件追溯最后一环 81

7.1　为什么需要可审计 81

7.2　操作日志内容 82

7.3　操作日志的保存与清理 82

7.3.1　日志存储位置 82

7.3.2　日志的保存期限 83

第8章　资产保护：数据或资源的贴身保镖 84

8.1　数据安全存储 84

8.1.1　什么是存储加密 84

8.1.2　数据存储需要加密吗 87

8.1.3　加密后如何检索 88

8.1.4　如何加密结构化数据 88

8.2　数据安全传输 89

8.2.1　选择什么样的HTTPS证书 91

8.2.2　HTTPS的部署 92

8.2.3　TLS质量与合规 93

8.3　数据展示与脱敏 94

8.3.1　不脱敏的风险在哪里 94

8.3.2　脱敏的标准 94

8.3.3　脱敏在什么时候进行 94

8.3.4　业务需要使用明文信息怎么办 95

8.4　数据完整性校验 95

第9章　业务安全：让产品自我免疫 97

9.1　一分钱漏洞 97

9.2　账号安全 99

9.2.1　防撞库设计 99

9.2.2　防弱口令尝试 99

9.2.3　防账号数据库泄露 100

9.2.4　防垃圾账号 100

9.2.5　防账号找回逻辑缺陷 100

9.3　B2B交易安全 101

9.4　产品防攻击能力 103

第三部分　安全技术体系架构

第10章　安全技术体系架构简介 106

10.1　安全技术体系架构的建设性思维 106

10.2　安全产品和技术的演化 107

10.2.1　安全产品的“老三样” 107

10.2.2　网络层延伸 107

10.2.3　主机层延伸 108

10.2.4　应用层延伸 108

10.2.5　安全新技术 108

10.3　安全技术体系架构的二维模型 109

10.4　风险管理的“三道防线” 110

10.5　安全技术体系强化产品安全 112

10.5.1　网络部署架构 112

10.5.2　主机层安全 113

10.5.3　应用层安全 115

10.5.4　数据层安全 117

第11章　网络和通信层安全架构 119

11.1　简介 119

11.2　网络安全域 120

11.2.1　最简单的网络安全域 120

11.2.2　最简单的网络安全域改进 121

11.2.3　推荐的网络安全域 121

11.2.4　从有边界网络到无边界网络 122

11.2.5　网络安全域小结 124

11.3　网络接入身份认证 125

11.4　网络接入授权 127

11.5　网络层访问控制 127

11.5.1　网络准入控制 127

11.5.2　生产网络主动连接外网的访问控制 129

11.5.3　网络防火墙的管理 130

11.5.4　内部网络值得信任吗 131

11.5.5　运维通道的访问控制 132

11.6　网络层流量审计 132

11.7　网络层资产保护：DDoS缓解 133

11.7.1　DDoS简介 133

11.7.2　DDoS缓解措施 134

11.7.3　专业抗DDoS方案 134

第12章　设备和主机层安全架构 136

12.1　简介 136

12.2　身份认证与账号安全 136

12.2.1　设备/主机身份认证的主要风险 137

12.2.2　动态口令 137

12.2.3　一次一密认证方案 137

12.2.4　私有协议后台认证方案 138

12.3　授权与访问控制 138

12.3.1　主机授权与账号的访问控制 138

12.3.2　主机服务监听地址 139

12.3.3　跳板机与登录来源控制 140

12.3.4　自动化运维 141

12.3.5　云端运维 142

12.3.6　数据传输 142

12.3.7　设备的访问控制 143

12.4　运维审计与主机资产保护 144

12.4.1　打补丁与防病毒软件 144

12.4.2　母盘镜像与容器镜像 145

12.4.3　开源镜像与软件供应链攻击防范 145

12.4.4　基于主机的入侵检测系统 147

第13章　应用和数据层安全架构 150

13.1　简介 150

13.2　三层架构实践 151

13.2.1　B/S架构 152

13.2.2　C/S架构 153

13.3　应用和数据层身份认证 154

13.3.1　SSO身份认证系统 154

13.3.2　业务系统的身份认证 155

13.3.3　存储系统的身份认证 155

13.3.4　登录状态管理与超时管理 156

13.4　应用和数据层的授权管理 156

13.4.1　权限管理系统 156

13.4.2　权限管理系统的局限性 157

13.5　应用和数据层的访问控制 158

13.5.1　统一的应用网关接入 158

13.5.2　数据库实例的安全访问原则 159

13.6　统一的日志管理平台 159

13.7　应用和数据层的资产保护 160

13.7.1　KMS与存储加密 160

13.7.2　应用网关与HTTPS 164

13.7.3　WAF（Web应用防火墙） 165

13.7.4　CC攻击防御 167

13.7.5　RASP 168

13.7.6　业务风险控制 169

13.8　客户端数据安全 171

13.8.1　客户端敏感数据保护 172

13.8.2　安全传输与防劫持 172

13.8.3　客户端发布 174

第14章　安全架构案例与实战 176

14.1　零信任与无边界网络架构 176

14.1.1　无边界网络概述 177

14.1.2　对人的身份认证（SSO及U2F） 178

14.1.3　对设备的身份认证 178

14.1.4　最小授权原则 178

14.1.5　设备准入控制 179

14.1.6　应用访问控制 179

14.1.7　借鉴与改进 180

14.2　统一HTTPS接入与安全防御 181

14.2.1　原理与架构 181

14.2.2　应用网关与HTTPS 182

14.2.3　WAF与CC防御 183

14.2.4　私钥数据保护 183

14.2.5　负载均衡 184

14.2.6　编码实现 184

14.2.7　典型特点 185

14.3　存储加密实践 186

14.3.1　数据库字段加密 186

14.3.2　数据库透明加密 186

14.3.3　网盘文件加密方案探讨 187

14.3.4　配置文件口令加密 188

14.4　最佳实践小结 189

14.4.1　统一接入 189

14.4.2　收缩防火墙的使用 190

14.4.3　数据服务 190

14.4.4　建立KMS 191

14.4.5　全站HTTPS 191

14.4.6　通用组件作为基础设施 191

14.4.7　自动化运维 192

第四部分　数据安全与隐私保护治理

第15章　数据安全治理 194

15.1　治理简介 194

15.1.1　治理与管理的区别 194

15.1.2　治理三要素 196

15.2　数据安全治理简介 196

15.2.1　数据安全治理的要素 197

15.2.2　数据安全治理与数据安全管理的关系 201

15.3　安全项目管理 203

15.4　安全运营管理 204

15.5　合规与风险管理 208

15.6　安全开发生命周期管理（SDL） 208

15.6.1　SQL注入漏洞案例 209

15.6.2　SDL关键检查点与检查项 211

15.6.3　SDL核心工作 212

15.7　风险管理 212

15.7.1　风险识别或评估 212

15.7.2　风险度量或成熟度分析 216

15.7.3　风险处置与收敛跟踪 220

15.7.4　风险运营工具和技术 221

15.8　PDCA方法论与数据安全治理 224

第16章　数据安全政策文件体系 227

16.1　数据安全文件体系 227

16.1.1　四层文件体系架构简介 228

16.1.2　数据安全四层文件体系 228

16.1.3　标准、规范与管理规定的关系 229

16.1.4　外部法规转为内部文件 231

16.2　数据安全政策总纲 232

16.2.1　数据安全的目标和范围 232

16.2.2　数据安全组织与职责 233

16.2.3　授权原则 233

16.2.4　数据保护原则 234

16.2.5　数据安全外部合规要求 234

16.3　数据安全管理政策 234

16.3.1　数据分级与分类 234

16.3.2　风险评估与定级指南 235

16.3.3　风险管理要求 237

16.3.4　事件管理要求 238

16.3.5　人员管理要求 239

16.3.6　配置和运维管理 242

16.3.7　业务连续性管理 243

16.4　数据安全标准 244

16.4.1　算法与协议标准 244

16.4.2　口令标准 247

16.4.3　产品与组件标准 248

16.4.4　数据脱敏标准 251

16.4.5　漏洞定级标准 251

16.5　数据安全技术规范 252

16.5.1　安全架构设计规范 253

16.5.2　安全开发规范 255

16.5.3　安全运维规范 256

16.5.4　安全配置规范 257

16.6　外部合规认证与测评 259

第17章　隐私保护基础 262

17.1　隐私保护简介 262

17.1.1　典型案例 262

17.1.2　什么是隐私 263

17.1.3　隐私保护与数据安全的关系 264

17.1.4　我需要了解隐私保护吗 264

17.1.5　隐私保护的技术手段 265

17.1.6　合规遵从 265

17.2　GDPR 268

17.2.1　简介 268

17.2.2　两种角色 269

17.2.3　六项原则及问责制 270

17.2.4　处理个人数据的六个法律依据 271

17.2.5　处理儿童数据 271

17.2.6　特殊的数据类型 272

17.2.7　数据主体的权利 272

17.2.8　数据控制者和数据处理者的义务 274

17.2.9　违规与处罚 276

17.3　个人信息安全规范 276

17.3.1　简介 276

17.3.2　个人信息安全原则 277

17.3.3　个人信息的生命周期管理 277

17.4　GAPP框架 279

17.5　ISO 27018 280

第18章　隐私保护增强技术 281

18.1　隐私保护技术初探 281

18.2　去标识化 283

18.2.1　匿名化 283

18.2.2　假名化 284

18.2.3　K?-匿名 284

18.3　差分隐私 286

18.3.1　差分隐私原理 286

18.3.2　差分隐私噪声添加机制 288

18.3.3　数值型差分隐私 288

18.3.4　数值型差分隐私的局限性 291

18.3.5　离散型差分隐私 292

18.3.6　差分隐私案例 294

18.3.7　差分隐私实战 294

第19章　GRC与隐私保护治理 297

19.1　风险 297

19.2　GRC简介 298

19.2.1　GRC三领域 299

19.2.2　GRC控制模型 304

19.3　隐私保护治理简介 306

19.4　隐私保护治理GRC实践 307

19.4.1　计划 308

19.4.2　执行 308

19.4.3　检查 311

19.4.4　处理 311

19.5　隐私保护能力成熟度 311

第20章　数据安全与隐私保护的统一 317

20.1　以数据为中心的统一治理 317

20.1.1　统一的数据安全治理 317

20.1.2　统一数据目录与数据流图 319

20.1.3　统一数据服务 319

20.2　统一的数据安全生命周期管理 320

20.2.1　数据安全生命周期 321

20.2.2　全生命周期的数据主体权利保障 326

20.2.3　典型案例 327

20.3　数据安全治理能力成熟度模型（DSGMM） 334

附录　数据安全架构与治理总结 338

参考文献 340

......(更多)