电子期刊第112期

邮箱忘记密码该如何处理

  答:在客户服务工作我们发现,有些用户在使用客户端软件收发邮件或者长期未使用邮箱时出现忘记邮箱密码的情况。

  由于各单位邮箱由本单位网管负责管理,请您在忘记邮箱密码时与您所在单位的网管老师联系为您的邮箱重置密码。


更多问题

云计算促变革 服务器设计要更贴近需求
 
  相信大家对云计算这个名词已经不再陌生,虽然有的时候并不知道云计算为何物,但是不能否认的是云计算已经融入到了我们每个人的生活、工作中。云计算简单的理解就是,通过网络将IT的基础设施(服务器、存储)连接起来,具有按需分配、易扩展等特点。云计算的最大特点就是扩展容易,在如今的时代,企业自己购买设备往往面临着不知道如何选择的麻烦,即使购买了硬件,也可能并不能满足需求,随着企业业务的增加,硬件设施就面临着升级的需求,而这种升级面临着诸多的麻烦,很可能面临着资源的浪费。

科研信息化技术与应用

中科院信息化工作动态

中科院国际会议服务平台


技术追踪
  · 如何克服网络功能虚拟化部署的挑战
  · 抓住流量的“DNA” 浅析下一代防火墙与应用识别技术
  · 企业需要避免的十大IT风险评估错误
 

如何克服网络功能虚拟化部署的挑战
   
 

  网络功能虚拟化(NFV)技术的目标是在标准服务器上提供网络功能,而不是在定制设备上。虽然供应商和网络运营商都急于部署NFV,但欧洲电信标准 协会(ETSI)要到2015年1月才会发布规范。因此,早期NFV部署将不得不利用更广泛的原则,随着更多细节信息浮出水面,这些原则将会逐渐被部署。

  为了在短期内实现NFV部署,供应商需要作出四个关键决策:部署云托管模式,选择网络优化的平台,基于TM论坛的原则构建服务和资源以促进操作整合,以及部署灵活且松耦合的数据/流程架构。

  为NFV寻找通用管理框架:选择OpenStack?

  从理论上讲,NFV可以存在于专用物理服务器上,也可以运行在云计算中的虚拟服务器中。但在实践中,由于没有涵盖所有这些选项的统一管理框架,因此很难提供如此广泛的部署选择。

  为了解决这个问题,我们可以将虚拟功能放在云中,并使用OpenStack作为云软件平台。OpenStack有着广泛的行业支持,并且它有一个网络即服 务框架,Neutron(以前被称为Quantum),其插件能够支持大部分主流SDN技术,甚至还能支持一些专有网络管理系统(NMS)。然而Neutron正在逐渐发展为满足云计算的需求,而不是满足网络运营商更广泛的需求,因此,早期NFV部署将需要为运营商网络扩展Neutron,以涵盖云计算中不存在的传统的端到端连接等功能。在这种情况下,开发人员需要增强Neutron,或者绕过它不支持的模型。

  为NFV部署优化商用服务器

  NFV和托管虚拟功能的成功取决于这些功能是否可用以及是否能根据需要来执行。ETSI NFV行业规范组(ISG)的目标就是在商用服务器上实现这些功能,但这需要通过硬件和软件进行网络优化。在从网络接口到虚拟机的数据路径连接的情况下, 这种优化尤其重要。毕竟,根据网络设备预期处理的流量以及它们提供的可靠性的不同,网络设备各有不同。NFV主机也是相同的情况,所以相同的优化是必要的。

  寻找NFV管理模式:看看TM论坛

  部署NFV的第三个问题是管理过程。这需要基于数据模型来描述服务和资源。在NFV出现之前,TM论坛(TMF)就提供了一个合适的(也许是理想的)数据 模型:(SID)GB 922。虽然这种模型可能需要进行扩展,才能支持虚拟功能和云资源,但这种扩展将是很小范围的,并且,GB922提供了丰富的模型用于描述服务(包含虚拟功能)以及(承载这些功能的)资源。

  这个TMF模型极大地简化了资源和服务的构建和管理,同时,NFV自身的虚拟功能管理理念也可能融入这个较大的TMF模型。

  此外TMF模型可以很容易地部署,不仅能管理从虚拟功能新组成的服务,而且可以管理传统配置的服务,甚至合作伙伴提供的那些服务。通过一个共同的架构来管理所有这些服务,当很多传统网络设备仍然继续使用时,这种模型将允许运营商管理到NFV的过渡。

  NFV部署需要非传统数据模型

  管理集成和服务建模代表着最大和最后的NFV部署决策(数据模型)。NFV触及现有网络OSS/BSS,以及NMS,云管理系统以及虚拟功能本身的管理。它将需要管理所有用于托管NFV的设备以及所有周围的网络设备。

  在确定托管功能的最佳位置以及最佳连接方式时,我们需要考虑虚拟化、虚拟功能的机器映像、虚拟网络SDN连接和流量模式。这种优化任务很巨大,但真正的挑 战在于简单地传达这些政策来指导部署,以及收集所需要的管理数据。对于这一点,NFV部署需要站在传统数据模型之外来思考。

  现代数据驱动的过程模型将数据存储从数据/信息模型分离出来,并且,它们使用语义层来描述解译和关系。这些可以很容易地适应收集器接口来从设备和功能收集 遥测信息,以及分布接口来以管理系统需要的形式可视化数据。IETF已经提出使用数据仓库来收集资源信息,用以分布到虚拟功能或者其基础架构到应用程序的信息传输(i2aex)架构内的管理流程。这种语义建模方法还可以让我们很容易地对NFV ISG指定的接口进行准标准部署。

  在NFV部署中,我们是否需要现成的云应用?

  除了这些基本部署点,我们还需要考虑一些基本问题,例如虚拟功能实际来自哪里。

  如果虚拟功能必须被定制开发为在NFV部署中运行,那么在功能可用性方面可能存在潜在的延迟。毕竟,开发人员必须致力于新环境,这可能导致多个平台具有 不同的需求集。而在NFV托管云应用或网络组件的能力将帮助解决这个功能可用性问题,但现成的云应用或网络功能组件不能利用任何特殊管理、可用性或性能工 具(这些可能被构建到NFV规范中)。正确的答案可能是同时支持现成的应用以及具有NFV优化行为的定制化应用。然后,市场可以自己作出选择。

  在规范出现之前,我们肯定会看到很多NFV部署。事实上,ISG的工作目标并不是描述或者限制部署过程和供应商,NFV用户将在不同的功能和特性上放置不同的价值。随着部署逐渐展开,我们将看到NFV可以做什么,到时候,我们将能够判断这会是怎样的一场革命。

 
  抓住流量的“DNA” 浅析下一代防火墙与应用识别技术
   
 

  “微积分”创始人莱布尼茨曾有句哲学名言,“世界上没有两片完全相同的叶子”,就拿人类来说,尽管科学研究早已证明,全世界70多亿人中,即便是孪生兄弟都不可能完全相同,但同时出生、姓名一致、长相酷似甚至声音相同的两个人则比比皆是。云计算、大数据时代,海量信息被封装为一个个数据包在网络上高速流转,端口跳变及复用技术的大量运用,犹如把不同信件装在了一模一样的信封里,仅查看信封上的投递信息,已无法准确了解信件由谁发出、寄往何处以及信件内容,而对于当今的数据网络来说,大量威胁就蕴藏其中。

  基因技术的发展,让我们可以利用DNA来鉴别个人身份,而对于报文内容千变万化的网络数据包,则同样需要找到流量中独一无二、恒定不变的特征,以此进行甄别,这便是业界提出的应用识别技术。

  作为网络边界的新一代“守门神”,下一代防火墙则是一款充分借助应用识别技术,完全基于应用层构建安全体系的设备。在Gartner定义的下一代防火墙概念中,具备识别应用并基于应用层执行独立于端口和协议的访问控制能力,是对一款下一代防火墙最基本的要求。然而,业界对于应用识别能力的考量始终缺乏相对完善的标准,也使得用户走入了不少误区。

  误区一:应用识别只是识别应用

  谈到当今的网络安全,我们无法回避三个核心的要素,那就是人、应用和内容,安全管理就是要做到针对个体用户的管理,而管理的前提是了解流量类型,控制的核心目标则是对流量内容的过滤。因此,真正的应用识别技术绝对不仅仅是传统意义上的应用类型的识别,还包括对流量发送者的定位以及数据内容的过滤,有专家甚至将人(用户)、应用、内容定义为当今网络安全的新“三元组”。

  定位流量的发送者要求将流量打上用户的标签,以往主要的手段是基于ID对用户进行标识,在访问网络前强制用户登录来实现认证。尽管用户的ID和口令信息已经实现了与第三方认证服务器同步和联动,大幅降低了管理的成本,但在用户端,登录认证的过程大幅降低用户体验的问题一直困扰着那些既渴望安全又追求高效的用户。

  根据来自一线的实施经验,60%部署了用户认证策略的网络,在半年内即由于体验和效率的原因取消了原先的设置,重新改为传统基于IP地址的访问控制,由此可以看出,如果平衡不好安全与效率的问题,业界广泛倡导的基于用户、角色的细粒度访问控制则很难在实际工作中落地。而用户识别技术不同于传统用户认证联动之处在于,其具备自动识别流量中用户信息的能力,可根据数据包中的ARP信息、应用登录信息等对用户进行透明认证,在不用户不进行登录认证的情况下,就能够将流量准确的对应到人。

  相比用户识别,要想识别出流量的内容,其技术实现的难度则更大,由于很多应用软件都有其特定的编码规则,并且相当一部分应用使用了加密的手段来传输信息,因此流量内容识别必须要建立在对应用有着深入理解的基础之上,并且对于一些特殊协议的编码、加密方式有着充分的掌握。

  误区二:应用识别只是比拼数字

  应用识别技术其实并非下一代防火墙提出的专利,早先几年就被业界定义,不少厂商也正在加大在此方面的研发投入,并且其产品也已经具备了一定的应用识别能力。但若一定要在应用识别能力上凭出个优与劣,则需关注几个重要标准。

  首先,我们必须要关注应用识别的广度和深度。所谓广度,是指支持识别的应用数量,这也是在之前所有厂商PK的重要数字,另外,对于平台化软件的子功能,是否有精确的识别,则是深度的体现。由于目前业界并没有针对应用识别能力的评测标准,不同厂商的应用特征库的数字计量标准也不尽相同,例如有些厂商以应用软件的数量进行统计,有些厂商则以软件的每种功能进行计量。尽管数字是最直观的量化标准,但由于标准上的差异,单纯比对数字则有可能误导用户。

  第二,应用识别的响应速度。应用爆炸式增长的环境下,对于新应用以及应用的新版本若无法做到及时的响应和更新,则无异于应用失控。有专家指出,应用识别技术除了技术门槛高以外,在现有技术条件下要维持一个具备快速持续更新能力的代码生产系统则难度更大,这需要长期的投入和积累,绝非一朝一夕可以实现。

  第三,应用识别的“地缘”因素。由于语言、习惯的差异,应用软件与地域是紧密相关的,例如汉语国家的用户访问中文网页要远远多于英文网页,中国大陆最流行的即时通信软件是QQ,而美国用户则更习惯于使用MSN。因此,应用识别技术一定要充分的掌握用户的使用习惯,否则的话,即便功能再强大的设备也会显得“水土不服”。

  第四,应用识别技术的领先性。应用识别技术经历了几代的演进,最早的设备基于IP、端口识别应用,随着端口复用、跳变技术的产生早已失效,随后出现了基于流特征的检测技术(DFI),根据数据流的包长、连接时间等特征识别应用流量,但识别率较低,第三代技术则使用深度包检测(DPI)技术,对数据流量进行拆包检查,识别率大幅提升,但执行效率较低。在应用层出不穷的当前,一个真正优秀的应用识别引擎,既要具备精确的识别能力又要保证高性能,这是一款应用层设备发挥最大效能的基石。

  对于下一代防火墙来讲,一旦具备了对人、应用、内容的识别能力,则意味着访问控制能力由原先的五元组扩充至了八元组,控制一个数据包的访问和转发,可基于用户、源IP、目的IP、源端口、目的端口、协议(端口)、应用类型以及数据内容进行更加精细的过滤。同时,对于日益普遍的应用层威胁的防御,同样需要建立在应用识别的基础之上,不识别应用则根本谈不上应用层威胁的防御。当然,下一代防火墙要具备未知威胁的主动防御能力,其实是利用大数据的思想对网络信息进行分析和挖掘,而在数据收集、行为掌握的阶段,同样需要应用识别技术作为支撑。

  由此我们看出,应用识别技术之所以是下一代防火墙产品的核心要素,完全是当前的安全需求所决定的,一款具备优秀应用识别能力的下一代防火墙,将会从新的高度为用户构造出更加安全的网络边界。

 

企业需要避免的十大IT风险评估错误
   
 

  在企业试图对IT的安全作出更好的决策时,最重要的就是IT风险评估。然而,虽然企业进行了风险评估,但他们经常出现一些错误,从而大大降低了风险评估的效果。下面是企业需要避免的10个风险评估错误。

  1、忘记评估第三方风险

  大多数IT风险专家都认为,现在大部分企业都没有评估供应商和其他合作伙伴的基础设施的风险,而这些基础设施通常会触及企业最敏感的的数据

  咨询公司SystemExperts公司副总裁Brad Johnson表示,“很多企业做得不够的方面是管理与第三方供应商的关系。当企业没有真正进行其尽职调查(无论是在签订合同之前还是之后),他们势必将错过关键的细节信息,这将提高风险。举例来说,客户公司可能不知道其供应商将其受规管的数据存储在公共云中。”

  2、评估过于量化

  诚然,分析和数字对于风险评估非常重要。但企业需要了解,这个数字游戏并不需要过于追求完美,特别是当涉及评估安全泄露事故的影响时。

  对安全事故影响的评估可以让企业更容易地讨论和关注如何缓解风险,而不是花大量时间来讨论这种影响是价值2000万美元还是21000美元,”Tripwire公司首席技术官Dwayne Melancon表示,“在你确定事故影响是灾难性的、令人痛苦的,或者没什么大不了的,你就可以很好地讨论你想要花多少钱来缓解最严重的风险。

  过度分析可能会拖垮整个评估过程,企业应该避免花太久时间来进行风险分类等工作。Citrix ShareFile 的SaaS分部安全和合规性高级经理Manny Landron表示,还有些定性风险因素,企业需要想办法纳入评估中。 “过于狭隘的焦点、采用严格的定量测量、没有一个框架,以及没有足够的定期计划的风险评估都是企业需要避免的错误。”

  3、评估的目光过于短浅

  防火墙管理公司FireMon的Jody Brazil表示,这并没有例外,大多数大型企业往往在其风险评估中忽略关键资产和评估指标。他表示,“其中最常见的问题是识别漏洞为‘风险’,而没有其他信息,例如可能提供对数据的访问权限或者被利用,也可能将个人标记为‘风险’,而没有对特定风险资产进行标记。”。

  大多数企业没有追踪其基础设施资产来很好地评估它们。更重要的是,即使他们经常评估完整的数据集,但这通常是在单独的孤岛进行,使其难以了解相互依存关系。

  价格报价软件开发公司FPX高级运营总监Gregory Blair表示,“有时候评估侧重于非常特定的应用程序,但是没有放眼整个基础设施,例如,评估可能只会检查保护数据库的应用程序,而没有检查整个计算控制,例如加密、防火墙、身份验证和授权等。”

  4、评估没有考虑业务背景

  IT风险评估完全是关于背景知识,无论是上文提到的系统情况还是业务情况。如果企业没有将漏洞和威胁加入到信息资产的背景知识中,其对业务的重要性就不能真正反映在风险评估中。

  大数据风险分析公司Brinqa的Amad Fida表示,“在评估风险时,很多时候,首席信息安全官缺乏对业务背景的了解。换句话说,他们需要询问,‘什么数据被访问了以及这它对业务的影响力?’没有考虑业务方面的分析结果提供了一个技术观点,而不是业务加技术的观点。”

  5、未将IT风险评估纳入到企业评估

  同样地,企业需要了解IT风险与所有其他风险的相互作用。通常,企业将IT风险视为自己的风险类别,而没有考虑其更广泛的影响。

  SystemExperts的Johnson表示,“越来越多的风险意识企业意识到IT是其业务成功的组成部分,他们都在努力确保让IT参与到业务风险谈话中,很多企业都有跨职能团队,他们从整体来检查风险以更好地了解依存关系,这些团队会建议从业务的角度企业应该侧重的风险。”

  6、没有进行评估和忘记评估

  专家警告称,现在企业做的风险评估往往不够。而这是应对不断变化的威胁环境的唯一方法。Rook咨询公司安全顾问Luke Klink表示:“定期执行风险评估让企业管理人员可以有效地利用其安全预算。通过进行详细的风险评估,我们不再需要利用“遍地开花式、乞求式(spray and pray)的保护方法,而是以实际的方式执行真正的风险管理。”。

  现在最先进的企业正在按照NIST方法来进行持续监测,来更好地了解环境以及改进评估间隔。他表示,“这种方法提供了更好的风险可视性、响应准备程度,并最大限度地减少整体风险,在现实中,安全风险顾应该持续进行,甚至嵌入到企业的事件响应管理过程,每个事件都会触发高层次的风险评估。如发现关键风险,企业将可以执行更详细的风险评估。”

  7、过于依赖评估工具

  “帮助企业持续监测IT资产的自动化工具不应该是风险评估的全部。因为有些风险必须要通过手动渗透测试深入挖掘才能够被发现。Rhino Security实验室量和创始人兼首席顾问Benjamin Caudill表示:“通常情况下,最重要的风险只能通过专门的手动分析被发现,例如网站的逻辑缺陷。首席信息安全官应注意这个问题,因为过于依赖风险 评估工具会给带来虚假的安全感,不能找出某些漏洞。”

  8、执行以漏洞为中心的评估

  当企业评估技术漏洞来确定风险时,他们往往忘记,数据本身的安全性或不安全性才是风险因素,而不是承载数据的系统。

  Imperva公司安全战略主管Barry Shteiman表示,“风险评估通常是以漏洞为中心的,而不是以数据为中心,IT通常选择保护包含数据的平台,而没有真正了解系统中包含哪些数据,以及谁正在访问或者访问过这些数据。”

  企业应该牢记,在内部网络基础设施上的漏洞风险因素带来的影响可能比不上访问IP和感染IP的用户带来的风险。

  9、忘记衡量人的风险

  Green Armor Solutions公司首席执行官Joseph Steinberg表示,同样地,企业必须记住,系统和软件漏洞只是风险评估的一个组件。没有考虑人类行为模式对风险的影响可能会导致最终风险评估结果无效。例如,风险评估可能会确认只有正确的人能够访问敏感的数据,然而,评估可能不会是否进行了评估员工培训来保护数据。

  10、忘记考虑设备的物理安全性

  当企业运行其评估时,经常被忽视的一个问题是物理安全性。设施的物理安全通常会直接影响内部的技术资产。物理安全性不仅影响着员工的安全、设备或硬拷贝数据资产的安全,而且还可能被用来植入秘密设备来允许攻击者远程发动攻击。

 

 
7*24专线:010-58812000   技术支持邮箱:support@cstnet.cn   垃圾邮件投诉邮箱:abuse@cstnet.cn
    © 1994-2013 版权所有:中国科技网网络中心     意见反馈: support@cstnet.cn