- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
帮助中心 >
文章搜索
- 全部(99+)
- 产品文档(99+)
- 技术知识库(99+)
- 行业资讯(99+)
-
Centos 7安装Tomcat 7
Centos 7安装Tomcat 7 一、检查tomcat7是否已经安装rpm -qa | grep tomcat ps -ef | grep tomcat 第一条命令查看是用rpm安装过tomcat,由于我们倾向于安装解压版的tomcat,所以一般是找不到的。第二条命令查看系统中是否运行有tomcat,如下图所示二、检查系统中是否已经安装有jdk软件,并更新成需要的jdk软件1)查看之前的jdkjava -version rpm -qa | grep java rpm -qa | grep gcj rpm -qa | grep jdk 2)卸载之前的oenjdk(假设你找出来的软件名是如下的yum -y remove java java-1.4.2-gcj-compat-1.4.2.0-40jpp.115 yum -y remove java java-1.6.0-openjdk-1.6.0.0-1.7.b09.el5 3)下载rpm文件并安装Centos中不包含openjdk,纯净的3.1.oracle的官网进行下载jdk https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html选择我们所需要的版本就可以了3.2.安装jdkrpm -ivh jdk-8u181-linux-x64.rpm 安装完成后/usr目录下会出现java包,java里面包含jdk1.8.0_251-amd64文件就是我们的jdk包3.3.配置环境变量1.编辑环境变量文件vim /etc/profile 2.按i键进入编辑模式 输入以下内容JAVA_HOME=/usr/java/jdk1.8.0_251-amd64 CLASSPATH=%JAVA_HOME%/lib:%JAVA_HOME%/jre/lib PATH=$PATH:$JAVA_HOME/bin:$JAVA_HOME/jre/bin export PATH CLASSPATH JAVA_HOME 注意:在第一次安装过程中我写成了这样 PATH=$Path,导致后来环境变量出问题,一些简单命令无法使用。使用export PATH=/bin:$PATH3.按esc退出编辑模式,:wq保存退出4.使环境变量立即生效source /etc/profile 5.测试是否安装成功java -version 三、安装tomcat71)解压源码包(源码包已经放于目录:/usr/tomcat7中)cd /usr/tomcat7 tar -xvf apache-tomcat-7.0.104.tar.gz mv apache-tomcat-7.0.104/* /usr/tomcat7/ 2)启动tomcat/usr/tomcat7/bin/startup.sh 四、增加8080端口到防火墙配置中firewall-cmd --zone=public --add-port=8080/tcp --permanent #添加一个端口 firewall-cmd --reload #重新载入防火墙 五、测试tomcat假设安装机器的IP为10.10.10.2,在另一台同网段机器的浏览器上输入:http://110.10.10.2:8080/如图所示即安装成功六、把tomcat7作为服务启动在/usr/lib/systemd/system/目录下新建文件tomcat7.service,内容如下:[Unit] Description=Tomcat7 After=syslog.target network.target remote-fs.target nss-lookup.target [Service] Type=forking Environment='JAVA_HOME=/usr/java/jdk1.8.0_251-amd64' Environment='CATALINA_PID=/usr/tomcat7/bin/tomcat.pid' Environment='CATALINA_HOME=/usr/tomcat7/' Environment='CATALINA_BASE=/usr/tomcat7/' Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC' WorkingDirectory=/usr/tomcat7/ ExecStart=/usr/tomcat7/bin/startup.sh ExecReload=/bin/kill -s HUP $MAINPID ExecStop=/bin/kill -s QUIT $MAINPID PrivateTmp=true [Install] WantedBy=multi-user.target 设置为开启机启动:systemctl enable tomcat7来自:技术知识库 > 云服务器
-
301跳转配置方法
测试服务器环境为windows2008,iis版本是7.0,配置实现网站内页301跳转,以下为操作方法:1.打开服务器iis信息管理器2.选中需要重定向的网站3.右侧界面出现的功能模块中选择HTTP重定向双击出现操作界面4.勾选将请求永久重定向到此目标输入跳转到的域名5.勾选将所有请求重定向到确切目标(而不是相对目标)6.下拉选择(永久301)7.右侧菜单栏选择应用Iis6跟iis7的区别在于重定向选项的描述会让有些朋友有点难以理解其实作用是一样的下面就是对应的选项描述:上面输入的准确URL=将所有请求重定向到确切目标(而不是相对目标)输入的URL下的目录=仅将请求重定向到此目录(非子目录)中的内容资源的永久重定向=(永久301)网址后参数"$S$Q$P$V"介绍 $S代码释义:将请求重定向的URL的后缀传递给新的URL。后缀是用重定向的URL代替之后,初始URL中所保留的部分。如果未设置 EXACT_DESTINATION 标志,则结果目标 URL 的名称将具有所请求文件的名称(作为文件夹名称)以及文件名本身。如果映射到以下网站的虚拟目录:yourdomain/news配置为重定向到以下确切的URL:olddomain/news$S访问:olddomain/news/1.html即跳转到:newdomain/news/1.html $P代码释义:将初始 URL中的参数(如 querystring 参数)传递至新的 URL,不包括问号 (?)。 如果映射到以下网站的虚拟目录:yourdomain/news配置为重定向到以下URL:olddomain/news$P访问:olddomain/news/1.php&paper14645sdf&=6即跳转到:newdomain/news/1.php&paper14645sdf&=6 $Q代码释义:将初始 URL 中的参数(如 querystring 参数)传递至新的 URL,包括问号 (?)。 如果映射到以下网站的虚拟目录:yourdomain/news配置为重定向到以下确切的 URL:olddomain/news$S$Q访问:olddomain/news/1.php?paper14645sdf?=6即跳转到:newdomain/news/1.php?paper14645sdf?=6$V代码释义:传递请求的URL,但是不包括服务器名和任何参数。配置为重定向到以下确切的 URL:olddomain/news访问:olddomain/news即跳转到:newdomain/news以上$S$Q是比较常用的,其中$P$V对于我们来说用得就比较少了。 高于iis7以上版本同理。来自:技术知识库 > 云服务器
-
直播系统搭建为什么需要云服务器
直播系统搭建为什么需要云服务器一、云服务器的优势是基于云计算技术的,相比物理服务器而言,有以下几点优势: 1、从技术方面来讲:云服务器使用了云计算技术,而云计算技术,整合了计算、网络、存储等各种软件和硬件技术。 2、从安全性方面来讲:云服务器具有天然防ARP攻击和MAC欺骗,快照备份,数据永久不丢失。 3、从可靠性来讲:云服务器是基于服务器集群的,因此硬件冗余度较高,故障率低 4、从灵活性方面来讲:用户可以在线实时增加自己的配置,任意扩展存储空间,灵活性较高。 5、从性能的角度来看:云服务器是同等配置独立服务器计算能力的4倍,可满足高性能计算的要求。 6、从稳定性上看云服务器可以故障自动迁移,意思是如果一台云服务器出现故障,其上面的应用就自动迁移到其他云服务器上了,确保平台安全稳定运行。 7、从节能上看云服务器基于云计算的自动迁移技术,意即夜间,物理服务器的利用率不高,自动迁移技术会把应用集中到几台物理服务器上,节省资源。 二、云服务器之所以能够提供优质服务的原因,源于技术层面的改进和升级。1.虚拟化技术虚拟化平台将1000台以上的服务器集群虚拟为多个性能可配的虚拟机(KVM),对整个集群系统中所有KVM进行监控和管理,并根据实际资源使用情况灵活 分配和调度资源池。 2.分布式存储技术原理:分布式存储用于将大量服务器整合为一台超级计算机,提供大量的数据存储和处理服务。分布式文件系统、分布式数据库允许访问共同存储资源,实现应用数据文件的IO共享。 3.资源调度虚拟机可以突破单个物理机的限制,动态的资源调整与分配消除服务器及存储设备的单点故障,实现高可用性。当一个计算节点的主机需要维护时,可以将其上运行的虚拟机通过热迁移技术在不停机的情况下迁移至其他空闲节点,用户会毫无感觉。在计算节点物理损坏的情况也可以在3分钟左右将其业务迁移至其他节点运行,具有十分高的可靠性。蓝队云可以满足客户不同类型的服务器搭建,帮助客户搭建部署,为客户提供专业的硬性技术支持,欢迎咨询客服进一步了解。来自:行业资讯 > 云计算
-
手摸手带你玩转云服务器
作为一名后端Java程序员,队长是极力推荐大家拥有一台属于自己的云服务器的,什么?有些童鞋肯定说:我用虚拟机玩得很转,花那冤枉钱干啥玩意! 为什么要用云服务器使用云服务器好处大致如下:1. 更好的了解项目是如何在线上环境是如何运行的?(可以说,国内大部分中小企业的服务都跑在云上,有钱的公司,自建机房的,当队长没说~); 2. 部署相关测试环境非常方便,比如 Redis, Mysql, MongDB, Elasticsearch 这些,Linux 环境上部署肯定比 Windows 方便; 3. 如果部署在本机上,会比较吃硬件资源,电脑配置差点的童鞋,可能感觉卡顿严重,影响开发效率! 4. 逼格高,比如你去面试的时候,提及自己有一个部署在公网服务器的博客,会对你印象分更高,相对没有玩过云服务器的,你更容易拿到 Offer ~ 目前蓝队云上云节活动正在火热进行中,1H2G的云服务器仅需9块9哟 ! 区域选择区域上,我们尽量选择里客户近的机房区域,比如说你想在服务器上部署一个博客,当然是希望别人访问博客的时候,网络延迟越低越好~ 远程登录方式个人更喜欢使用用户名、密码来登录,当然你也可以使用私钥来登录,看个人喜好。列表中有显示新申请的这台实例的公网地址,复制完成后,接下来,开始访问这台远程服务器。远程访问的客户端,你可以选择 Xshell, 或者其他客户端均可以,队长使用的 Mac 系统,这里使用的 Terminus, 步骤基本如下:1. 填写公网访问地址、端口号;2. 输入前面自己设置的用户名、密码,点击登录;3. 登陆成功。 部署相关环境新服务器登录上去基本是非常干净的,比如 Java 环境、Mysql 等,什么都没有,所以要一一安装。安装 JDK 1.8访问 JDK 1.8 的官网下载地址 https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html,下载安装包:下载成功后,上传到服务器的指定目录下 /home(目录可以自己选择),解压:配置环境变量,编辑 /etc/profile: 移动到文本最后一行,添加如下配置:保存退出!重新加载系统配置文件: 再次执行命令 java-version, 查看 JDK 环境是否配置成功。输出了 JDK 版本信息,安装成功。安装 MySQL我们选择安装 MySQL 5.7 版本,执行如下命令:权限设置:启动 MySQL: 查看 MySQL 运行状态: 关于 MySQL 登录密码:正常来说在启动日志里会生成一个随机密码,以供登录,小哈这里安装的时候并没有生成,具体原因还不太清楚。这边可以先取消默认密码:登录:执行命令:退出 MySQL 后,再将 /etc/my.cnf 文件中的 skip-grant-tables=1 删除掉,重启 MySQL 即可;设置 Mysql 3306 端口安全组由于一些服务器安全限制,此时想访问远程数据库,还需将 3306 端口加入到安全组中:依次点击 更多 -> 网络和安全组 -> 安全组配置,将 3306 端口配置到安全组中,同时授权固定 IP 来访问,也就是白名单:测试本机是否能够连接远程的 MySQL这里使用 Mac 的客户端 Sequel Pro 来测试,小伙伴们使用 Navicat 也是 OK 的:连接远程 MySQL 的解决办法有的小伙伴们按照上述步骤,可能最后发现自己安全组端口也加白名单了,还是连不上的情况。那是因为设置 MySQL 的时候, root 账号不允许从远程登录导致的。解决办法:设置成功后,再次连接,就没问题了。部署一个 Spring Boot 项目小哈的个人独立博客就是使用 Spring Boot 来开发的,部署在阿里云服务器上,又买了一个域名做了映射。关于域名这块,我们先不谈,先尝试部署一个简单的 Spring Boot 项目,且通过公网 IP 来访问它。定义一个简单的访问接口:项目打包: 进入 target 目录,将 jar 包上传到服务器指定目录:并以后台启动方式运行项目:启动成功后,我们尝试通过公网来访问这个服务,注意,因为项目启动在 8080 端口,还需将 8080 端口也加入安全组才行。在浏览器中,访问这个服务:至此,一个入门级的 SpringBoot 项目在云服务器上就部署完成了!当然,能做的远不至于此,比如部署一个博客项目,小伙伴们可以去尝试一下~来自:行业资讯 > 云计算
-
海外高防云服务器的安全防护
海外高防云服务器的安全防护今年的租用云服务器要注意什么?安全!安全!还是安全!现在海外疫情频发,网络上也不太平,不同于往年,很多海外攻击针对的反而是一些小规模的网站,而且目标随机并不特定,因此租用海外云服务器的用户要小心了,当然作为中小站长来说如何在服务器遇到攻击之后依旧能够保障网页正常打开,这里蓝队云就来简单介绍一些简单的方案。1.短期的硬件配置扩容遇到攻击如果规模不大还不至于把网站一次性直接打死的话实际上仅需要对云服务器的硬件配置进行短期的扩容即可,日本云服务器支持弹性升级,不仅CPU可以升级,网络带宽也可以根据使用情况随时拉高或者降低,更多的冗余不仅能够延缓攻击的强度而且依旧能够保障网站的稳定。 2.定时备份很重要如果攻击规模达到一定程度的时候就要考虑可以迁移服务器了或者启用备份网站,因此无论是否有大规模的攻击,依旧需要做好定期的数据备份,其实最好还是租用一个备用机随时保证能够快速迁移,而日本云机房能够提供云备份服务,快照式备份随时能够完成不影响主站运行。 3.支持IP更换现在针对海外云服务器的其实还是DDos攻击占了大多数,如果攻击流量过大的话,一旦超过云平台的限制的话,一般都会直接将IP直接封禁,而日本云机房支持服务器IP的更换,而且只要有需求源IP还可以保留,不会对SEO有太大的影响。 4.接入CDN服务如果是没有高防的云服务器要想安全最好还是找一个靠谱的CDN最好是带高防的那种不仅能够隐藏云服务器的源IP,让攻击流量被分流,本身这类高防CDN的节点也是带硬件防御的,如果一段时间服务器遭到了针对性的攻击的话,可以考虑接入从而确保网站的数据安全和稳定浏览。 租用云服务器要想稳定主要还是要看云服务商怎么样,建议选择一些专业有实力的国内大型机房服务商,例如蓝队云就值得信赖,专业提供7x24小时全天候在线技术支持。蓝队云官网www.landui.com电话详询4006-75-4006!来自:行业资讯 > 云计算
-
云服务器和云盘的区别
云服务器和云盘的区别1.什么是云服务器?云服务器是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。云服务器帮助您快速构建更稳定、安全的应用,用户无需提前购买硬件,即可迅速创建或释放任意多台云服务器。云服务器是云计算服务的重要组成部分,是面向各类互联网用户提供综合业务能力的服务平台。平台整合了传统意义上的互联网应用三大核心要素:计算、存储、网络,面向用户提供公用化的互联网基础设施服务 2. 什么是云盘?云盘是一种专业的互联网存储工具,是互联网云技术的产物,它通过互联网为企业和个人提供信息的储存,读取,下载等服务。具有安全稳定、海量存储的特点。 3、云服务器与云盘的区别云盘是最早走进普通网民身边的产品,在一段时间内互联网上出现了不少提供云存储服务的公司,让不少用户都觉得云服务器就是云盘。虽然两者都出自同样的技术,不过最终的使用目的却是大相径庭。云盘以及云服务器的技术都是基于集群技术而成的产品,所以说两者具有高度的相似之处。不过两者却不是基于同一个目的的产品。在功用上云盘只是为用户提供一个存储空间用户可以将个人的文件上传到云盘中,免去用户携带数据存储介质的烦恼。而云服务器的功能不仅在于存储更可以为用户提供计算服务。用户可以将数据库上传到云服务器中进行处理。在使用的过程中我们也可以发现云盘是注册账户后就直接使用了,而云服务器的用户需要搭建环境安装有关的操作系统然后进行管理。显然,云盘无法安装软件而云服务器可以。此外云服务器的用户有自己的IP地址经过用户的一定设置是允许外部人员访问云服务器。而云盘的封闭性较强,没有IP地址供用户使用。此外同一云盘用户使用的资源是共享的,而云服务器的用户使用的资源都是单独的。对于IT以及个人站长而言用户可以将网站的数据放入云服务器或者网盘,但是由于只有云服务器可以搭建空间所以只有云服务取得用户所上传的数据可以最终成为一个网站。而网盘的用户的数据依旧仅还是一个数据而已。所以说云盘只有云服务器的部分功能,而云服务器的功能更强大,更能满足企业的需求。做个形象的比喻云盘就像一个U盘,只有存储功能。而云服务器就像一台电脑,不仅可以存放文件,还可以运行使用其中的文件。因此对于企业的用户如果进行数据存储建议使用云服务器而非云盘,因为云服务器可以直接对数据进行处理,而云盘则需要电脑的辅助在能完成相对应的工作。蓝队云提供专业的云服务器服务,专业技术提供全时段技术支持。您值得信赖!来自:行业资讯 > 云计算
-
说一说漏洞扫描
说一说漏洞扫描漏洞扫描一般指扫描暴露在外网或者内网里的系统、网络组件或应用程序,检测其中的漏洞或安全弱点,而漏洞扫描器则是用来执行漏洞扫描的工具。漏洞扫描器一般基于漏洞数据库来检查远程主机,漏洞数据库包含了检查安全问题的所有信息(服务、端口、包类型、潜在的攻击路径,等等)。它可以扫描网络和网站上的上千个漏洞,提供一个风险列表,以及补救的建议。 下列人员会用到漏洞扫描器:安全审计人员在进行安全审计时。恶意攻击者或者黑客在攻击目标、获取非法访问时。程序开发团队在发布环境中部署产品之前。 流行的扫描工具包含下面的功能:1.维护一个包含最新漏洞的数据库。2.以较低的误报率检测出漏洞。3.同时扫描多个目标。4.提供详细的报告,包括请求和响应对。5.提供修复漏洞的建议。 架构(扫描器的组件) 漏洞扫描可以分成四个部分:1、用户接口:用户通过这个接口运行和配置一个扫描。这可以是图形界面(GUI)也可以是命令行接口(CLI)。2、扫描引擎:扫描引擎通过安装和配置的插件来执行扫描。3、扫描数据库:扫描数据库保存了扫描器需要的数据。包括,漏洞信息、插件、消除漏洞的步骤、CVE-ID映射(常见的漏洞)、扫描结果,等等。4、报告模块:报告模块提供了不同的选项,可以生成不同类型的报告。比如,详细报告、漏洞列表、图形化报告,等等。 扫描可以分成两类外网扫描:有一些设备和资产是暴露在互联网的。大部分的机构都开放了80或者443端口,这样人们可以通过互联网访问他们的网站。许多管理员觉得他们实现了边界防火墙,这样他们就很安全了。但是,并不总是这样的。防火墙可以依据定义的规则和策略阻止对网络的非授权访问,但是如果攻击者找到了通过这些端口(比如80或者443)攻击其它系统的方法,防火墙就不能保护你了,因为利用这些端口,攻击者就自动绕过了防火墙,进入了你的网络。外部扫描是重要的,它检测那些面向互联网的资产的漏洞。攻击者通过这些漏洞可以访问内网。外部扫描可以通过在互联网机器上运行漏洞扫描器来实现。最好在攻击者利用已公开的安全问题和漏洞之前,就消除它们。内网扫描:并不是所有的攻击都来自外部网络。黑客和恶意软件也可以在内网中出现。通过以下方式,就可以访问内网:恶意软件或者病毒通过互联网或者USB下载到网络中一个可以访问内网的不满的员工外部的黑客获取了访问内部网络的权限因此,在内网里运行漏洞扫描器也同样重要。在内网的一台机器上运行漏洞扫描器,可以对网络中的关键组件进行扫描。重要的组件包括核心路由器、交换机、工作站、web服务器、数据库,等等。 多久扫描一次?每天都有很多新漏洞被发现。每个新的漏洞都会增加危险。因此,定期扫描资产非常重要。发现最新的安全问题可以帮助机构关闭安全漏洞,抵御攻击。多久执行一次漏洞扫描并没有确定的数字。根据机构的不同而不同。 扫描的频率基于以下几点:资产的重要性:越重要的资产扫描应该越频繁,这样就能打上最新的补丁。曝光度:识别和扫描那些暴露给大量用户的组件。这可以是外部和内部资产。变动现存环境时:对现存环境的任何修改,增加新的组件和资产等,都应该进行漏洞扫描。 免费 vs 收费并没有确定的答案来回答使用免费、开源的漏洞扫描器还是商业扫描器。在互联网上可以下载到许多可用的漏洞扫描器。一些是免费的,还有一些是收费的版本。免费版本的工具,比如Burp、Nessus等,在渗透测试常会用到。但是在一些场合,强制使用商业版。免费版本的漏洞扫描器可以在初步安全扫描时使用,但是他们也有一些限制:扫描范围:免费的扫描器在扫描范围上有限制。在比较高的层级上扫描,不能覆盖到应用程序的所有部分。精确性:可能会导致漏报,发现不了存在的安全问题。与误报相比,这个更为严重。支持所有的攻击和输入载荷:免费的扫描支持的攻击和输入载荷与付费版相比要少。付费版的漏洞和载荷数据库会定期更新,能检查最新的漏洞。支持详细的报告:大部分扫描器都支持报告功能,但是免费版的扫描也许不能够生成包含有请求-响应对、修补方法、补丁下载链接等详细内容的报告。 蓝队云漏洞扫描采用旁路部署, 部署方式灵活简单、安全,不会对客户业务连续性造成任何影响。 并且运用智能页面爬取、资源动态调节、代理缓存机制和实时任务调度等技术,实现了对大规模网站的快速、稳定的扫描。来自:行业资讯 > 网络安全
-
常见的ssl证书错误原因及解决方法
常见的ssl证书错误原因及解决方法SSL证书错误怎么解决?我们在使用SSL证书时,会出现一些常见的SSL证书错误。这里蓝队云就介绍下常见的ssl证书错误原因,以及相对应的解决方法。1.ssl证书包含域名与网址不一致每一个ssl证书所对应的域名都具有唯一性,是一个全域名FQDN。当网站出具的证书所包含的域名和网站域名不一致,系统就会自动发出报告,提示证书域名不匹配。解决方法:需要重新申请ssl证书。如有相同主域名的多站点,则要申请多域名ssl证书。 2.网站证书不是由受信任的机构颁发这是因为证书不在浏览器厂商的受信任的列表中。可通过手动添加证书安装到浏览器的“信任列表”。解决方法:浏览器中选项→内容选项卡→证书-→导入即可。 3.网站证书已过期或还未生效出现这种情况一般是电脑系统日期错误,另一种就是证书过了有效期,则需要续费。解决方法:可查看该证书信息的有效起止日期,确定证书是否在有效期内,如在的话需查看电脑日期是否正确。否则就是第二种原因,ssl证书不在有效期内,需尽快联系证书颁发厂商,进行续费。 4.页面包含有不安全的内容目前都提倡每一个页面使用HTTPS,则网站所有内容都必须是HTTPS。如果遇到图片、JS脚本,FLASH插件是通过HTTP方式去调用的,就会发生这种错误。解决方法:将调用的元素http改成HTTPS即可,然后刷新测试ssl问题是否已经解决。 5.浏览网页的时候突然弹出ssl连接错误解决方法:按下“Win+R”组合键打开运行,在运行框中输入:inetcpl.cpl 点击确定打开“internet 选项”;切换到【高级】选项卡;在设置框中勾选“使用ssl 3.0”“使用ssl2.0””点击应用并点击确定,重启浏览器。蓝队云的SSL证书是在云上签发各品牌数字证书,提供了一种在互联网上身份验证的方式,对网站进行加密,使网站可信,防劫持、防篡改、防监听。并对云上证书进行统一生命周期管理,简化证书部署,一键分发到云上产品。来自:行业资讯 > 网络安全
-
云服务器有哪些维护技巧,你都知道多少?
云服务器有哪些维护技巧,你都知道多少?近年来网络数据安全越来越重要,云服务器维护也越来越被重视,而在维护云服务器的时候一定要谨慎小心,日常维护工作要处理好,否则出现一点小的错误就会影响很大。那么,云服务器维护日常需做哪些工作呢? 1. 请确认您的云服务器备份正在工作。在进行任何更改到生产系统之前,请确保您的云服务器备份工作。你甚至可以运行一些测试恢复,如果你要删除关键数据。而专注于备份,您可能希望确保你选择了正确的备份位置。 2. 检查云服务器磁盘使用情况。不要用你的生产系统作为存档系统。删除旧日志,电子邮件和软件版本不再使用。确保您的云服务器系统不受旧的软件限制的安全问题。一个较小的数据占用空间意味着更快的恢复。如果您的云服务器使用情况是超过90%的磁盘容量,可以减少使用或添加更多的存储空间。如果你的云服务器分区达到100%,您的服务器可能会停止响应,数据库表可以损坏,数据可能丢失。 3. 监控云服务器RAID报警。所有生产云服务器应该使用RAID。更重要的是,你应该监视云服务器RAID状态。在我们十几年来的业务,我们已经无数系统中的RAID故障工作。其结果是,一单个磁盘故障导致整个系统出现故障。在rackAID,我们或者使用我们的监控RAID为我们提供者或我们已经建立了直接的RAID监视。大致我估计RAID每年云服务器约1%失败。百分之一的可能似乎不大,但一个完整的云服务器出现故障可以把一个简单的驱动器更换成一个多小时的灾难恢复方案。 4. 更新云服务器操作系统。对于Linux系统的更新版本频繁。停留在这些更新的顶部是具有挑战性的。这就是为什么我们使用自动补丁管理工具和已经制定的监测,当系统是过时的,提醒我们。如果要更新您的云服务器手动(或根本没有),你可能会错过重要的安全更新。在被披露一个问题小时黑客经常扫描vulnerably系统。因此,快速反应是关键。如果无法自动更新的,然后创建一个计划来更新系统。我建议每周至少为当前版本,也许每月旧操作系统的版本。我也从发行监测发布通知,所以你知道任何重大的安全威胁,并能快速响应。 5. 更新云服务器控制面板。如果你正在使用的云服务器的控制面板,一定要对其进行更新。有时,这意味着更新不仅在控制面板本身,而且它控制的软件。例如,南国 /的cPanel,你必须手动更新PHP版本来解决已知问题。简单地更新控制面板不还更新基础Apache和PHP您使用的操作系统版本。 6. 检查应用程序更新。Web应用程序占我们会调查所有的安全漏洞的95%以上。一定要更新您的Web应用程序,尤其是受欢迎的节目像WordPress 7. 检查远程管理工具。如果你的云服务器是同一地点或与云服务器提供商,你将要检查您的远程管理工具的工作。远程控制台,远程重启和救援模式是什么我所说的远程服务器管理3必不可少的工具。你要知道,当你需要他们这些会工作 8. 检查硬件错误。您可能需要查看日志的硬件问题的迹象。过热的通知,磁盘读取错误,网络故障可能是潜在的硬件故障的早期指标。这是罕见的,但值得一试,特别是如果系统没有正常范围内的工作。 9. 检查服务器的利用率。检查服务器的磁盘,CPU,内存和网络利用率。如果你正在接近极限,你可能需要在将资源添加到您的服务器或迁移到一个新的计划。如果你不使用性能监控工具,可以安装在大多数Linux服务器SYSTAT。这将为您提供一些基本性能数据。 10. 审查用户帐户。如果你有人员变动,客户取消或其他用户的变化,你会想从系统中删除这些用户。存放旧站点和用户既是安全和法律风险。根据您的服务合同,您可能没有留住一个客户端的数据,他们已经终止服务后的权利。 11. 更改密码。定期更改云服务器密码。 12. 检查系统的安全性建议使用远程审计工具(如Nessus)您的服务器的安全性进行定期审查。定期安全审计作为系统配置,操作系统更新和其他潜在的安全隐患检查。 蓝队云云服务器采用分布式计算和存储集群,数据安全性和可靠性高达99.99%,支持不停机升级带宽,2分钟内停机升级CPU、硬盘、内存配置,并且弹性伸缩的计算能力可满足用户各类业务的需求。您值得信赖~来自:行业资讯 > 云计算
-
frp内网穿透部署实践
frp内网穿透部署实践一、写在前面1、frp_s(server端)部署在centos8(外网服务器)2、frp_c(client端)部署在ubuntu18.04(内网)3、frp_s/frp_c使用supervisor管理两个进程4、内网部署一个web服务redash二、frp下载1、frp[下载地址](https://github.com/fatedier/frp/releases),此处选择frp_0.31.2_linux_amd64.tar.gz为例。2、frp分别解压至server端和client端。三、server端安装sudo tar -xzvf frp_xxx_linux_amd64.tar.gzmv frp_xxx_linux_amd64 frpcd frp此处以最简配置为例(默认即可)cat frps.ini[common]bind_port = 7000 启动server端frps -c ./frps.ini supervisor里server端的配置[root@centos8 supervisord.d]# cat frp_s.conf[program:frp_s]command=/usr/local/frp/frps -c ./frps.ini # 路径注意替换directory=/usr/local/frpuser=rootautostart=trueautorestart=truestartsecs=3redirect_stderr=truestdout_logfile=/usr/local/frp/frp_server.log 配置好后执行supervisorctl update 查看supervisor配置的日志信息[root@centos8 frp]# cat frp_server.log2020/02/25 14:44:57 [I] [service.go:152] frps tcp listen on 0.0.0.0:70002020/02/25 14:44:57 [I] [root.go:205] start frps successserver端启动成功! 四、client端安装root@ubuntu:/usr/local/frp# cat frpc.ini[common]server_addr = xxx.xxx.xxx. xxxserver_port = 7000 [ssh]type = tcplocal_ip = 127.0.0.1local_port = 22remote_port = 6000 [web]type = tcplocal_port = 5000 # 5000是本地redash服务暴露的端口custom_domains = xxx.xxx.xxx. xxxremote_port = 55000 # 开放的端口 # server端同样以supervisor部署,基本同server端,但启动命令稍有不同frpc -c ./frpc.ini # 注意命令执行的目录 查看supervisor配置的日志信息root@ubuntu:/usr/local/frp# cat frp_client.log2020/02/24 23:08:13 [I] [service.go:250] [f18cfbae86ffd442] login to server success, get run id [f18cfbae86ffd442], server udp port [0]2020/02/24 23:08:13 [I] [proxy_manager.go:144] [f18cfbae86ffd442] proxy added: [ssh web]2020/02/24 23:08:13 [I] [control.go:164] [f18cfbae86ffd442] [ssh] start proxy success2020/02/24 23:08:13 [I] [control.go:164] [f18cfbae86ffd442] [web] start proxy successclient端启动成功!五、The end!来自:技术知识库 > 云服务器
-
专业防御大流量DDoS攻击
专业防御大流量DDoS攻击DDoS攻击是目前互联网中最常见的网络攻击方式之一,主要就是通过很多的"傀儡机”( 被攻击者入侵过或可以间接利用的主机)向被攻击的主机发送大量看似合法的数据包,从而导致网络阻塞或服务器资源耗尽而导致合法用户无法正常访问。 互联网企业一旦受到攻击,用户就如同"手无寸铁"的士兵,毫无招架之力,品牌形象受损,经济损失不可估量。而高防IP/高防CDN的面世,让这些难题迎刃而解。无需投入任何硬件设备,只需通过购买高防服务和配置转发规则等操作即可接入高防。蓝队云DDoS高防ip究竟有什么优势呢?1.全业务支持支持TCP/UDP/HTTP/HTTPS,不论您的业务是金融、电商、网站、游戏、视频还是其他类型都可接入高防IP。 2.超高防御。1000G+ 业界最大电信、联通、BGP防护带宽,带宽够大,才能从容应对DDoS攻击。 3.极速访问。多种线路接入,带来极速访问体验,都可以一样快速地接入您的业务。 4.灵活计费。支持弹性防护,可按实际攻击带宽计费,帮您节省费用。 5.优质服务蓝队云提供7*24小时技术支持维护,全程专业一对一远程售后服务,具有十年以上安全攻防经验的团队提炼并优化防护规则,不断提升和保障安全性和可用性,365天实时为用户保驾护航。来自:行业资讯 > 网络安全
-
一个完整的网站,由五大部分构成(建站基础篇)
一个完整的网站,由五大部分构成(建站基础篇)1、域名(网址)域名就是我们常见的网址,域名根据后缀的不同,使用访问不同,其中最常见的是国际com域名,还有其他的域名,有中国含义的cn域名,政府机构的org域名,shop的商城域名等等,域名首次注册一年起,最多一次性续费十年。2、空间空间就是存放程序的地方,由高级到低级分为,服务器、VPN、虚拟主机三个档次,当前提供空间的服务商也繁多,有阿里云、华为云、腾讯云等等一线品牌,还有新网、西部数码、新网互联等二线品牌。3、备案备案是国家的一项硬性要求标准,只有备案的网站才能够开设国际的空间,备案一般由制作方提交,空间商初审,当地的通信管理局审核,审核时间一般为15天左右,审核通过后网站才能上线使用。4、前台当前前台代码都是由HTML语言+CSS样式文件组成,编写代码,要兼容各式各样版本的浏览器。5、后台后台只要有PHP语言配合MYSQL数据库构成,当前复杂的还配有JAVA等搭建程序,主要看网站的架构面对用户的客户群体流量大小决定。蓝队云建站的优势:1. H5响应建站:自适应模板适应各类屏幕,用户体验统一。2. 六站合一:PC网站+手机站+微站+APP+百度小程序+微信小程序,全渠道覆盖。3. 可视化管理:功能高度集群,人性化布局告别错乱。4. 海量模板:海量模板,直观的视觉效果让客户一见钟情。5. 模块化管理:上百种模块化功能,轻松实现网站72变。6. 蓝队机房:网站存储于蓝队云昆明机房,本土访问更快速,更安全。更多详情请登陆官网首页了解哦。来自:行业资讯 > 其他
-
新手的福音!IPv6的新手指南
新手的福音!IPv6的新手指南负责 IP 地址空间管理的是 IANA 。IANA将这些资源分配给五大区域互联网注册管理机构(AfriNIC、APNIC、ARIN、LACNIC和RIPE NCC),他们负责分配资源最终用户和本地互联网注册管理机构。 2011年2月3日 IANA 分配掉了最后的IPv4地址。这意味着不再有可从IANA分配的IPv4地址。 对此倒是没有人措手不及,因为互联网技术社区已经为此准备了很长时间了。解决方案只有一个,那就是IPv6。虽然IPv4地址耗尽的主要原因是原来的互联网基础设施的设计能力不足,而另外一些因素加速了这一切:· 移动设备已经成为可行的互联网主机。这本质上意味着每个移动设备都需要有一个IPv4地址。· 总是连接上总是有效,因此IPv4地址回收继续以加快的速度下降。· 随着越来越多的发展中国家开始得到访问互联网(如中国),他们需要更多的IPv4地址。· 在上世纪80年代获得的IP地址的组织往往分配比实际需要多得多的地址。例如,大型企业和大学分配/ 8S(超过16亿个IPv4地址)。 对比 IPv4,IPv6 的主要优点是更大的地址空间。IPv6 地址总数为 340282366920938463463374607431768211456(约 340 万亿),而在IPv4的地址只有4294967296(约 43 亿)。 不像 IPv4,对于 IPv6,IANA 没有完整的地址系统。大家都是初学者,甚至很多人时至今日也没有听说过 IPv6,不过我们无法否认的是—— IPv6,它确实已经来了。 一个IPv6地址是128位,不同于32位的IPv4。IPv6地址的128位代表中的8组,每组16位。每组写成四个十六进制数字和组用冒号分隔(:)。这种表示的例子是 2001:0db8:0000:0000:0000:ff00:0042:8329。 最小的子网应该是64位。在IPv6中,会有多个地址的接口。为方便起见,IPv6地址可通过以下规则应用简称为短符号。· 从十六进制数字的任何组的一个或多个领先的零被删除,例如,0042被转换为42。· 零的连续部分被替换为一个双冒号(::)。双冒号可以仅在一个地址使用一次,因为多次使用会使地址不确定。 这些规则应用的一个例子:· 初始地址:2001:0DB8:0000:0000:0000:FF00:0042:8329· 每个组中删除所有前导零后2001:DB8:0:0:0:FF00:42:8329· 忽略零的连续切片后2001:DB8::FF00:42:8329 2016 年 8 月 16 日,Facebook IPv6 主管 Paul Saab 在个人 Twitter 上发布了这条消息称“自从 2012 年 6 月 IPv6 开始投入使用,这是 4 年来美国四大移动网络 IPv6 移动用户访问 Facebook 的人数第一次超过 IPv4。” 随着越来越多的移动设备 APP 开始支持 IPv6 ,今天的 Facebook 只是一个开端,可以预见,未来通过 IPv6 访问移动 APP 的用户数目将有更进一步的突破。来自:行业资讯 > 网络安全
-
网站建设的市场分析 当下流行建站类型
网站建设的市场分析 当下流行建站类型目前,网站建设风生水起,网站建设从单一走向复杂,然后从复杂转向专业。技术一次次改进和升级,现如今的网站与刚开始已经发生天翻地覆的变化。从网络的产生开始,网站建设经历了三个发展阶段。第一阶段就是利用一些基础的软件把平面效果转化为网页,把网页链接相互连接在一起构成一个简单的商业网站,第一阶段就是网站建设的原型。第二阶段,在第一代技术的基础上增加了功能化的数据库模块管理,人们可以人为的对后台的一些功能进行控制。第三阶段也就是在2000年前后,网站建设再次升级为智能化管理系统。第三次的改进,网站建设才真正的开始走向成熟和完善。 近年来,网站建设是一片欣欣向荣的景象,行内的市场越来越大,从国内的形势来看,东南沿海地区需求比中西部需求大,网站建设市场与经济重心分布趋于一致。随着网站建设的多元化,企业和客户已经不满足于建设一个网站,而是把网络营销服务与网站建设融为一体,让企业网站真正发挥其作用,真正能为客户带来实际效果。据中国互联网信息中心的数据报告,在2010年我国的网民数量达到4.2亿,相比于2009年增加接近4000万,而2016年,我国的网民数量达到7.1亿,短短六年的时间,增加了近3亿网民,而且这一数据每年都还在增长,据相关数据分析得出,商务类的应用尤其突出,网上支付,网络购物,网上银行增加特别明显,社交网站,搜索引擎用户也在增加。网民的数量在不断的增加,这也说明了越来越多的人喜欢互联网,并积极参与进来。一些企业网站无疑会加大互联网的宣传,现如今在一些大城市里,大部分人出门都不用带现金,直接用手机支付,人们也慢慢的习惯了这种购物模式。只要带着手机,可以随时购物,随时支付。在以前人们买一辆车,往往把很多现金装在袋子里背着去,这样非常不安全,现在只要带上一个手机就能办到,既安全又方便。 目前,从事网站建设的公司有很多,但是大体上分为三类。第一类,门户网站建设。许多门户建设网站,专门为VIP提供服务,像中国化工网,他们吸取大批企业成为他们的会员,然后为他们提供网站建设和维护服务;还有一类就是新闻资讯类的门户网站,这类网站主要是卖广告或者卖信息还有就是平台费,吸引大量的个体用户在上面发布内容,然后获取流量。这种门户网站建设占据市场20%左右。 第二类,网络综合应用服务商。这类型的网站建设更加全面,包括基础服务比如,域名的注册购买,主机,服务器,邮箱等以及网络增值服务包括网站的网页的制作和设计和初期的推广服务。这类型的建站公司在市场上占据40%左右。比如分形科技就属于这类型的建站公司,既帮助客户进行基础的域名服务器等购买服务,也负网站页面的设计,开发和制作,分形科技有专业的技术团队。在网站建设行业中也是首屈一指的。之前跟协和,故宫,百度这些大企业都有过合作。 第三类,专业建站服务公司。这类建站公司主要就是对网站的专门制作和设计,这类企业以建站为主营业务,除了建站服务外,也还参与了网站建设后期对客户的跟踪服务。这类型的建站公司在市场上占比40%左右。在着各种建站公司迅速发展之后,客户的要求越来越高,对于客户日益丰富的建站需求,建站公司如何与时俱进,想办法满足用户的需求,如何突破建站技术的瓶颈等方面,建站公司面临着巨大的挑战。来自:行业资讯 > 其他
-
网络安全与信息安全浅析
网络安全与信息安全浅析 网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 一、主要特性 保密性信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 可控性对信息的传播及内容具有控制能力。 可审查性出现安全问题时提供依据与手段 从网络运行和管理者角度说,希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。 在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。 二、市场规模 2014年全球网络安全市场规模有望达到956亿美元(约合人民币5951.3亿元),并且在未来5年,年复合增长率达到10.3%,到2019年,这一数据有望触及1557.4亿美元(约合人民币9695.1亿元)。其中,到2019年,全球无线网络安全市场规模将达到155.5亿美元(约合人民币969.3亿元),年复合增长率约12.94%。 从行业来看,航空航天、国防等领域仍将是网络安全市场的主要推动力量。从地区收益来看,北美地区将是最大的市场。同时,亚太地区、中东和非洲地区有望在一定的时机呈现更大的增长速度。 报告中指出,云服务的快速普及、无线通讯、公共事业行业的网络犯罪增加以及严格的政府监管措施出台都是这一市场发展的主要因素。因此,今后批准的网络安全解决方案将不断增加以防范和打击专业对手创造的先进和复杂的威胁。 此外,由于网络犯罪逐渐增长导致智力及金融资产的损失,并可能损害国家的基础设施和经济,因此云服务提供商和垂直行业,如能源,石油和天然气等都将加大网络安全解决方案的投入。三、主要关系 通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。但是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。 构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。 但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。 全方位的安全体系: 与其它安全体系(如保安系统)类似,企业应用系统的安全体系应包含: 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。 认证:良好的认证体系可防止攻击者假冒合法用户。 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 隐藏内部信息:使攻击者不能了解系统内的基本情况。 设立安全监控中心:为信息系统提供安全体系管理、监控,渠护及紧急情况服务。 四、安全分析 网络分析系统是一个让网络管理者,能够在各种网络安全问题中,对症下药的网络管理方案,它对网络中所有传输的数据进行检测、分析、诊断,帮助用户排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。管理者不用再担心网络事故难以解决,科来网络分析系统可以帮助企业把网络故障和安全风险会降到最低,网络性能会逐步得到提升。 物理安全网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要注意这些安全隐患,同时还要尽量避免网络的物理安全风险。 网络结构网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intranet的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。 系统的安全所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。恐怕没有绝对安全的操作系统可以选择,无论是Microsoft 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 应用系统应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。——应用系统的安全是动态的、不断变化的。 应用的安全涉及方面很多,以Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。——应用的安全性涉及到信息、数据的安全性。 信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。 管理风险管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。 五、主要类型网络安全由于不同的环境和应用而产生了不同的类型。主要有以下几种: 1.系统安全运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻,产生信息泄露,干扰他人或受他人干扰。 2.网络的安全网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。 3.信息传播安全网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上大云自由传翰的信息失控。 4.信息内容安全网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏润进行窃听、冒充、诈编等有损于合法用户的行为。其本质是保护用户的利益和隐私。 六、影响因素自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。 网络安全威胁主要包括两类:渗入威胁和植入威胁。 渗入威胁主要有:假冒、旁路控制、授权侵犯;植入威胁主要有:特洛伊木马、陷门。 陷门:将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反。 目前我国网络安全存在几大隐患:影响网络安全性的因素主要有以下几个方面。 1.网络结构因素网络基本拓扑结构有3种:星型、总线型和环型。一个单位在建立自己的内部网之前,各部门可能已建 造了自己的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。 2.网络协议因素在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。 3.地域因素由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络,而是一个专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中的损坏和丢失,也给一些“黑客”造成可乘之机。 4.用户因素企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客。” 5.主机因素建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。 6.单位安全政策实践证明,80%的安全问题是由网络内部引起的,因此,单位对自己内部网的安全性要有高度的重视,必须制订出一套安全管理的规章制度。 7.人员因素人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。 8.其他其他因素如自然灾害等,也是影响网络安全的因素。 七、技术原理 网络安全性问题关系到未来网络应用的深入发展,它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技 术。 “防火墙”是一种形象的说法,其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建立起 一个安全网关,从而保护内部网免受非法用户的侵入。 能够完成“防火墙”工作的可以是简单的隐蔽路由器,这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信,起到一定的过滤作用。 由于隐蔽路由器仅仅是对路由器的参数做些修改,因而也有人不把它归入“防火墙”一级的措施。 真正意义的“防火墙”有两类,一类被称为标准“防火墙”;一类叫双家网关。标准”防火墙”系统包括一个Unix工作站,该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;而另一个则联接内部网。标准“防火墙”使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙”的扩充。双家网关又称堡垒主机或应用层网关,它是一个单个的系统,但却能同时完成标准“防火墙”的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 随着“防火墙”技术的进步,在双家网关的基础上又演化出两种“防火墙”配置,一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的“防火墙”配置。顾名思义,这种配置一方面将路由器进行隐藏,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的”防火墙”当属隐蔽智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之后,它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之后的保护软件来进行的。一般来说,这种“防火墙”是最不容易被破坏的。 与“防火墙”配合使用的安全技术还有数据加密技术。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。 与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码字与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。 这些网络安全和数据保护的防范措施都有一定的限度,并不是越安全就越可靠。因而,看一个内部网是否安全时不仅要考虑其手段,而更重要的是对该网络所采取的各种措施,其中不仅是物理防范,而且还有人员素质等其他“软”因素,进行综合评估,从而得出是否安全的结论。 安全服务对等实体认证服务访问控制服务数据保密服务数据完整性服务数据源点认证服务禁止否认服务 安全机制加密机制数字签名机制访问控制机制数据完整性机制认证机制信息流填充机制路由控制机制公证机制 八、操作工具 维护网络安全的工具有VIEID、数字证书、数字签名和基于本地或云端的杀毒软体等构成。在法律方面有中华人民共和国计算机信息系统安全保护条例、中华人民共和国电子签名法等。 防火墙Internet防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查。防火墙只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。Internet防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户,比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络的安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性,并产生报警。(注意:对一个与Internet相联的内部网络来说,重要的问题并不是网络是否会受到攻击,而是何时受到攻击?谁在攻击?)网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并根据机构的核算模式提供部门级计费。在设计理念方面,防火墙是以应用为主、以安全为辅的,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它可以广泛地用于尽可能多的领域,拥有更加广泛的市场,甚至包括个人电脑都可以使用,但是它的安全性往往就差强人意。而网闸则是以安全为主,在保证安全的前提下,支持尽可能多地应用。网闸主要用于安全性要求极高的领域,例如对政府网络,工业控制系统的保护等等。 安全策略防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,防火墙是安全策略的一个部分。安全策略建立全方位的防御体系,甚至包括:告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 系统安全操作系统的安全控制:如用户开机键入的口令(某些微机主板有“ 万能口令” ),对文件的读写存取的控制(如Unix系统的文件属性控制机制)。网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括:身份认证,客户权限设置与判别,审计日志等。网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。 电子商务电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 (一)计算机网络安全的内容包括:(1)未进行操作系统相关安全配置不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。 (2)未进行CGI程序代码审计如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。 (3)拒绝服务(DoS,Denial of Service)攻击随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。 (4)安全产品使用不当虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。 (5)缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 (二)计算机商务交易安全的内容包括:(1)窃取信息由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)篡改信息当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。 (3)假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。 (4)恶意破坏由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。 协议安全TCP/IP协议数据流采用明文传输。源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。源路由选择欺骗(Source Routing spoofing)。路由选择信息协议攻击(RIP Attacks)。鉴别攻击(Authentication Attacks)。TCP序列号欺骗(TCP Sequence number spoofing)。TCP序列号轰炸攻击(TCP SYN Flooding Attack),简称SYN攻击。易欺骗性(Ease of spoofing)。 九、预防措施 网安措施计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。 (一)保护网络安全。 网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:(1)全面规划网络平台的安全策略。(2)制定网络安全的管理措施。(3)使用防火墙。(4)尽可能记录网络上的一切活动。(5)注意对网络设备的物理保护。(6)检验网络平台系统的脆弱性。(7)建立可靠的识别和鉴别机制。 (二)保护应用安全。保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。 (三)保护系统安全。保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。 (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 商交措施商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。 (一)加密技术。加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。(1)对称加密。对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。(2)非对称加密。非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。 (二)认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。(1)数字签名。数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。(2)数字证书。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。 (三)电子商务的安全协议。除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。(1)安全套接层协议SSL。SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。(2)安全电子交易协议SET。SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。 加密方式链路加密方式 安全技术手段 物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。 访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等等。 数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。 网络隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。 隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。 其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。 安全防范意识 拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。 主机安全检查 要保证网络安全,进行网络安全建设,第一步首先要全面了解系统,评估系统安全性,认识到自己的风险所在,从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具,彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性,一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定,并对评测系统进行强有力的分析处置和修复。 主机物理安全 服务器运行的物理安全环境是很重要的,很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素,因为在选择IDC时你自己会作出决策。 在这里着重强调的是,有些机房提供专门的机柜存放服务器,而有些机房只提供机架。所谓机柜,就是类似于家里的橱柜那样的铁柜子,前后有门,里面有放服务器的拖架和电源、风扇等,服务器放进去后即把门锁上,只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子,开放式的,服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别,显而易见,放在机柜里的服务器要安全得多。如果你的服务器放在开放式机架上,那就意味着,任何人都可以接触到这些服务器。别人如果能轻松接触到你的硬件,还有什么安全性可言?如果你的服务器只能放在开放式机架的机房,那么你可以这样做:(1)将电源用胶带绑定在插槽上,这样避免别人无意中碰动你的电源;(2)安装完系统后,重启服务器,在重启的过程中把键盘和鼠标拔掉,这样在系统启动后,普通的键盘和鼠标接上去以后不会起作用(USB鼠标键盘除外)(3)跟机房值班人员搞好关系,不要得罪机房里其他公司的维护人员。这样做后,你的服务器至少会安全一些。 十、主要产品 在网络设备和网络应用市场蓬勃发展的带动下,网络安全市场迎来了高速发展期,一方面随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可信的网络也是进一步推进网络应用发展的前提;另一方面随着网络所承载的业务日益复杂,保证应用层安全是网络安全发展的新的方向。随着网络技术的快速发展,原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系,为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。在此理念下,网络安全产品将发生了一系列的变革。结合实际应用需求,在新的网络安全理念的指引下,网络安全解决方案正向着以下几个方向来发展: 1、主动防御走向市场主动防御的理念已经发展了一些年,但是从理论走向应用一直存在着多种阻碍。主动防御主要是通过分析并扫描指定程序或线程的行为,根据预先设定的规则,判定是否属于危险程序或病毒,从而进行防御或者清除操作。不过,从主动防御理念向产品发展的最重要因素就是智能化问题。由于计算机是在一系列的规则下产生的,如何发现、判断、检测威胁并主动防御,成为主动防御理念走向市场的最大阻碍。由于主动防御可以提升安全策略的执行效率,对企业推进网络安全建设起到了积极作用,所以尽管其产品还不完善,但是随着未来几年技术的进步,以程序自动监控、程序自动分析、程序自动诊断为主要功能的主动防御型产品将与传统网络安全设备相结合。尤其是随着技术的发展,高效准确的对病毒、蠕虫、木马等恶意攻击行为的主动防御产品将逐步发展成熟并推向市场,主动防御技术走向市场将成为一种必然的趋势。 2、安全技术融合备受重视随着网络技术的日新月异,网络普及率的快速提高,网络所面临的潜在威胁也越来越大,单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势,用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。软硬结合,管理策略走入安全整体解决方案。面对规模越来越庞大和复杂的网络,仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求,因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手,对接入用户终端强制实施用户安全策略,严格控制终端网络使用行为,为网络安全提供了有效保障,帮助用户实现更加主动的安全防护,实现高效、便捷地网络管理目标,全面推动网络整体安全体系建设的进程。 3、数据安全保护系统数据安全保护系统是广东南方信息安全产业基地公司,依据国家重要信息系统安全等级保护标准和法规,以及企业数字知识产权保护需求,自主研发的产品。它以全面数据文件安全策略、加解密技术与强制访问控制有机结合为设计思想,对信息媒介上的各种数据资产,实施不同安全等级的控制,有效杜绝机密信息泄漏和窃取事件。 十一、主要问题 安全隐患1、 Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。2、 Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。3、 Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。4、在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。6、计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。 攻击形式主要有四种方式中断、截获、修改和伪造。1.中断是以可用性作为攻击目标,它毁坏系统资源,使网络不可用。2.截获是以保密性作为攻击目标,非授权用户通过某种手段获得对系统资源的访问。3.修改是以完整性作为攻击目标,非授权用户不仅获得访问而且对数据进行修改。4.伪造是以完整性作为攻击目标,非授权用户将伪造的数据插入到正常传输的数据中。 网络安全的解决方案:1.入侵检测系统部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。 2.漏洞扫描系统采用最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。 3.网络版杀毒产品部署在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。 信息安全信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。 一、产业发展信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形,但由于中国专门从事信息安全工作技术人才严重短缺,阻碍了中国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 二、学科要求此专业具有全面的信息安全专业知识,使得学生有较宽的知识面和进一步发展的基本能力;加强学科所要求的基本修养,使学生具有本学科科学研究所需的基本素质,为学生今后的发展、创新打下良好的基础;使学生具有较强的应用能力,具有应用已掌握的基本知识解决实际应用问题的能力,不断增强系统的应用、开发以及不断获取新知识的能力。又有较强的应用能力;既可以承担实际系统的开发,又可进行科学研究。 意义其根本目的就是使内部信息不受内部、外部、自然等因素的威胁。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。 重要性信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。 中国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、侦察机、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取中国通信传输中的信息。 从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把日益繁多的事情托付给计算机来完成,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。 传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。 课程设置在校期间,不仅强调学生对基础知识的掌握,更强调对其专业素质和能力的培养。学生除学习理工专业公共基础课外,学习的专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。除上述专业课外还开设了大量专业选修课,主要有:数据通信原理、信息安全概论、计算机网络安全管理、数字鉴别及认证系统、网络安全检测与防范技术、防火墙技术、病毒机制与防护技术、网络安全协议与标准等。学生除要完成信息安全体系不同层次上的各种实验和课程设计外,还将在毕业设计中接受严格训练。随着互联网的快速发展和信息化程度的不断提高,互联网深刻影响着政治、经济、文化等各个方面,保障信息安全的重要性日益凸显,加强对互联网上各类信息的管理应引起高度重视。在系统安全方面,以提高防御、应急处置能力为主的传统安全管理已经不能适应新计算、新网络、新应用和新数据为新特征的信息安全产业发展的需要。对此,需要针对形势发展,通过采取多种措施发展和壮大中国信息安全产业。中国信息安全产业与国际先进水平相比差距很大。美国、法国、英国、日本等国家信息安全产业发展水平较高,中国信息安全行业的核心技术、关键装备和应用创新方面与其相比存在很大差距。信息产业链上下游行业在综合实力、产品成熟度、产品国际市场占有率等方面,与国际先进企业相比差距较大。面对严峻的网络与信息安全问题,保障信息安全和加强信息安全产业的发展迫切需要加强顶层设计,从政府引导和发挥企业积极性两方面,推进信息安全产业发展。 三、产品信息安全产业将步入高速发展阶段,而整个互联网用户对安全产品的要求也转入“主动性安全防御”。随着用户安全防范意识正在增强,主动性安全产品将更受关注,主动的安全防御将成为未来安全应用的主流。 终端方案终端安全解决方案是以终端安全保护系统全方位综合保障终端安全,并以数据安全保护系统重点保护终端敏感数据的安全。终端安全保护系统以“主动防御”理念为基础,采用自主知识产权的基于标识的认证技术,以智能控制和安全执行双重体系结构为基础,将全面安全策略与操作系统有机结合,通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制,实现操作系统加固及信息系统的自主、可控、可管理,保障终端系统及数据的安全。 安全软件数据安全保护系统能够实现数据文档的透明加解密保护,可指定类型文件加密、指定程序创建文件加密,杜绝文档泄密。实现数据文档的强制访问控制和统一管理控制、敏感文件及加密密钥的冗余存储备份,包括文件权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。对政府及企业的各种敏感数据文档,包括设计文档、设计图纸、源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档,都能实现稳妥有效的保护。 四、检测网站网站安全检测,也称网站安全评估、网站漏洞测试、Web安全检测等。它是通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等,提醒网站管理员及时修复和加固,保障web网站的安全运行。 1)注入攻击检测Web网站是否存在诸如SQL注入、SSI注入、Ldap注入、Xpath注入等漏洞,如果存在该漏洞,攻击者对注入点进行注入攻击,可轻易获得网站的后台管理权限,甚至网站服务器的管理权限。 2) XSS跨站脚本检测Web网站是否存在XSS跨站脚本漏洞,如果存在该漏洞,网站可能遭受Cookie欺骗、网页挂马等攻击。 3)网页挂马检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。 4)缓冲区溢出检测Web网站服务器和服务器软件,是否存在缓冲区溢出漏洞,如果存在,攻击者可通过此漏洞,获得网站或服务器的管理权限。 5)上传漏洞检测Web网站的上传功能是否存在上传漏洞,如果存在此漏洞,攻击者可直接利用该漏洞上传木马获得WebShell。 6)源代码泄露检测Web网络是否存在源代码泄露漏洞,如果存在此漏洞,攻击者可直接下载网站的源代码。 7)隐藏目录泄露检测Web网站的某些隐藏目录是否存在泄露漏洞,如果存在此漏洞,攻击者可了解网站的全部结构。 8)数据库泄露检测Web网站是否在数据库泄露的漏洞,如果存在此漏洞,攻击者通过暴库等方式,可以非法下载网站数据库。 9)弱口令检测Web网站的后台管理用户,以及前台用户,是否存在使用弱口令的情况。 10)管理地址泄露检测Web网站是否存在管理地址泄露功能,如果存在此漏洞,攻击者可轻易获得网站的后台管理地址。 网络1、结构安全与网段划分网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽; 2、网络访问控制不允许数据带通用协议通过。 3、拨号访问控制不开放远程拨号访问功能(如远程拨号用户或移动VPN用户)。 4、网络安全审计记录网络设备的运行状况、网络流量、用户行为等事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息; 5、边界完整性检查能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 6、网络入侵防范在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;当检测到入侵事件时,记录入侵源IP、攻击类型、攻击目的、攻击时间等,并在发生严重入侵事件时提供报警(如可采取屏幕实时提示、E-mail告警、声音告警等几种方式)及自动采取相应动作。 7、恶意代码防范在网络边界处对恶意代码进行检测和清除;维护恶意代码库的升级和检测系统的更新。 8、网络设备防护对登录网络设备的用户进行身份鉴别;对网络设备的管理员登录地址进行限制;主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别 主机1、身份鉴别对登录操作系统和数据库系统的用户进行身份标识和鉴别; 2、自主访问控制依据安全策略控制主体对客体的访问。 3、强制访问控制应对重要信息资源和访问重要信息资源的所有主体设置敏感标记;强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、客体及它们之间的操作;强制访问控制的粒度应达到主体为用户级,客体为文件、数据库表/记录、字段级。 4、可信路径在系统对用户进行身份鉴别时,系统与用户之间能够建立一条安全的信息传输路径。 5、安全审计审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;审计内容包括系统内重要的安全相关事件。 6、剩余信息保护保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;确保系统内的文件、目录和数据库记录等资源所在的存储空间能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 8、恶意代码防范安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;主机防恶意代码产品具有与网络防恶意代码产品不同的恶意代码库;支持防恶意代码的统一管理。 9、资源控制通过设定终端接入方式、网络地址范围等条件限制终端登录;根据安全策略设置登录终端的操作超时锁定;对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;限制单个用户对系统资源的最大或最小使用限度;当系统的服务水平降低到预先规定的最小值时,能检测和报警。 数据库主流数据库的自身漏洞逐步暴露,数量庞大;仅CVE公布的Oracle漏洞数已达1100多个;数据库漏扫可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。 五、主要威胁实现目标 ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。◆ 可控制性:对信息的传播及内容具有控制能力。 安全威胁 (1) 信息泄露:信息被泄露或透露给某个非授权的实体。(2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。(3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。(4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。(5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。(6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。(7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。(8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。(9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。(10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。(11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。(12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。(13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。(14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。(15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。(16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。(17)物理侵入:侵入者绕过物理控制而获得对系统的访问。(18)窃取:重要的安全物品,如令牌或身份卡被盗。(19)业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。 主要来源◆ 自然灾害、意外事故;◆ 计算机犯罪;◆ 人为错误,比如使用不当,安全意识差等;◆ "黑客" 行为;◆ 内部泄密;◆ 外部泄密;◆ 信息丢失;◆ 电子谍报,比如信息流量分析、信息窃取等;◆ 信息战;◆ 网络协议自身缺陷,例如TCP/IP协议的安全问题等等;◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包。 六、信息安全影响因素信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字;斯巴达人使用一种称为密码棒的工具传达军事计划,罗马时代的凯撒大帝是加密函的古代将领之一,“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。它 是一种替代密码,通过将字母按顺序推后 3 位起到加密作用,如将字母 A 换作字母 D, 将字母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了 德国海军的 Enigma 密电码,改变了二次世界大战的进程。美国 NIST 将信息安全控制分 为 3 类。 (1)技术,包括产品和过程(例如防火墙、防病毒软件、侵入检测、加密技术)。(2)操作,主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物 理进入控制、备份能力、免予环境威胁的保护。(3)管理,包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。 信息系统安全涉及政策法规、教育、管理标准、技术等方面,任何单一层次的安全措 施都不能提供全方位的安全,安全问题应从系统工程的角度来考虑。图 8-1 给出了 NSTISSC 安全模型。 七、安全策略策略 信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育: ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与,体现了安全面前人人平等,从根源解决信息泄密。◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。 主要问题 ◆ 网络攻击与攻击检测、防范问题◆ 安全漏洞与安全对策问题◆ 信息安全保密问题◆ 系统内部安全防范问题◆ 防病毒问题◆ 数据备份与恢复问题、灾难恢复问题 八、相关技术 在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类: ◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。◆防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。网络安全隔离与防火墙的区别可参看参考资料。◆安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。◆虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。◆ 电子签证机构--CA和PKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。◆入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。◆入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。◆安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密。 信息安全行业中的主流技术如下: 1、病毒检测与清除技术 2、安全防护技术 包含网络防护技术(防火墙、UTM、入侵检测防御等);应用防护技术(如应用程序接口安全技术等);系统防护技术(如防篡改、系统备份与恢复技术等),防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的相关技术。 3、安全审计技术 包含日志审计和行为审计,通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合规性。 4、安全检测与监控技术 对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。 5、解密、加密技术 在信息系统的传输过程或存储过程中进行信息数据的加密和解密。 6、身份认证技术 用来确定访问或介入信息系统用户或者设备身份的合法性的技术,典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。 信息安全服务 信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作 基本功能 信息安全可以建立、采取有效的技术和管理手段,保护计算机信息系统和网络内的计算机硬件、软件、数据及应用等不因偶然或恶意的原因而遭到破坏、更改和泄漏,保障信息系统能够连续、正常运行。 一个安全有效的计算机信息系统可以同时支持机密性、真实性、可控性、可用性这四个核心安全属性,而提供信息安全业务的基本目标就是帮助信息系统实现上述全部或大部分内容。 安全问题 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全 (一)计算机网络安全的内容包括: (1)未进行操作系统相关安全配置不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。(2)未进行CGI程序代码审计如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。(3)拒绝服务(DoS,Denial of Service)攻击随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。(4)安全产品使用不当虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。(5)缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 (二)计算机商务交易安全的内容包括: (1)窃取信息由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。(2)篡改信息当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。(3)假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。(4)恶意破坏由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。 安全对策电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。 1.计算机网络安全措施计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。 (一)保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:(1)全面规划网络平台的安全策略。(2)制定网络安全的管理措施。(3)使用防火墙。(4)尽可能记录网络上的一切活动。(5)注意对网络设备的物理保护。(6)检验网络平台系统的脆弱性。(7)建立可靠的识别和鉴别机制。 (二)保护应用安全。保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。 (三)保护系统安全。保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。 (一)加密技术。加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。(1)对称加密。对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。(2)非对称加密。非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。 (二)认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。(1)数字签名。数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;(2)数字证书。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。 (三)电子商务的安全协议。除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。(1)安全套接层协议SSL。SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。(2)安全电子交易协议SET。SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。 工程监理信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。来自:行业资讯 > 网络安全
