大家好,手头的项目告一段落,哥上周休假去了。记得在电影《罗马假日》里曾有提到:“要么读书,要么旅行,身体与灵魂,必须有一个在路上。” 所以,习惯阅读与思考的我在行囊里也放了一本专业书籍。玩耍了一整天后,夜深人静之时也会拿出来抚卷阅读。同行的损友笑话我:出来放松还把自己整得像头上悬着达摩克利斯之剑似的。我只能说:世人笑我太痴狂,燕雀安知鸿鹄之志。好吧,不扯远了,继续这次的正题吧。
跟大家汇报一下,前几次提到过的那个云平台项目基本已成型,现在进入到了对其服务连续性和灾备以及安全性分析的阶段了。所以这次的漫谈的灵感来自该项目中的点滴收获,和大家分享的思路也是:先谈基本系统的普遍注意点,然后深入交流云服务系统(特别是在公有云上)的特殊性。
连续性与灾备
说到服务连续性和灾备计划,基本上当前大多数企业都或多或少的有所涉及。就像我们小时候常听到的《狼来了》的故事一样。如果狼总是不来,喊多了也就没有意思了。但是上升到理论层面,套用时间管理的术语来说,连续性和容备其实属于“重要但不紧急”的事情。我们不得不花时间和精力去“以大博小”,来体现我们那“高瞻远瞩”的忧患意识。
对于一般企业IT服务的连续性设计,我们可以从如下三个方面进行考虑:
而在编制系统灾难恢复的流程时,可以参考如下通用步骤,具体系统与特殊服务可在此基础上增删。
那么除了上述传统的连续性和灾备要点之外,对于正在使用云系统或服务的企业来说,和以前完全自行管控的不同之处在于,现在由于使用的是云平台,在网络资源、硬件配置和软服务上各种服务,基本上是以平台提供商为单位整体展现出的一体化的打包模式。所以原始的细粒度的BIA已经不一定适用了。反而,及时、准确的向云服务提供商更新自己系统的各项配置,保持顺畅沟通,并时常与之联动,进行事件(事故)的响应与恢复演练,就显得更为重要的。我的经验是:乘着现在还是“买方市场”的格局,这些条款或事项完全可以追加到与他们的SLA中。
另外,因为在云端,对于IT部门来说,某种程度上已经是“摸不着”了,那么就要做得任何时候都能“看得见”,就需要加强监控。监控的内容可以包括:对服务页面(网站)的监控、 服务器 (虚拟主机)的监控、各项服务性能的监控、甚至是各种API调用的监控等。通过主动发现、准确定位、快速响应的方式来减少云端业务中断所给企业带来的运营风险。
同时,我也注意到自己身边有一些企业会另辟蹊径,他们把云服务作为自己当前系统的一种备份方式。通过运用云计算技术中的虚拟化,实现重要数据资源以多样、安全和快捷的方式进行备份和迁移,从而利用云计算带来的“红利”,实现了自身业务的弹性变更,也达到了系统灾备和恢复能力的提升。
深入来看,云备份镜像可以实现对主站点的完全备份。当服务流量负载从主站点切换到云端的热镜像后,利用云端资源的弹性优势,服务性能基本上不受影响。大幅缩短恢复点目标和恢复时间目标。当然镜像同样需要IT人员进行日常维护,灾难恢复的各种演练可以在镜像上反复模拟。根据云服务的本质特点,镜像的运营成本相对另建备用站点的软硬件成本要低廉许多。另外,双方也可事先确认SLA,说明系统将以何种速度启动,需要哪些资源,才能将业务恢复到正常工作的水准。
安全与取证
既然说回到安全,我们IT部门仍然应当根据相关的管理标准(如ISO27001等)去着力建立一个业界时常提到的但应适合于自己企业的信息安全管理体系(ISMS)。
首先是在整体上,对IT服务所涉及到的信息进行机密程度的等级划分,对各种软/硬件服务进行单点故障和潜在风险识别、分析与评估,找到性能的瓶颈并区分优先级。
其次是在技术上,可从如下三方面技术入手,根据企业的自身条件和IT状况进行应用和部署:
当然,在各种安全技术引入的同时要注意控制选购、实施和维护的成本,而且要兼顾安全可靠性与易用性的平衡。
再次是在物理上,应做到信息以及设备之间有物理的隔离,各个功能区的分隔与划分,机房和门禁出入的记录、控制和审计。
最后是管理上,要注重各种安全方针和手册以及操作流程文件的制定,安全意识和应对安全事件的人员培训,相应账户和访问权限的最小化设定与监控等。以及当有安全事件发生时,可以考虑用多种取证技术相结合。例如:存储介质的数据恢复、解密技术、入侵追踪、信息过滤、搜索和挖掘、以及磁盘镜像拷贝等。
我们再来看看云服务及系统的相关安全方面。先看“事前”。
不得不承认,若干年来,各大安全硬件厂商都讳莫如深的形成了所谓的“联盟”极力想企业兜售安全硬件产品。而今,既然已经是云时代了,成千上万的多租户共享着相同的物理资源,云平台提供商已经为我们准备好了前端的安全硬件“黑盒子”,提供了接入端的一揽子解决方案。他们通过整合各种物理资源(如加解密类硬件设备)、虚拟资源(如虚拟IDS、IPS、WAF)以及提供专业技术支持方面的人力资源(如安全事件管理员、漏洞分析员),采用虚拟化技术构建了统一的资源池,并对资源采用均衡负载、灵活调配以及最大化利用等方式,实现对租户安全功能的便捷交付。可以毫不客气的说,由于面对多租户环境,云服务提供商可能会比我们自己传统的IT部门更加及时和专业。他们通过云端强大的服务器,实时处理随时爆发的新型攻击,更新信息数据,能够有效控制危险事件的大规模发生和传播。
所以我们真心没有必要再花大力气去为自己的云平台考虑购置安全硬件了,只要守护好自己的“一亩三分地”便可。大家都知道软件定义网络(SDN)技术吧?个人觉得它已经不只是简单的实现“Bridge”或“vSwitch”的基本功能了。它是安全界的一股清流。对于实力雄厚且富有开发经验的企业来说,可以运用SDN的技术,通过软件编程等方式,定义自己的虚拟防火墙、入侵检测、DDoS检测、流量清洗甚至解决各种QoS问题;而对于“只愿出钱不远出力”的企业,也可以通过购买集成了IPS功能的软件来进行深度流量报文检测,从而发现虚拟机上是否存在漏洞。这里要多说一点的是:由于离开了企业传统的较为封闭的系统环境,这些基于云端的安全软件网络防护所设置的规则、漏洞库等数据不再受本地数据源限制而依赖于小范围数据采集,也摆脱了服务器定时或者手动更新的性能瓶颈。各种安全知识库,病毒特征码、URL黑名单、垃圾邮件指纹集,Web 攻击特征等,可以通过云的方式实现第一时间的更新,也就是在和0 day攻击者赛跑时穿上了跑鞋。
为了防止由于各种外部攻击或者是云服务提供商自身的原因所导致的租用空间的隔离失效的情况,必要的纵深防御是个趋势。我们企业安全人员在学会善用各种云安全相关工具的同时,要花时间制定和最终践行一个适合自身企业的“安全基线”。它也可作为上述服务连续性和灾备计划的一个重要参考依据。下面给大家简单列举一个范例供大家批判性的接受哦:
运用防火墙策略隔离出用于平台管理的网络。
启用科学或者是双因素认证的访问接入控制。
调整默认设置,关闭不必要的服务,定期打系统补丁等系统加固。
安装基于主机的IDS。
开启详细的日志服务,并定期将日志离线导入中央日志管理平台或聚合到安全信息事件管理SIEM,以防日志被篡改。
定期审查系统级别的管理员权限。
启用多因素认证来保护Web表示层和应用日志。
用基于角色的访问控制来细粒度控制应用的各项工作流及操作。
同样定期将日志离线导入中央日志管理平台或聚合到安全信息事件管理SIEM,以防日志被篡改。
我们最后来看看“事后”。据我的一个在云安全运营中心(SOC)的“眼线”朋友透露:一直以来,在各种使用云服务的企业的被攻击案例中,大多数是因为采用了弱口令之类的弱安全基线。而受到攻击后一般都以“Just my luck!”的方式三缄其口,并无后续的取证或诉讼。正所谓“God only help those who help Themselves”,我们对待既已发生的云安全事件,要像“法医秦明”做好各种取证工作,以彰显自身专业性。依据经验,哥总结下来,一般步骤分为文件分析取证和数据分析取证两步骤:
文件分析取证是通过各种日志(包括超过阀值的错误登录日志,当然也包括成功登录的日志,因为里面特殊账户登录的时间戳)信息的查找,以及文件目录结构和文件名的扫描,如果发现可疑的shell脚本之类的文件,可以通过查询其生成的时间和其关键字信息等,来判断其是否利用了诸如Web漏洞或者是通过Web Server执行的命令等进行了攻击。
而数据分析取证则是登陆到攻击主机或“肉鸡”主机的数据库的后台,查询是否有不明IP地址的登陆记录,结合服务器日志分析,重点考虑是否有非法的用户名生成,或是有提权之类的操作。
总的说来,可以用一个P2DR2M(Protection、Policy、Detection、Response、Recovery和Management)的口诀来概括企业云服务系统安全所涉及到和需要考量的各个方面。
好了,佛语有言:“你种下什么因,就会有什么样的果。”我既然在几个月前选择开启了咱们漫谈这个大IP剧,我自然会一直惦记着它。平日虽无什么如芒在背的“鸭梨”(压力),但还是有义务和责任保证其每一集的频率和质量的。诚然我自知文采有限,且谈的既“漫”又“慢”,但还是真心希望能对读者您的工作有所帮助,让你能有“看过都说好”的赶脚。
帕萨特B5 GSI冷启动后刹车失灵怎么解决
& & & & & &帕萨特的的刹车系统是带有真空助力的,当车辆没有刹车时应该有两种现象,第一种是刹车踏板很硬,有踩不动的感觉,这主要是由于真空助力未起到作用,造成这种故障的原因主要是真空系统有泄漏或真空助力泵损坏,您的车辆着车后就好了,应该属于这种故障,因为着车后真空度建立,使助力系统正常。 第二种是刹车踏板一下可以踩到底,这主要是由于制动系统中有泄漏或制动总泵损坏,鉴于制动系统直接影响到车辆的使用安全性,建议您立即到维修站检修。 建议您有时间到店内为您的爱车进行详细的检测,我公司于6.2-6.15正在进行免费检测活动,欢迎您随时光临!广恒信上海大众大辉专家,地址:海淀区闵庄路20号(西北四环香山出口)预约热线/查看更多 [大众 帕萨特领驭] 信息:
怎样买车最省钱,贷款还是全款
一、全款买车的人是怎么考虑的?全款买车这事在中国还是很普遍的,其一是因为很大一部分人不喜欢那种欠债的滋味,其二是很多人认为贷款买车是不靠谱的,要比购车时的总价贵出不少。 所以很多全款购车的“土豪”宁可在缺钱时,管亲戚朋友借钱,也不愿意进行贷款购车。 其实全款买车的人分两种,第一种就是不差钱的土豪,因为全款买车是最省心最省力的方法,这种人咱们暂且不谈。 而另外一种人,则是敲打着小算盘之后决定全款买车的,因为全款购车确实能比贷款购车能省下一笔钱,不用想着每月的还款,不用交那些多余的手续费,日后的事谁也说不好,反正先把眼前的利抓住了再说!二、贷款买车的人都是怎么想的?在近些年,“提前消费”已经成为了一件很普遍的事,贷款买车自然也成为了主流的购车模式。 因为提前花着别人的钱,来改善自己的生活,那么,贷款买车的人都是怎么考虑的呢?1决不能忽视的通货膨胀问题我们要计算一下通胀所带来的货币贬值,2016年的CPI增长了2.01%,而三年来,每年的物价上涨基本都在8%~10%,相当于现在的100块钱,过了三年后,那100块钱就会变成70多块钱,你用三年后的钱支付现在花的,是不是相当于自己省钱了?2首付之后,用剩下的钱来以钱养钱如果是贷款买车,交完首付之后的钱应该怎么办呢?存银行吃利息可绝不是一个好方法。 其实我们大可以用剩下的钱去做投资理财,一般市面上的优惠的贷款利率为4-5%,有的甚至还会贴息、零利息,而一些理财产品的收益率高达7%(收益率太高的慎入),那么用贷款的钱作为理财投资就可以获得至少2%以上的回报率。 三、贷款买车玄机多、套路深上面夸了这么多贷款买车的好处,或许有的用户都以为小编我是银行或者4S店的人了,为了避免误会咱们再聊聊贷款买车里面的“套路”。 1贷款车必须在店里上全保“全保”只是一个模糊的概念,在保险公司里并没有全保的确切含义,也就是说4S店强制你上保险的种类、保额,所上保险的种类是否有用根本不考虑,你只需要掏钱就行了。 因为你虽然买了车,但产权并不是你的,而是放款机构的,万一在使用过程中车辆有损伤必须有人赔偿,那这个人就是保险公司了,所以保险上的很全。 2别被“0利率”蒙蔽,还有服务费呢!现在有很多家品牌车型都打出了“零利率贷款”的购车方式。 虽享受免息待遇,但其中也是有“陷阱”的,往往在贷款购车时,很多商家会收取相应的服务费,所以零利率贷款购车跟全款购车还是有差别的。 另外,具体的服务费因品牌车型而异。 基本上贷款金额在10万元以上30万元以下时,很多商家收取的服务费区间为2000-5500元。 服务费的金额是厂家根据不同车型统一定的。 3那该死的手续费手续费这东西确实很让人抓狂,根本没规律可循,一个4S店一个样,良心的收个两三千,黑心的敢收五六千,总之是一片乌烟瘴气。 那么这个手续费到底是干嘛用的呢?呵呵,谁也说不清,只能说这是一个绕不开的“潜规则”吧。 更多解释如下:1. 通常在银行直接贷款利率会在10%左右,如果在车商那里办理贷款的话,利率会高2个百分点左右,所以车商一般会更加倾向于劝说你在他们呢那里办理汽车贷款,告诉你各种贷款的好处,企图利用信息不对称,赚取较高的利率差(小伙伴们去之前最好做好功课)。 2. 注意贷款的计算方法是复利,不是单纯的线性算法,我们以3年期年利率9.5%为例, 一款50万的汽车,如果0首付购买的话,除开各种税费只计算车本身价格,每个月需要付16,016元,3年下来总计要指出576,593元,三年的差价为 576,593 - 500,000 = 76,593 元人民币。 比本金多出15.31%。 3. 所以,如果贷款的话,需要在三年的时间里多付的钱介于 0-76,593 之间。 就目前的大部分理财产品来说,要达到三年15.31%的回报率(平均每年4.8%左右),还是很有可能的。 所以对于有比较好的投资渠道的朋友可以考虑贷款买车。 如果没有更好的投资渠道,全款买车也许是更好的选择。
领域行驶42000公里后需要做什么保养
正常的保养项目应包括:1、照明电器用电设备功能检查。 2、安全气囊。 3、多功能方向盘。 4、电脑自诊断。 5、雨刷清洗装置。 6、排气孔清洁。 7、发动机检查。 8、蓄电池。 9、冷却系统。 10、助力转向系统。 11、制动系统。 12、手制动。 13、更换机油、机滤。 14、转向拉杆。 15、车身底印。 16、底盘螺栓。 17、轮胎螺丝。 18、前大灯。 19、轮胎、备胎。 20、路试。 21、保养周期复位。 22、车门铰链润滑。 23、天窗。 24、风扇插座。 25、变速箱。 26、更换空滤。 27、制动片。 28、空调滤芯每万公里更换。 29、进气道燃烧室。 30、火花塞。 31、皮带。 32、正时。 33、尾气排放。 34、燃油清洗器。 35、制动液。 广恒信上海大众大辉专家,地址:海淀区闵庄路20号(西北四环香山出口)预约热线/查看更多 [大众 帕萨特领驭] 信息:
发表评论