大數據時代的到來為工業互聯網企業安全提供了新的技術手段。通過對工業領域傳統的數據資產、設備聯網數據、外部數據進行統一管理,將工業大數據技術和工業云相結合,實現對云端數據、本地數據的采集、分析,并從功能維度進行匯總、查看、統計及處置。在工業互聯網企業研發設計、生產過程、需求預測、供應鏈優化等環節利用大數據技術進行持續監控收集、實時探測,在云端判斷、取證、溯源、修復。從而建立可信任的設備、信息和軟件。基于大數據處理的工業態勢感知技術成為工業大數據采集、存儲、處理和呈現的有力武器,能夠對標識態勢、攻擊源、攻擊事件和工業互聯網資產的態勢進行可視化展示,并通過可視化界面進行數據關聯查詢,及時對工業互聯網環境中的未知風險進行預測、預防。
安全俠 的所有回復(667)
排序:
排序:
評論于 2年前,獲得 0 個贊
評論于 1年前,獲得 0 個贊
加強API接口安全可以從以下方面入手:
注重用戶認證:通過驗證碼、短信驗證碼和接口調用速度來限制關鍵接口的爆破,清晰的設計密碼找回、密碼修改等敏感接口的流程和token,避免被攻擊者繞過。使用強隨機數和強加密算法生成token,避免使用靜態token,后臺對密碼強度進行校驗,限制用戶設置弱密碼。
權限控制:水平越權和垂直越權屬于業務邏輯漏洞,目前還沒有很好的工具能對該類漏洞進行有效檢測,越權漏洞的數量是和系統業務的復雜度成正比的。越權不是技術問題,而是設計問題,當一個系統的業務復雜度不斷升高時,它的權限系統也要隨之進行升級,和業務高度耦合的而又精簡的權限框架能有效的減少越權漏洞出現。
避免注入攻擊:保證每個進入系統的參數都被校驗,可以使用spring validate來做參數格式校驗,盡量使用成熟框架,比如mybatis等,可以有效降低sql注入發生概率。在使用spring validate時,如果需要使用正則對一個復雜的參數進行校驗,應該盡量避免redos漏洞的出現。盡管使用框架,但排序、篩選字段和超復雜的查詢還是容易出現sql注入,因為某些開發者會使用sql拼接來完成復雜的sql查詢。
避免信息泄露:信息泄露造成的后果往往都是嚴重的,核心數據的泄露更是非常致命。做好輸出數據的控制,比如使用一個實體類來定義每個API輸出的數據,避免多余的字段被輸出到了前端。
訪問頻率限制:關鍵接口要做好訪問頻率限制,比如發送短信驗證碼、登陸、修改密碼和注冊等,一般都是某些重要資源消耗型接口。某些接口可以做多層限制,比如第1次發驗證碼直接發,第2次開始需要圖像驗證碼,第15次開始限制ip。
注意容器和組件漏洞:盡量將項目使用的第三方組件升級到最新修正版,使用sca產品對項目的組件進行檢測。但是如果某些攻擊是在程序還未執行到API入口就完成攻擊了,那一定是容器和組件漏洞,比如fastjson 、struts、甚至tomcat、weblogic這些框架和容器的某些版本都是存在一定可以執行RCE的CVE的。
評論于 11個月前,獲得 0 個贊
Cache網絡通信協議有以下這些:
ICP協議:定義了一種輕量級的消息格式,被用于在Cache服務器之間互相查詢Web資源信息,以確定當前被請求的資源是否存在于其他服務器上。當一臺Cache服務器向其鄰居發出Web對象(主要是URL信息)查詢請求時,接收到查詢請求的服務器通過反饋包含了“命中(hit)”或者“失效(miss)”信息的ICP應答說明被查詢的對象是否保存在自己這里。
HTCP協議:是用于發現HTTP高速緩存(Cache)服務器和緩存數據的協議,在RFC2756中定義。它能夠管理一組HTTP Cache服務器并監控相關的緩存活動。是用于發現HTTP高速緩存(Cache)服務器和緩存數據的協議,在RFC2756中定義。它能夠管理一組HTTPCache服務器并監控相關的緩存活動。
Cache Digest協議:Cache Digest的出現主要是為了解決ICP和HTCP協議在使用過程中的網絡延遲和擁塞問題。Cache Digest并不采用基于請求-問答模式的帶內查詢方法,而是在服務器之間建立對等關系,即每臺Cache服務器上都保存了它的所有鄰居的緩存信息摘要。當接收到用戶的Web對象訪問請求時,Cache Digest直接在本地的Cache內容摘要中檢索,并獲知該被請求的Web對象URI是否在某個鄰居Cache里。
Cache Pre-filling協議:實現的是一種推送Cache內容的機制,它能夠很好地應用在IP多播網絡上。它使得預先被選定的資源能夠被同時插入到目標多播組中的所有Cache服務器中,從而實現集群中各臺服務器保存內容的同步。當前,Cache Pre-filling技術已經多有實現,特別是應用在衛星通信的場景中,它最大的優點在于能夠同時向多個分布的地面衛星接收器高速傳輸大容量數據,從而在網絡傳輸速度不高的情況下極大地改善數據訪問體驗。
CARP協議:本質上是一個分布式的緩存協議,通過建立哈希函數用于劃分Cache服務器集群的URL空間。CARP的核心是為集群定義了一張Cache服務器陣列成員表,以及一個用于向Cache服務器上分發緩存URL信息的哈希函數。CARP為用戶提供Web對象URL的獲取路徑,該路徑是根據服務器陣列成員的名稱和相應的URL內容通過哈希操作而產生的,這就意味著對于任何特定的URL請求,都能夠準確地知道其所需的信息存儲在陣列中哪個Cache服務器上,而不用理會這是一個此前剛剛被請求并被緩存的信息,還是首次被點擊需要傳遞和緩存的信息。
評論于 10個月前,獲得 0 個贊
數據安全分析時的數據源有以下這些:
網絡流量:網絡流量是最常見的數據源之一,主要分為網絡全流量和Netflow兩種。網絡全流量包含完整的網絡數據,即TCP/IP協議棧的數據,比如MAC頭、IP頭、TCP頭、HTTP頭以及HTTP載荷數據,對于分析網絡中的攻擊行為幫助非常大。常見的網絡全流量獲取方式為交換機鏡像、分光鏡和網絡分流器三種。
文件:文件是數據最基本的保存形式,常見的有CSV、XML、JSON和電子表格以及各類日志文件,比如Linux的系統日志和Apache的訪問日志等。
Syslog:Syslog是在一個網絡中轉發系統日志信息的標準,是在美國加州大學伯克利軟件分布研究中心的TCP/IP系統中開發的,目前已成為工業標準協議,可用它記錄設備的日志。Syslog記錄了系統中的所有事件,管理員可以通過查看記錄隨時掌握系統狀況。系統日志通過Syslog進程記錄系統的有關事件,也可以記錄應用程序運行事件。通過適當配置,還可以實現運行Syslog協議機器之間的通信。通過分析這些網絡行為日志,可追蹤和掌握與設備和網絡有關的情況。
SNMP:SNMP是基于TCP/IP協議族的網絡管理標準,如圖9-4所示,是一種管理網絡節點(如服務器、工作站、路由器、交換機等)的標準協議。SNMP能使網絡管理員提高管理效能,及時發現并解決網絡問題以及優化網絡。網絡管理員還可以通過SNMP接收網絡節點的通知消息和告警事件報告,從而獲知網絡出現的問題。
數據庫:當數據保存在數據庫中,并且不時可能發生變化,這時就需要定時甚至實時從數據庫中同步數據,通常基于JDBC來完成這些任務。JDBC(Java DataBase Connectivity)是一種用于執行SQL語句的Java API,可以為多種關系數據庫提供統一訪問接口,它由一組用Java語言編寫的類和接口組成。JDBC提供了一種基準,據此可以構建更高級的工具和接口,使數據庫開發人員能夠編寫數據庫應用程序。
爬蟲:當數據保存在第三方業務系統數據庫中,數據時刻可能發生變化并且無法直接訪問該數據庫時,可以使用爬蟲通過調用API、直接抓取網頁或者訪問文件的方式進行數據存取。比如做員工郵箱異地登錄檢測時,為了排除員工出差或者出外勤帶來的誤報,需要從ERP中定時同步員工的差旅情況以及門禁系統中員工的打卡情況,這就需要使用爬蟲從ERP和門禁系統的API中爬取數據。
評論于 3個月前,獲得 0 個贊
拒絕服務攻擊的原理是攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為網絡協議本身的安全缺陷,從而拒絕服務攻擊也成為了攻擊者的終極手法。
降低拒絕服務攻擊的措施有以下這些:
完善站點設計:一個站點越完善,它的狀況會越好。如果公司有一個運行關鍵任務的Web站點,用戶必須連接到Internet,但是與路由器之間只有一條單一的連接,服務器運行在一臺單一的計算機上,這樣的設計就不是完善的。理想情況下,公司不僅要有多條與Internet的連接,最好有不同地理區域的連接。公司的服務位置越分散,IP地址越分散,攻擊同時尋找與定位所有計算機的難度就越大。
限制帶寬:當DoS攻擊發生時,針對單個協議的攻擊會損耗公司的全部帶寬,以致拒絕合法用戶的服務。例如,如果攻擊者向端口25發送洪水般的數據,攻擊者會消耗掉所有帶寬,所以試圖連接端口80的用戶也被拒絕服務。限制帶寬就是限制基于協議的帶寬。例如,端口25只能使用25%的帶寬,端口80只能使用50%的帶寬。
及時安裝補丁:當新的DoS攻擊出現并攻擊計算機時,廠商一般會很快確定問題并發布補丁。應及時關注并安裝最新的補丁,以減少被DoS攻擊的機會。
運行盡可能少的服務運行:盡可能少的服務可以減少被攻擊成功的機會,限制攻擊者攻擊站點的攻擊類型,減少管理員的管理內容。
封鎖敵意IP地址:當一個公司知道自己受到攻擊時,應該馬上確定發起攻擊的IP地址,并在其外部路由器上封鎖此IP地址。同時,要與ISP合作,通知其封鎖敵意數據包,以保持合法用戶的通信。
優化網絡和路由結構:站點提供的服務最好有多條與Internet的連接和不同地理區域的布局,服務器IP地址越分散,攻擊者定位目標的難度就越大,當攻擊發生時,所有的通信可被重新路由,從而大大降低攻擊產生的影響。
安裝入侵檢測系統:通過安裝入侵檢測系統,盡可能快地探測到拒絕服務攻擊,以減少被入侵和利用的可能。常用的入侵檢測系統有:基于網絡的入侵檢測系統和基于主機的入侵檢測系統兩種類型。
使用掃描工具:安全措施不到位的網絡和主機很可能已經被攻克并用作了DDoS服務器,因此要掃描這些網絡,查找DDoS服務器,并盡可能把它們從系統中關閉刪除,而大多數商業的漏洞掃描程序和工具都能檢測到系統是否被用作DDoS服務器。
評論于 1周前,獲得 0 個贊
針對一個網址做以下滲透測試準備:
與客戶溝通確認滲透測試的服務內容,整個網站滲透內容詳細寫到服務合同中,付款方式及滲透測試報告要求溝通確定。
對目標網站進行信息收集,包括域名的whios的信息、注冊賬號信息,以及網站使用的系統是開源的CMS,還是自己單獨開發(dedecms,thinkphp,ecshop,discuz都是開源的系統),收集網站使用的IP,是否存在同一IP下多個網站使用,網站公開的信息收集,網站管理員的對外聯系方式,網站的反饋功能,會員注冊功能,上傳功能的地址收集。服務器開放的端口,以及服務器的系統windows還是linux系統,使用的PHP版本, 網站環境是IIS,還是nginx,apache等版本的收集。對收集來的信息進行總結,建立滲透測試流程圖,分配給滲透測試任務給不同的技術人員,從多個方面去負責滲透,每一個技術負責一個點,進行深度挖掘漏洞,測試安全問題。
確定網站漏洞后,再進行詳細的歸總,看是否能拿下網站的管理權限,是否可以上傳腳本木馬進行控制網站,以及能否滲透拿到服務器的管理權限。制定詳細的滲透測試計劃來達到攻擊的目的。對漏洞進行代碼分析,包括檢測出來的漏洞是在哪里,通過這個漏洞可以獲取那些機密信息,對于代碼的邏輯漏洞也進行分析和詳細的測試。
進行滲透攻擊。
評論于 1年前,獲得 0 個贊
“網站連接不安全”是瀏覽器對HTTP網站的警告提示,表示這個網站使用了HTTP協議傳輸數據,提醒用戶謹慎訪問此網站。解決方法如下:
- 首先,使用鍵盤組合鍵“win+R”打開運行窗口;
- 輸入命令inetcpl.cpl回車確定即可進入;
- 進入彈窗后,上方選項中切換為“安全”選項,下拉找到“自定義級別(C)”,鼠標單擊進入;
- 進入設置彈窗,下拉找到并雙擊“其他”選項;
- 下拉找到“顯示混合內容”,修改勾選為“啟用”,點擊“確定”即可;
- 彈出提示框,點擊“是”即可;
- 再次回到上一個頁面,點擊“默認級別”,將左側該區域的安全級別調低,點擊“確定”即可。
評論于 1年前,獲得 0 個贊
堡壘機有以下這些登錄協議:
CSA協議:Central Authentication Service簡稱CAS,是一種常見的B/S架構的SSO協議。和其他任何SSO協議一樣,用戶僅需登陸一次,訪問其他應用則無需再次登陸。
OAuth協議:OAUTH協議為用戶資源的授權提供了一個安全的、開放而又簡易的標準。與以往的授權方式不同之處是OAUTH的授權不會使第三方觸及到用戶的帳號信息(如用戶名與密碼),即第三方無需使用用戶的用戶名與密碼就可以申請獲得該用戶資源的授權,因此OAUTH是安全的。oAuth是Open Authorization的簡寫。
OIDC協議:OIDC是OpenID Connect的簡稱,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上構建了一個身份層,是一個基于OAuth2協議的身份認證標準協議。我們都知道OAuth2是一個授權協議,它無法提供完善的身份認證功能(關于這一點請參考[認證授權] 3.基于OAuth2的認證(譯)),OIDC使用OAuth2的授權服務器來為第三方客戶端提供用戶的身份認證,并把對應的身份認證信息傳遞給客戶端,且可以適用于各種類型的客戶端(比如服務端應用,移動APP,JS應用),且完全兼容OAuth2,也就是說你搭建了一個OIDC的服務后,也可以當作一個OAuth2的服務來用。
SAML協議:SAML協議全稱為Security Assertion Markup Language,它是一個基于XML的標準協議。SAML標準定義了身份提供者(Identity Provider)和服務提供者(Service Provider)之間,如何通過SAML規范,采用加密和簽名的方式來建立互信,從而交換用戶身份信息。
評論于 1年前,獲得 0 個贊
- 確定信息價值
大多數組織沒有無限的信息風險管理預算,因此最好將您的范圍限制在最關鍵的業務資產上。為了以后節省時間和金錢,請花一些時間來定義確定資產重要性的標準。大多數組織都包括資產價值、法律地位和業務重要性。一旦該標準正式納入組織的信息風險管理政策,就可以使用它來將每項資產分類為關鍵、主要或次要資產。
- 確定資產并確定其優先級
確定要評估的資產并確定評估范圍,能夠確定要評估的資產的優先級。您可能不想對每個建筑物、員工、電子數據、商業機密、車輛和辦公設備進行評估。并非所有資產都具有相同的價值。
您需要與業務用戶和管理人員一起創建所有有價值資產的列表。對于每項資產,在適用的情況下收集軟件、硬件、數據、界面、終端用戶、支持個人、目的、危急程度、功能要求、信息技術安全政策、IT安全架構、網絡拓撲結構、信息存儲保護、信息流、技術安全控制、物理安全控制、環境安全信息。
- 識別網絡威脅
網絡威脅是指任何可被利用來破壞安全以造成傷害或從您的組織竊取數據的漏洞。在確定組織面臨的威脅后,您需要評估它們的影響。
- 識別漏洞
漏洞是威脅可以利用來破壞安全、損害您的組織或竊取敏感數據的弱點。通過漏洞分析、審計報告、美國國家標準與技術研究院(NIST)漏洞數據庫、供應商數據、事件響應團隊和軟件安全分析發現漏洞。
- 分析控制并實施新控制
分析現有的控制措施,以最大限度地減少或消除威脅或漏洞的可能性。控制可以通過技術手段實現,例如硬件或軟件、加密、入侵檢測機制、雙因素身份驗證、自動更新、持續數據泄漏檢測,或通過非技術手段,例如安全策略和物理機制,例如鎖或鑰匙卡訪問。
控制應分類為預防性或檢測性控制。預防性控制嘗試阻止加密、防病毒或持續安全監控等攻擊,檢測性控制嘗試發現攻擊何時發生,如持續數據暴露檢測。
- 每年計算各種情景的可能性和影響
了解了信息價值、威脅、漏洞和控制措施,下一步是確定這些網絡風險發生的可能性以及發生時的影響。
- 根據預防成本與信息價值對風險進行優先排序
以風險級別為基礎,確定高級管理人員或其他負責人采取的措施以減輕風險。
另外,請考慮組織政策、名譽受損、可行性、法規、控制的有效性、安全、可靠性、組織對風險的態度、對風險因素不確定性的容忍度、風險因素的組織權重等相關因素。
- 記錄風險評估報告的結果
制定風險評估報告,以支持管理層就預算、政策和程序做出決策。對于每個威脅,報告應描述風險、漏洞和價值。以及發生的影響和可能性以及控制建議。
完成此過程時,將更了解公司運營哪些基礎架構、最有價值的數據是什么,以及如何更好地運營和保護業務。然后,可以創建風險評估策略,定義組織必須定期執行哪些操作來監控其安全狀況、如何解決和減輕風險,以及如何執行下一個風險評估過程。
評論于 3個月前,獲得 0 個贊
拒絕服務攻擊的原理是攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為網絡協議本身的安全缺陷,從而拒絕服務攻擊也成為了攻擊者的終極手法。
降低拒絕服務攻擊的措施有以下這些:
完善站點設計:一個站點越完善,它的狀況會越好。如果公司有一個運行關鍵任務的Web站點,用戶必須連接到Internet,但是與路由器之間只有一條單一的連接,服務器運行在一臺單一的計算機上,這樣的設計就不是完善的。理想情況下,公司不僅要有多條與Internet的連接,最好有不同地理區域的連接。公司的服務位置越分散,IP地址越分散,攻擊同時尋找與定位所有計算機的難度就越大。
限制帶寬:當DoS攻擊發生時,針對單個協議的攻擊會損耗公司的全部帶寬,以致拒絕合法用戶的服務。例如,如果攻擊者向端口25發送洪水般的數據,攻擊者會消耗掉所有帶寬,所以試圖連接端口80的用戶也被拒絕服務。限制帶寬就是限制基于協議的帶寬。例如,端口25只能使用25%的帶寬,端口80只能使用50%的帶寬。
及時安裝補丁:當新的DoS攻擊出現并攻擊計算機時,廠商一般會很快確定問題并發布補丁。應及時關注并安裝最新的補丁,以減少被DoS攻擊的機會。
運行盡可能少的服務運行:盡可能少的服務可以減少被攻擊成功的機會,限制攻擊者攻擊站點的攻擊類型,減少管理員的管理內容。
封鎖敵意IP地址:當一個公司知道自己受到攻擊時,應該馬上確定發起攻擊的IP地址,并在其外部路由器上封鎖此IP地址。同時,要與ISP合作,通知其封鎖敵意數據包,以保持合法用戶的通信。
優化網絡和路由結構:站點提供的服務最好有多條與Internet的連接和不同地理區域的布局,服務器IP地址越分散,攻擊者定位目標的難度就越大,當攻擊發生時,所有的通信可被重新路由,從而大大降低攻擊產生的影響。
安裝入侵檢測系統:通過安裝入侵檢測系統,盡可能快地探測到拒絕服務攻擊,以減少被入侵和利用的可能。常用的入侵檢測系統有:基于網絡的入侵檢測系統和基于主機的入侵檢測系統兩種類型。
使用掃描工具:安全措施不到位的網絡和主機很可能已經被攻克并用作了DDoS服務器,因此要掃描這些網絡,查找DDoS服務器,并盡可能把它們從系統中關閉刪除,而大多數商業的漏洞掃描程序和工具都能檢測到系統是否被用作DDoS服務器。
評論于 2年前,獲得 0 個贊
搜索360官方網站https://www.#/,下載最新版360安全衛士,安裝。
漏洞掃描在主界面系統修復,點擊系統修復圖標就可以看到。
較低版本漏洞掃描位于主界面左下角的查殺修復選項中的右下角。
評論于 1年前,獲得 0 個贊
漏洞利用指的是利用程序中的某些漏洞,來得到計算機的控制權(使自己編寫的代碼越過具有漏洞的程序的限制,從而獲得運行權限)。漏洞利用的防御技術主要有:
數據執行保護 (DEP) :數據執行保護阻止在受保護的內存區域中執行任意代碼。
地址空間布局隨機化 (ASLR) :改變進程地址空間內數據結構布局。
結構化異常處理程序覆蓋保護 (SEHOP):異常記錄的替換或異常處理程序的替換。
空頁分配:保護重定向空指針。
LoadLibrary 網絡調用檢查(反 ROP):防止從網絡路徑加載 DLL。
可執行文件堆棧(反 ROP):阻止堆棧區域的非授權執行。
反 RET 檢查(反 ROP) :檢查確保安全調用 CALL 指令。
反堆棧透視(反 ROP):防止將 ESP 堆棧指針重新定位到可執行文件地址。
簡單導出地址表訪問監視(EAT 訪問監視和通過調試寄存器的 EAT 訪問監視):防止對 kernel32.dll、kernelbase.dll 和 ntdll.dll 導出地址表的讀取訪問。
堆噴射分配 (Heapspray):防止將內存分配用于執行惡意代碼。
執行流模擬(反返回導向編程):檢測 Windows API 組件中可能存在危險的指令鏈(潛在 ROP 小工具)。
IntervalProfile 調用監視(輔助功能驅動程序保護 (AFDP)):防止通過 AFD 驅動程序中的漏洞進行提權(通過 QueryIntervalProfile 調用在 Ring 0 中執行任意代碼)。
受攻擊面減少 (ASR) :通過受保護的進程阻止啟動易受攻擊的加載項。
反進程挖空 (Hollowing):防止創建和執行受信任進程的惡意副本。
反 AtomBombing (APC) :通過異步過程調用 (APC) 利用全局原子表漏洞。
反 CreateRemoteThread (RThreadLocal):其他進程已在受保護進程中創建線程。
反 CreateRemoteThread (RThreadRemote):受保護進程已在其他進程中創建線程。
評論于 6個月前,獲得 0 個贊
apt的攻擊目標一般是:
- APT攻擊通常以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統。APT是黑客以竊取核心資料為目的,針對客戶所發動的網絡攻擊和侵襲行為,是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃,并具備高度的隱蔽性。APT的攻擊手法,在于隱匿自己,針對特定對象,長期、有計劃性和組織性地竊取數據,這種發生在數字空間的偷竊資料、搜集情報的行為,就是一種“網絡間諜”的行為。
APT攻擊包括以下幾個途徑:
通過智能手機、平板電腦和USB移動設備為媒介,入侵企業信息系統。
通過社交工程的惡意郵件。隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。通過一些受到過APT攻擊的大型企業了解到這些企業受到威脅的關鍵原因都與普通員工遭遇社交工程的惡意郵件有關。黑客針對某些特定員工發郵件,以此作為使用APT手法進行攻擊的源頭。
利用防火墻和服務器等系統漏洞來獲取訪問企業網絡的有效憑證。
評論于 2個月前,獲得 0 個贊
操作系統安全機制實現需要以下技術:
智能移動終端惡意代碼檢測技術:針對智能移動終端惡意代碼研發的新型惡意代碼檢測技術,是在原有PC已有的惡意代碼檢測技術的基礎上,結合智能移動終端的特點引入的新技術。在檢測方法上分為動態監測和靜態檢測。由于智能移動終端自身的計算能力有限,手機端惡意代碼檢測經常需要云查殺輔助功能。用手機數據銷毀相應的取證也有著極為重要的應用,在手機取證中,手機卡、內外存設備和服務提供商都是取證的重要環節。
生物特征識別技術:是指用生物體本身的特征對用戶進行身份驗證,如指紋識別技術。英特爾等將其應用于可穿戴設備,近年又新興了如步態識別、臉像識別和多模態識別技術等。可穿戴設備可對用戶的身份進行驗證,若驗證不通過將不提供服務。
入侵檢測與病毒防御工具:在設備中引入異常檢測及病毒防護模塊。由于可穿戴設備中本身的計算能力有限,因此,嵌入在可穿戴設備中的入侵檢測或病毒防護模塊只能以數據收集為主,可穿戴設備通過網絡或藍牙技術將自身關鍵結點的數據傳入主控終端中,再由主控終端分析出結果,或通過主控終端進一步傳遞到云平臺,最終反饋給可穿戴設備,實現對入侵行為或病毒感染行為的警示及阻止。
云容災技術:用物理隔離設備和特殊算法,實現資源的異地分配。當設備意外損毀時,可利用存儲在其他設備上的冗余信息恢復出原數據。如基于Hadoop的云存儲平臺,其核心技術是分布式文件系統(HDFS)。在硬件上,此技術不依賴具體設備,且不受地理位置限制,使用很便捷。
可搜索加密與數據完整性校驗技術:可通過關鍵字搜索云端的密文數據。新的可搜索加密技術應注重關鍵詞的保護,支持模糊搜索,允許用戶搜索時誤輸入,并支持多關鍵詞檢索,對服務器的返回結果進行有效性驗證。為進行數據完整性驗證,用戶無需完全下載存儲在云端的數據,而是基于服務器提供的證明數據和自己本地的少部分后臺數據。未來新的完整性審計技術可支持用戶對數據的更新,并保證數據的機密性。
基于屬性的加密技術:支持一對多加密模式,在基于屬性的加密系統中,用戶向屬性中心提供屬性列表信息或訪問結構,中心返回給用戶私鑰。數據擁有者選擇屬性列表或訪問結構對數據加密,將密文外包給云服務器存儲。在基于屬性的環境中,不同用戶可擁有相同的屬性信息,可具有同樣的解密能力,導致屬性撤銷和密鑰濫用的追蹤問題。
后量子密碼技術:量子計算機的高度并行計算能力,可將計算難題化解為可求解問題。以量子計算復雜度為基礎設計的密碼系統具有抗量子計算優點,可有效地提高現代密碼體制的安全。未來研究將關注實用量子密鑰分發協議、基于編碼的加密技術和基于編碼的數字簽名技術等。
評論于 11個月前,獲得 0 個贊
傳統微服務安全框架有以下缺陷:
侵入性強:想要集成SDK的能力,除了需要添加相關依賴,還需要在業務代碼中增加一部分代碼、注解或配置,防止業務層代碼與治理層代碼界限不清晰。
升級成本高:每次升級都需要業務應用修改SDK版本,重新進行功能回歸測試,并且對每一臺機器進行部署上線。而這對業務方來說,與業務的快速迭代開發是有沖突的,大多數業務方都不愿意停下來做這些與業務目標不太相關的事情。
版本碎片化嚴重:由于升級成本高,而中間件在不停地向前發展,久而久之,就會導致線上不同服務引用的SDK版本不統一、能力參差不齊,造成很難統一治理的局面。
中間件演變困難:由于版本碎片化嚴重,導致中間件在向前演進的過程中需要兼容代碼中的各種各樣的老版本邏輯,帶著“枷鎖”前行,因此無法實現快速迭代。
內容多、門檻高:Spring Cloud被稱為微服務治理框架的“全家桶”,包含大大小小幾十個組件,內容相當多,往往需要用戶花費幾年時間去熟悉其中的關鍵組件。如果將Spring Cloud作為一個完整的治理框架,則需要深入了解其中的原理與實現,否則遇到問題會很難定位。
治理功能不全:不同于RPC框架,Spring Cloud作為治理框架的典型,也不是萬能的,諸如協議轉換支持、多重授權機制、動態請求路由、故障注入、灰度發布等高級功能都沒有被覆蓋到。而這些功能往往是企業大規模落地不可或缺的,因此企業還需要投入其他人力進行相關功能的自研,或者調研其他組件作為補充。
