資安

12月4日，在由海南自贸区(港)区块链试验区主办的“数字文明大会发布会”上，海南省工信厅发布针对园区的“链六条”。根据“链六条”，海南正策划区块链应用示范工程，拟遴选一批示范单位，由软件园给予每个工程最高500万元奖励，同时将发起设立10亿元区块链产业子基金，多层次服务区块链企业。 “链六条”主要指：组建创新联盟，加强区块链人才培养，驱动联合创新；搭建技术体系，促进区块链技术研究和创新；以应用场景牵引，构建区块链产业生态体系；优化发展环境，为区块链企业营造宽松、友好的发展氛围和环境；由软件园发起设立专项基金，为产业和企业发展强化资金扶持；建立专家智库，强化海南区块链产业发展智库支持。 海南省工业和信息化厅厅长王静透露，正在起草的《海南省关于加快区块链产业发展的若干政策措施》也会于近期发布实施，将进一步促进海南区块链试验区的创新发展。 数字文明大会发布会上还发布了“链上海南”计划。按照计划，2020年年底实现“上链整合”；2021年底，实现“融合赋能”；2022年底，实现“开放生态”。“链上海南”可以构筑起安全可信的数字治理与监管服务体系，尤其为自贸港人流、物流、资金流的自由进出以及数据的便捷流动提供可行的数字治理支持。 据了解，作为国内首个官方授牌的区块链产业试验区，目前海南生态软件园已汇聚了100多家区块链头部机构和企业，区块链领域发展势头强劲。 转自创头条，原文链接：http://www.ctoutiao.com/2556311.html

第五元素：风、火、水、土、莉露 物联网（The Internet of Things，简称IOT）是指通过 各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、 连接、互动的物体或过程，采集其声、光、热、电、力学、化 学、生物、位置等各种需要的信息，通过各类可能的网络接入，实现物与物、物与人的泛在连接，实现对物品和过程的智能化感知、识别和管理。 —— 科普中国 2018年，阿里巴巴宣布IoT成为阿里继电商、金融、物流、云计算后的第五个主赛道。 本文提取自阿里云2019杭州云栖大会《物联网创新产品技术峰会》。 首先要和大家分享是阿里云智能首席智联网科学家丁险峰的《阿里云AIoT智联网技术的发展方向与策略》。丁总的演讲提供的是方向指引，分成三个方面的内容： 网、说的是5G网络的云化和IPv6所带来的变革。 5G网中大量的使用了像容器、微服务等云原生技术和理念，各大运营商也在推广利用MEC（移动边缘计算）来直接提供“应用”服务，“云”和“网”的边界将更加模糊，各种IOT应用和服务将无处不在。而IPv6的普及在政府、阿里、客户角度都有非常重大的意义，将带来海量的IP地址可供分配、降低网络的延迟、提供更原生的M2M（机器对机器）通信能力。 云、这一部分讲的是“物”在云中的数字孪生和区块链重建的信任网络。 IOT数字孪生可以看作是物理世界的“物”在数字世界的投影，目前在阿里云上已经积累起了海量的“物”的模型，随着更多的“物”模型托管在云中，无论是产品设计还是运行维护都可以通过这个“物”模型进行仿真验证，从而加速产品的上线和降低后期的运维成本。而IOT传感器和区块链的结合也将诞生出很多新的应用场景。 端、室内和室外的定位技术以及微内核的操作系统。 室内定位技术包括地磁、RFID、WI-FI、蓝牙RSSI(信号强弱定位）、计算机视觉、超声波、蓝牙AOA（到达角度）、UWB（超带宽定位），定位的精度可以从100米级到分米级。室外定位技术包括最为人熟知的GPS、还有GNSS（全球卫星导航系统，泛指所有的卫星导航系统）、ADAS（先进驾驶辅助系统）等 。端的操作系统未来的演进方向是将驱动、协议栈、文件系统、电源管理等组件从内核移至用户态，内核仅保留任务调度功能。这样的好处包括更便于对OS进行裁剪以降低空间消耗、更安全的应用隔离、更容易进行应用热升级等

每天下班回家第一件事，是不是给手机充电？ 但是充电线在哪，你找得到吗？如果忘在了公司，那才是真的牙白！ 如果现在告诉你，一回到家，手机就能自动充电，简直就是整理苦手的救星！ 好消息是，这项技术已经被东京大学实现啦！在11月16日到17日，东京大学在日本最大的科学传播活动Science Agora上设立了展位，其中川原实验室正在研发的无线充电技术就是东大参展的主角之一。 东京大学将在科学展会上介绍一些前沿科技研究，其中一个就是无线充电技术。只要进入一个专门的房间，电子设备就能自动充电，不管是手机还是PC，无需再苦苦寻找充电线在哪里了。 无线充电的电灯 自蓝牙耳机普及告别耳机线之后，没想到也有向充电线say goodbye的一天，已经迫不及待地想看到这项技术商业落地了！ 搭建无线充电房间 以手机为例，现在的电子设备充电是基于单一的点（limited to a single ‘point’），川原实验室把通过二维阵列形式将单一的充电器扩展到表面（‘surface’）。 但问题是，如何在空间（‘volume’）中实现无线充电？ 研究人员认为，必须要实现以下几个方面： 安全的无线功率传输的功率水平。WPT（Wireless Power Transmission）未来的目标是建立数百个安全自主、随机放置的节点，这需要提供比现在更高的总功率。

警察配警犬是我们相当熟悉的形象，然而在美国的马萨诸塞州，此犬已非彼犬——机器狗出警啦！ 今年九月，波士顿动力公司(Boston Dynamics)宣布开始售卖自家的机器狗Spot，爱“狗”人士可以在其公司网站上填写订单。然而想要撸到一只又黑又黄的机器狗狗并没有那么简单。在未公开价格等其他具体售卖信息的情况下，波士顿动力只是表示希望在特定行业找到客户，并帮助他们在真实场景中实现Spot的工作部署。 于是，马萨诸塞州警方悄咪咪地成为了狗状机器人Spot的用户之一。马萨诸塞州警方是美国第一个使用波士顿动力公司Spot的执法机构。该州的拆弹小组自8月开始从沃尔萨姆的波士顿动力公司租借了Spot三个月，使用期间，机器狗被用于远程侦察，并成功完成两次出警任务。 波士顿动力从2005年开始“造狗计划”，经过十多年的不断改进，Spot已经可作为搬运工、监工等角色出现在各种工作场合。尽管机器人技术在警察工作上的使用已经并不新鲜，但Spot成功作为一只警犬，还是令人小小地吃了一惊，这也引发了美国民众的担心和质疑。 警察叔叔牵手机器狗Spot 马萨诸塞州警察局发言人David Procopio表示，对潜在危险具有高度感知能力的机器人将成为执法部门宝贵的工具。机器狗Spot在职期间主要被用作“移动远程观测设备”，为警察提供搜寻到的可疑设备的图像或存在有潜在危险的地点，例如武装分子可能的藏身位置。州警方表示，Spot还在两起事故中被使用。 在马萨诸塞州警察的一次训练演习中，Spot展现了作为警犬的优秀能力。在这段简短视频中，Spot帮助开门并进入危险区域，这表示在恐怖分子或人质事件中，机器人可以帮助人类警察远离危险。 波士顿动力公司表示现在还不能公开马萨诸塞州警方如何部署机器人的细节，但是公司已经制定了租借机器人的指导方针。 波士顿动力负责务发展的副总裁迈克尔•佩里(Michael Perry)说：“目前我们的兴趣在于将机器人应用于特定的环境进行信息采集工作，例如化学品泄漏、存在可疑爆炸物或人质被挟持等情况下。这些环境对于人来说太危险了，而且难以展开互动和工作。 ” Spot是一个具有开放API的“通用”机器人。这意味着客户可以自行定制Spot。它有一个360度的低光摄像头和一只手臂，充一次电可以工作90分钟。在Spot身体的每一边装有五个传感器模块，使它可以从任何方向观察周围的空间。它的腿由12个定制马达驱动，最高速度为1.6米/秒。另外除了基本配置之外，还可以将多达14公斤的额外硬件集成到Spot的负载接口。 机器人入职执法部门，你在担心什么？ 机器狗完成出警任务的消息引发了美国民众的热议。虽然Spot和其他战术机器人不同，但正如相关视频中演示，机器狗实际上具备“杀人“能力，而对于看着终结者长大的美国民众来说，这颇令人不安。 非军用机器人故意杀人的案例发生在2016年，达拉斯警方派出了一个装有爆炸物的拆弹机器人击杀一名枪手——在一次种族冲突事件中，该犯人向警察开枪，造成五名警察死亡，警方为了避免更多伤亡，出动机器人将其当场炸死。 这种致命的潜在危险，以及国家警察机器人项目缺乏透明度，让美国公民自由联盟（ACLU）马萨诸塞州分支的自由技术项目主任Kade Crockford感到担忧： “关于这些机器人系统目前是如何在马萨诸塞州部署的，我们还有很多不知道的地方。通常，这些技术的部署比我们的社会、政治或法律系统的反应要快。我们迫切需要政府机构提高透明度，他们应该对公众公开他们测试和部署新技术的计划。在人工智能时代，我们还需要保护公民自由、公民权利和种族公正的全国性法规。我们真的需要一些法律和法规来建立一个保护底线，以确保这些系统不会被政府滥用。美国公民自由联盟很乐意与地方和州各级官员合作，找到并实施解决方案，确保保障措施跟上技术创新的步伐，确保我们的法律跟上技术的步伐。”

查看系统是否安装的有redis：ps -ef | grep redisredis登录命令：redis-cli -c -h IP -p 7000显示当前redis里面所有的key：keys *清空当前数据库：FlushdbString集合增加：set key value 查询 get key 修改 set key value

写这篇文章的初衷是希望将各种安全产品的测评方法以及测试结果跟大家分享，让人们更了解安全的重要性，了解使用哪些指标去客观评价安全性。 其实在企业安全中，防火墙是非常基本的产品，按照等级保护的要求，网络边界都必须部署防火墙和IDS/IPS。 现在越来越多的信息系统要互联，把分散的数据集中起来分析，那么需要安全防护的系统和需要访问控制的边界也越来越多，防火墙的部署也越来越广泛。 而在实际使用中，防火墙的功能都差不多，其防护效果差别不大，关键还是性能，只要是开启所有防护功能之后的性能能满足要求就可以。 就目前而言，国内防火墙的水平和国际领先水平(魔力象限右上角)的厂商还有一定差距。 对于国内大多数企业来说，其防护水平也足够，没有必要花费大价钱买最高精尖的产品，毕竟适合自己企业的才是最好的。 无论哪个行业，安全都是其基础需求。 对于我们广电行业来说，除了做好基础的防护，还要符合相关的规定。按照总局规定，很多信息系统都必须隔离，隔离的网络却要进行数据交换，所以防火墙是不合规的。 这里先卖个关子，后续将介绍其他数据交换方法，保证不是拿U盘copy。 | 正文 近年来，由于网络安全重要性的提升，安全产品市场迅速成长，安全设备琳琅满目，但防火墙基本上是必选的，是最基础的需求。下一代防火墙集成了防病毒(AV)、入侵防御(IPS) 和协议分析(DPI)，是一种价廉物美的解决方案。 市场上可提供防火墙产品的厂家，国内外知名大品牌就有几十家，品质肯定是良莠不齐的，今天我们就来讲讲如何选购质优价低的好东西。 下一代防火墙的按照生产厂商背景分为数通厂商和安全厂商，数通厂商代表有华为、Cisco、H3C 、山石、Juniper、迪普等，安全厂商有绿盟、启明/网御、安恒、天融信、深信服、360 网神等。 按照架构分，主要有多核和X86两个大类，有些厂商会宣称自己的产品用了一些神奇的技术，归根结底也是跑不出这两种架构的，架构本身其实也没有好坏之分，下面我们的评测方法只看效果，不管使用何种技术，也不论是国产进口，更不管是哪家生产的。 如何评价防火墙的效果？其实一点都不难，既然是下一代防火墙，ACL肯定都有的，咱们就不比了，直接考察病毒检出率、入侵防御成功率和协议检查率就可以了。 但是，这里要注意，有句话说得好，抛开剂量谈毒性都是耍流氓，防火墙只有达到了必要的吞吐量，再比较这些指标才有意义，吞吐量上不去，防火墙真的成了墙，正常流量都过不去，还谈什么安全。

阿里云MongoDB 4.2版提供分布式事务、通配符索引、字段级加密等一系列重磅新功能，让云上用户可以第一时间体验最新版本，构建更高效、更灵活的应用。 作为全球领先的通用数据库平台，MongoDB是世界排名第一的NoSQL数据库，同时也是业界最受欢迎的开源数据库之一，曾连续四年被评为最受开发人员青睐的数据库，一举一动都影响着成千上万的企业。 阿里云与MongoDB的合作，重新打通了企业在云上使用MongoDB开源版本的通道，阿里云MongoDB云数据库是MongoDB企业用户上云的不二之选。 阿里云是国内最早提供MongoDB服务的云厂商，于 2016年即正式商用，提供完全兼容MongoDB协议的云托管数据库服务。经过多年历练，阿里云已成为中国最大的MongoDB云服务集群之一，目前广泛应用于游戏、物联网、金融、物流等行业。 基于MongoDB社区版开源内核，阿里云MongoDB结合ApsaraDB数据库管控技术栈，在内核、服务等层面进行了多项优化。随着MongoDB 4.2全新版本的发布，阿里云还将为用户提供端到端的管理和支持，让云上用户获得更优质的云数据库服务体验。 从NoSQL到NewSQL，全面升级 MongoDB 4.2版本新特性 分布式事务（Destributed Transaction） 采用二段提交方式，保证分片集群事务的 ACID 特性。极大地拓展了 MongoDB 的业务场景，实现从 NoSQL 到

作者 | 李智源 阿里云开放平台高级技术专家，主要负责阿里云企业级身份管理，致力于提供云上集中式、易集成、安全、合规的企业级身份认证和管理服务。 引言 在上篇文章《企业身份管理–RAM用户SSO（单点登录）实战》中，我们介绍了企业账号到阿里云RAM账号SSO的原理和实战：企业员工在自己的员工系统认证完成后，可以通过SAML协议，按照自定的映射规则，通过浏览器免登到云端控制台。本文将介绍另外一种SSO方式：基于RAM角色的SSO。通过角色扮演的方式，访问云端控制台。 背景 使用基于RAM用户的SSO到云端的控制台，企业管理员可以方便的实现本地员工身份认证到云端账号认证的打通。企业的身份管理员需要： 在云端创建、管理用户； 配置好员工和云端用户的映射关系或映射规则。 开启基于RAM用户的SSO后，企业员工不能再使用云端用户名和密码登录。可以将认证收口在企业本地IDP，认证收口后，可以通过本地IDP和云端的登录页面两个入口发起到本地IDP的认证请求。 在实际的企业员工身份管理过程中，企业的身份管理员可能还会遇到额外的场景： 出于管理成本的考虑，不想再云端在额外的创建和管理用户，从而避免同步用户带来的工作量； 期望根据用户在本地IDP中加入的组或者用户的某个特殊属性，来区分云上拥有的权限，当进行权限调整时，只需要在本地IDP进行分组或属性的更改； 出于测试或容灾的需要，期望可以既能通过SSO的方式访问云端控制台，也能通过用户名和密码访问云端控制台； 企业在云上有多个云账号，企业的员工使用企业的统一IDP。期望在企业IDP配置一次，就可以方便的实现到多个云账号的SSO； 企业存在多个IDP，都需要访问同一个阿里云账号。期望在一个阿里云账号内配置，允许多个IDP进行SSO。 图1 RAM用户SSO和RAM角色SSO 企业的身份管理员可以通过选用基于RAM角色的SSO来解决以上的问题。

第一个问题就是，为什么要举办攻防比赛？其实最初我还在大建行的时候，我是属于反对派的，我觉得搞那事干啥，分行那些人基本不会，开发中心、数据中心的人，也只有个别能玩，一是会的人太少，比赛根本打不起来；二是这帮人学会了挖漏洞，感觉对企业安全好像不是正向的，而是威胁更大了啊。 直到最近几年，大江南北都如火如荼地开始搞攻防比赛，我才觉悟了，作为CSO，搞比赛那是很重要的业绩啊，好处多多： 1、提高网络安全在企业里面的影响力，带动安全意识科普 网络安全的重要性已经毋庸置疑，网络安全法，等保2.0，但是网络安全对于普通员工和技术人员来说仍然披着神秘的面纱，通过组织一次网络安全竞赛，围观群众就可以很好的拉近与网络安全的距离。“亲爱的，热爱的”虽然原来写的是电竞比赛，为了蹭热度变成了攻防比赛，但是不得不说，我司的网络安全人员在单位的女同事、小姐姐中，存在值大大提高了，为我们科普安全意识也提供了不少便利。 2、提升自己企业在行业和本区域的网络安全形象 华数所在的广电行业，各级领导们(嘴上)对安全是极其重视的，怎么证明我比其他省做得好？买安全设备，买安全服务，这得领导批钱，不批给你，壮志难酬。但是办个比赛，可以刷出影响力，全行业都知道你在干活。今年晚些时候广电总局还要举办全国的CTF比赛，要是有幸拿到好的名次，那都是实力的象征啊，都是杠杠的工作业绩。其他企业也是一样的，比赛是一个非常好的刷形象的手段。 3、网络安全人员上升的途径 广电行业也已经将安全竞赛纳入到广电全国技能竞赛中，纳入了职称体系，获奖选手可以用来职称评定，能够给有一技之长的技术人员彰显才华的舞台，也给公司一个发现人才的机会。 4、知攻方能善守 常说攻击最好的防守，知己知彼百战不殆，技术人员知道了攻击的方法，自然也就明白了应该如何防守。其实完全不必过于担心内部人员学会了手痒干坏事之类的，全国的攻防比赛举办这么多，自己人学好了干坏事的案例，几乎没有报道。 好处这么多，那么我们就下定决心举办一场比赛吧，但是，并没有那么容易，待我慢慢向你道来，困难远比想象的多。 第一阶段：动员阶段 首先要给那些技术人员讲一讲理想，告诉他们，学了这个，将来可以成为什么样的人：作为甲方的安全管理人员，通常来说应该学习网络、安全产品、操作系统基线、风险评估技巧，学这个黑客技能有什么用的？ 那么我们要从安全的工种说起： 1、安全架构师； 设计公司安全架构，对信息系统分级，对网络分域，通常要有很强的网络能力，对公司业务也要十分熟悉。 2、风险评估与IT审计； 负责分析和评估公司的技术基础设施,以确保流程和系统能够准确有效地运行,同时保持安全性和符合法规要求，一般有CISA的证。 3、 安全产品工程师和安全项目经理；

作者 | 李智源 阿里云开放平台高级技术专家，主要负责阿里云企业级身份管理，致力于提供云上集中式、易集成、安全、合规的企业级身份认证和管理服务。 引言 在上篇文章《企业身份管理–RAM用户SSO（单点登录）实战》中，我们介绍了企业账号到阿里云RAM账号SSO的原理和实战：企业员工在自己的员工系统认证完成后，可以通过SAML协议，按照自定的映射规则，通过浏览器免登到云端控制台。本文将介绍另外一种SSO方式：基于RAM角色的SSO。通过角色扮演的方式，访问云端控制台。 背景 使用基于RAM用户的SSO到云端的控制台，企业管理员可以方便的实现本地员工身份认证到云端账号认证的打通。企业的身份管理员需要： 在云端创建、管理用户； 配置好员工和云端用户的映射关系或映射规则。 开启基于RAM用户的SSO后，企业员工不能再使用云端用户名和密码登录。可以将认证收口在企业本地IDP，认证收口后，可以通过本地IDP和云端的登录页面两个入口发起到本地IDP的认证请求。 在实际的企业员工身份管理过程中，企业的身份管理员可能还会遇到额外的场景： 出于管理成本的考虑，不想再云端在额外的创建和管理用户，从而避免同步用户带来的工作量； 期望根据用户在本地IDP中加入的组或者用户的某个特殊属性，来区分云上拥有的权限，当进行权限调整时，只需要在本地IDP进行分组或属性的更改； 出于测试或容灾的需要，期望可以既能通过SSO的方式访问云端控制台，也能通过用户名和密码访问云端控制台； 企业在云上有多个云账号，企业的员工使用企业的统一IDP。期望在企业IDP配置一次，就可以方便的实现到多个云账号的SSO； 企业存在多个IDP，都需要访问同一个阿里云账号。期望在一个阿里云账号内配置，允许多个IDP进行SSO。 图1 RAM用户SSO和RAM角色SSO 企业的身份管理员可以通过选用基于RAM角色的SSO来解决以上的问题。