01 前言 在大多数互联网公司,安全建设的主要精力都投入在业务网安全上,办公网往往成为短板。为避免教科书式的理论说教,本文以攻防的角度,以中型互联网公司为例,讨论下办公网安全建设。这里的办公网是狭义的
系统环境描述 System information System: Ubuntu 14.04Current User: git Using RVM: no Ruby Version: 2.1.5p273 Gem Version: 2.2.1Bundler Version:1.5.3Rake Version: 10.3.2Sidekiq Version:3.3.0GitLab information Version: 7.8.1Revision: e2d785c Dire
分享之前我想先简单介绍一下我们公司,趣加是一家游戏公司,主要了是面向海外市场,所以有很多同学了可能没有听过我们公司;但喜欢玩游戏的同学可能听过一个战队,就做fpx那其实就是我们公司的一个战队。
作为公司核心资产的相关代码、文档存在于我们的办公环境中,许多公司都明文规定不能将这些核心资产散播,但是很多时候我们的电脑存在许多的威胁,比如钓鱼网站,盗号木马等等。 前段时间传出了英伟达的核心代码泄露遭受威胁,英特尔也有一部分的核心机密遭受泄露,这些触目惊心的案例时刻提醒着我们需要注重办公网络的安全性。
时代变了。在管理员工上网行为、给员工电脑杀毒之前,先把DNS解析抓起来才是正经事。
在复杂的网络环境下,总会遇到办公网络因为端口放通问题无法访问生产网或其他网段的服务,可以通过部署Nginx服务实现跨网段的多个服务反向代理(确保Nginx所在服务器需要与办公网和生产网及其它网络是畅通的),解决现有网络访问问题。本篇文章Fayson主要介绍如何使用Nginx为Cloudera Manager服务设置反向代理。
LogiKM(改名KnowStream) 是滴滴开源的Kafka运维管控平台, 有兴趣一起参与参与开发的同学,但是怕自己能力不够的同学,可以联系我,当你导师带你参与开源! 。
云办公又称远程协同办公,是指基于云计算应用模式的办公平台服务,具有应用轻量化、终端多样化、资源共享性、沟通协同性等新型特征,可实现随时随地的多终端灵活办公。
目前广泛采用的两种权限模型:基于角色的访问控制(role-based access control RBAC)和基于属性的访问控制(attribute-based access control ABAC)
最近经常遇到内部客户、外部客户使用Kibana内网访问ES集群的时候出现各种问题,因为涉及的流程比较多,今天特花点时间梳理一下这部分内容。
从历史发展的角度看,安全域隔离一直是传统安全领域广泛采用的防御手段,比如起建于春秋战国期间的边塞长城一直延续至明末都在发挥巨大作用,坚城巨塞外围都会建设起高高城墙、宽宽的护城河等等,无论长城还是城墙,它们的目的都是为了形成关里关外、城里城外两个安全域,以便于实施统一的防护策略,也是为了方便同一安全域内的实体能够相对比较容易沟通及联系。
概述 安全域隔离是企业安全里最常见而且最基础的话题之一,目前主要的实现方式是网络隔离(特别重要的也会在物理上实现隔离)。对于很小的公司而言,云上开个VPC就实现了办公网和生产网的基础隔离,但对于有自建的IDC、网络基础设施甚至自己构建云基础设施的大型公司而言,网络隔离是一项基础而复杂的安全建设。基础在这里的意思并非没有技术含量,而是强调其在安全体系里处于一个根基的位置,根基做不好,上层建设都不牢靠。 隔离的目标是为了抑制风险传播的最大范围,使受害范围限定在某个安全域内,类似于船坞的隔离模式,一个仓进水不
我,是一名研发型企业研发工程师,我们公司为了防止敏感数据泄露,所以实施了网络隔离,划分了研发网和办公网。所以,我有两台电脑,一台电脑连接研发网,一台电脑连接办公网。
1.需建设安全相关基础设施和系统,以具备解决相关安全问题的能力。
现如今,人们的生活处处离不开网络。企业办公信息化对网络的依赖则更大。为了提升安全管理和信息化水平,很多企业不仅建设了完善的办公信息系统,还部署了视频监控。但由于缺乏整体规划,或选择网络产品时考虑欠周,导致网络建设没有达到预期效果,后续出现很多应用问题。
即便现如今疫情已无去年那么凶猛,不少企业开始复工,但远程办公却早已成为常态,新冠疫情对全球企业处理远程工作以及未来业务支撑架构产生了重大影响。
环境管理是我们日常工作中比较复杂的一环,主要是因为涉及内容比较多,程序、配置、数据都会涉及,如果是开发、测试环境,还会涉及到测试数据造数、系统刷数据、不同的人使用、锁定、转让、释放等问题。下面我将会从环境分类、环境建设的难点,以及最后如何解决这些难点来讲述研发效能之环境建设。
在管理控制台的部署容器页面,点击复制用户接入容器运行命令,在服务器上粘贴执行
网闸:属于物理隔离的双主机设备,使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。(来源于百度百科)
公司、学校、云服务等一般需要将内外网进行分离,如果想要从外部网络访问某些内部应用,通常需要使用公司、学校、云服务提供的专用网络接入服务。国内公司、学校比较常用的是由深信服开发的 Easy Connect,一种 SSL VPN 技术的实现。虽然每年需要支付一定的费用来维护、升级 Easy Connect 服务,但是毕竟它能够提供比较细粒度的权限控制,比如说对目标 IP、目标端口的特别指定,能够有效保护内网服务器只有 Web 应用本身能被用户接入,而类似于 SSH 等服务及端口则可以通过单独申请和配置来实现。总而言之,除了需要付费,似乎没有什么不好的地方。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、可控性和可审查性的相关技术都属于网络安全的研究范畴。
机房搬迁,肯定是要把机房里面运行的所有设备,包括交换路由、防火墙、服务器这些从老的机房下架,再把它们安装的新的机房里面。在设备搬运途中,设备肯定是要断电的。但如果有工程师对客户说,在搬机房的过程中能做到网络不中断,你信不信?
2016年09月09日 11:41:48 Ijuan_0712 阅读数 11891 文章标签: windows双网卡通信设置路由设置windows路由详解route 更多
据说今年的攻防演练马上又要开始了,很多企业都开始了前期的准备工作。资产的梳理,暴露面收敛是前期必须做且要做好的工作。
前不久Google发布了一份安全方面的白皮书Google Infrastructure Security Design Overview,直译的版本可以参考“网路冷眼”这版《Google基础设施安全设计概述》,直译+点评的版本可以参考“职业欠钱”的《Google基础设施安全设计概述翻译和导读》。 此前Google在安全领域披露的信息一直很少,适逢其大力发展云计算业务,需要展示云安全方面的实力,才有了这份白皮书。它从系统的角度描述了自己安全体系的设计与实现,对广大互联网、云计算公司的安全小伙伴而言可谓一大福利
10月30日,由中国石油学会石油通信专业委员会主办的“2019年首届中国石油石化网络安全应用研讨会”在宁波举办。此次研讨会围绕“让信息更安全、让安全更智能,助力石油石化企业网络安全转型升级”这一主题,针对 “等级保护”、“信息安全治理”、“云平台环境下的安全管理”、“网络攻击检测”、“网络漏洞防护技术与攻防案例”等内容,展开研究探讨。腾讯安全副总经理邓振波受邀参会,并向来自全国30家石油单位,以及十余家安全企业分享了腾讯安全在大数据、AI与攻防对抗方面的实践。
字节跳动继续加码飞书的协同办公能力,5月25日飞书召开“2022春季飞书未来无限大会”,发布多款新产品。由此,协同办公行业的战火愈烧愈烈。
随着企业数字化转型的逐步深入,企业投入了大量资源进行信息系统建设,信息化程度日益提升。在这一过程中,企业也越来越重视核心数据资产的保护,数据资产的安全防护成为企业面临的重大挑战。
15年毕业,就莫名其妙做了运维,也成为了阿里最后一批业务运维(pe)。刚开始做运维的时候由于基础知识太差,很多事情做了就做了,但也不理解为什么那么做了,知道后来跳出运维的圈子,自己做了开发,思路、见识、视野渐渐开阔之后也就慢慢明白了之前好多不懂的东西,想着想着也觉得比较有意思,这里记录下。 在阿里干过运维的人都只知道阿里有七网隔离,具体是哪七网我也记不全了,大概就是办公网、生产网、公网、阿里云、蚂蚁金服……,隔离也就意味着这些网络之间是无法直接访问的。当时做运维的时候没有经过任何系统的培训,摸着黑干活,好多事只有遇到了才能接触到,说实话我也是干了好久才看到七网隔离的。为什么要做七网隔离,最主要一点就是网络安全,不把所有鸡蛋放一个篮子里,即便黑客入侵了其中一个网络,剩下的其他网络也是安全的。除了生产隔离之外,我觉得七网隔离也带来一些其他的好处,比如业务系统的强制解耦,更安全的发布规范……… 但七网隔离也有有些不便的地方,比如我们经常要在各个网络间就跳转,最常见就是从办公网进入生产网,公司为我们提供了跳板机,相当于开了一扇从办公网进入生产网的门。再比如,我们有些应用可能需要从外网去获取有些资源,服务器默认都是不能连外网的,这就悲剧了,之前好多应用做迁移的时候,换到新服务器上,结果就不能正常运行了。最开始做应用迁移的时候我也不知道,出问题了才有人告诉我有这个坑。 解决方案就是到我们一个系统上去提交安全外联申请,然后主管审批+安全部门同事审批后就可以连到公网了。我开始做运维的时候这些都已经变成一个走流程的事了,提个单子,点吧点吧就好了,当时也不理解点几下按钮的背后到底发生了什么,直到后来有一次有个同事让我查一个网络问题,大概是他的应用需要从互联网下载一个jar包,但是一直下不下来,我居然当时没意识到这是受七网隔离的限制,但最后让我发现了网络隔离的秘密。 当时知道肯定是网络的问题,但也不知道怎么查,还有有台正常的机器可以对比,;然后google+百度找方法,两台机器做对比,最后终于让我发现两者的差别了。 在服务器上执行route这个命令可以看到本机的静态路由表,大概如下
近年来全球网络安全威胁态势的加速严峻,企业的网络安全体系建设正从“以合规为导向”转变到“以风险为导向”,从原来的“保护安全边界”转换到“保护核心数据资产”的思路上来。
由于升级了 Angular 版本,同样也升级了 Angular-CLI 版本,导致 v8.x 版本的 node 已经无法编译 angular 项目,至少需要使用 node v10.x 版本。
此报告主要参考了《零信任实战白皮书》,结合自己对零信任的理解,做了一个精简的总结,做参考。
办公安全的保护对象是公司的一切,不安全的办公行为,可能导致公司各方面的损失。比如“临时工使用公司账号发布不当言论”,“永恒之蓝大范围感染办公电脑”,“Xcodeghost病毒自动给APP安装后门”,“员工删库跑路”,“内鬼买卖客户信息”,“专利泄露”等等。种种行为分别对应着办公网络安全,办公终端安全,办公系统安全、办公工作流安全、员工意识安全、行为安全、身份权限安全等。
作为一名开发者,每加入开发一个新项目,或者接手老项目也好,避不开需要搭建开发环境。开发环境的搭建避不开两个重要环境,语音环境搭建和网络环境搭建。以Nodejs开发的服务为例,本人在CSIG的DNSPod相关的Nodejs服务开发过程中,需要依赖腾讯云官网的各种不同环境的接口来完成业务,如登录态校验,CAPI等,还需要依赖Redis进行开发。在依赖devcloud开发机,使用本地开发服务,几乎不可能。因为本地办公网络与后端服务网络不通,需要搭建跳板机等手段来实现互通。整体的开发成本很高,希望有一套完善的方案来解决网络问题,以及降低搭建环境成本。 另外在疫情反复的环境下,随时在家隔离、居家办公;办公电脑忘记携带遇到紧急问题,同时自家电脑不具备开发环境的情况下,可能导致的无法顺利继续开发工作的情况,希望有一个方案能支持在这种特殊或者极端的情况,依然能继续完成开发工作的方案。
孙颖, 携程技术保障中心网络管理团队高级工程师。从事IT互联网网络运维工作十余年,目前负责IT网络及WiFi网络设计、建设及运维。
伴随云计算的高速发展,将企业的应用部署在云端数据中心的方式已经成为越来越多企业的选择。以摩托罗拉系统为例,除了电子邮件系统采用微软云端的outlook365,销售管理平台采用salesforce.com之外,公司内部的知识库系统(insite.motorolasolutions.com)、财务平台、人力资源管理平台全部采用WEB应用模式并部署在云数据中心上。 云计算及移动互联网时代的企业应用的变迁 基于实际使用经验,摩托罗拉系统认为:通过将企业应用部署在云端的方式,企业IT系统稳定性和网络安全性大幅度加强,
虚竹哥有个朋友小五,他是在安全厂家公司工作。小五的大学系主任找他,咨询有没有比较优秀的网络通信安全防护的软件,需要对学校的网络进行安全防护。
随着网络的高速发展,越来越多的信息被暴露在网络环境中,随着网络给人们带来巨大的便利的同时,也给人们的工作带来了巨大的安全隐患和挑战。办公网络中存在的安全隐患成为了大众关注的热点。
IDC(Internet Data Center)即互联网数据中心,为企业用户或客户提供服务,如网站应用服务、App应用后台服务等等,IDC中存储着各类敏感信息和数据资产,所以IDC安全是企业信息安全的重中之重,需重点投入进行建设和运营。
最近科技日报指出,近年来网络攻击频繁盯上民生领域,如电力、交通、水利、能源乃至医疗等关键基础设施。
navicat是图形化操作MySQL的强大工具,但是当数据库的服务器没有开放3306的端口给办公网络时,在办公网使用navicat直接连接数据库是连不上的。如果要操作、查看数据库,只能先ssh登陆到数据库服务器,然后命令行操作数据库,非常不友好,会有一些行过长、乱码等问题。这里有一个解决办法,服务器一般都会开通ssh端口给办公网,navicat可以通过配置ssh通道,达到连接数据库的目的。本质也是通过SSH跳转,但使用起来和直接连接数据库是一样的。配置如下
银行业涉及领域广泛,应用场景多元,同时也面临着越来越多的安全威胁。另一方面,数据和隐私安全不仅是企业自身的安全要求,也是国家监管机构越来越重视的领域。一般来说,银行内部有办公网、生产网、测试网等三个安全域网络,随着业务不断扩大发展,三网之间数据安全的交换传输成为其业务链中的一个重要环节。主要的数据交换情况及需求包括:
我在一家证券公司信息技术部门工作,我公司在97-98年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因将対安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黒客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,対公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。 本文将介绍我在网络安全性和保密性方面采取的一些方法和策略,主要包括网络安全隔离、网络辺界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。
零信任最早由Forrester 分析师John Kindervag于2010年提出,它既不是一项技术,也不是一款产品,而是一种新理念,基本原则是“从不信任,总是验证”。自零信任这个词被提出以来,就被各行各业所追捧,随着时间的不断推移,国内外也有不少零信任方案已经落地。本文针对国内外现有零信任解决方案进行了盘点。
万物互联时代,零信任的流行很大程度上源于网络边界泛化带来的安全风险。其“持续验证、永不信任”的理念,将传统的安全模式进行颠覆,能够有效帮助企业在数字化转型中解决安全难题,为很多企业所推崇和使用。
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
实现分支与云,分支与分支、分支与总部之间内网互通。SD-WAN接入设备要求具备零基础自动上线功能,支持无公网IP环境组网,实现快速安全组网,简化分支网络运营。
之所以出现大量地址浪费,在于早期的地址分类采用的是固定的网络位与主机位的长度,不能灵活的规划,所以在后面打破了这个规则,32比特的IP还是分为网络号与主机号,但是不在采用固定的长度形式,可以根据环境需求来变化长度,那就带来了一个问题,之前的主机与网络设备都是通过固定分类来识别的,而现在网络号的长度不确定,那怎么来识别呢?这个识别的功能就是子网掩码。(打破这个规则的是CIDR与VLSM,子网掩码为了打破固定为后,标识出实际的网络号是多少)
领取专属 10元无门槛券
手把手带您无忧上云