河南移動雲的安全 雲杉高效保障建設之路

網站內容來源http://server.it168.com/

河南移動雲的安全 雲杉高效保障建設之路

2017-12-13 21:09    原創  作者: 廠商投稿 編輯:
0購買

【IT168 案例】近年來,河南移動的新型数字化業務穩步推進。河南移動雲目前規模大約在2000台服務器,承載移動自有業務及部分政務雲,目前由第三方代為運維。隨着互聯網應用的不斷豐富,視頻、雲計算、物聯網等業務的飛速發展對運營商基礎網絡設施提出了穩定、高效等更高的要求。

隨着IT系統業務種類和用戶數量的快速增長,雲平台虛擬網絡規模和複雜度也隨之增加,使得傳統網絡運維分析工具在雲數據中心虛擬環境中運維分析、故障排查等場景中的應用局限性越來越明顯。為了提高網絡管理效率和新業務響應速度、降低網絡建設和運維成本、簡化網絡結構、最大化利用網絡資源,河南移動引入了SDN。

雲杉網絡DeepFlowTM以雲平台虛擬環境數據為核心,根據業務需求對河南移動雲環境進行高性能的流量採集和基於網流的細粒度分析與控制,為河南移動雲網絡提供理想的網絡解決方案。

 一、 整體解決方案

結合市場調研及當前的私有雲平台網絡狀況分析,河南移動雲平台認識到,缺乏有效的虛擬網絡分析工具和手段將無法對虛擬網絡性能進行管理和安全管理,雲平台的持續、高效、安全運行很難無法保證。目前河南移動雲平台在虛擬網絡監控分析方面存在痛點問題,主要表現在:

1. 缺乏SDN和對接雲平台的能力:現有監控工具無法對接雲平台及基於SDN(Software-Defined Network)軟件定義網絡技術的虛擬網絡,因此無法區分項目網絡或實現對項目網絡流量採集能力;

2. 缺乏雲平台全網可視化能力:包括物理網絡、虛擬網絡以及混合網絡中端到端的可視化;包括生產網絡和業務網絡實時網絡數據以及歷史網絡數據的可視化等;

3. 缺乏雲平台東西向流量採集能力:虛擬網絡的引入或者說網絡軟件化趨勢,使得部分東西向流量直接在宿主機內部完成傳輸,無法在硬件交換機層面獲取到所有流量數據;

4. 缺乏網絡異常感知能力:對業務網絡變更、網絡故障惡化網絡異常的自動感知及告警能力;

5. 缺乏虛擬網絡取證/舉證能力:雲內關鍵業務系統訪問出現故障,無法明確區分是虛擬網絡原因還是系統本身所造成,不能快速定位故障源,也不能對歷史虛擬網絡故障提供責任舉證;

6. 缺乏實例流量採集/輸出能力:雲內關鍵業務系統數據不能實現全部流量鏡像給第三方設備進行分析的能力,如數據庫審計、DPI分析、IDS安全分析等場景;

針對以上存在的問題,雲杉網絡DeepFlowTM對接了河南移動雲平台的多維映射關係,通過流量採集、分析技術能實時的監控分析網絡運行情況,及時發現網絡及應用系統的異常行為,滿足安全管理等場景需求。

二、 客戶價值

針對以上存在的問題,雲杉網絡DeepFlowTM提供強大的網絡分析功能,保障網絡安全、高效、持續運行。實施網絡全流量分析后將對整個業務網絡深度檢查提供有力技術支撐,徹底改變以往的被動式故障處理方式,顯著提高運維管理水平。

自2007年中國移動啟動“大雲”計劃以來,移動通信網絡開始走向敏捷化、開放化和軟件化。2016年中國移動開始推進實施“大連接”戰略,並提出了旨在構建“資源可全局共享調度、容量可彈性伸縮、架構可靈活調整、能力可全面開放”的新一代網絡。河南移動積極響應集團號召,在系統可伸縮性、可擴展性、敏捷性和大規模服務能力方面與雲杉網絡等合作夥伴一起努力探索,採用SDN等先進的技術架構,創新了自身的IT架構、網絡架構、商業模式和運營模式,逐步建成了端到端的基礎設施體系和內容應用體系,進一步提升了體驗和效率,開拓了市場空間。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

河南移動雲的安全 雲杉高效保障建設之路

助力平安城市 新華三安防監控解決方案解讀

助力平安城市 新華三安防監控解決方案解讀

2019-05-08 11:06    原創  作者: 高博 編輯:
0購買

大家應該都有看過警匪片,在影視片段中警察通過視頻監控能夠對城市的各個角落進行全局監控,並對犯罪分子進行實時追蹤。為城市治安防控以及案件偵破提供了極大便利。而在現實生活中,視頻監控系統也的確有着非常重要的作用。

如果仔細觀察就不難發現,監控系統已經無處不在,而這些無處不在的視頻監控組成了一張監控網絡,安防監控已經發展為智慧城市、平安城市等項目中不可或缺的一部分。

但在對安防監控系統使用的同時,我們也要對系統進行全面的考量。高效、易用、穩定、可靠都是對安防監控最為基本的要求,也正是基於監控行業的需求和發展趨勢,新華三深度分析了監控行業的特性和未來的發展,並創新性的推出了監控專用的網絡產品,同時推出了專用的安防監控行業解決方案。

不得不提的是,新華三推出的新一代MS安防交換機能夠支持20%的硬件冗餘、智能的緩存調度、10KV的端口防雷、寬溫(-20°-60°)特性、以及萬兆的性能設計,此外還獲得了公安三所的相關認證。最為重要的一點在於其能夠支持新華三的鷹視網管平台的相關特性。從而完美搭配安防監控場景對於高清、穩定、流暢、可控的訴求。而新華三也正是基於最先進的網絡設備及管理系統,為不同的客戶打造出了最為穩定、可靠、易用、高效的且完全適應場景化的視頻監控網解決方案。

在新華三的安防監控網解決方案中,最為核心的部分當屬鷹視統一管理平台,其能夠對安防監控網絡設備進行整體管控,解決了安防監控網絡看不清、控不住、管不了的難題!其主要功能主要包含以下幾點:

  ●全網掃描,自動納管:主動發包探測網絡中所有在線IP終端納入資產數據庫;

●私接仿冒,識別監控:識別IP終端類型,核查備案發現是否有私接仿冒行為;

 ●有線無線,一網打盡:只要網絡IP可達,接入網絡的終端就可以納入鷹視管控;

●違規終端,下線隔離:可以異常告警,也可以將違規終端下線隔離。

  多場景化應用

為了滿足不同場景的實際需求,新華三安防監控解決方案支持豐富的場景化應用,從智慧城市、平安城市到智能交通、園區監控、景區監控,乃至樓宇監控、电子警察,甚至特種監控,新華三安防監控解決方案都能夠完美支持。

譬如在雪亮工程、商貿聯鎖、酒店聯鎖、多分支園區、中小學等分支結構的使用場景中,新華三能夠提供多分支的安防監控場景方案。

其整網基礎架構主要基於MS監控交換機網絡設備組建而成,核心MS4500系列交換機穩定可靠,滿足了整網高可靠的要求。分支匯聚節點MS4300系列全光口交換機,作為分支節點的核心可帶200路攝像頭,同時光口組網可滿足分支節點下遠距離組網的需求;此外配合鷹視管理軟件,可做到全網掃描、自動納管,私接仿冒、識別監控,有線無線、一網打盡,違規終端、下線隔離的精細化、安全化、可視化的安防監控網解決方案。

當然,除了分支機構的使用場景外,在面對高層商廈、新建樓宇以及高層酒店等多樓層的安防監控場景中,新華三安防監控解決方案同樣適用。

和分支機構場景下的解決方案一樣,其整網基礎架構同樣是基於MS監控交換機網絡設備組建而成。其核心MS4500系列交換機搭載接入交換機(採用無管理設備,上電及組網,方便快捷),同時有POE設備為可受電攝像頭供電,解決了攝像頭供電難的問題;同時配合鷹視管理軟件,從而完成對多樓層的安防監控。

寫在最後

根據介紹,目前,新華三安防監控解決方案已落地園區、公安、交通等行業,並得到用戶的高度認可和肯定。由此不難看出,新華三通過專業的安防監控網絡設備配合專業的鷹視網管平台打造的安防監控解決方案,能夠真正滿足用戶的實際需求,為用戶安防保駕護航!

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

助力平安城市 新華三安防監控解決方案解讀

華為智能安防,過去三個月做了什麼?

華為智能安防,過去三個月做了什麼?

2019-05-30 23:29    來源:廠商稿  作者: 廠商動態 編輯:
0購買

  對於經常出差的我來說,總會遇到各種囧事。記得上個月,當我到達重慶江北機場,順着空氣中的火鍋味欣喜地到達酒店時,瞬間我就懵了:我例行開密碼時,發現行李箱打不開!仔細一看,眼前行李箱不是我的,雖然外觀和我的一模一樣。

  已是半夜,我依然心急火燎地去了機場派出所,隨後按照值班民警給出的流程,先去旅客服務中心調監控。至今還記得在看視頻的一幕幕,當從不同方位和角度看到拿着我行李箱的老兄從容地走出航站樓,我還是深吸一口氣:這位老兄沒有轉機。

  之後重慶機場派出所的值班民警很給力,依照監控信息開始找線索,並在次日上午10點就聯繫到了拿錯箱子的那位老兄,當時的我百感交集,如果有兩面錦旗,一面送給盡心儘力的值班民警,另一面就要送給重慶機場的智能安防系統。

  如今,無論是專業人士還是普通的老百姓,都能夠感受到智能安防帶來的便捷,比如智能安防系統能自動對違法行為進行識別(哪怕是初步的篩選),就可以大大地提高對違法行為的響應時間。

  對於我們普通老百姓而言,當然就是更安全、更便捷的生活:你會發現你的快遞不會失蹤,到得也更快;生活中的不文明行為會更少;你的家變得更加安心,哪怕是你不在的時候。

  隨着安防與AI、網絡技術的不斷結合,安防市場由注重密度、廣度、清晰度向智能化升級,我們可以進而再暢想下,在智能化,雲化的時代下,什麼樣的安防系統讓我們的城市和企業更加智慧安全?

  不妨看華為的戰略的和做法,華為提出的理念是“全棧雲、全智能、全場景”的智能安防,在產品和核心技術上,通過前瞻的設計幫助安防客戶向智能化演進;在市場、渠道建設和生態構建上,從2月到5月,華為在全國各地舉行了主題為“輕雲直上 視界大開”智能安防新品發布暨渠道專場招募會近20場,覆蓋了北京、南京、杭州、福州、四川、廣州等重點省會城市。華為用先進的技術能力,優質健康的政策吸引更多生態夥伴共同推進安防產業向智能演進。

  用前瞻解耦架構 快速精準出擊

  從規模來看,安防行業已經成為在全球範圍內超過200億美金,中國市場超過500億人民幣的大市場,同時,這個市場仍以年均12.4%的增速持續增長。

  作為剛需,安防廣泛應用於平安城市、智能交通、智能樓宇、環保、金融、醫療等行業。據中安協發布的《中國安防行業“十三五”(2016-2020年)發展規劃》指出,“十三五”期間,安防行業將向規模化、自動化、智能化轉型升級,且到2020年,安防企業總收入將達到8000億元左右,年增長率達10%以上。

  從產業發展來看,傳統安防主要聚焦於硬件,產品的耦合性高,靈活性不足,後期的更新和運維成本高昂,而且當硬件發展到一定階段后,真正決定用戶體驗的是內部軟件。

  傳統的安防系統,存在“建而不聯、聯而不用、用而不深”等現象,現有業務為煙囪式架構,無法靈活適配軟、硬件需求,大量社會價值圖像信息尚未有效整合共享,深層應用較少。

  在“看得廣、看得遠、看得清”的基礎上,智能安防要滿足客戶“看得懂”的需求,在海量的視頻數據下,提升有效視頻信息的搜索效率,對視頻數據實施有效的挖掘和分析才是重點。

  在智能化進程中,華為智能安防產品線成為華為公司戰略的主要方向之一,依託多年在視頻解碼算法、網絡傳輸、雲存儲及大數據智能分析方面的技術積累,華為推出全系列智能安防產品,率先實現了架構的開放解耦,並搭載業界領先的AI芯片,用超大算力支撐架構開放帶來的需求變化,使得產品可演進、可升級。

  在技術上,視頻安防也成為華為人工智能最先進應用、業務場景最明確的領域,也是同時匯聚雲計算、大數據、AI的技術聖地,使得智能安防不僅會充分釋放原有市場需求,並且也將再度拓寬安防市場空間。

  向全智能演進 露出高手潛質

  對於智能安防而言,首先要通過智能攝像機提取出有效數據,華為智能安防攝像機與以往的安防攝像機相比有很大不同,華為稱之為“軟件定義攝像機”。

  實際上,軟件定義消除了傳統攝像機以硬件為核心而產生的應用痛點和局限性,加載了不同算法的軟件定義攝像機不僅可以實現不同的功能,最重要的是可以自主學習,藉助算法商店能夠在線升級;軟件定義攝像機可以實現靈活組網,具有社會屬性,實現互助式進化,即協同與算力共享。

  另外,華為軟件定義智能攝像機支持夜間、運動中識別人臉、車輛等目標,可自動識別陰霾、雨霧等複雜天氣,滿足園區、醫院、社區等公共場所監控需要的同時,解決傳統安防系統視頻利用率低、數據不可控等問題。

  從成都到廣州,在近20場發布會中,華為”五星”系列軟件定義攝像機贏得與會人員追捧,每一款產品都具有其獨特的產品優勢,搭載業界最強算力的AI芯片,具備按需定義、分層智能、持續演進的核心特性,賦予攝像機全新生命力。以華為“星像”為例,其每秒200張人臉/幀的計算量,可實現對人群密集區域的實時特徵充分提取、特徵比對等功能。

  除了軟件定義攝像機這個先鋒隊之外,華為希望將智能推向全境。

  為此華為發布視頻雲、智能數據平台和智能指揮平台等方面,為客戶提供更多、更自主的選擇。華為的視頻雲平台CloudIVS系列產品可實現視頻圖像接入、存儲轉發、視頻圖像分析、特徵檢索等功能。可實時特徵提取,實時比對,就近二次解析、特徵檢索,實現本地業務快速閉環,全雲共享,跨域協同。

  未來,華為智能安防將投入千億級研發力量,集結華為在“聯接、存儲、雲計算、芯片、智能、安全”等各個領域最先進的技術,實現華為的獨特價值。

  在我看來,依託首創“軟件定義攝像機(SDC)+智能視頻雲平台+智能大數據雲平台+智能指揮平台”新方案作支撐, 將數據貫穿端雲,將安全深入骨髓,打造出“全棧雲、全智能,全場景”智能安防解決方案助力客戶向智能演進。

  用開放心態 做生態沃土

  在這個“硬件為王,智能初入”的行業,只有擁有足夠的開放度和包容度才可能與時俱進,通過廣泛而強大的生態形成合力,華為希望構建平安城市,推動安防產業全面走向智能化。

  第一,華為正構建開放的生態體系,期望1+1>2,把華為已有的優勢快速整合成能夠被最終用戶所需要的解決方案,給客戶更多空間和靈活度去按需定義應用場景。

  無論是軟件定義攝像機的進化,還是視頻雲平台,華為不遺餘力地打造開放平台,邀請更多的合作夥伴實現方案和業務的互補,進一步推動可視化和智能化的實現。

  第二,在活動中,“華為只做黑土地”的生態原則給了合作夥伴定心丸,華為智能安防渠道招募計劃及政策,同樣受到合作夥伴的一致認可,在近20場智能安防新品發布暨渠道招募,已有大規模渠道夥伴加入華為智能安防大家庭。

  對於分銷合作夥伴來講,華為智能安防提供更優質更完善的解決方案,讓合作夥伴更快的匹配客戶需求,更好的服務客戶;對於ISV來說,華為立足於做好基礎的支撐平台,為各類合作夥伴提供充足養分和陽光,讓專業ISV的各類視頻應用在肥沃的黑土地上生根發芽,百花齊放,結出甜美誘人的果實。

  今年3月初華為發布的“2019年合作夥伴產品銷售拓展激勵計劃”中,智能安防產品的激勵名額和總獎勵金額成為排頭兵。加入到華為智能安防生態體系中的夥伴,當單項目智能安防產品總金額和項目包含的攝像機數量滿足條件時,就有機會獲得頗為豐厚的項目激勵。

  第三,明確清晰的邊界,是華為建設生態圈的承諾,客戶、夥伴、華為各有各的定位和價值,華為提供可靠、高效、端到端的平台,上面承載合作夥伴的各種應用,華為始終堅持與合作夥伴互為依存,打造“客戶+夥伴+華為”命運共同體。

  立足開放、明晰邊界、營造生態圈口碑,讓越來越多的企業願意走進華為的生態圈,打造共贏、穩健的生態環境這也是未來華為智能安防後續渠道建設的重點方向。

  總結來看,未來安防產業的走向可以概括為六個字——“預測、預警、預防”,圍繞這個目標,華為將解耦進行到底,將智能推向全境,將數據貫穿端雲,驅動着整個產業的平台架構、商業模式、用戶體驗、業務形態等各個方面產生顛覆性的變革。

  與此同時,華為希望扮演好“黑土地”的角色,通過開放的生態以最適合的服務與產品,匹配用戶最迫切的需求,讓合作夥伴、客戶可以在這片精心培育的沃土上播種、耕耘,促進安防行業從“洞見”時代進入智能“預見”的時代。

  【彩蛋】

  5月30-31日,“2019華為智能安防生態聯盟同略會”在杭州千島湖召開,匯聚各路安防合作夥伴共同探討智能時代下安防生態戰略建設,領航千億藍海市場。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

華為智能安防,過去三個月做了什麼?

天融信與兆芯達成戰略合作 布局國產化網安產品技術創新

天融信與兆芯達成戰略合作 布局國產化網安產品技術創新

2019-05-16 17:51    原創  作者: 佚名 編輯:
0購買

【IT168資訊】5月16日,天融信科技集團與上海兆芯集成電路有限公司戰略合作簽約儀式在天融信公司舉行,合作雙方將圍繞自主可控深入發展的思路,開展產研合作,主動作為,共同助推天融信兆芯芯片安全產品發展,對國家網絡安全事業的發展亦將起到積極的促進作用。

會上,天融信與兆芯正式簽署戰略合作協議,雙方將基於各自在不同領域所擁有的資源優勢達成品質化戰略合作,在技術創新、產品研發、平台建設、科技交流等方面展開全方位合作。

天融信科技集團高級副總裁楊斌先生表示,作為網絡安全產業的領軍企業,天融信將自主可控作為核心技術發展方向。在戰略層面,率先採用自主可控的信息技術,擺脫對國外信息技術和產品的過分依賴,提升技術產業鏈中關鍵環節的自主性,強化網絡安全整體防護能力,改善網絡安全態勢,積極應對當前網絡安全面臨的嚴峻挑戰與威脅。在技術層面,天融信專註於發展自主核心技術能力,堅定不移地開展技術創新。技術創新是網絡安全企業發展的根本動力和必由之路。從芯片、硬件平台到操作系統,從底層驅動、IPv4/IPv6協議棧到安全引擎,天融信已經掌握全棧國產化核心技術並研製發布一系列自主可控軟、硬件網絡安全產品。

上海兆芯集成電路有限公司副總經理羅勇博士指出,網絡安全概念已經從網絡安全的層面,延伸到了產業安全層面。網絡安全事業的發展,不僅有賴於軟件技術的發展應用,更需要軟件、硬件等各方面因素的深度融合。兆芯與天融信作為產業上下游合作夥伴,共同肩負着振興信息產業、維護網絡安全的重任。兆芯致力於通過堅持自主創新與兼容主流的發展路線,為行業提供安全可靠的國產通用處理器,希望能夠充分利用兆芯CPU國內領先的性能和兼容x86生態的優勢,與天融信緊密協作,持續提升雙方在網絡安全領域的技術積累與行業經驗,塑造共同創新、協同發展、互惠互利的局面。

此次天融信和上海兆芯兩家廠商強強聯合,簽署戰略合作協議,是大勢所趨,具有重要和深遠的意義:雙方將共同打造自主可控安全產品生態鏈,發揮各自在網絡安全領域、芯片領域等方面的優勢,協同上下游產業鏈共建自主可控安全解決方案,推動自主可控技術、產品生態圈的建設,共同為促進自主可控網絡安全產品市場的快速、全面、健康發展貢獻企業力量。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

天融信與兆芯達成戰略合作 布局國產化網安產品技術創新

天威誠信:5G時代,將迎电子認證新機遇

天威誠信:5G時代,將迎电子認證新機遇

2019-05-21 08:25    原創  作者: 高博 編輯:
0購買

隨着互聯網環境的不斷升級,“互聯網+”的概念在各行各業得到了更深入的應用,無論是傳統行業還是政府機關單位,都有越來越多的互聯網行為。國家也在近幾年出台了相應的政策法規,用以提升企業、政府在網絡行為中的可信度與安全性。例如與企業息息相關的網上報稅、工商年檢、報關,與個人相關的社保繳納、公積金管理等政府公共服務,在可信、可追溯、安全性等方面都需要使用特殊的機制來保證,這就是我們所說的电子認證服務。那麼,电子認證服務在政務服務中扮演哪些角色?电子認證如何支撐政務一體化建設?隨着5G時代的到來,电子認證將迎來哪些新的機遇和挑戰?

天威誠信總裁唐志紅髮表演講

  在今年4.29首都網絡安全日展會上,作為有着近20年电子認證服務經驗的北京天威誠信电子商務服務有限公司(以下簡稱“天威誠信”),應邀出席此次大會。會議上天威誠信總裁唐志紅以“电子認證支撐政務一體化的思考與實踐”為主題發表了精彩議題演講,精彩地闡述了當下电子認證領域的發展,以及所面臨的問題。唐志紅表示,在國家政策背景下,推進“互聯網+政務服務”已是互聯網時代大勢所趨,而电子認證作為重要的一環有着不容忽視的作用。

5G時代:機遇還是挑戰?

近年來,關於5G的呼聲可以說是越來越高,WiFi6技術也逐步得到應用,那對於电子認證行業來講,5G和WiFi6等技術的普及應用是機遇還是挑戰?

對於5G推出后电子認證行業的發展,唐志紅先生非常有信心。他認為,新技術的應用對於电子認證行業來講機遇大於挑戰。“在3G、4G網絡時,电子認證行業就得到飛速發展。”他提到,2005年《中華人民共和國电子簽名法》頒布並實施之後,初步確立了电子認證行業,电子認證行業伴隨着3G/ 4G網絡的發展與應用,得到了蓬勃發展。

2012年之後,电子認證(特別是电子簽名)的應用發展速度很快,核心是互聯網絡的飛速發展,使得更多的應用實現在線,業務從PC端轉移到移動端,更加需要考慮業務的安全可信保障。因此不難預測,5G推出後會對电子認證的應用在以下幾個方面起到推進作用:

首先5G的推出能夠解決性能方面的問題,此前由於性能問題,一些企業對安全防控手段進行了適當降低,5G的推出完美解決了性能和資源的難題。

其次,5G的推出會帶來新的業務需求。5G推出后,物聯網、車聯網勢必得到大規模應用,但物聯網的應用會帶來更多的安全問題,發生安全問題后的追責成為用戶新的業務需求。而在工控層面,以攝像頭為例,近年來以攝像頭為節點的攻擊事件越來越多,採用怎樣的機制可以對攝像頭進行標記等問題都是5G推出后电子認證未來應用的空間和市場 。

最後,從業務角度來講,國家始終大力提倡政務一體化,很多業務從線下搬到線上,5G則會讓這些業務更加開放、方便的使用。在使用的過程中需要對身份進行防控,並保證流程節點的正常運行。唐志紅先生表示,只有通過电子認證的支撐,建立網絡空間安全可信支撐環境,才能保證身份是可信的,行為是可控的,結果是可追溯的,從而保證業務的流程更有效的運轉。

而除了5G等新技術的推出,电子簽名法以及網絡安全法的發布實施和不斷修訂也進一步促進了电子認證行業的發展。

 天威雲重磅發布

隨着电子認證2.0時代的到來,網絡身份已經成為互聯網的重要戰略資源,电子認證服務模式和認證方式也在發生巨大變化,雲技術的普及無疑會推動电子認證服務的巨大變革。基於這一背景並依據《中華人民共和國电子簽名法》,天威誠信為了滿足更多企業用戶的應用需求,藉助本屆4.29首都網絡安全日,重磅發布了“天威雲电子認證服務平台”。

天威雲平台發布會現場

  天威雲(iTrusCloud)基於密碼基礎設施,為互聯網應用平台及合作夥伴提供电子認證應用能力支撐,打造“權威可信、共生共贏、開放共享”的电子認證應用生態圈。

平台不僅具備面向各類網絡應用提供以證書服務、密鑰服務、實名認證服務、時間戳服務、簽約服務、存證服務、取證服務、簽章服務、短信服務、生物身份識別、SSL證書為核心的技術服務能力,還提供鑒證服務、發票服務、訂單服務、解鎖服務、計費服務、統計服務、監控服務、在線支付等支撐服務能力,旨在創建安全誠信的網絡環境,促進数字經濟健康有序發展。

  ●標準接口:平台建立統一的平台規範接口標準,通過統一的API對接,企業系統可在統一的框架內按照數據標準對接平台。

  ●靈活架構:平台以微服務架構為基礎,各服務、產品模塊架構分離,採用分佈式部署,多級負載均衡策略,確保用戶靈活動態擴展。

  ●數據監測:平台可實現對數據的實時監測,保證企業核心管理數據的有效收集、傳輸,利用大數據分析技術輔助客戶提高智能化管理水平。

根據天威誠信官方介紹,作為專業的电子認證服務平台,目前天威雲服務範圍已全面覆蓋政務、銀行、證券、保險、互聯網金融、电子支付、电子商務、招投標等行業。

  未來規劃

不難看出,無論是新技術的推出還是法治的完善,對电子認證行業都起到了十分積極的作用。在如此利好的大背景下,天威誠信又有着怎樣的發展規劃呢?唐志紅先生表示,天威誠信的目標是面向網絡空間,提供網絡信任服務,成為該領域領先的服務商。除了打造現有服務,還將進一步延展業務:

第一,針對網站可信,天威誠信將和國外認證服務商合作,並引入服務產品,結合中國國家密碼政策管理要求,打造自己的業務體系,從而打造既符合國際要求又符合中國密碼政策要求的網站認證服務體系。

第二,电子簽名目前更多的是以技術服務形態提供服務,而未來电子簽名的發展方向是幫助用戶在官司中追回損失。天威誠信將加強和第三方司法機構的合作,保證從證據生成、傳輸、存儲、取證到使用的整個流程,都能夠利用天威誠信基於國家授權的可信电子認證服務,為用戶、依賴方及其他參與者提供不同級別的、符合證據審查規則的在線法律服務,幫助有效規避風險、及時止損、迅速維權。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

天威誠信:5G時代,將迎电子認證新機遇

5大關鍵因素助力企業選擇DDoS緩解網絡

5大關鍵因素助力企業選擇DDoS緩解網絡

2019-06-10 14:01    原創  作者: 高博 編輯:
0購買

DDoS緩解服務不僅僅只是技術或服務保障。底層網絡的質量和適應能力才是企業防禦系統中的關鍵組件,必須對其進行細緻評估,以確定其能在多大程度上保護企業免受複雜DDoS攻擊的侵擾。

以下就是評估DDoS清洗網絡時需要注意的5大關鍵因素。

  超大容量

當涉及到大流量DDoS攻擊防護時,規模就很重要。過去十年間,DDoS攻擊的容量一直在穩步增長,每年都會達到新的攻擊量(和規模)。

迄今為止,最大的DDoS攻擊是針對GitHub的基於memcached的DDoS攻擊。此次攻擊的峰值達到了約1.3兆位/秒(Tbps)和1.26億數據包/秒(PPS)。

為了抵禦這一攻擊,清洗網絡不僅必須具備足夠容量來‘覆蓋’攻擊,而且還必須擁有足夠的溢出容量來容納網絡上的其他客戶以及可能同時發生的其他攻擊。最好是尋找至少具備高於迄今所觀察到的最大攻擊容量2-3倍的緩解網絡。

  專用容量

然而,僅僅擁有大容量還是不夠的。專用於DDoS清洗的容量同樣重要。許多安全提供商,尤其是那些採用‘邊緣’安全方法的提供商,都是依靠內容分髮網絡(CDN)的容量來進行DDoS攻擊緩解的。

然而問題是,按照慣例,多數容量已經被使用。CDN提供商也不願意為未使用容量買單,因此CDN帶寬利用率通常可以達到60-70%,且經常會達到80%或以上。因此,為大規模DDoS攻擊帶來的‘溢出’流量留下的空間就會很小。

因此,將重點放在那些容量專用於DDoS清洗並且可以與CDN、WAF、或負載均衡等服務隔離的網絡上才是更明智的做法。

  全球覆蓋

企業部署DDoS緩解解決方案是為了確保服務的可用性。可用性的一個日益重要方面就是響應速度。也就是說,問題不僅僅只是服務的可用性,還有服務的響應速度有多快?

雲端DDoS防護服務將客戶流量發送到服務提供商的清洗中心,清除惡意流量,然後將潔凈流量轉發到客戶的服務器。因此,這一過程不可避免地增加了一定的用戶數據傳送延遲。

影響延遲的一個關鍵因素是與主機之間的距離。因此,為了將延遲降至最低,清洗中心必須盡可能地靠近用戶。這隻能通過遍布全球的網絡來實現,該網絡在戰略通信中心部署了大量清洗中心,可以大規模訪問高速光纖連接。

因此,在檢查DDoS防護網絡時,不僅要查看容量,還要查看清洗中心的數量及其分佈情況。

  任播路由

影響響應時間的一個關鍵因素就是網絡本身的質量及其後端路由機制。為了確保實現最大速度和適應能力,現代安全網絡必須是基於任播路由的。

基於任播的路由可以在IP地址和網絡節點之間建立一對多的關係(即,多個網絡節點具有相同的IP地址)。當請求發送到網絡時,路由機制會根據最小成本路由原則確定哪個網絡節點是最佳的目的地。

可以根據跳數、距離、延遲或路徑成本考慮來選擇路由路徑。因此,來自任意給定點的流量通常會被發送到最近和最快的節點。

任播有助於提高網絡中流量發送的速度和效率。基於任播路由的DDoS清洗網絡也具備這些優勢,從而為最終用戶帶來更快的響應和更低的延遲。

  多重冗餘

最後,在選擇DDoS清洗網絡時,備份也是很重要的。DDoS防護服務的全部意義就是確保服務的可用性。因此,企業不能讓DDoS防護服務或其中的任何組件成為單個故障點。這就意味着安全網絡中的每個組件都必須擁有多個冗餘備份。

這不僅包括多個清洗中心和溢出容量,而且需要多個冗餘的ISP鏈路、路由器、交換機、負載均衡器、緩解設備等。

所有組件都具備多重冗餘的網絡才可以隨時確保完全的服務可用性,並確保企業的DDoS緩解服務不會成為企業的單個故障點。

  提出質疑

除了技術和服務,底層網絡也是雲安全網絡的重要組成部分。以上五個因素概括了企業應該通過哪些重要指標來評估提供潛在DDoS防護服務的網絡。

向企業的服務提供商或任何正在評估的服務提供商詢問其每個指標的相關能力,如果對他們的答案不滿意,那麼企業就應該考慮尋找替代方案了。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

5大關鍵因素助力企業選擇DDoS緩解網絡

Fortinet 推出集成化SD-WAN解決方案 構建下一代企業網

Fortinet 推出集成化SD-WAN解決方案 構建下一代企業網

2019-05-31 10:55    原創  作者: 高博 編輯:
0購買

由於能夠幫助用戶降低廣域網(WAN)的開支,並提高網絡連接的靈活性和擴展能力,軟件定義廣域網網絡(SD-WAN)獲得了企業客戶的普遍歡迎,SD-WAN 的市場“藍海”迅速在向“紅海”進行轉變。在擁擠不堪的 SD-WAN 市場中,Fortinet認為,用戶不僅需要滿足體驗質量、網絡性能、擴展性等方面的需求,還需要應對嚴苛的安全挑戰。基於此理念,Fortinet實現了專業 SD-WAN 設備與下一代防火牆 (NGFW) 的融合集成,為不同網絡規模的應用場景提供了高性能、強安全性、高擴展性、應用感知的 SD-WAN 能力。

集成化的 SD-WAN 方案成為大勢所趨

與傳統網絡體系相比,SD-WAN 建立於透明、可控、可預測的白盒體系,可以定義與虛擬化出需要的網絡資源,具備靈活組網、快速開通、快速入雲、集中管控、增值服務等諸多優勢,可以有效應對複雜的網絡業務,並成為當前網絡演進的重要方向。據Gartner預測,到2019年底,30%的企業將在其分支機構中部署SD-WAN,5年內出現規模化商用。CBInsight的研究報告也显示,SD-WAN已經成為2019年企業最優先選擇採用的IT技術。

由於 SD-WAN 與傳統網絡架構存在着很大的差異,網絡入口變得更多、應用環境更加靈活,這也對於其安全性、性能等方面帶來了額外的挑戰。Fortinet中國區總經理李宏凱指出:“SD-WAN是一種跨界技術,傳統網絡廠商在這個領域優勢並不明顯,而用戶在網絡基礎上對應用識別、安全、體驗質量、性能等多方面的需求,給予了Fortinet巨大的機會。而且在傳統的網絡架構中,安全和大網絡設計是分開的,而SD-WAN把WAN變成了LAN,安全問題一下會暴露出來,Fortinet直接將安全融入到基礎網絡架構中,使用戶不用再單獨思考安全的建設,這樣一體化的設計,對企業網絡安全建設的有效性會起到極大的促進作用。”

目前,集成化的 SD-WAN 解決方案已經成為網絡行業演進的一個顯著趨勢。通過集成化 SD-WAN 解決方案的部署,用戶不僅能夠獲得安全性、擴展性、性能、成本等方面的能力,還可以獲得網絡能力的一站式交付,同時實現統一運維與管理,促進網絡運維的持續簡化。

 “SD-WAN + NGFW” Fortinet推出集成化 SD-WAN 解決方案

基於集成化的理念,Fortinet推出了Secure SD-WAN 解決方案,該方案包括同類最佳的下一代防火牆(NGFW)、SD-WAN、高級路由和WAN優化功能,在統一產品中提供了由安全驅動的廣域網絡邊緣轉換。在安全層面,Fortinet擁有可覆蓋整個攻擊平面的安全能力,而且支持多種安全SD-WAN架構,在NSS實驗室為軟件定義廣域網進行的首次測試中,獲得了“推薦”評級;在性能、成本等方面,Fortinet的SD-WAN 專業芯片可帶來相較傳統設備高達10倍的性能提升,同時在VoIP和視頻流量的體驗質量、互聯性能和性價比方面均名列前茅。

Fortinet中國區技術總監張略指出:“Fortinet Secure SD-WAN 解決方案的突出優勢在於,其擺脫了當前 SD-WAN 市場各類型解決方案各自孤立的現狀,在整合的平台中提供了優秀的安全性、擴展性、高性能與統一管理的能力。對於用戶來說,其無需在 SD-WAN 的整合方面耗費時間與精力,就能夠得到經過驗證與優化的 SD-WAN 解決方案。”

Fortinet Secure SD-WAN解決方案概覽

  要部署 SD-WAN,不同網絡應用場景下有着不同的需求,針對小規模網絡應用場景與大企業分支互聯應用場景,Fortinet提供了對應的解決方案:

在零售、物流、小型金融分支機構、連鎖門店等單體規模較小的應用場景,Fortinet基於 SD-WAN 與備受好評的“安全接入(Secure Access Architecture)”解決方案 的融合,發布了全新的SD-Branch(軟件定義分支機構)解決方案,可幫助分支辦公室建立基礎網絡,並支持在單一的管理控制台上管理整個廣域網絡,使用FortiGate作為SD-WAN CPE設備、NGFW和有線無線一體化管理器,實現 SD-WAN 的敏捷、安全、低成本部署與運維。

在大企業分支互聯場景,Fortinet一貫的性能體驗,能夠滿足大分支,甚至是大數據中心之間的SD-WAN互聯需求,並對應用可見性、基於策略的流量控制、加密數據包檢測和VPN可擴展性進行了全方位的提升。

目前,Fortinet正在將 SD-WAN 能力融入到更為廣泛的產品與解決方案之中,在Fortinet新推出的操作系統 FortiOS 6.2版本中,顯著提升了SD-WAN 功能,為SaaS、VoIP和其他商業關鍵應用程序的粒度控制提供應用程序優先級。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

Fortinet 推出集成化SD-WAN解決方案 構建下一代企業網

360瀏覽器批准Google六項入根申請,推進行業根證書計劃合作

360瀏覽器批准Google六項入根申請,推進行業根證書計劃合作

2019-05-31 22:29    原創  作者: 高博 編輯:
0購買

日前,Google向360瀏覽器申請的6個根證書資質以及合法性檢查均已通過驗證,360將正式信任Google請求預置的6個證書,並安排入根,隨360瀏覽器正式版本發布。自2018年360瀏覽器宣布推出自有根證書計劃后,即致力呼籲行業根證書計劃合作,形成行業統一標準,推動CA認證技術改造,增強對證書問題的應對能力,進一步保障用戶上網安全。

360瀏覽器信任的根證書列表如下:

目前360瀏覽器根信任庫的吸引的頭部CA公司,佔據互聯網流量90%以上。

2017年1月,Google宣布推出自有CA根證書,擺脫對由第三方簽發的中級證書頒發機構的依賴。

2018年12月,360瀏覽器宣布創建自有根證書計劃,全面提升用戶上網的安全性,成為國內首家創建自有根證書的瀏覽器廠商。360瀏覽器根證書計劃默認信任操作系統信任的根證書,同時也會配置自己的根信任庫作為系統根信任庫的補充。CA公司申請加入360瀏覽器根證書計劃,360不會收取任何費用。

目前360瀏覽器在國內擁有超過4億的活躍用戶,市場滲透率達到82%,是國內市場佔有率第一的瀏覽器產品。其不可撼動的市場地位及10餘年沉澱下來的技術實力,以及開放、公開、透明的入根原則,吸引了諸多全球頭部CA公司主動入根,此次Google向360瀏覽器申請6個根證書資質已是最直接的證明。

此外,360安全瀏覽器已全面支持中標麒麟、銀河麒麟、中科方德、深度等安全可靠操作系統,龍芯、兆芯、飛騰、海光等CPU,完美兼容超過10個操作系統,5種CPU。對進入360信任根的数字證書公司而言,等同於在Windows XP 到Windows 10 , Linux , Mac , 中標麒麟、銀河麒麟、深度、中科方德等操作系統獲得数字證書的信任。

未來,360安全瀏覽器也將推出雙證書方案,即一個網站可以部署兩種證書,並優先支持國密算法,保證安全性的同時推動國密根證書發展。

作為國內首家也是唯一一家創建自有根證書的瀏覽器廠商,360呼籲其他瀏覽器加入根證書計劃,形成國內統一的證書報備和入根標準,方便對信任的根及時管理並做出緊急預案。同時期望有關部門針對根證書計劃頒布具體規則,實施統一規範,360將第一時間全力支持。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

360瀏覽器批准Google六項入根申請,推進行業根證書計劃合作

持續保護:深信服等保2.0解決方案解讀

持續保護:深信服等保2.0解決方案解讀

2019-05-31 13:44    原創  作者: 高博 編輯:
0購買

今年5月13日,國家市場監督管理總局召開新聞發布會,網絡安全等級保護制度2.0國家標準(下稱“等保2.0”)正式發布!並將於2019年12月1日正式實施。

說到等保2.0我們不得不談到等保1.0。等保1.0主要包括《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》,分別於2007年和2008年頒布實施。

而本次發布的等保2.0主要包括《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》以及《信息安全技術 網絡安全等級保護安全設計技術要求》三部分。對於企業來講,等保2.0的發布將加強對網絡運營者的要求規範,也對新技術和新應用的等級保護規範進行了相關完善。

  不做等保就是違法!

網絡安全等級保護制度是國家網絡安全領域的基本國策、基本制度和基本方法。隨着信息技術的發展和網絡安全形勢的變化,等保2.0在等保1.0的基礎上,注重全方位主動防禦、動態防禦、整體防控和精準防護,實現了對雲計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象全覆蓋,以及除個人及家庭自建網絡之外的領域全覆蓋。等保2.0的發布,對加強我國網絡安全保障工作,提升網絡安全保護能力具有重要意義。

除此之外,對於企業來講,等保2.0的發布又有怎樣的意義?總結起來主要包含以下三方面:

●滿足合法合規要求,清晰化責任和工作方法,讓安全貫穿全生命周期;

●明確組織整體目標,改變以往單點防禦方式,讓安全建設更加體系化;

●提高人員安全意識,樹立等級化防護思想,合理分配網絡安全投資。

此外,隨着等保的發布實施,等級保護也由之前的基本制度、基本國策,上升為法律。根據《網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列全保護義務:保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。直白點說,不做等保就是違法!

  從1.0到2,0:等級保護五大變化

大家可能會問,相較於等保1.0來講,等保2.0有哪些變化?解答這個問題前我們不妨一起來了解下等級保護的發展歷程,從等保1.0到等保2.0主要包括以下幾個階段:

為了對傳統的安全思維進行拓展轉變並適應新型的系統形態和網絡架構,等保2.0對現有等保體系進行了完善升級,推出了全新的等級保護安全框架:

深信服安全專家表示,相對於等保1.0來講,等保2.0的變化主要體現在以下五個層面:

●名稱變化:等保2.0將先前《信息安全技術 信息系統安全等級保護基本要求》修改為《信息安全技術 網絡安全等級保護基本要求》,將等級保護上升到了網絡空間安全層面。

  ●定級對象變化:在等保1.0的定級對象(信息系統)基礎上,加入了基礎信息網絡、雲計算平台、大數據平台、物聯網系統、工業控制系統、採用移動互聯技術的網絡等多個定級對象。

 ●安全要求變化:由先前的安全要求轉變為安全通用要求與安全擴展要求(包括雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求)。

●控制措施分類結構變化:和等保1.0一樣,等保2.0依舊包含技術和管理兩個維度。但在技術層面,從先前物理、網絡、主機、應用以及數據方面的安全,變為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境以及安全管理中心幾部分。管理要求層面將先前安全管理制度、安全管理機構、人員安全管理、系統建設管理以及系統運維管理轉變為安全管理制度、安全管理機構、安全管理人員、安全建設管理以及安全運維管理。

 ●內容變化:內容層面在等保1.0的五個規定動作(定級、備案、建設整改、等級測評以及監督檢查)的基礎上加入了新的安全要求(風險評估、安全監測、通報預警、態勢感知等)。

  深信服等保2.0解決方案:持續保護

由此可見,等保2.0的發布對企業提出了很多新的要求,對企業網絡安全合規性提出了新的挑戰。面對新的等保要求,很多企業對此叫苦不迭,僅僅依靠自身力量恐無法滿足等保2.0的各項要求。

作為安全領域的佼佼者,深信服深知用戶痛點問題和實際需求,為了幫助用戶滿足等保2.0的合規要求,深信服推出了全新的等保2.0解決方案。

在等保2.0方面,深信服有着自身獨特的價值主張,即持續保護,其解決方案主要包含以下幾點特性:

 安全可視:採用可視化設計,提供多維度安全報表為安全決策提供數據支撐,提升組織安全管理效率。

協同防禦:參照預測、防禦、檢測、響應的安全模型,加強了雲防護、威脅情報的聯動,構建本地協同、雲端聯動的動態保護體系。

 持續檢測:對企業核心資產、各類威脅與違規行為,網絡東西向、南北向流量進行持續檢測分析,提升網絡整體安全保護能力。

目前,深信服等保2.0解決方案已完美應用到政府、教育、醫療、企業等行業。通過該方案的部署,幫助用戶完全滿足了等級保2.0提出的各項合規性要求,規避了合規性風險。

深信服安全專家表示,深信服推出的等保2.0解決方案踐行了最新的安全理念,提倡“持續保護”的核心價值。以可視化方式看清資產、理清業務關係,看懂威脅、識別安全風險;對網絡中各類風險進行持續檢測,將安全運營工作化繁為簡;通過深信服雲安全平台構建本地協同、雲端聯動的動態保護體系,讓客戶真正能夠通過等級保護來提升安全保護能力的實際價值。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

持續保護:深信服等保2.0解決方案解讀

0day漏洞組合拳:詳細分析一款惡意PDF樣本

網站內容來源http://server.it168.com/

0day漏洞組合拳:詳細分析一款惡意PDF樣本

2018-05-21 09:32    來源:安全客  作者: Anton Cherepanov 編輯:
0購買

  一、前言

2018年3月末,ESET研究人員發現了一款非常有趣的惡意PDF樣本。經過仔細研究后,我們發現該樣本利用了之前未知的兩個漏洞:Adobe Reader中的一個遠程命令執行漏洞以及Microsoft Windows中的一個權限提升漏洞。

這兩個漏洞組合起來威力巨大,攻擊者可以通過這種方式在存在漏洞的目標上以盡可能高的權限來運行任意代碼,並且整個過程很少需要用戶交互。APT組織通常會使用這種組合拳來發起攻擊,比如去年的Sednit攻擊活動就是非常好的一個例子。

在發現這款PDF樣本后,ESET第一時間聯繫了微軟安全響應中心(MSRC)、Windows Defender ATP研究團隊以及Adobe Product安全事件響應團隊,並與這些單位一起協作,直至漏洞被成功修復。

Adobe以及微軟也提供了相應補丁及安全公告,分別如下:

APSB18-09

CVE-2018-8120

受影響的相關產品版本信息如下:

Acrobat DC (2018.011.20038及更早版本)

Acrobat Reader DC (2018.011.20038及更早版本)

Acrobat 2017 (011.30079及更早版本)

Acrobat Reader DC 2017 (2017.011.30079及更早版本)

Acrobat DC (Classic 2015) (2015.006.30417及更早版本)

Acrobat Reader DC (Classic 2015) (2015.006.30417及更早版本)

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

本文介紹了這款惡意樣本以及所利用漏洞的技術細節。

  二、簡介

PDF(Portable Document Format)是一種电子文檔文件格式,與其他常見文檔格式一樣,攻擊者可以利用該類型文件將惡意軟件傳播至受害者主機。為了執行惡意代碼,攻擊者需要尋找並利用PDF閱讀器軟件中的漏洞。現在有多款PDF閱讀器,其中最常用的就是Adobe Reader。

Adobe Reader軟件中有一個安全功能:沙箱(sandbox),也稱為保護模式(Protected Mode)。Adobe在官方博客上分四部分(Part 1、Part 2、Part 3、Part 4)詳細介紹了沙箱的具體實現。沙箱使漏洞利用過程更加困難:即使攻擊者可以執行代碼,還是必須繞過沙箱的保護機制才能突破運行Adobe Reader的計算機。通常情況下,攻擊者需要藉助操作系統本身的漏洞來繞過沙箱保護機制。

當然攻擊者可以同時找到Adobe Reader軟件以及目標操作系統中的漏洞並編寫利用程序,不過這種情況非常罕見。

三、CVE-2018-4990:Adobe Reader的RCE漏洞

惡意PDF樣本中嵌入了一段JavaScript代碼,用來控制整個漏洞利用過程。一旦PDF文件被打開,JavaScript代碼就會被執行。

在漏洞利用開頭階段,JavaScript代碼開始操控Button1對象,該對象包含一個精心構造的JPEG2000圖像,該圖像會觸發Adobe Reader中的雙重釋放(double-free)漏洞。

▲圖1. 操控Button1對象的JavaScript代碼

  JavaScript代碼中用到了堆噴射(heap-spray)技術以破壞內部數據結構。在這些操作都完成后,攻擊者就實現了他們的主要目標:從JavaScript代碼中實現內存的讀取及寫入。

▲圖2. 用來讀取及寫入內存JavaScript代碼

  利用這兩種方法,攻擊者成功定位EScript.api插件的內存地址,而該插件正是Adobe JavaScript的引擎。利用該模塊的彙編指令(ROP gadgets),惡意JavaScript成功構造了一條ROP鏈,可以執行本地shellcode。

▲圖3. 惡意JavaScript成功構造ROP鏈

  最後一步,shellcode會初始化PDF中內嵌的一個PE文件,將執行權遞交給該文件。

四、CVE-2018-8120:Windows權限提升漏洞

成功利用Adobe Reader漏洞后,攻擊者必須打破沙箱保護機制,而這正是我們即將討論的第二個利用代碼的目的所在。

這個未知漏洞的源頭在於win32k Windows內核組件中的NtUserSetImeInfoEx函數。更具體一些,就是NtUserSetImeInfoEx的SetImeInfoEx子例程沒有驗證數據指針的有效性,允許某個NULL指針被解除引用(dereference)。

▲圖4. 反彙編后的SetImeInfoEx例程代碼

  如圖4所示,SetImeInfoEx函數的第一個參數為指向經過初始化的WINDOWSTATION對象的指針。如果攻擊者創建了一個新的window station對象,並將其分配給用戶模式下的當前進程,那麼spklList就會等於0。因此,映射NULL頁面並將指針設置為偏移量0x2C后,攻擊者就可以利用這個漏洞寫入內核空間中的任一地址。需要注意的是,從Windows 8開始,用戶進程不能再映射NULL頁面。

既然攻擊者具備任意寫入權限,他們就可以使用各種方法實施攻擊,不過在我們分析的這個例子中,攻擊者選擇使用Ivanlef0u以及Mateusz “j00ru” Jurczyk和Gynvael Coldwin介紹的一種技術。攻擊者重寫了全局描述符表(GDT,Global Descriptor Table)來創建Ring 0的一個call gate)(調用門)。為了完成這個任務,攻擊者使用SGDT彙編指令獲取了原始的GDT信息,構造自己的表然後使用前面提到的漏洞重寫了原始的表。

隨後,漏洞利用程序使用CALL FAR指令執行了跨權限級別的調用。

▲圖5. 反彙編后的CALL FAR指令

  一旦代碼在內核模式執行,漏洞利用程序就會使用system token(令牌)替換掉當前進程的token。

  五、總結

當PDF樣本提交到公共惡意樣本庫時,ESET研究人員就發現了這款樣本。彼時樣本並不包含最終的攻擊載荷,這表明當時樣本很有可能處於早期研發階段。雖然當時樣本並不包含真正的惡意載荷,仍有可能處於早期研發階段,但這也告訴我們樣本的作者在漏洞發現及漏洞利用方面具備較高的水平。

  六、IoC

ESET檢測標識:

JS/Exploit.Pdfka.QNV trojan

Win32/Exploit.CVE-2018-8120.A trojan

樣本SHA-1哈希:

C82CFEAD292EECA601D3CF82C8C5340CB579D1C6

0D3F335CCCA4575593054446F5F219EBA6CD93FE

, ,
網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

0day漏洞組合拳:詳細分析一款惡意PDF樣本