以太科技信息数据安全防“脱库”解决方案
1.前言
近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。
注册用户数据作为网站所有者的核心信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响。
针对近期部分互联网站信息泄露事件,工信部于2011年12月28日发布通告要求:各互联网站要高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的网站,要妥善做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站,要加强安全监测,必要时提醒用户修改密码。
各互联网站要引以为戒,开展全面的安全自查,及时发现和修复安全漏洞。要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。一旦发生网络安全事件,要在开展应急处置的同时,按照规定向互联网行业主管部门及时报告。
工信部同时提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码。提高密码的安全强度并定期修改。
2.信息泄密的根源
2.1.透过现象看本质
2.1.1.攻击者因为利益铤而走险
攻击者为什么会冒着巨大的法律风险去获取用户信息?
2001年随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏账号攻击的逐步兴起,并发展成庞大的虚拟资产交易市场;
2004年-2007年,相对于通过木马传播方式获得的用户数据,攻击者采用入侵目标信息系统获得数据库信息,其针对性与攻击效率都有显著提高。在巨额利益驱动下,网络游戏服务端成为黑客“拖库”的主要目标。
2008年-2009年,国内信息安全立法和追踪手段的得到完善,攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时残余攻击者的操作手法愈加精细和隐蔽,攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票、境外赌博等主题网站,并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值,成为攻击者的“拖库”的目标。
2010年,攻防双方经历了多年的博弈,国内网站安全运维水平不断提升,信息安全防御产品的成熟度加强,单纯从技术角度对目标系统进行渗透攻击的难度加大,而通过收集分析管理员、用户信息等一系列被称作“社会工程学”的手段的攻击效果
被广大攻击者认可。获得更多的用户信息数据有利于提高攻击的实际效率,攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站,并在地下建立起“人肉搜索库”,预期实现:获知某用户常用ID或EMAIL,可以直接搜索出其常用密码或常用密码密文。
2011年12月21日,仅仅是在这一天,攻击者曾经获取到的部分数据库信息内容被陆续地公开了。
2.1.2.应用层防护百密而一疏
在当今信息安全意识、信息安全产品都日益成熟的年代,为何入侵者获取数据依然如入无人之境? 很多人认为,在网络中不断部署防火墙、IDS、IPS等设备,可以提高网络的安全性。但是为何基于应用的攻击事件以及相应的“泄库事件”仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。
我们可以通过下面例子来举例黑客是如何常规获取信息系统的数据库信息的:攻防回合的延续包括传统安全设备使黑客入侵服务端主机系统难度加大,而WEB应用的登录入口表明了WEB应用程序与用户数据表之间存在关联,通过入侵WEB网站获得数据库信息成为针对网站数据库攻击的主要入手点,常见的攻击步骤如下:
一、寻找目标网站(或同台服务器的其他网站)程序中存在的SQL注入、非法上传、后台管理权限等漏洞;
二、通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门,即:WEBSHELL;
三、通过已获得的WEBSHELL提升权限,获得对WEB应用服务器主机操作系统的控制权,并通过查看网站数据库链接文件,获得数据库的链接密码;
四、通过在WEB应用服务器上镜像数据库连接,将目标数据库中所需要的信息导入至攻击者本地数据库(或直接下载服务器上可能存在的数据库备份文件);
五、清理服务器日志,设置长期后门。
目前攻击者以团队为单位,无论从工具的制造、攻击实施的具体手法都已经形成了体系化、趋利化的作业流程。
此例中我们发现,黑客针对应用系统的攻击已经完全无视传统的网络安全,而应用安全的建设恰好能够弥补网络安全的不足,提升了整个信息系统安全强度,能够有效地阻止黑客针对性的应用层攻击,降低数据信息被泄露的风险
2.2.防泄密防好应用安全这块板
随着互联网技术的迅猛发展,许多政府和企业的关键业务活动越来越多地依赖于WEB应用,在向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。主要表现在两个层面:一是随着Web应用程序的增多,这些Web 应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
然而与之形成鲜明对比的却是:现阶段的安全解决方案无一例外的把重点放在网络安全层面,致使面临应用层攻击(如:针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时,传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用,许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径,也将可能成为下一个被攻击者所公开的潜在网站数据。
据Gartner权威统计,目前75%的黑客攻击发生在WEB应用层,近期层出不穷的安全事件均源于WEB应用层防护不到位所致,应用系统漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知
识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治,仅仅靠打补丁和安装防火墙是远远不够的。
随着攻击向应用层发展,传统网络安全设备不能有效的解决目前的安全威胁,企业如何有效地防止企业信息泄密,重点在于如何做好应用安全。
3.防信息泄密的建设思路
信息安全是一项系统工程,包括物理层、网络层、系统层、应用层、数据层以及管理方面的内容。信息系统的某一层面安全了不能代表信息系统就安全了,需要各方面严格把控和完善结合,对于企业防信息泄密工程来讲,目前企业信息系统的物理层、网络层等已经具备了一定的安全性,在本方案中重点关注系统安全、应用安全以及安全管理水平等方面的内容。
3.1.系统安全的重要性
企业的信息系统是多种信息资产的庞大组合,包括防火墙、路由交换设备、主机等;其所面临的威胁也就是对系统能够造成不利影响的一些潜在的事件或者行为,威胁包括自然的、故意的以及偶然的情况。
系统安全重点解决操作系统、数据库和服务器等系统安全级安全问题,以建立一个安全的系统运行平台,建立有效的网络检测与监控机制,以保护主机资源,防止非法访问和恶意攻击,及时发现系统和数据库的安全漏洞,有效抵抗黑客利用系统的安全缺陷对系统进行攻击,做到防患于未然。
3.2.应用安全的必要性
只有系统安全的建议得到保障,再建设应用安全才能更加有效地降低信息泄露的风险。基于B/S架构对外提供服务的信息系统面临较大风险也是的应用层的攻击风险。
一方面由于WEB应用的开放性,随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多,而且这些漏洞均是应用层或者说是代理层面的安全问题,通过传统的网络安全设备无法识别,这也是导致大量网站用户信息泄露的最主要原因之一。
另一方面受利益的驱使,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,而且这种攻击已经由简单的黑盒扫描渗透转向模块代码分析,源代码白盒分析等层面进行挖掘漏洞,若应用层面得不到有效的安全控制将导致非常严重的后果。
3.2.1.应用安全的范畴
以B/S常见的对外提供服务的网站、论坛、业务系统等所涉及到的应用安全主要由以下几个方面构成。
一、访问控制:针对用户及恶意攻击者访问信息时进行有效地控制,对于正常请求允许访问,对于恶意请求应及时进行阻止;
二、信息保护:针对于恶意攻击者进行敏感信息访问时应及时保护;
三、安全审计:对业务系统的运行应具备安全审计功能;
四、数据库应用安全:应针对数据库系统进行安全检查,对数据库的操作行为应进行安全监控。
五、软件容错:应用系统及数据库在上线前后及更新时应做好安全性测试,减少系统存在漏洞的可能性,避免有漏洞的系统对外发布。
以上几方面的内容都应具有相应的技术手段和管理制度来实现信息系统的应用安全。
3.2.2.应用安全的时效性
应用安全从整个信息安全的生命周期中是一个动态的、长期的过程,是从建设开始,风险评估、安全加固、安全防护、安全审计、再评估、再加固的过程。而从实际应用考虑,应用安全至少应满足以下要求:
一、事前预警:通过应用系统及数据库的风险评估,发现可能存在的信息泄密点,并进行安全加固随着应用系统及数据库的不断升级,企业能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布,降低信息受泄密的危害;
二、事中防护:恶意攻击者对应用系统及数据库进行攻击或恶意操作时,管理人员及系统能够具有有效地手段阻止恶意行为的发生,减少信息泄密的发生次数,避免对企业和信息造成影响;
三、事后追溯:对于何人何地何时访问企业信息时能够具有追溯手段,对发生的信息泄密事件提供查询工具,方便维护人员及管理员进行事件跟踪和定位,并为事件的还原提供有力依据。
3.2.3.应用安全的防护方法
传统网络层安全防护措施和防御体系在安全管理中相当重要,但在面临数据被泄露的安全问题中,应用安全的防护能力更加重要。使用以太科技股份有限公司所提倡的一种基于风险评估模型及“事前+事中+事后”的安全理念的结合传统网络层防护措施的新型应用安全解决方案,将有效降低应用安全风险和出现被泄露信息的风险。
风险评估与加固层面
威胁一个信息系统的风险可能来自不同的层面,从网络层、系统层到应用层,都有可能形成对信息系统直接或间接的威胁。通过风险评估对整个信息系统进行有效地安全评估,发现信息系统技术与管理方面存在的威胁。通过专业安全团队的加固,减少或降低威胁对系统造成的影响,避免因存在的威胁造成的信息泄密影响。
事前安全防范层面
当前绝大多数企业缺少必备的WEB安全和数据库安全的评估工具,使事前的风险评估难以实施。专业的安全产品需要有效的安全策略才能发挥应有的功能,而事前的安全评估则显得尤为重要。企业业务系统最重要的资产集中在WEB应用层和数据库系统,因此长期有效的保障企业业务系统的安全,安全运维人员应有必备的安全评估工具及技术实力。
事中安全防护层面
安全的信息系统需要涉及物理层、网络层、主机层、应用层方方面面的安全防御措施。目前绝大多数的企业基本上把信息系统的相关主机托管至IDC机房,根据IDC的不同等级分别具备了物理层安全和网络层安全。但企业尚缺少有力的安全防御措施如专业的远程安全接入主机的VPN,网络防火墙,WEB应用防火墙等安全设施,应切实建设相应的安全防御措施,提高系统的抗风险能力。
事后安全审计层面
企业核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
4.构建防信息泄露的城墙
安全服务与安全产品是相辅相成的,两者如砖头和水泥的关系,一方面,脱离服务的安全产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,以太科技提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户网络安全提供保证。
防泄密涉及网络安全、主机安全、运维安全等方方面面,建设应用安全体系是解决防泄密问题的核心所在。本方案中通过WEB应用层面、数据库层面、运维操作层面进行技术防范,降低泄密事件的风险。并针对现有系统提出了“事前+事中+事后”的安全防护方法。以太科技公司依据多年的应用与数据库安全经验,拥有自己独到的针对信息与网络安全和信息与网络
安全服务的方法论,来建设应用安全体系:
一、加强系统安全体系建设,减少从系统层发生信息泄密的发生:
o通过对系统层的安全风险评估,发现系统安全层面存在的安全隐患及问题,
并进行安全加固;
o通过部署相应的网络防火墙进行合理的访问控制及安全域划分;
o建立运维审计系统将远程运维进行安全审计,通过三个方面的建设加强系统
安全体系建设。
二、建设应用安全体系,提高应用层抗攻击能力,降低信息泄密造成影响:
o通过对应用层的安全风险评估,发现应用安全层面存在的安全隐患及问题,并进行安全加固;
o建立事前预警机制,建设WEB应用安全检测系统和数据库安全检测系统,对已有业务系统及数据库进行安全检查,减少信息泄密的发生;
o建立事中防护体系,建设WEB应用防火墙,提高WEB应用系统的抗风险能力;
o建立事后追溯手段,建设应用与数据库安全审计系统,提高系统运行的透明度,对用户访问及数据库操作行为进行安全审计。
三、提升信息安全管理水平,加强管理制度建,辅以安全培训及应急响应:
o建立应急响应机制,通过以太科技专业的安全服务团队对发生的安全事件进行专业分析与服务,帮助用户快速地对安全事件进行响应;
o建立安全培训体系,通过定期专业安全培训提升企业的技术人员安全管理实力。
o通过管理制度建设,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。
4.1.加强系统安全体系
上文提到了信息系统系统安全的重要性,据以太科技公司的实际调研,大部分的企业都把业务系统及服务器托管至IDC机房,应用服务器和数据库服务器在网络层面和应用层面均没有采取任何的防护措施,所有服务器的安全防护方面属于在“裸奔”状态下运行,应通过建立风险评估机制,充分考虑网络访问控制、安全域划分及运维审计体系等安全管理措施。
o针对系统层安全进行信息系统风险评估与安全加固,并结合已有网络访问控制手段加固访问控制策略;
o建立建全网络访问控制机制及安全域划分,对托管在IDC机房的所有设备进行安全域划分,管理与业务分离、应用与数据分离;
o运维审计,通过对远程运维进行合理有效地监控,提升安全运维的透明度,对运维的操作进行监控审计;
当前系统层安全管理和网络安全技术已经非常成熟并得到广大安全运维人员的高度认可,因此本文中不再讲述这二个部份的建设内容。系统安全,特别信息安全泄密事件中,有70%以上来自内部,其中包括内部人员的越权访问、滥用、误操作等,以及访问控制不严格、设备自身日志简单、日趋复杂的系统、难以定位实际责任人、用户操作难以审计等因素都可能造成风险。因此,完善的运维审计系统是整个安全体系中不可缺少的组成部分,目前大多数企业对远程操作仍没有特别有效的审计手段,通过运维审计能够有效地监控远程操作协议,如RDP、SSH、TELNET、FTP等,以减少因远程运维而发生的信息泄密的事件。
运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台方案并且被加固的高性能抗网络攻击设备,具备很强安全防范能力,作为进入内部网络的一个检查点,能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。
运维审计应能支持Telnet、SSH、FTP、SFTP、RDP、VNC、X11等协议,支持单点登录、统一账户管理、自定义策略、日志回放、报表等功能,保证内部用户的操作和行为可控、可视、可管理、可跟踪、可审计。系统具备强大的输入输出审计功能,为企事业内部提供完全的审计信息,通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志服务等操作增强审计信息的安全性。
4.2建立事前预警机制
针对现有的业务系统和数据库进行风险评估与安全加固,应用安全评估主要是通过安全漏洞扫描、人工安全检查、渗透测试等方式对业务系统的数据库系统、应用系统、WEB系统的安全性进行评估。
随着企业应用系统及数据库的不断更新升级,原有漏洞的加固或业务系统新功能的增加,或多或少都可能产生新的漏洞,企业应具备有效地检测预警手段,能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布。通过建立WEB应用安全检测系统和数据库安全检测系统,发现业务系统及数据库的漏洞情况,并对其进行安全加固和升级。
4.2.1WEB应用系统检测机制
企业通过建立WEB应用安全检测系统,对更新升级的业务系统进行上线前的检测,及时发现WEB应用的常见技术弱点,拦截因业务系统的更新将漏洞暴露。检测系统本质是一种模拟常见WEB攻击的非破坏性的工具,在WEB应用的开发、测试、运维阶段,经常作为一种事前的安全检查用具,来快速高效地,发现系统可能存在的弱点,系统支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。功能如下图所示:
4.2.2数据库检测机制
企业通过建立数据库安全检测系统,发现业务系统所依靠的核心数据库是否存在安全漏洞,如默认密码、弱口令、不安全的配置等。数据库安全检测系统是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具,主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采用自定义的网络协议通信。功能如下图所示:
4.3建立事中防护体系
安全的信息系统需要涉及物理层、网络层、应用层、主机层方方面面的安全防御措施,目前企业的尚缺少有力的应用层安全防御措施,应切实建设相应的安全防御措施,提高系统的抗风险能力。当前最为高效的解决方法是在WEB应用前端部署WEB应用防火墙,实现对WEB应用安全防御。本项目中主要的应用系统为WEB应用尚未部署WEB应用防火墙。
Web应用防火墙(Web Application Firewall,简称:WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是:检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。
它是攻击发生时,提升系统防御能力的主要手段,能够阻挡攻击者对WEB应用程序漏洞的利用,为修复程序漏洞争取时间。
在WAF的保护下,也能够提升新业务系统上线的速度。甚至于,保护哪些历史上遗留下来,已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下:
透明直连模式不需要给WAF配置IP地址,只要将WAF接入业务链路,配置好保护的WEB应用服务器的IP地址及端口,就可以实现对WEB应用业务的安全检测。而部署WAF,不但不会影响业务系统的性能,同时还能够提升应用交付。
4.4建立事后追溯手段
企业核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现:
?对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储过程、包等)进行审计规则定制,
?制定细粒度的审计规则,如精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控;
?基于IP地址、MAC地址和端口号审计;
?根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则等。
数据库审计系统不仅能够检测、记录与回放攻击者的在任何时间的操作行为,也应当能够展现其已经获取到的信息,让运维和安全人员了解到当前造成的损失。如图所示:
对于B/S架构的应用系统而言,用户通过WEB应用服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB 应用服务器的相关信息,无法识别是哪个原始访问者发出的请求。而通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问,通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。如图所示:
4.5提升信息安全管理水平
企业的信息安全管理体系不仅仅做了风险评估、部署了安全产品,就认为信息系统安全了,管理与技术任何一方面存在隐患或漏洞,都可能对企业的业务系统及信息数据造成影响,甚至破坏。我们在防信息泄密的过程中不仅需要加强企业的信息系统安全技术水平,还应在信息安全管理上面进行提升。我们辅以应急响应机制、安全培训体系以及管理制度的建设,以帮助企业在信息系统安全管理方面达到一定的高度,尽可能地避免安全事件的发生,减少对企业形象的影响。
附录:以太科技信息简介
杭州以太科技股份有限公司(YEETEC),简称“以太科技”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,
以全球领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。
“以太科技“公司总部位于杭州高新区,在北京、上海、广州、深圳、成都、重庆、西安、济南、南京、美国硅谷等地都设有分支机构、遍布全国的代理商体系以及销售与服务网络能够为用户提供精准、专业的服务。公司成立以来以太人始终以建立民族自主品牌为己任,秉承“精品创新,恒久品质”的理念,力争打造中国信息安全产业应用安全与数据库安全第一品牌。
多年来,“以太科技”以其精湛的技术,专业的服务得到了广大客户的青睐,同时赢得了高度的商业信誉。其客户遍布全国,涉及金融、运营商、政府、公安、电力能源、教育、医疗、税务/工商、社保、等保评估/安全服务机构、电子商务企业等众多行业。
“以太科技“目前拥有明鉴、明御两大系列自主研发产品,是应用安全、数据库审计、不良网站监测等领域的市场绝对领导者。其中明鉴?系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用。
未来,“以太科技“将继续秉承诚信和创新精神,继续致力于提供具有国际竞争力的自主创新产品和服务,全面保障客户应用与数据库的安全,为打造世界顶级的产品而不懈努力。
作为2008北京奥组委安全产品和服务提供商,“以太科技”被奥组委授予“奥运信息安全保障杰出贡献奖”。
在2009年建国60周年全国网站安全大检查中,公安部和工信部安全中心均选用以太科技明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。
2010年,“以太科技”作为上海世博会安全产品和服务的提供商,为上海世博会信息安全保驾护航。
2010年,“以太科技”作为广州亚运会安全产品和服务的提供商,为广州亚运会信息安全保驾护航。
2011年,“以太科技”作为深圳大运会安全产品和服务的提供商,为深圳大运会信息安全保驾护航。
揭秘中国比特币交易平台──火币网 (火币网调研实录) **民族大学法学院教授 中国科技金融法律研究会副会长兼秘书长 2015年12月17日,本人带领三位硕士研究生以及南京大学金融系陈宝敏教授前往知名比特币交易平台火币网调研,与火币网董事长李林先生深入交谈。以下为对话实录,谨供大家参考。特别提示,本事调研报告不够成任何投资建议,所有读者的相关投资风险,均自行承担,与本文作者无关。 会谈人员:邓建鹏教授(**民族大学,下文简称“邓”) 李林(火币网董事长兼CEO,下文简称“李”) 陈宝敏教授 (南京大学,下文简称“陈”) 孙朋磊(研究生,下文简称“孙”) 罗经纬(研究生,下文简称“罗”) 刘月雯(火币网总裁助理,下文简称“刘”) 张亚(研究生,下文简称“张”) 一、交易平台牌照问题 邓: 火币网交易平台是否有牌照?或者有哪些性质的牌照?请你简要说一下。 李: 现在针对比特币交易平台国家这方面没有定性,到底属不属于金融,应该不应该发牌照,只有2013年的12月5号五部委的文件,对比特币基本定性为商品,至于进行比特币交易的平台只是要求备案,但是没有提进一步的要求,没有要求比特币交易平台取得金融牌照或者商品交易牌照,目前国家立法方面基本上是空白。目前为止行业内所有的比特币交易平台都没有金融牌照的,即交易所牌照。 邓: 你所说的备案是什么? 李: 备案是指交易平台按照五部委要求的互联网公司进行备案。 邓: 到哪里去备案?
李: 工信部。 邓: 除了工商登记还要去工信部登记是吗? 李: 目前是这样,没有其他要求。换句话说,目前这一块还是监管的空白。 邓: 在日常运营中遇到哪些政策或者法律上的障碍呢? 李: 肯定碰得到,因为作为一个事实上的交易平台,用户有比较大的资金入金和出金,涉 及到用户资金的不安全问题,如洗钱和黑钱等问题。第三方支付公司、银行等也有这些问题。 邓: 这个你们能监测到吗? 李: 这个我们监测不到,目前我们没有被纳入到金融体系,没有办法跟金融体系对接,所 以我们监测不到。我们有内部运行的自律和反洗钱的规则。我们的规则没有接入金融体系里面去,所以是滞后的。这是运营中的一个问题。另外,第二个问题,刚刚有所提及,关于法律法规的问题,因为是监管的空白,所以事实上会碰到投资人在投资中赔钱了会以我们没有牌照说要告我们。 邓: 你们实际中碰到过这些案例是吗?发生诉讼了吗? 李: 没有诉讼,他们就是去金融局、工商局等地方去告我们,这确实是实际情况。但是这 种案例不多。 邓: 你在交易规则里面跟当事人说明了吗?交易合同里面拟定相关风险内容了吗? 李:说好了,并且交易网站上有风险提示。 邓: 任何比特币交易平台都应当有风险提示? 李: 是的,就像十几年前,当股民亏钱时,肯定不少人会闹事。股市也有提示股市有风险,入市需谨慎,亏欠了以后还是有股民会去闹。这就是运行中没有牌照运营带来的问题。第一是资金运营中的问题,主要是因为还没有被纳入到金融体系中去,没有办法跟银行系统对接。第二个是在实际的公司业务运营中遇到刚刚所说的案例。这是因为没有牌照带来的问题。 邓: 除了洗钱的问题外,另一个现象就是比特币涨跌幅很大,比如上个月开始每枚比特币 由两千涨到三千了。我曾向王立仁咨询了一下,他提到MMM(一家涉嫌金融传销的网络 平台)对比特币的币值有很大影响,是这样吗?你也有这样的判断吗?
1.1.1服务器安全解决方案 Trend Micro Deep Security发大发发大发啊方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断,符合包括 PCI 在内的关键法规和标准,并有助于应当今经济形势之要求降低运营成本。Deep Security 解决方案使系统能够自我防御,并经过优化,能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制: 1.基于主机的IDS/IPS ●防护未知漏洞,被未知攻击 ●防护已知攻击 ●防护零日攻击,确保未知漏洞不会被利用 2.Web应用防护 ●防护web应用程序的弱点和漏洞 ●防护Web应用程序的历史记录 ●支持PCI规范。 3.应用程序控制 ●侦测通过非标准端口进行通讯相关协议 ●限制和设定哪些应用程序能通过网络被访问 ●侦测和阻断恶意软件通过网络进行访问 4.基于主机的防火墙 5.一致性检查和监控 ●重要的操作系统和应用程序文件控制(文件,目录,注册表以及键值等等) ●监控制定的目录 ●灵活并且主动实用的监控 ●审计日志和报表 6.日志检查和审计 ●搜集操作系统和应用程序的日志,便于安全检查和审计 ●可疑行为侦测
●搜集安全行为相关的管理员设定 1.1.1.1 产品特点 数据中心服务器安全架构必须解决不断变化的 IT 架构问题,包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式,Deep Security 解决方案可帮助: 1.1.1.1.1通过以下方式预防数据泄露和业务中断 ?在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器 ?针对 Web 和企业应用程序以及操作系统中的已知和未知漏洞进行防护,并阻止对这些系统的攻击 ?帮助您识别可疑活动及行为,并采取主动或预防性的措施 1.1.1.1.2通过以下方式实现合规性 ?满足六大 PCI 合规性要求(包括 Web 应用程序安全、文件完整性监控和服务器日志收集)及其他各类合规性要求 ?提供记录了所阻止的攻击和策略合规性状态的详细可审计报告,缩短了支持审计所需的准备时间 1.1.1.1.3通过以下方式支持降低运营成本 ?提供漏洞防护,以便能够对安全编码措施排定优先级,并且可以更具成本效益地实施未预定的补丁 ?为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供 必要的安全性 ?以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客 户端的必要性及相关成本 1.1.1.1.4全面易管理的安全性 Deep Security 解决方案使用不同的模块满足了关键服务器和应用程序的防护要求:
. .. . . 教育城域网建设 整体方案设计书 先晋科技有限公司 目录
第一章、教育城域网建设的必要性 (3) 第二章、教育城域网项目建设方案设计 (5) 2.1建设指导思想 (5) 2.2教育城域网设计原则 (5) 2.3教育城域网的功能和需求 (7) 2.4教育城域网建设功能要求分析 (8) 2.5教育城域网组网方式设计及选择 (8) 2.5.1中心机房结构设计 (12) 2.5.2 中心机房核心骨干设备 (13) 2.6 通讯营运商的组网拓扑结构选择 (33) 第三章、教育城域网基础综合管理平台 (34) 3.1 基础设置管理 (34) 3.2 系统备份及系统恢复 (34) 第四章、教育城域网应用层中心的建设 (35) 4.1 技术标准/规 (35) 第五章建议所需设备清单 (37)
第一章、教育城域网建设的必要性 教育城域网是提高办事效率、节约办公成本的需要 要提高办事效率、节约办公成本,必须建设一个相对安全稳定的教育专用网络环境,实现无纸化管理。 目前教委机关、各直属单位及学校发布文件和通知都是通过会议传达、纸质文件、电子、等方式,要么费时、费力,要么不可靠,要么成本高。利用办公自动化平台,可通过网络实现人事管理、学籍管理、智能排课、校产管理、网上审批、收发公文等,节约办公成本,提高行政管理效率,并可避免学校各自为阵重复建设资源。每年可节约数十余万元费用。 建设教育城域网是构建教育资源平台,提高教育教学、科研质量的需要 目前教育教学资源需要一个适合实际与特色的本地教学资源管理平台,用以吸收、管理的教育教学资源及管理平台,从而实现共享先进的教育经验和优质的教育资源,提高教育教学、科研质量。通过资源管理平台还能以远程教育的方式实现教师培训,提高教师素质。 建设教育城域网是构建教育行政部门及学校与社会信息交流的需要 在社会上可充分展示教育系统的行政管理品位和发展高度,与党政网建设相呼应、可充分带动现代化行政管理、以现代信息技术手段教书育人,可增加教育部门的社会透明度与认知率。 建设教育城域网是信息化教育发展的必然趋势 “互联互动、信息互通、资源共享、安全运行”的自动化网络平台建设是《十五信息化建设纲要》的工作部署容之一;加强教育城域网、校园网、校园数字化建设;多个区县已建城域网,为当地教育管理、节约办公成本、提高办事效率,提高教育教学质量发挥了重要的作用。启动教师信息技术装备建设工程,提升应用软件,为打造数字化校园奠定基础。
安奈特电信解决方案 随着网络技术的发展和不断的更新,网络的应用也同时不断的在增多。这就要求整个网络有一个好的整体性能。任何用户需要的都是一个完整的解决方案,单一设备的先进是无法支撑整个网络的。这一点,在北京电信城域网建设中得到了很好的认识和体现。对此,北京电信非常重视每一部分的建设,对各厂商的产品进行了严格的比选,并在通过信息产业部数据产品质量监测检验中心进行了极为严格的测试之后,在骨干数据传输方面决定采用了安奈特的Powerblade机箱式介质转换器产品。 安奈特公司的以太网光纤收发器产品在全球占有绝对的份额(约占全球市场的60%),在城域网解决方案中,安奈特的产品因其品种齐全、性能优异有着其它产品无可比拟的优势。在中国电信北京市电信公司城域网建设项目中,安奈特公司的Powerblade系列产品脱颖而出,成为用户的唯一选择。 背景与需求 北京电信公司城域网建设是北京电信公司重要项目之一,对北京电信的战略部署有着重要的意义。北京电信的各级领导对此事极为重视,为了确保项目的顺利进行,北京电信对
各网络设备厂商的产品进行了严格的比选,同时在信息产业部数据产品质量监测检验中心进行严格的调试,安奈特的Po werblade产品因其优异的表现一举击败所有对手,成为北京电信公司城域网建设的唯一选择。 北京电信城域网光放大器及接口转换器要达到的具体需求:实现机架插板(模块)式、冗余直流电源、可实现基于S NMP的网络管理(包括管理软件);实现Juniper路由器GB IC SX多模端口之间的长距互联,距离要达到50公里,采用单模光纤;实现Juniper路由器GBIC SX多模端口和CiscoCa talyst6506 GBIC ZX之间长距互联,距离达到50公里,同样采用单模光纤;同时要实现Cisco Catalyst6506 10/100BaseT 端口和远端交换机10/100BaseT端口互联,距离可达10公里,采用单模光纤。 方案实施 北京电信城域网网络示意图如下:
网络安全解决方案 网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。 此处重点针对一些普遍性问题和所应采用的相应安全技术,主要包括:建立全面的网络防病毒体系;防火墙技术,控制访问权限,实现网络安全集中管理;应用入侵检测技术保护主机资源,防止内外网攻击;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网站实时监控与恢复系统,实现网站安全可靠的运行;应用网络安全紧急响应体系,防范安全突发事件。 1.应用防病毒技术,建立全面的网络防病毒体系 随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。 1)采用多层的病毒防卫体系。 网络系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC 机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 2)选择合适的防病毒产品
随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,银行外联网络的建设为进一步提高银行业服务手段,促进银企的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。 然而随着网络应用不断扩大,它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的:"信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点"。二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,因此,解决银行外联网络安全问题刻不容缓。 一银行外联网络安全现状 1、银行外联种类 按业务分为: 银行外联业务种类繁多,主要有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。 按单位分: 随着外联业务的不断扩大,外联单位也不断增加,主要有:各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。 按线路分: 外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有:幀中继、SDH、DDN、城域网、拨号等。 2、提供外联线路的运营商 根据外联单位的不同需求,有多家运营商提供线路服务,主要有:电信公司、盈通公司、网通公司、视通公司等
中等城市城域光缆网建设方案探讨 随着通信市场的放开,信息产业界的竞争更加激烈,如何能够更好适应市场变化和进一步满足用户需求,各地电信公司组建好一个城域光缆网显得尤为重要。光缆网络的解决方案由于存在不同时期、不同技术支撑、不同背景而选用不同方案的情况;网络本身不仅具有多样性,而且具有时效性。如何能够使选用的方案不但经济合理,而且有较长的生命力,这是我们要下力气解决的问题。我们要针对中等城市城域光缆网建设特点筛选出一个有发展前景、技术完善的网络建设方案,建成一个不仅满足公用网传输要求,而且具有光通路功能,向社会提供光纤网络出租业务的全覆盖的光纤网络。 一、将中继网和接入网两网合一建设 随着光通信技术的成熟,光纤网络的建设正向“全光网”迈进,传统的方法是将城域网中的中继光缆网和光接入网分开来建,显然与“全光网”的发展趋势是不一致的,而中等城市又不具有大城市那样大的业务量、齐全的设备、最新的技术和雄厚的资金。中等城市具有中心城区小,各端局间中继距离短的特点,因此在建中继光缆时,将中继缆上的一部分光芯分离出来作接入网,把两端ODF架也可视作光节点,赋予中继光缆的接入网功能,在中继光缆经过的街道上设置光节点,这样不仅节省此路由上再建接入网的建设资金(中继光缆所经路由往往均为主要街道),而且也可将光接入网的光纤与中继路由接入部分光纤相连构成覆盖城区的光纤网络。现有单独的接入网仅为端局至用户的连接,构不成全覆盖网,实现不了向社会出租全光纤业务,不能将光缆网做作为网络元素向外出租。在此我们将中继、接入两网合一建设称之为“综合光缆网”。 二、“综合光缆网”中继部分建设 1、网络结构 光纤网有各种各样的网络结构,而且其性能各异,建设投资差 别也较大,因此研究各种光纤网的结构及其性能,并结合具体应用选择合适的网络结构具有重要意义。 光纤网的拓朴结构各不相同,都具有一定的优缺点和一定的适用范围,也就是说没有通用的或万能的网络结构。在什么样的情况下选用何种网络结构最适合是值得研究的问题。选用网络时还必须考虑到地理环境因素及人口分布因素,在中继带接入网的网络结构中,由于传输采用SDH设备,每个市话端局应保证2个以上的物理路由,端局间采用环形的网络结构,而同一缆中用于接入部分的光纤则相当于一个接入网环2、可行性分析 (1)带状光缆的应用
教育城域网规划方案 XXX市教育城域网要构建一个班级、学校、旗县市区教育局局、市教育局的四级教育信息网络系统,形成辐射全市各旗县市区和所有中小学、幼儿园、职业技术学校,具有现代远程教学功能、教育信息资源共享功能以及教育教学管理信息交换功能、实现实时视频信息传输的教育信息化网络系统。 为了加快我县现代教育技术发展,全面深入推进我县教育信息化建设与应用,根据XXX市教育城域网的相关要求,并结合我县教育实际,制定本规划方案。 一、我县教育信息化现状及建设教育城域网的需求 我县现有高中1所,初中3所,城内小学9所,乡镇中心学校7所,幼儿园4所,共包含教学班个。 在学校信息化学习环境方面,经过2016年县域义务教育均衡发展验收,目前我县高中、初中、城内小学和部分乡镇中心学校均已接入光纤宽带网络,等所学校安装班班通硬件设施,XX中心学校、XX中心学校均有同屏互动教室,全县所有学校均有电子备课室和计算机教室,全县所有的教学班均安装了电子白板或智能平板。在校安工程中,全县所有学校均安装有监控。这些所有的教育信息化设施设备的管理和使用,需要建设XXX县教育城域网把以上的教育资源整合成一个平台,实现教育资源的共享、充分利用,带动全县信息化建设,充分满足社会、学校、教师、学生、家长对教育信息化的需求。 二、XX县教育城域网总述
XX县教育城域网的总体设计思路是:各学校通过专线,汇聚至XX教育局数据中心机房;由XX县教育局通过运营商专线汇聚至市教育局,市教育局汇聚至教育云中心机房;教育云中心机房通过互联网链路做统一外网访问出口,并通过高带宽专线链路连接华为云计算中心。XXX市教育城域网通过完善的网络安全管理系统,对基础网络系统、数据中心核心、互联网接入、运维管理四大构成进行统一管理和运维。全面实现防火墙、防病毒、入侵检测、入侵防御、VPN安全接入、上网行为管理、用户审计、异常流量清洗、WEB综合安全防护、漏洞扫描等安全防护,县教育局及学校仅需配套少量设备,即可形成防护全面、安全可靠的教育城域网整体信息安全系统。 三、XX县教育城域网的业务需求 1、沟通交流 主要包括:BBS,EMAIL, Blog等。这些应用主要实现教师与教师、教师与学生、教师与家长的沟通交流。 2、教学管理 主要包括:教研教改、德育管理、平安校园、学籍管理、资产管理、人员管理、学生资助管理、招生入学等。 3、教务教学 主要包括:远程教育、OA办公,多媒体教学、电子巡考、VOD、备课系统、数字广播、数字图书馆、教学资源库、同屏互动。 四、XX县教育城域网的网络结构规划图
教育行业解决方案 行业背景 随着现代信息技术的高速发展,中国教育正以前所未有的速度和力度推进自己的电子化水平,利用现代信息技术实现计算机教学和远程教学,教育骨干网、城域网、校园网、教育资源中心等项目正在全国各地如火如荼地规划、建设之中。例如: 教育部提出在本世纪的头10年,在全国中小学普及信息技术教育,在全国90%以上的中小学开设信息技术必修科,加快信息技术与其他课程的整合;加强信息基础设施和教育资源建设,使全国90%左右独立建制的中小学能够上网,共享优质教育资源,提高教育质量。而目前教育网的建设主要分为:大学校园网(包括大学城)的信息化建设,校校通(中小学城域网和中小学局域网)的信息化建设和教育骨干网(互联校校通网络和大学校园网络)的信息化建设。 行业现状 教育行业用户包括高校、考试中心等机构,此类用户一般都有一条较高带宽的教育网链路接入,另外根据各单位实际情况选择了一个或者多个其他运营商的链路。 教育行业网络的一个特点就是内部上网人数庞大,一般分为办公区和学生宿舍区进行分别控制和管理,网络流量非常复杂。 建议网络架构 下载后可见 需求及解决方案要点 链路负载均衡(多链路控制器): 采用链路负载均衡产品,将内网用户访问外网资源的请求,根据链路带宽比例、目标网站延迟等策略自动负载均衡到各条链路上,保证内网用户快速的访问目标资源,同时对链路状态进行实时监控,任何一条链路出现故障,都能够及时发现,自动把请求转发至正常的链路。 同时,对于外部用户访问内部网络资源的情况,由链路控制器的动态域名解析模块,将同一域名解析
成不同链路上的IP地址,并根据客户所属的网络运营商,自动导向到访问质量最优的链路,并实时监控链路的状态,如果某一链路出现故障,自动切换到其他正常链路。 服务器负载均衡、应用优化(本地流量管理器): 对于内网各种应用系统,可以部署本地流量管理器以提高应用系统的高可用性。采用负载均衡产品把大量用户的请求按照一定的策略分发到多台服务器中最优的一台上,并实时监控各服务器的运行状态,及时发现服务器的故障,将用户请求转发到其他正常的服务器上面。在负载均衡的过程中,本地流量管理器产品还可以对应用系统进行SSL卸载、连接复用、内存cache、http压缩、web应用加速等优化措施,降低服务器压力,压降带宽占用,加快客户访问速度和提升访问感受。 上网行为管理(流量整形和Web安全管理): 使用带宽管理产品对 Internet 出口带宽进行控制,通过深入识别流量与应用,结合丰富的流量管理策略对某种应用进行带宽的保证、带宽限制、按照优先级处理等。 通过部署Web安全管理系统,可以避免学生在校园环境中访问色情和暴力的网站内容,屏蔽间谍软件、恶意网站和木马程序,提高网络安全性,同时可以对资源使用者的访问行为进行审计(如浏览非法网站或内容、发表反动言论等等)。 网络攻击及入侵(入侵防御系统防护和应用安全系统防护) 使用高性能防火墙对内外网、 DMZ 等安全区域进行隔离,控制不同安全区域的用户进行互访时的非法越权访问。 当客户遇到互联网的非法攻击和入侵的时候,势必对各应用系统产生影响,造成访问效率下降、网络拥堵等状况,采用主动式入侵防御系统利用高可靠识别攻击,精确判断入侵及攻击行为并作出相应的反应来解决上述问题。 同时,针对门户网站、网上选课系统、教学管理系统等重要web和数据库应用系统,部署相应的应用安全防护系统。 数据机房远程集中管控系统(数字KVM系统) 在网络中心的数据机房部署了大量的网络和服务器设备,同时还托管了各个不同部门的应用服务器。通过部署远程集中管控系统,使管理员能够远程的对各个机房的设备进行BIOS/Console级的维护,给托管了服务器的部门分配账号,使他们能够远程自行维护托管的主机设备,进行BIOS级的故障处理。这样,当发生故障时,相关人员无需赶到现场,即可对故障进行处理和解决,降低故障引起的服务中断时间,免除维护人员的奔波之苦。同时,这样一套系统的部署,便于网络中心实施对机房的严格管理,实现人机分离,避免无关人员进出机房,提高机房安全性。 部分成功客户 北京大学、北京广播电视大学、北京外国语大学、华东师范大学、兰州大学、清华大学、上海金融学院、武汉大学、西安交通大学、政法大学、中央美术学院、中央音乐学院、安徽省教委、北京市教委、崇文区教委、黑龙江教育厅、江苏考试院、上海市教委、深圳市教育局、温州市教育局、国家图书馆、上海少年儿童图书馆、北京农业科学研究院、上海市标准化研究院、奥鹏远程教育中心
珠海市网佳科技有限公司 网络安全整体解决方案
目录 第 1 章总体分析及需求 (33) 第 2 章总体设计 (44) 第 3 章防火墙方案 (44) 3.1 本方案的网络拓扑结构 (55) 3.2 本方案的优势: (66) 3.3本方案的产品特色 (77) 第 4 章内网行为管理方案 (88) 4.1 内网安全管理系统介绍 (88) 4.2内网管理系统主要功能 (99) 第 5 章报价单........................................... 错误!未定义书签。错误!未定义书签。
第 1 章总体分析及需求 珠海市网佳科技有限公司新办公大楼由五层办公区域组成,公司规模较大、部门较多,总PC 数量估计在200左右,其中公司财务部门需要相对的独立,以保证财务的绝对安全;对于普通员工,如何防止其利用公司网络处理私人事务,如何防止因个人误操作而引起整个公司网络的瘫痪,这些都是现在企业网络急待解决的问题。随着公司规模的不断壮大,逐渐形成了企业总部-各地分支机构-移动办公人员的新型互动运营模式,怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时,如何防止骇客攻击、病毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题,如: 第一、随着电脑数量的增加,如果网络不划分VLAN,所有的PC都在一个广播域内,万一网内有一台PC中了ARP,那么将影响到整个网络的稳定; 第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制,则会经常遭受来自内外网病毒及其它黑客的攻击,导致服务器不能正常工作及信息泄露,经企业带来不可估量的损失; 第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心,往往是事倍功半,如无法控制P2P软件下载而占用网络带宽;无法限制QQ、MSN、SKYPE等即时聊天软件;网管员无法对网络内的流量进行控制,造成网络资源的使用浪费; 第四、企业有分支机构、移动办公人员,无法与总部互动、访问总部K3、ERP等重要数据资源,从而不能及时获取办公所需数据。 综上分析,珠海市网佳科技有限公司按照企业目前网络情况,有针对性地实施网络安全方面的措施,为网络的正常运行及服务器数据的安全性做好前期工作。
城域网的组网技术及解决方案 摘要:ip城域网是在一个城市范围内提供宽带数据及多媒体业务、用于接入用户和发展增值业务的综合数据网络。随着互联网市场的发展,用户对互联网质量的要求日益提高,而互联网网络结构直接影响到互联网质量,因此,如何对原有网络进行优化,就成为提高互联网质量的关键问题所在,文章介绍了宽带ip城域网组网技术及解决方案。 关键词:带宽;组网;城域网;pos ip城域网正逐渐成为宽带舞台的新宠。宽带运营商的ip城域网建设思路及技术方案对运营商至关重要。如何建设一个能够提供统一的多业务的网络平台,成为运营商应对当前激烈竞争的重要选择。 1 概念 1.1 宽带ip城域网 城域网在通信发展过程中扮演着重要的角色,为满足网络接入层带宽大幅度增长的需求而建立的综合业务网。ip城域网的概念是由计算机网络化而来,指介于广域网和局域网之间,在城市及郊区范围内实现信息传输与交换的一种网络。这里所说的ip城域网,是指覆盖城市范围、为全市各类用户提供宽带接入的数字通信网络。对一个城市而言,ip城域网的建设是其信息化基础设施的重要组成部分:从技术和运营模式来看,ip城域网是计算机网络和传统
电信网络的融合;从技术发展的趋势来看,ip城域网将会是传统电信体系发展的必然趋势。 1.2 带宽 “带宽”有以下两种不同的意义:①指信号具有的频带宽度。信号的带宽是指该信号所包含的各种不同频率成分所占据的频率范围。②在计算机网络中,带宽用来表示网络的通信线路所能传送数据的能力,因此,网络带宽表示在单位时间内从网络中的某一点到另一点所能通过的“最高数据率”。 在网络中有两种不同的速率:信号(即电磁波)在传输媒体上的传播速率(m/s或km/s);计算机向网络发送比特的速率(bit/s)。 2 宽带ip城域网的组网技术 目前,宽带ip城域网组网技术主要有:atm技术、pos、千兆以太网(ge),还有融合了ip路由和atm交换特点的mpls技术。 2.1 利用atm技术组建城域网 采用atm技术组建ip城域网,能充分利用atm技术灵活组网的优点。传统电信运营商在组建城域网时大多都采用ipoveratm网络的技术。atm可以提供cbr、vbr、abr、ubr等多种服务类别,可以按时间、端口、流量、平均流量、最小流量等以及组合方式来计费。但是,相对ip技术来说,采用atm承载ip业务存在一些缺点和必须解决几个问题:①所有进入atm网络的ip包都需要分割成固定长度的信元,开销大、传输效率低;②无连接的ip网络同面向连
湖北省电信公司 IP城域网五期扩容建设项目 (荆州市节点) 华为技术 2005年8月
目录 第1章城域网建设介绍 (1) 第2章网络结构设计 (2) 2.1 网络层次划分 (2) 2.2 网络拓扑图 (3) 第3章设备命名、接口参数 (5) 3.1 设备命名 (5) 3.2 电路描述 (6) 第4章荆州市城域网路由部署 (7) 4.1 OSPF协议 (8) 4.2 BGP协议 (9) 4.3 接入层的路由 (9) 第5章荆州市IP城域网MPLS VPN解决方案 (10) 5.1 MPLS VPN 概述 (10) 5.2 MPLS VPN中MP-BGP的规划 (10) 5.3 IGP路由和LDP规划 (11) 5.4 MPLS VPN中VPN的规划和实施 (12) 第6章IP地址、Vlan规划方案 (14) 6.1 IP地址分配原则 (14) 6.2 IP地址分配方案 (15) 6.3 Vlan规划方案 (16) 第7章网管及安全 (18) 7.1 网管 (18) 7.2 安全 (18) 第8章网络割接 (19) 附一:设备名称及IP地址分配表 ............................................................... 错误!未定义书签。附二:设备连接图......................................................................................... 错误!未定义书签。附三:单点测试报告..................................................................................... 错误!未定义书签。
web网络安全解决方案 (文档版本号:V1.0) 沈阳东网科技有限公司
一、前言 (1) 二、如何确保web的安全应用 (1) 三、常见部署模式 (2) 四、需求说明 (5) 五、网络拓扑 (6) 六、总结 (6)
一、前言 Web应用处在一个相对开放的环境中,它在为公众提供便利服务的同时,也极易成为不法分子的攻击目标,黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前,信息安全攻击约有75%都是发生在Web应用而非网络层面上。 Web攻击者针对Web应用程序的可能漏洞、 Web系统软件的不当配置以及http协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Web应用进行侦测和攻击,攻击的目的包括:非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。 二、如何确保web的安全应用 在Web系统的各个层面,都会使用不同的技术来确保安全性:为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到Web服务器的传输安全,通信层通常会使用SSL技术加密数据;为了阻止对不必要暴露的端口和非法的访问,用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。 但是,对于Web应用而言,Web服务端口即80和443端口是一定要开放的,恶意的用户正是利用这些Web端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。而传统安全设备仅仅工作在网络层上,并不能精确理解应用层数据,更无法结合Web系统对请求进行深入分析,针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP 保护的网站。 因此,在大量而广泛的Web网站和Web应用中,需要采用专门的Web 安全防护系统来保护Web应用层面的安全,WAF(Web Application Firewall,WEB应用防火墙)产品开始流行起来。 WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF 由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相比,硬件WAF经过多
莱芜教育城域网建设方案 第一部分总体概述 (3) 一.莱芜市教育基本情况和城域网建设思路 (3) 二.教育城域网建成后应具备以下功能 (4) 1、支持全市教育系统的办公自动化 (4) 2、莱芜教育信息面向全社会的网上发布 (4) 3、实现教育教学资源网上共享 (4) 4、提供远程教育服务实现远程教学 (5) 5、支持IP电话、远程视频会议,实现会议、教学观摩课的网上直播 (5) 6、支持对整个城域网用户的网上管理,能对用户权限进行设置跟踪 (5) 7、支持所属各学校教师、学生及其学生家长在线交流 (5) 8、要确保网络存储和运行的敏感信息的安全 (5) 9 市教育信息中心的功能 (5) 第二部分需求分析 (6) 一.网络结构需求分析 (6) 二.网络设备需求分析 (6) 三.系统外设 (7) 四.技术需求分析 (7) 五.软件需求 (7) 六.应用需求分析 (7) 第三部分系统方案设计 (8) 一.总体设计方案 (8) 1.系统设计原则 (8) 2.城域网络设计模型 (8) 3.系统设计概述 (9) 4.城域网链路方案 (10) 二.系统方案 (13) 1.信息中心设计方案 (13) 2.校园网解决方案 (15) 3.应用技术 (15) 4.其他相关方案 (24) 5.城域网网络管理方案 (25) 6.安全措施 (27)
第一部分总体概述 为了深入贯彻落实教育部全国中小学信息技术工作会议精神,按省教育厅要求,根据我市教育、经济和社会发展需要,经研究决定,建设莱芜市教育城域网。该网络是莱芜市教育以信息化带动教育现代化的重要标志。 莱芜教育城域网建成后,应支持全市教育系统办公自动化,实现教育公共信息面向全社会的网上发布,实现各级各类教育教学资源的网上共享,开展远程教育,构建全方位、立体化的终身教育体系。 一.莱芜教育基本情况和教育城域网建设思路 1.莱芜市教育基本情况 莱芜是一个新建地级市,辖区较小。辖莱城区、钢城区和一个开发区,总人口123万,总面积2246平方公里。全市共有371处中小学,其中莱城区294处(小学239处,初中47处,普高4处,职高4处),钢城区60处(小学51处,初中8处,高中1处),开发区13处(小学11处,初中2处),市直4处(高中2处,初中1处,特殊教育学校1处),另有职业技术学院1处,行业部门办职工中专9处。预计未来五年内全市微机数量达20000台,教育城域网要实现教育用户的高速宽带互连,满足教育用户高速访问需求,同时也要满足家庭及社会的高速访问。 2.莱芜教育城域网建设的指导思想和基本思路 基于莱芜市实际情况,根据省教育厅教育城域网建设的基本精神和教育城域网自身建设的特点,莱芜市教育城域网建设总的指导思想是:整体规划、统一管理、因地制宜、注重实效。 基本思路是,莱芜市教育城域网的核心是莱芜市教育信息中心,下设莱城区教育信息中心,钢城区、开发区不设信息中心。莱城区信息中心上连市信息中心,下连所属中小学。钢城区、开发区设汇聚交换机直接连到市信息中心,市直各学校直接连到市信息中心。市信息中心对上连接省信息中心和中国教育科研网,对下连接莱城区信息中心、钢城区、开发区汇聚交换机和市直各学校。形成对内沟通全市教育系统各事业单位和学校,对外面向全社会服务的教育信息网。 3.莱芜教育城域网的整体架构 莱芜市教育城域网,由莱芜市教育信息中心、莱城区教育信息中心、钢城区信息中心(目前暂设汇聚交换机)、各级教育行政机构、市直学校、各乡镇学校组成,采用租用光
(Bitcoin,缩写BTC)是一种总量恒定2100万的数字货币,于2009年开始流通,已经成为若干新兴数字货币中的佼佼者。 发展历程 2008年11月1日,中本聪提出“比特币”的概念。 2009年1月3日,比特币首次被“挖出”。 2010年5月21日,第一次比特币交易。 2010年7月17日,第一个比特币平台成立。 2011年2月9日,价格首次达1美元,与美元等价。 2013年11月29日,比特币价格首度超过黄金。 2014年,被挖出的比特币总量超过1200万个。美国电商巨头eBay宣布,该公司旗下支付处理子公司Braintree将开始接受比特币支付。 创始人物 其创始人“中本聪”的身份一直都是个谜,据外媒报道称,计算机科学家TedNelson 周日在网络上发布视频称,他已经确定出,比特币的创始人是京都大学数学教授望月新一。 2014年3月7日,当比特币创始人多利安·P·中本聪被找到的新闻传出后,迅速成为互联网上最吸引人的消息。 与外界揣测其可能是个虚构的名字不同,“中本聪”是个真实的名字,他是一名64岁的日裔美国人,曾供职大企业和美国军方,从事机密工作。在过去的40年中,中本聪从不在生活中用他的真名。根据美国洛杉矶地方法院1973年的档案,在他23岁从加州州立理工大学毕业时,将自己的名字改为了多利安·普伦蒂斯·中本聪(DorianPrenticeSatoshiNakamoto)。从那时起,他不再使用“聪”这个名字,而用多利安·中本S(DorianS.Nakamoto)作为签名。 产生原理 从比特币的本质说起,比特币的本质其实就是一堆复杂算法所生成的特解。特解是指方程组所能得到无限个(其实比特币是有限个)解中的一组。而每一个特解都能解开方程并且是唯一的。 这个方程组被设计成了只有 2100 万个特解,所以比特币的上限就是 2100 万,所以它的数量是固定的。 这个方程由创始人中本聪提出。 特征 去中心化:比特币是第一种分布式的虚拟货币,整个网络由用户构成,没有中央银行。 世界流通:可以在任意一台接入互联网的电脑上管理。不管身处何方,任何人都可以挖掘、购买、出售或收取比特币。 专属权:操控比特币需要私钥,它可以被隔离保存在任何存储介质。除了用户自己之外无人可以获取。 无隐藏成本:作为由A到B的支付手段,比特币没有繁琐的额度与手续限制。知道对方比特币地址就可以进行支付。 数量固定:总数为2100万个。 发行不受控:由P2P网络节点进行计算而产生的,它的创造过程没有任何人为的干预。 交易方便:全球的P2P网络节点全天候的负责着比特币交易的正常进行,只要有网络你就可以进行比特币的买卖,并用比特币购买任何你想要的商品服务。
长沙电信网络安全解决方案 湖南计算机股份有限公司 网络通信及安全事业部
目录 一、长沙电信网络安全现状 (22) 二、长沙电信网络安全需求分析 (22) 三、网络安全解决方案 (44) 四、网络安全设计和调整建议 (88) 五、服务支持 (88) 六、附录 (99) 1、Kill与其他同类产品比较 (99) 2、方正方御防火墙与主要竞争对手产品比较 (1111) 3、湘计网盾与主要竞争对手产品比较 (1212) 4、湖南计算机股份有限公司简介 (1313)
一、长沙电信网络安全现状 由于长沙电信信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet扩展到Internet。内部网络通过ADSL、ISDN、以太网等直接与外部网络相连,对整个生产网络安全构成了巨大的威胁。 具体分析,对长沙电信网络安全构成威胁的主要因素有: 1) 应用及管理、系统平台复杂,管理困难,存在大量的安全隐患。 2) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务 器,同时也很容易访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统极为容易遭到攻击。 3) 来自外部及内部网的病毒的破坏,来自Internet的Web浏览可能存在的恶意 Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。 4) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统 均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。管理成本极高,降低了工作效率。 5) 缺乏一套完整的管理和安全策略、政策,相当多的用户安全意识匮乏。 6) 与竞争对手共享资源(如联通),潜在安全风险极高。 7) 上网资源管理、客户端工作用机使用管理混乱,存在多点高危安全隐患。 8) 计算机环境的缺陷可能引发安全问题;公司中心主机房环境的消防安全检测设施,长时间未经确认其可用性,存在一定隐患。 9) 各重要计算机系统及数据的常规备份恢复方案,目前都处于人工管理阶段,缺乏必要的自动备份支持设备。 10)目前电信分公司没有明确的异地容灾方案,如出现灾难性的系统损坏,完全没有恢复的 可能性。 11) 远程拔号访问缺少必要的安全认证机制,存在安全性问题。 二、长沙电信网络安全需求分析 网络安全设计是一个综合的系统工程,其复杂性丝毫不亚于设计一个庞大的应用系统。
福利:打开ImToken钱包,点击“+”号,点击右上角 1、复制下面地址添加合约可得VGS: 0x4c9d5672ae33522240532206ab45508116daf263 秒到30万个VGS,价值未知 2,点击“+”号添加合约地址,可获得4800个Ez 0x1a28efaa62ddc7636df515c6a16136ab2b5e9814 属性:已知有项目方、即将上线交易所 3、CSAT(1000枚)合约地址: 0xdb6192baf0e72ffd88d33508f15caedd5c79d75d 价值未知发行量25亿开源评级★★ 4、GIFT(1000枚)合约地址: 0xa5996f6b731b349e25d7d5f4dd93a5ce9947841f (价值约100美元恒量,一包固定1000币)发行量6亿开源评级★★ 5、QMQ(2000个)用imtoken转0.00个eth 到这个地址: 0x4cC29dD2B01A3e0ed005c6E2dEb5B3666e4c240c 会拿到空投币:QMQ(发行量15亿,闭源,评级★★★) 6、CLT2(800个左右)发送0个eth到智能合约地址: 0x4086f6C05207D0747499fCf41328D736A18c564b 会拿到空投币:CLT(私募阶段,价值未知,评级★★★)
(越来越少,抓紧时间) 7、CANDY(60000个左右)用imtoken转0个eth 到这个地址: 0x45555629AAbfEA138EAd1C1E5f2AC3Cce2aDd830 会拿到空投币:CANDY(发行量30亿,国外项目,比较低调,评级★★★★) 三、需要少量eth激活合约 以下空投需少量eth激活合约,有币的可以撸一下。 8、IOST(25000个) 用imtoken钱包转0.1个ETH到这个地址,矿工费调到最低 0x9c84839b183f22cdec51dc27fb957ceb6d46d089 会拿到空投:iost 25000个。(火币网,币安,okex已交易,价格在0.15元左右) 9、EOS(488个) 用lmToken钱包转到0.3个ETH到下面这个合约地址, 0xC1a0ed6faCAf9e5BD506DB3a6437B6618AF35Bb3 会收到488个EOS 空投币。(在zb价格目前35元!) (截止目前均有效,速度撸起来,表单未完待续,请持续关注。。) 注:每个地址只能弄一次,不可重复,重复无效,切记! 说明: (1)手慢无,手慢无,手慢无,重要的事情说三遍。 (2)矿工用费:调到0.002至0.005之间,不要调到最低,太低合约容易失败。