資安

本文檔介紹企業上雲滿足等保合規2.0的最佳實踐。 1.場景描述 阿里雲安全幫助您快速、省心地通過等保合規。 在阿里雲，您可享受一站式等保測評，包括完備的攻擊防護、數據審計、數據備份與加密、安全管理服務。可充分利用雲平臺的免費管理軟件，包括RAM、ActionTrail、雲監控等，滿足等保2.0需求。 2.解決的問題 等保2.0合規要求 雲上安全體系建設 3.部署架構圖 圖1：企業上雲等保合規2.0部署架構圖 4.選用的產品 更多有關以下產品的介紹，可點擊這裡或掃描文後二維碼查看相關產品詳情。 4.1雲安全中心 雲安全中心是一個實時識別、分析、預警安全威脅的統一安全管理系統，通過防勒索、防病毒、防篡改、合規檢查等安全能力，幫助用戶實現威脅檢測、響應、溯源的自動化安全運營閉環，保護雲上資產和本地主機並滿足監管合規要求。 4.2Web應用防火牆 阿里雲Web應用防火牆（WAF）對網站或者APP的業務流量進行惡意特徵識別及防護，將正常、安全的流量回源到服務器。避免網站服務器被惡意入侵，保障業務的核心數據安全，解決因惡意攻擊導致的服務器性能異常問題。 4.3雲防火牆 集中管理公網IP的訪問策略，內置威脅入侵防禦模塊（IPS），支持失陷主機檢測、主動外聯行為的阻斷、業務間訪問關係可視，留存6個月網絡流量日誌，等保必備。 4.4SSL證書 在雲上籤發各品牌數字證書，實現網站HTTPS化，使網站可信，防劫持、防篡改、防監聽、安全加密。統一生命週期管理，簡化證書部署，一鍵分發到CDN、負載均衡、OSS等其它雲上產品。 4.5數據庫審計 […]

wget安裝 [root@RedisSrv1 ~]# yum install wget 安裝gcc依賴 [root@RedisSrv1 ~]# yum install gcc -y — 請先檢查gcc的版本是否低於5，如果是請先升級，可以使用以下命令： [root@RedisSrv1 redis-stable]# gcc -v CentOS7默認安裝的是4.8.5，而redis6.0只支持5.3以上版本，這裡將gcc升級到9

AnalyticDB for MySQL是雲端託管的PB級高併發低延時數據倉庫，通過AnalyticDB for MySQL向量檢索功能構建基因檢索系統，支持毫秒級針對10億級別的向量數據進行查詢分析，更加快速、高效地為新冠肺炎病毒防控、研發治療藥物以及相關疫苗提供幫助。 1.背景信息 2019年年底，中國的新興商業中心武漢，爆發了一種名為新型冠狀病毒肺炎（簡稱新冠肺炎）的疫情。在新冠肺炎流行的兩個多月中，中國造成了3300多人死亡，8萬2千多人感染。隨著疫情的進一步蔓延，目前已經橫跨了109個國家，造成了80多萬人感染，4萬多人失去了生命。到目前為止，疫情使得50多個國家停擺，全世界範圍內造成了數千億美元的經濟損失。在疫情防治期間，阿里雲提供了高效基因序列檢索技術，助力新冠肺炎病毒序列分析。 2.基因序列檢索技術應用範圍和現狀 對於當下疫情，基因序列檢索技術主要應用於以下場景： 用於新冠肺炎的溯源和分析，幫助疫情防控找到病毒宿主，做好有效防範。通過基因序列檢索技術，發現蝙蝠和穿山甲身上的冠狀病毒RNA序列匹配度高達96%和99.7%，可以推斷蝙蝠和穿山甲很可能是新冠肺炎的宿主。 用於分析新冠肺炎病毒的複製和傳播過程，為研發治療藥物和疫苗提供幫助。通過基因序列檢索技術對基因序列按功能區域劃分，瞭解各個模塊的功能，從而更好地分析出病毒的複製和傳播過程，進而找到關鍵節點，為研發治療藥物和疫苗提供幫助。 用於檢索到與冠狀病毒相似的病毒基因序列。基因序列檢索技術也可以檢索與新冠肺炎病毒相似的病毒基因序列，例如SARS、MERS等病毒，從而借鑑相關藥物靶點設計機制，更快、更高效地研發檢測試劑盒、疫苗以及相關的治療藥物。 基於當下疫情的快速蔓延，當前的基因匹配算法太慢，迫切需要高效匹配算法進行基因序列檢索。阿里雲AnalyticDB for MySQL團隊將基因序列片段轉化成對應的1024維特徵向量，將兩個基因片段的匹配問題，轉換成了兩個向量間的距離計算問題，從而大大降低了計算開銷，實現毫秒級返回相關基因片段，完成基因片段的首次篩選。然後，使用基因相似計算BLAST算法，完成基因相似度的精確排查，從而高效率完成基因序列的匹配計算。匹配算法從原來O(M+N)的複雜度降低到O(1)。同時，阿里雲AnalyticDB for MySQL提供強大的機器學習分析工具，通過基因轉向量技術，將局部的和疾病相關的關鍵靶點基因片段轉成特徵向量，用於基因藥物的研發，大大加速了基因分析過程。 3. AnalyticDB for

雲數據倉庫概述 今天和大家一起探討一下我們Saas模式下雲數據倉庫加上商業智能BI能有什麼新的東西出來。我們先來看一下雲數據倉庫的一些概述。預測到2025年， 全球數據增長至175ZB， 中國數據量增長至48.6ZB。數據量暴漲這個前提下，我們看一下BI市場規模的增長。預測到2023年，我們中國BI軟件市場年複合增長率為32%。雲計算也同樣在增速發展，2019年第四季中國雲數據市場的增長率已經達到66.9%。 雲數據倉庫可以讓企業幾分鐘內創建並開始使用數據倉庫服務，在更低的成本下，專注業務，通過對大規模數據進行多樣化的處理、挖掘、分析，快速獲得業務洞察。它有四大特點：大規模數據分析，高性能，靈活擴容，低成本。 BI使用場景與趨勢 商業智能（BI，Business Intelligence）是一種以提供決策分析性的運營數據為目的而建立的信息系統。隨著我們社會發展以及數據量的爆發，在這麼大量的數據支持之下，企業希望能快速從這些數據裡邊挖掘出更科學的一些數據，然後對我們的企業有一個科學化和數據化決策的幫助力。同時，BI也會助力企業用到一個精細化運營，客戶關係維護，還有成本控制等。我們看一下商業智能建立一個信息系統它主要的一個流程。首先是數據接入，將分散於我們企業內外各種數據集成和進行整合。然後再進入一個數據準備階段，就是一個ETL的階段。然後再到一個數據分析的階段，最後將這些成果交給決策層，決策層就可以通過這數據進行一些決策。不管是精細化運營，還是客戶維護關係，還是成本控制，都可以從這些數據裡邊得到一些助力。 隨著數據量的暴漲，我們的業務快速的增長，產生了各種分析需求。不僅僅是分析多樣，而且還想要實時的，比如說秒級的即時查詢。同時在這麼大量的數據基礎上，數據的安全合規也越來越受到重視。所以需要快速的整合多系統數據和實現信息透明，以及構建一個統一的簡單易用的可視化分析平臺，提高製表效率。這已經成為BI系統的新的趨勢。 基於MaxCompute雲數倉+BI的特性 MaxCompute（原ODPS）是一項大數據計算服務，它能提供靈活快速、完全託管、高性能、低成本、安全的PB級數據倉庫解決方案，使您可以經濟並高效的分析處理海量數據。基於MaxCompute雲數據倉庫的基本架構如下圖所示。底層的集群是MaxCompute本身搭建好的，用戶無需感知。再往上，有多種的計算引擎。引擎之上提供各種的API，還有深度的集成了一個一站式大數據智能雲研發平臺DataWorks。在雲數據倉庫的這麼一個體系下，可以做數據準備，進行各種清洗、加工、分析之後，就可以進入一個數據消費的階段。 總結一下MaxCompute雲數倉的特性。第一，是一個開箱即用的在線服務。免平臺運維，總體擁有成本低。第二，極致彈性能力。彈性擴展，無需容量規劃即可應對業務規模的快速變化。第三，簡單易用，多功能計算服務。多種計算模型，多種數據通道，外部數據源聯邦計算。第四，企業級安全能力。多租戶安全保障機制，細粒度授權，數據加密、脫敏，備份恢復。第五，生態融合。支持多樣數據源、生態工具和標準。 基於MaxCompute雲數據倉庫，我們和BI工具是如何對接的呢。MaxCompute主要是一個存儲和計算服務，加上一個數據開發平臺DataWorks，組成了一個離線的雲數據倉庫。在這之上，深度的集成了一個阿里雲的Quick BI。它是一個分析報表工具，直接連接一MaxCompute的數據表即可以自己對這個表進行分析。還有第三方的一些工具，帆軟，Tableau。同時我們在生態這一方面，JDBC同樣也是支持。還有一些企業、一些客戶對於商業智能這一塊有更加多樣化的一個需求或者個性的需求，現有對接的這些工具有可能不支持，那麼它也可以通過SDK的方式來連接，從而實現基於MaxCompute雲數據倉庫對接的一個商業智能的信息平臺。 我們看一下MaxCompute離線數倉是怎麼實現一個高性能低延遲的分析查詢。它可以直接讀取離線數倉，支持多樣化的查詢分析，包括一些簡單的查詢、複雜的查詢、點查詢、聯邦查詢等等。它底層也可以有豐富的數據源，通過MaxCompute + Hologres組成一個交互式分析。這麼一個大數據生態下，它都可以無縫的對接。比如說Quick BI，Tableau，帆軟。所以它可以做到很快的上手，通過這麼一個組合我們可以很快速的實現一個企業的信息平臺。 實踐案例 接下來我們看一下幾個實踐案例。

作者 | 鯤塵 微前端在 2016 年 ThoughtWorks 的一個技術雷達上面提出後，不斷有團隊嘗試將單體的前端 web 應用按不同維度進行拆分或者組合，再聚合到一個整體的應用架構下面。無論從系統體驗優化還是技術架構升級的角度，都對微前端的方案提出了各種高要求。本文將圍繞 icestark 對於不同場景的思考和設計，來嘗試給出解決方案。 場景分析 在聚焦希望引入微前端技術架構的場景上，不難發現，以下的兩類場景的訴求會相對強烈：1. 工作臺的場景，基於產品體驗的緯度 2. 大型單體應用，這種場景更側重於想從技術維度進行優化，能系統可持續的迭代發展。 工作臺場景 在工作臺場景，從產品側的訴求來看，希望跨系統的操作能夠更加簡易，能夠帶來系統操作和體驗的一致性；而從技術架構的角度，各個獨立的系統缺乏統一的管控手段，許多能力都在重複建設。 大型單體應用

1.背景 1藥網是國內首批獲得國家許可的網上藥店，經過近十年的經營和發展，已成長為中國互聯網醫藥健康的領導企業。在今年春節的戰“疫”中，1藥網當仁不讓地衝在抗疫戰場的第一線，用“三個第一”踐行作為行業領導企業的社會責任： 第一個將醫用口罩送達武漢醫院的互聯網企業； 第一個推出免費慢病在線續方服務的企業； 第一個開通面向湖北免費義診的企業。 在這“三個第一”的背後，是1藥網的業務自一月底以來就一直持續承受高壓：1藥網App下載量激增，春節期間位居蘋果應用市場免費醫藥類App下載排行榜第二；口罩、酒精等商品搜索需求大增，同比增長170%和400%；在線問診量大幅上漲，免費義診問診量比上線前一週上漲了4倍……這一切來自業務的高壓訴求給原先的IT系統帶來了前所未有的壓力和挑戰。1藥網的智能供應鏈倉儲管理系統、Web應用服務等部分核心業務系統都部署在阿里雲上，但企業遍佈在各地的辦公室、運營中心、藥店等線下分支機構依然使用的是傳統VPN的線路訪問佈局在阿里雲上的核心業務系統，不僅訪問鏈路的質量不佳，而且經常出現丟包甚至是鏈路的中斷。因此，在此抗疫的關鍵時刻，1藥網急需一套成熟可靠、可快速落地的廣域網互聯的解決方案，以滿足企業上雲和線下分支互聯的訴求，並快速提升其關鍵業務應用的可靠性和網絡質量。這個艱鉅的壓力就交到了阿里雲的身上。 2.選擇雲原生SD-WAN實現雲上雲下互聯 圖1：阿里雲智能接入網關SAG 上圖這個1U高、半寬的小盒子就是阿里雲的智能接入網關SAG，這個外表不起眼的小設備既是用戶側的SD-WAN終端設備，也是阿里雲佈局企業級混合雲解決方案的敲門磚。1藥網通過智能接入網關SAG實現分支機構就近加密接入，低成本、高質量地穩定訪問雲上核心業務系統，有效解決公網訪問鏈路質量差、IT成本高等問題。智能接入網關在通過1藥網的互聯網出口後，自動就近連接中國大陸雲連接網CCN，從而連接至阿里巴巴全球優質網絡資源，實現企業客戶雲上雲下的互通和分支機構的互聯組網。在可靠性方面，阿里雲智能接入網關為1藥網提供了端到端全流程的高可靠性設計，除了遍佈全國的大量就近POP接入點的冗餘性設計以外，對於1藥網的總部、辦公室等重要站點提供專線備份、雙機雙鏈路備份、4G等各種方式的高可靠性設計。在運維管理方面，雲端集中管控，全局概覽，讓用戶對於分支網絡管理具備更多的主動權，形成一張從雲上觸及線下分支的統一的一體化監控運維。 3.總結 截止到四月底，1藥網一期的23個站點的上線已經全部部署完成，並平穩運行近2個月，陪伴1藥網度過了疫情中最艱難的時期。阿里雲將持續與1藥網攜手守護更多人的健康，運用創新的互聯網和IT技術向大眾提供在線診療、購藥和健康管理等服務，縮減中間環節，優化供應鏈，增加藥品流通的效率和透明度，為中國大眾的就醫買藥提供完整的解決方案以及實惠和方便。眼下這場全球戰“疫”仍未結束，我們的行動還在繼續，希望通過阿里雲的技術創新和不懈努力，依託洛神雲網絡雲原生SDWAN方案，為全球更多企業用戶提供一站式安全、靈活、可靠的上雲體驗，加速企業全面上雲。 我們是阿里雲智能全球技術服務-SRE團隊，我們致力成為一個以技術為基礎、面向服務、保障業務系統高可用的工程師團隊；提供專業、體系化的SRE服務，幫助廣大客戶更好地使用雲、基於雲構建更加穩定可靠的業務系統，提升業務穩定性。我們期望能夠分享更多幫助企業客戶上雲、用好雲，讓客戶雲上業務運行更加穩定可靠的技術，您可用釘釘掃描下方二維碼，加入阿里雲SRE技術學院釘釘圈子，和更多雲上人交流關於雲平臺的那些事。

一、概念與摘要視頻直播源碼的RTMP協議從屬於應用層，被設計用來在適合的傳輸協議（如TCP）上覆用和打包多媒體傳輸流（如音頻、視頻和互動內容）。RTMP提供了一套全雙工的可靠的多路複用消息服務，類似於TCP協議[RFC0793]，用來在一對結點之間並行傳輸帶時間戳的音頻流，視頻流，數據流。通常情況下，不同類型的消息會被分配不同的優先級，當網絡傳輸能力受限時，優先級用來控制消息在網絡底層的排隊順序。 二、RTMP塊流視頻直播源碼的實時消息傳遞協議塊流(RTMP塊流)。它作為一款高級多媒體流協議提供了流的多路複用和打包服務。RTMP塊流被設計用來傳輸實時消息協議，它可以使用任何協議來發送消息流。每個消息都包含時間戳和有效類型標識。RTMP塊流和RTMP適用於各種視聽傳播的應用程序，包括一對一的，和一對多的視頻直播、點播服務、互動會議應用程序。 當使用一個可靠的傳輸協議如TCP[RFC0793]時，RTMP塊流提供了一種可以在多個流中，基於時間戳的端到端交付所有消息的方法。RTMP塊流不提供任何優先級或類似形式的控制，但可以使用更高級別的協議來提供這樣的優先級。例如，一個視頻服務器可以根據發送的時間或確認每個消息的時間，來決定為一個網絡差的用戶丟棄視頻信息，以確保音頻信息的及時接收。 RTMP塊流不僅包含了自己的協議控制信息，同時也提供了一個更高級別的協議機制，用來嵌入用戶控制信息。 消息格式視頻直播源碼的消息格式可以被分割成多個塊，用來在更高的協議中支持多路複用。在創建塊消息格式時，應該包含以下字段: 時間戳消息的時間戳。這個字段佔用4字節。 長度消息的有效長度。如果消息頭不能被忽略，它應該包括長度。這個字段在塊頭中佔用3字節。 類型ID各種類型的協議控制消息的ID。這些消息使用RTMP塊流協議和更高級別的協議來傳輸信息。所有其他類型的ID可以用在高級協議，這對於RTMP塊流來說，是不透明的。事實上，RTMP塊流中沒有要求使用這些值作為類型；所有(無協議的)消息可能是相同的類型，或者應用程序使用這個字段來區分多個連接，而不是類型。這個字段在塊頭中佔用1字節。 消息流ID消息流ID可以是任意值。當同一個塊流被複用到不同的消息流中時，可以通過消息流ID來區分它們。另外，對於RTMP塊流而言，這是一個不透明值。該字段佔用4字節，使用小端序。 握手RTMP連接從握手開始。它包含三個固定大小的塊，不像其他的協議，是由頭部大小可變的塊組成的。 客戶端（初始化連接的一端）和服務端發送同樣的三個塊。為了方便描述，客戶端發送的三個塊命名為C0，C1，C2；服務端發送的三個塊命名為S0，S1，S2。　　 握手序列 客戶端通過發送C0和C1消息來啟動握手過程。客戶端必須接收到S1消息，然後發送C2消息。客戶端必須接收到S2消息，然後發送其他數據。 服務端必須接收到C0或者C1消息，然後發送S0和S1消息。服務端必須接收到C1消息，然後發送S2消息。服務端必須接收到C2消息，然後發送其他數據。 C0和S0格式 C0和S0包由一個字節組成，下面是C0/S0包內的字段: 1 2 3 4

簡介 mutable（可變）和immutable（不可變）對象是我們在java程序編寫的過程中經常會使用到的。 可變類型對象就是說，對象在創建之後，其內部的數據可能會被修改。所以它的安全性沒有保證。 而不可變類型對象就是說，對象一旦創建之後，其內部的數據就不能夠被修改，我們可以完全相信這個對象。 雖然mutable對象安全性不夠，但是因為其可以被修改，所以會有效的減少對該對象的拷貝。 而immutable對象因為不可改變，所以嘗試對該對象的修改都會導致對象的拷貝，從而生成新的對象。 我們最常使用的String就是一個immutable對象。 那麼可變性在java的安全編碼中的最佳實踐是怎麼樣的呢？ 一起來看看吧。 可變對象和不可變對象 知道了可變對象和不可變對象的不同之處之後，我們看一下怎麼才能判斷這個對象是可變對象還是不可變對象呢？ 首先，最簡單的一點就是，不可變對象創建之後就不能夠被修改，所以不可變對象裡面基本上沒有setXXX之類的方法，而可變對象提供了setXXX這些可以修改內部變量狀態的方法。 看一個例子java.util.Date是一個可變對象，而java.time.LocalTime是不可變對象。 看下他們的方法定義有什麼區別呢？ 首先是Date,我們可以看到在其中定義了很多setXXX方法。 而在LocalTime中，我們基本上看不到setXXX方法。 同時不可變對象的字段基本上都是final的，防止被二次修改。 第二，不可變對象一般來說是不可繼承的，在java中就是以final關鍵字做限定的： public class

一、什麼是OAuth2協議？ OAuth 2.0 是一個關於授權的開放的網絡協議，是目前最流行的授權機制。 數據的所有者告訴系統，同意授權第三方應用進入系統，獲取這些數據。系統從而產生一個短期的進入令牌（token），用來代替密碼，供第三方應用使用。 由於授權的場景眾多，OAuth 2.0 協議定義了獲取令牌的四種授權方式，分別是： 授權碼模式：授權碼模式（authorization code）是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺服務器，與”服務提供商”的認證服務器進行互動。 簡化模式：簡化模式（implicit grant type）不通過第三方應用程序的服務器，直接在瀏覽器中向認證服務器申請令牌，跳過了”授權碼”這個步驟，因此得名。所有步驟在瀏覽器中完成，令牌對訪問者是可見的，且客戶端不需要認證。 密碼模式：密碼模式（Resource Owner Password Credentials Grant）中，用戶向客戶端提供自己的用戶名和密碼。客戶端使用這些信息，向”服務商提供商”索要授權。 客戶端模式：客戶端模式（Client Credentials

在眾多的數據安全工作中，勒索病毒的防治是近幾年備受關注的領域。從互聯網誕生伊始，勒索病毒就相生相伴。現在勒索病毒的防治已經成為涵蓋網絡安全、數據備份、人員意識提升等多方面因素在內的全面的、多線程的一體化工作。 近期，阿里雲與合作伙伴Commvault聯合發佈勒索病毒防治解決方案，從公共雲、混合雲等場景入手，提供完善的解決方案：1、 公共雲方案 基於阿里云云安全中心提供的針對主流勒索、挖礦、DDoS 木馬等病毒的實時攔截能力，可以實現對已知勒索病毒的一鍵防禦，結合誘餌目錄的能力實現對未知勒索病毒的檢測和查殺能力。 此外，藉助對象存儲OSS的WORM（Write once read many）功能，確保數據不可刪除、不可篡改，也可以啟用版本控制功能，有效防止存儲在OSS上的數據被誤刪除、誤覆蓋，同時結合跨區域複製能力或HBR備份能力，實現數據的異地災備。 2、 混合雲方案 基於阿里雲混合雲災備存儲產品提供完善的病毒告警、數據備份等服務，能夠在生產環境之外建立一個隔離的數據環境來保證數據安全，同時阿里云云安全中心可以在混合雲服務器上安裝，支持混合雲服務器上的勒索病毒一鍵防禦，結合誘餌目錄的能力實現對未知勒索病毒的檢測和查殺能力。 2017年5月12日，全球爆發的勒索病毒WannaCry藉助高危漏洞“永恆之藍”（EternalBlue）在世界範圍內爆發。正是在這一次，勒索病毒開始被廣為人知。正如在現實世界中病毒會長期存在一樣，在網絡世界中，勒索病毒同樣會長期存在，為了更好的預防這些病毒，需要了解一些相應原則： 首先，不斷加固系統的安全性。需要確保服務器上的所有軟件已更新和安裝了最新補丁，不存在弱口令的風險，定時備份有價值的數據，關注最新的漏洞警報，並立即掃描其系統以查找可能被利用的已知CVE，並且在不影響業務的情況下，禁用Powershell、SMB等服務。 其次，加強安全意識。需要培養良好的安全習慣和最佳操作規範，這對於網絡及數據安全至關重要。常見的安全操作規範包括：• 除了來源已知和可信的附件之外，不要打開任何附件；• 不要運行從互聯網上下載的軟件，除非下載的軟件來源可信或已完成惡意軟件掃描；• 點擊電子郵件或社交媒體程序中的鏈接時務必謹慎，即便是來自可信來源和朋友的也不例外；• 安全使用社交媒體。熱門主題是詐騙的重災區，有些鏈接會引導至虛假的登錄頁面；• 鼓勵員工在發現可疑情況時進行舉報；•