抗议的方式很有特点。
Submitted by 云舒
写完之后回头看,似乎太激动了,不过还是贴出来吧
———————————我是很饿的分割线———————————————–
刚起床。看了一下IT新闻,十条有八条是云,各种云,各种装,各种混乱,心头火起。我想大喊一声,而且我也曾经大喊过,不要对最终用户谈云,云对最终用户是毫无意义的。云不是目标,只是技术手段,云的意义只在于部署云的企业,为他们节省成本。用户看到的只是应用,是服务,服务好用我就用,不好用就滚。吃一个菜好吃,我管你是用平底锅做出来的还是用内力烤熟的。
现在的云,一般都分为三个层次:IAAS、PAAS、SAAS。首先说IAAS,这是最底层的,基础架构即服务。本质是什么?大家都知道的,卖VPS虚拟机嘛。你说你使用了云技术,但是对用户来说,他们看到的就是这些,并不比以前的VPS高明多少。你说你使用了云技术,很好,那么对用户来说有哪些方面的提升?VM故障迁移,数据备份,负载均衡,还有没有?没有了?数据备份、负载均衡没有云的时候,是否可以实现?那么,你为什么不直接告诉用户我们可以做到故障实时迁移,可以做到数据备份保证不会丢失,通过负载均衡保证业务稳定?而要说我们是云,我们是云,云就是好啊就是好。显然,在PAAS里,云只是手段,目的是为了实现备份、迁移等技术保障业务稳定、安全,而且云并非唯一手段。
阅读全文
9月3日上午,武汉市一位88岁的老人在菜场口摔倒后,围观者无人敢上前扶他一把。1小时后,老人因鼻血堵塞呼吸道窒息死亡。
现在我们的法律是不是又回到了有罪推论的时代了,助人为乐反遭赔款让我们的社会道德退后了40年,至少我现在看到这样的情况是不敢随便帮忙了。既是良心过意不去,可能也要等我买了带摄像功能的手机后,先拍照录像,然后再帮忙,或者选择旁观。如果每个人在提供帮助给别人之前要考虑会不会被讹诈,接受别人的帮助之前要思量对方是不是别有用心,这样人人没有安全感,人人都冷漠无情的社会后患无穷。在一个法治健全的社会,这样的危机是可以消弭的,假如当年彭宇案和今天的许云鹤案法官能不想当然的断案,而是下大工夫调查取证,用强有力的证据来判出一个真正的是与非,那么就不会像现在这样人人自危。
我们每个人都希望生活在一个有道德法则充满温情的社会,我们彼此需要滋养而不是彼此伤害。
一、IDS为什么要虚拟化
入侵检测系统(IDS)是用来检测黑客入侵的分析工具。早期的方法是对系统日志进行监测与分析(主机IDS),后来因为日志容易被黑客“抹去”,而直接对流量镜像监测(网络IDS)。随着攻守双方的博弈,IDS的发展出现了两个技术瓶颈:一是由于黑客躲避技术的发展,发现黑客的“踪迹”越来越难了,最常使用的“特征识别”需要建立攻击者的“指纹库”,随着时间的推移,指纹库越来越庞大,比对一遍的时间自然就长了,在线监测设备往往只能捡最常用的特征比对,而忽略“不常用”的特征,入侵者“漏网”就是很平常的事了;二是检测的准确程度,因为单点取样,不能跨引擎分析,信息不足而产生大量的疑似“安全事件”,需要安全维护人员人工处理,因此,深度分析、多线索智能关联, 减少疑似事件的数量是IDS发展的必然之路。小赞’s Blog
要解决这两个难点,大幅度增加IDS的处理能力都是必须的。靠多核CPU是一种方式,但面对网络带宽的日益更新,多核带来的增加是有限的。于是,人们想到了虚拟化:人们可以把多台普通的PC服务器虚拟化,成为一个大的逻辑服务器,能力堪比一台巨型计算机,怎么就不能把多台IDS变成一台巨型IDS呢?
当然,敦促IDS变革是另一个冲击波是云计算的兴起,因为云计算服务模式把不同用户的多种业务集中在一起,这个业务的合法者可能是另一个业务的入侵者,IDS需要根据不同用户的需求进行安全监测,业务边界模糊了,用户对IDS的需要,希望是按需使用。
总之,在云计算中,用户的业务“跑”在虚拟机中,不再对应具体的哪台服务器或存储设备,虚拟机之间的流量不再一定要经过网络设备,网络IDS已经找不到自己的监控位置了。
二、IDS如何虚拟化
虚拟化的目标是如同使用“自来水”一样调用IDS,也就是说根据用户的流量动态调整IDS的处理能力。一种方式,是把IDS变成调用程序(纯软件),嵌入到用户的虚拟机中,象防病毒软件一样运行在用户的操作系统上,这种方式占用虚拟机的资源,并且可以被入侵者“穿透”或“卸载”;另一种方式,就是把用户的流量,在处理前导引导给IDS,净化后再继续业务处理,这就是我们说的虚拟IDS资源池。
虚拟IDS资源池方式,虚拟化分为两步走:
1. 多虚一:也称为“硬虚软”,把多台物理的IDS(可以说不同厂家、不同型号的)虚拟为一个IDS资源池(或称为IDS群)。通过IDS群控制器调度池内的IDS资源,群控制器一般是双机热备方式,用来管理IDS资源池,调度并分配用户流量给后台的物理IDS,完成负载均衡的功能;小赞’s Blog
物理IDS通过高性能交换机连接,这样可以动态增加或卸载物理IDS,由IDS群控制器负责检查其“存活”状态,决定是否分配业务给它处理。
2. 一虚多:IDS虚拟化的门户,根据每个用户流量与安全需求的不同,分配一个虚拟的IDS(若允许直接阻断入侵行为,则称为用户虚拟IPS),并给该用户的流量分配一个用户标签,在虚拟IDS系统中,这个标签就是用户流量的唯一标识;
由于用户的数据包上都包含用户标记,所以IDS群控制器负责分配用户流量后,只检测对应物理IDS的状态,后续数据包直接到达物理IDS,不经过IDS控制器,所以控制器的负载很小,只是控制流,而不是业务流的总和;
一个用户的流量分配给多个物理IDS处理时,建议采用有重复的时间段分割算法,这种可以在IDS缓冲区内完整恢复分段传输的恶意代码。
虚拟IDS检测的结果,同样挂上用户标签送给安全监控平台跟踪处理。
行为检测虚拟IDS:
为了适应IDS的行为匹配模式,跟踪黑客的“慢攻击”行为,特建立一个处理能力超强的行为检测虚拟IDS,对符合特定攻击行为规则的用户行为进行长期跟踪。由于慢攻击需要长期记录用户的行为,所以这个超大型的虚拟IDS,需要相当大的缓存空间。
三、IDS虚拟化的结构设计
该结构设计中IDS虚拟化管理平台是核心部分,其前部分支持用户虚拟化IDS服务,后部分是实现IDS处理能力的动态调配。
负载均衡管理负责虚拟IDS与物理IDS的对应,根据处理能力的不同,可以一对多,也可以多对一;并可以动态加入或卸载物理IDS,所以整个虚拟IDS池的容量变化不影响用户的应用。当整体处理能力不足时,前台的安全策略可以根据用户的流量与安全等级,优先分配资源,保证重点用户的需求。小赞’s Blog
虚拟IDS的镜像与迁移管理,保证虚拟IDS动态的运行在不同的物理IDS上,相互冗余备份,保证在某台物理IDS宕机时,虚拟IDS自动迁移到其他物理机上,不影响用户的业务。
从 古道视野 作者:古道
前一阵我有一个朋友跳槽成功,我们聊到这件事情时,他说印象最深的是经历的面试。因为这次面试和大学毕业时的面试完全不同,那时大多数问题仅仅限于基本素质,而工作几年之后的面试更加集中于专业性的问题,其中必不可少的就是面试官会让你描绘出你原来所作的工作内容,在此其中,你自然需要不仅仅把工作岗位名称表达出来,基本的工作内容表达出来,更加需要突出该岗位的重点在哪里,难点在哪里,你个人能力突出与锻炼很多的地方在哪里。换一个例子,假如现在你到公司领导面前,打算说服领导你的薪酬应该有所上涨,那么,你自然需要说清楚自己的工作强度、工作难度与公司对该岗位的原有定位不同,你是否能够将此表达清楚?你是否能够达到上佳的说服效果?
阅读全文
今天上午尝试,该漏洞已修复。
8月25日,瑞星公司向网民发出警告,北京市公积金查询网站www.nms139.com出现安全漏洞,其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。
目前,瑞星公司已经紧急通知相关搜索引擎提供商,将尽快删除包含个人信息的搜索网页。针对此次个人隐私泄漏事件,瑞星安全专家介绍说,这可能是公积金查询网站没有设定好搜索引擎抓取策略导致。
瑞星安全专家提醒广大用户,凡是近期在该网站查询过公积金的用户,均可能面临个人资料外泄的风险,应把自己的银行卡密码、各种帐号密码普遍进行更换,以免被黑客利用进行攻击。
阅读全文
黑客攻击愈加强烈
过去一年在商用计算系统中漏洞数的量虽然跟往年差不多,但黑客针对这些漏洞采取锁定式攻击的频率却是有增无减,也就是说未修补或更新的系统漏洞,势必让企业的安全暴露在高危险群中。
近半数的安全漏洞并非核心系统,而是多在于网页应用程序、或插件的入口互动服务网站中,但这些漏洞对企业整体安全却会造成极大威胁。
网络攻击包与僵尸网络,这些可轻易在网络上购得并用来攻击企业网站,轻则造成网络瘫痪,重则企业机密信息被窃:而这类网络组织型犯罪大幅提升,已造成全球各企业在财务与资料上相当严重的损失。
企业云端信息如何防攻?
随着云端储存、计算科技的日益普遍,对企业用户来说不管是公有云或私有云,对企业来说下一个最重要的无异是云计算安全问题。由于云端主机虚拟化,没有人知道主机、硬盘、服务器的所在位置,所以极有可能发生企业与黑客共同租用同一个云端主机,倘若发生这种情形,企业主机又该如何防止自家云端信息不被攻击?
阅读全文
订阅我的博客
