安全性

作者：刘安 爱可生测试团队成员，次要负责 DTLE 开源我的项目相干测试工作，善于 Python 自动化测试开发。 本文起源：原创投稿 *爱可生开源社区出品，原创内容未经受权不得随便应用，转载请分割小编并注明起源。 如何开启DTLE的HTTPS拜访模式DTLE默认提供的是HTTP的拜访模式，然而在应用DTLE的过程中未免要通过API提交诸如数据库的用户名、明码、IP、端口等信息。如果这些信息被第三方获取到，那么对于数据库的使用者几乎就是一场劫难。因而DTLE提供了HTTPS的拜访模式，爱护咱们的信息安全。 启用DLTE的HTTPS拜访模式须要SSL证书，如果你搭建的集群须要向外提供可信的服务能够向证书管理机构申请。本文应用本人生成的SSL证书来演示如何配置DTLE使HTTPS拜访模式失效。 1. 下载安装DTLE这里应用的是dtle-ce-4.22.01.0版本，留神先不要启动DTLE服务 shell> curl -O "https://github.com/actiontech/dtle/releases/download/v4.22.01.0/dtle-ce-4.22.01.0.x86_64.rpm"shell> rpm -ivh dtle-ce-4.22.01.0.x86_64.rpm --prefix=/opt/dtle2. 生成证书文件和私钥文件# 须要装置opensslshell> yum install openssl -yshell> cd /opt/dtle/etc/dtle/# 生成私钥文件shell> openssl genrsa -out server.key 1024Generating RSA private key, 1024 bit long modulus....++++++........++++++e is 65537 (0x10001)# 生成证书申请文件，此步骤能够全副回车,不输出任何信息shell> openssl req -new -key server.key -out server.csrYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:ShanghaiLocality Name (eg, city) [Default City]:XuhuiOrganization Name (eg, company) [Default Company Ltd]:actiontechOrganizational Unit Name (eg, section) []:qaCommon Name (eg, your name or your server's hostname) []:dtleEmail Address []:852990221@qq.comPlease enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:# 生成证书文件shell> openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 365Signature oksubject=/C=CN/ST=Shanghai/L=Xuhui/O=actiontech/OU=qa/CN=dtle/emailAddress=852990221@qq.comGetting Private keyshell> lsconsul.hcl nomad.hcl server.crt server.csr server.key3. 编辑nomad.hcl，配置证书文件和私钥文件shell> vi nomad.hcl... cert_file_path = "/opt/dtle/etc/dtle/server.crt" key_file_path = "/opt/dtle/etc/dtle/server.key"...4. 启动DTLEshell> systemctl start dtle-consul dtle-nomad5. 验证https开启胜利# 应用http拜访shell> curl -X POST "http://127.0.0.1:8190/v2/loginWithoutVerifyCode" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"password\": \"admin\", \"tenant\": \"platform\", \"username\": \"admin\"}"Client sent an HTTP request to an HTTPS server.# 应用https拜访，但咱们的证书没有通过CA认证shell> curl -X POST "https://127.0.0.1:8190/v2/loginWithoutVerifyCode" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"password\": \"admin\", \"tenant\": \"platform\", \"username\": \"admin\"}"curl: (60) Peer's certificate issuer has been marked as not trusted by the user.More details here: http://curl.haxx.se/docs/sslcerts.htmlcurl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the --cacert option.If this HTTPS server uses a certificate signed by a CA represented in the bundle, the certificate verification probably failed due to a problem with the certificate (it might be expired, or the name might not match the domain name in the URL).If you'd like to turn off curl's verification of the certificate, use the -k (or --insecure) option.# 应用https拜访，减少-k参数跳过查看服务器的SSL证书是否正确shell> curl -s -k -X POST "https://127.0.0.1:8190/v2/loginWithoutVerifyCode" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"password\": \"admin\", \"tenant\": \"platform\", \"username\": \"admin\"}" | jq{ "message": "ok", "data": { "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NTAxMjAzNjcsImdyb3VwIjoicGxhdGZvcm0iLCJuYW1lIjoiYWRtaW4ifQ.I1XDK7Ar1JLKLWlxWEHX0vCWG07dDqBHieCBmjEVz0E" }}shell> curl -s -k -X GET "https://127.0.0.1:8190/v2/nodes" -H "accept: application/json" -H "Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NTAxMjA0MjYsImdyb3VwIjoicGxhdGZvcm0iLCJuYW1lIjoiYWRtaW4ifQ.PoPwOWQF09uaUf6vu0rTPQVpLfF59UIhq-lLBBVhTbc" | jq{ "nodes": [ { "node_address": "127.0.0.1", "node_name": "nomad0", "node_id": "21bd1636-0beb-e4c6-34fd-d35be32414e9", "node_status": "ready", "node_status_description": "", "datacenter": "dc1", "nomad_version": "1.1.2", "dtle_version": "4.22.01.0-4.22.01.x-952bb3d", "leader": true, "member": true } ], "message": "ok"}6. 抓包查看传输的信息应用https, 登录DTLE提交的信息是通过加密的: ...

1995年，中国第一家网络安全企业——天融信公司成立（从有记录的工商信息查问得悉），掀开了中国网络安全行业倒退的尾声。尔后的短短数年，启明星辰、卫士通、绿盟科技等平安公司相继成立。这些公司成为了中国网络安全行业的“黄埔军校”，向互联网企业、平安厂商，乃至起初的云服务商，以及各行各业的平安岗位源源不断地输送平安人才，影响至今。 明天，乘着产业互联网浪潮和政策利好的东风，一群怀揣网络安全现实的年轻人开始摸索网络安全细分畛域，创建了一批“专精特新”企业，推动中国网络安全产业从“少而全”走向“多而专”。 中小平安企业的春天 2021年，注定是中国网络安全行业不平庸的一年。 国家从立法层面和政策领导层面继续晋升对网络安全的器重水平，《数据安全法》、《网络安全产业高质量倒退三年行动计划》、《要害信息基础设施平安管理条例》、《网络安全破绽治理方法》、《个人信息保护法》等重磅的政策法规都在这一年里密集公布。 网络安全行业“大动作”一直，A股市场雷厉风行，网络安全概念指数一度单月涨幅超30%，将行业推至千亿规模市场。 始终身居幕后的网络安全来到了台前。许多扎根平安圈多年的老炮儿，不禁感叹“终于从十八线行业熬成了一线”。 据CCIA（中国网络安全产业联盟）数据统计，2021年上半年我国共有4525家公司发展网络安全业务，相比上一年增长27%。2021年前三季度行业总体营业支出相较于2020年同比增长 23.31%。据IDC最新预测，2021年中国网络安全市场总体收入将达到102.2亿美元，并无望在2025年增长至187.9亿美元，增速继续领跑寰球。 政策驱动也催生了一批新兴的平安细分赛道，吸引守业公司退出。 2021年7月12日公布的《网络安全产业高质量倒退三年行动计划》首次把“专精特新”和“单项冠军”概念引入了网络安全产业。 《行动计划》重点提到，将针对网络安全产品细分市场优良企业，放慢培养网络安全单项冠军企业和专精特新“小伟人”企业。 如何了解网络安全行业这些“专精特新”企业？ 经验了中国网络安全产业倒退历程的腾讯平安专家陈颢明打了一个比喻：如果把网络安全厂商比作“医院”，在过来二十多年工夫里，国内只有多数的“大型综合医院”，医治宽泛存在的基础性“疾病”。然而随着越来越多的企业步入数字化的轨道，“大型综合医院”曾经远远不能满足一劳永逸的需要和“疑难杂症”。因而，近年来诞生了各个垂直畛域的“专科医院”，例如专一威逼情报的“眼科医院”、专一加密的“骨科医院”等等。他们用本身的一技之长针对性解决问题，补救了市场空缺。 技术专业化、畛域精细化、产品特色化、计划新鲜化，就是网络安全行业的“专精特新”。 欧美的隐形冠军们 “专精特新”在国外有另外一个词，叫做“隐形冠军”，由德国管理学家赫尔曼·西蒙提出，指那些不为公众所熟知，却在某个细分行业或市场占据领先地位，领有外围竞争力和明确策略，其产品、服务难以被超过和模拟的中小型企业。 而在美国，网络安全产业倒退得更早，也更快进入成熟阶段，并催生了一批又一批隐形冠军。 美国的网络安全产业同样有大型综合企业和独立平安厂商。以微软（Microsoft）、谷歌（Google）、思科（Cisco）、IBM等为代表的网络巨头，在网络安全产业中扮演着地基的角色。 一年前的明天，国内网络安全行业正在热议一条重磅新闻。微软CEO发表微软在2020年的平安业务收入达到100亿美元，年增长率超过40%。彼时，这个数字简直等于中国网络安全行业企业一年支出的总和。“原来微软才是寰球最大的网络安全厂商”的声音一时在行业震荡。 只管起初有业界人士剖析祛魅，100亿美元蕴含了来自本身产品Office 365、Azure等服务所产生的支出，同时还有靠近40%支出来自纯渠道，30%来自渠道单干。然而仍然能够看出微软成熟的合作伙伴生态所带来的奉献。 巨头之外，则是网络安全产业的巨子们——赛门铁克（Symantec）、迈克菲（McAfee）、趋势科技（Trend micro）。此外，还有很多独立平安厂商，专一于系统安全、网络安全或其余平安技术的某个垂直畛域。他们不断创新迭代，提出产品概念，发明出了细分市场，在平安产品中成为独立品类的“隐形冠军”。这些独立平安厂商中，既有FireEye这样的超级新锐，也有NetScreen、Fortinet、Palo Alto Networks等公司实现概念接力、迭代翻新。 FireEye成立于2004年，采纳沙箱前置与流量产品联合的办法，跑出了一条全新品类的赛道，最终造成了本人独特的反APT和0day破绽的产品状态。FireEye的疾速崛起能够说是平安界的神话，在2012到2014年疾速成长，成为120亿美元网络安全市场中回升最快的一颗明星。 在一些新兴的畛域，同样有因业余技术而被青眼的企业。2022年伊始，据路透社报道，谷歌以约5亿美元的价格收买了一家以色列的网络安全初创公司Siemplify。Siemplify是少数几家独立的SOAR（平安编排、自动化与响应）提供商。近年来，许多企业开始须要各种不同的网络安全工具且无效联动并主动响应平安问题，SOAR产品因而变得越来越受欢迎。 这些网络安全企业，又是如何一步一步成为“隐形冠军”？ 长年与钻研机构打交道的腾讯平安策略专家周奕良，从另一个角度答复这个问题。隐形冠军的诞生就是一个Gartner魔力象限从无到有，再挪动到魔力象限右上角的过程。 魔力象限 Gartner是一家权威的IT钻研与参谋征询公司。据介绍，Gartner早在1990年起，就开始关注网络安全产业，并继续关注一些新兴的垂直赛道，基于市场体现和钻研报告，输入一张细分畛域的魔力象限。魔力象限赋予新品类一个规范定义和方向，同时定期更新，挖掘出一批全新赛道的优良企业。 以后面提到的SOAR为例，SOAR是Gartner 2017年提出的新概念。过后，大中型企业都曾经建设了绝对比拟齐备的平安经营核心（SOC），然而经营过程中面临诸如：大量的安全事件须要人员染指、经营老本高、平安响应工夫长、人工染指多等问题。解决此类经营问题的全新赛道——SOAR应运而生。同时，一边是Gartner不断完善性能规范和测评规范，另一边是一直有厂商退出和送测，一轮一轮的魔力象限随之出炉。最终，跑到魔力象限右上角的厂商成为了“单项冠军”。 欧美市场用二十年的工夫，将网络安全产业从萌发到成熟，再孵化出一条条垂直赛道和一家家隐形冠军。回望国内，一群怀揣网络安全现实的年轻人也在摸索属于咱们本人的“专精特新”网络安全企业。 国内新锐公司的摸索之路 前文提到，2021年是网络安全政策频发的一年，行业一片利好。而上一次让平安圈个体“兴奋”，还要追溯到2014年。那一年的2月，地方网络安全和信息化领导小组第一次会议召开。行业内外耳熟能详的“没有网络安全就没有国家平安，没有信息化就没有现代化。”正是出自那次会议。 彼时，已在昆仑万维管理层的张福也判断到网络安全行业行将迎来微小的变动。半年后，张福从行将上市的昆仑万维到职。“那是好多好多钱呢。”衣着程序员标配格子衬衫的张福说，他算了一下，放弃的股权靠近3000万元。 紧接着，他用现实情怀感动了另外八位气味相投的技术宅男。开启“摸黑”守业之路，成立了青藤云平安。 只管过后并没有“专精特新”这样的词，更没听说过国外的“隐形冠军”。然而张福和他的青藤云平安自成立之初就把“自适应平安”当做了主赛道，并以主机平安作为重要的业务切口。蛰伏七年，青藤云平安终于和阿里云、腾讯云、华为云跻身中国云主机平安第一梯队，并在2021年6月发表实现6亿元C轮融资。 对产品和赛道的保持，让青藤云平安从无人问津到发展壮大。“如果没有走进去，至多咱们对于这条路的摸索是十分有意义的，给大家在这个方向上带一段路。将来肯定会有公司走进去，尽管不肯定是青藤。”张福在一次采访中说道。 张福 青藤云平安的胜利，让人们看到中国网络安全产业的更多可能性。其中包含不少从网络安全大厂到职的守业青年。 唐伽佳，一个典型的网络安全从业者，大学毕业后进入网络安全的“黄埔军校”绿盟科技，之后到网络安全大厂负责产品研发，随同了中国网络安全十余年的倒退变迁。在2020年的夏天，来到大厂，守业成立了一家专一XDR的公司——将来智安。 新冠疫情催熟了近程办公，间接带火了办公平安。其中，最火的概念莫过于“零信赖”，数据显示，2020年一年就有数十家企业研发和售卖“零信赖”产品。而同一年，唐伽佳却决然抉择了另外一条过后不太热门的赛道——XDR（扩大的威逼检测与响应）。 他察看到，长期以来威逼检测的流量侧、终端侧和攻打检测等技术一直倒退，但客户始终感觉存在比拟大的问题，容易陷入看不到残缺攻打事件、平安经营人员投入多效率低的窘境。唐伽佳长期和客户交换后发现，这些问题或者都有一个共性，如果在威逼检测和响应畛域能解决这些问题，那肯定是客户须要的。 XDR最早由Palo Alto Networks于2018年提出，在2020年被Gartner命名为第一大平安趋势，Gartner称XDR解决方案将无效进步检测准确性、平安经营效率。 据唐伽佳分享，他们合伙人团队都有十余年的威逼检测教训，见证了这个细分畛域的迭代、降级和自动化。有一天聚在一起探讨到如何更无效地解决中国企业客户的问题时，一拍即合，也就萌发了守业的念头。“过后不晓得国外曾经有这个概念，当咱们关注到Gartner的文章时才发现，它与咱们的想法不约而同。” 因为守业之初就有丰盛的技术和教训，加上对产品的专一和执着，将来智安在成立一年之内就推出了国内首款XDR产品，该产品将网络和终端的告警日志进行对立交融，用以放慢威逼响应速度，能够无效进步经营效率。同年7月取得红杉资本等近亿元的融资。 唐伽佳 同样从大厂到职守业的，还有曹静。入行十五年的曹静先后从神州泰岳到绿盟，再到互联网大厂，始终从事网络安全的相干工作，现在仍然放弃着对网络安全的激情和新鲜感。 2021年6月，曹静和几个合伙人成立了灰度平安，专一平安危险评估自动化。 谈到守业的契机，曹静认为是天时地利人和，“‘地利’是国家器重政策利好，加上行业认可度高；‘天时’是初创团队这么多年都扎根平安经营畛域，而以后很多企业正在从建设期曾经迈向经营期，须要自动化伎俩撑持；‘人和’则是可能聚拢一群领有共同理想的人。” 至于为什么抉择“平安危险评估自动化”，曹静解释道，“咱们次要联合国内客户需要，参考了国外的技术，中西联合造成了这一条新赛道。使用入侵攻打模仿、VTP等新技术，去从新定义‘平安危险评估自动化’。” 在过来多年的工作教训中，曹静粗浅感触到，很多企业曾经从平安建设期迈向了经营期。前些年，企业做平安根本是买买买，把该买的防护设施，检测设施都买齐了。然而当初，迈入经营期之后，如何让这些设施施展应有的效力，晋升平安进攻短板，是很多企业现阶段的困惑。甲方企业的平安经营所需的人员又投入过大，必然要靠自动化的伎俩实现降本增效。这也是她守业并抉择这一条赛道的初衷。 这一赛道的价值同样被行业所认可，灰度平安公司成立不久即取得了千万级天使轮融资，并在同年12月公布了第一款产品“先知”。该产品通过实战化伎俩，对企业的平安防御能力进行评估验证，度量平安危险。 曹静 资本青眼，但打铁还需本身硬 据《中国网络安全产业剖析报告》统计，2020-2021年，中等规模网络安全企业上市过程减速，广泛取得了资本青眼。泛滥初创企业涌现，并取得了晚期投资。从融资金额角度来看，2020年至今融资额度处于亿元以上的融资事件有65起，相较于2019年减少了42起，千万级以上融资事件数量超过70起。行业整体出现龙头领跑，新秀涌起的场面，更多的平安从业者迈入了网络安全守业的大潮。 将来智安投资方，红杉中国董事总经理翟佳在承受媒体采访时曾示意，网络安全是国家重点关注和倒退行业畛域，也是红杉资本重点关注的科技赛道。 在2021年的融资轮次中，种子轮、天使轮的融资事件共计18起。据平安419报道，多家资本方都曾走漏，目前在网络安全行业不偏向投天使轮，因而这也侧面通知咱们，这些胜利实现天使轮融资的企业占据了更加前沿的细分赛道和技术劣势，他们身上有着极大的发展潜力。 ...

平安框架shiroSpring Security应用程序的两个次要区域:认证和受权(这两个次要区域是Spring Security的两个指标) 认证(Authentication): 建设一个申明的主体过程一个[主体]个别是指[用户],[设施]或一些能够[在应用程序中执行动作的其它零碎]受权(Authorization): 访问控制确定一个主体是否容许在你的应用程序执行一个动作的过程为了到达须要受权的点,主体身份曾经有认证过程的建设 Spring Security针对Spring我的项目的平安框架,是Spring Boot底层平安模块默认的技术选型能够实现web安全控制,只须要引入spring-boot-starter-security依赖配置即可Spring Security中的类: WebSecurityConfigurerAdapter: 自定义Security策略AuthenticationManagerBuilder: 自定义认证策略@EnableWebSecurity: 开启WebSecurity模式 1.引入spring-boot-starter-security依赖2.编写SpringSecurity配置类2.1 定制申请的受权规定2.2 开启主动配置的登录性能(/login来到登录页;重庆向到/login?error示意登录失败)2.3 开启主动配置的登记性能(拜访/logout申请,示意用户登记并清空session;登记胜利返回/login?logout)2.4 开启主动配置的记住明码性能(http.rememberMe();)-登录胜利当前,将Cookie发送给浏览器保留,能够实现记住明码性能;点击登记会删除Cookie,就没有记住明码性能默认post模式的/login代表解决登录2.5定义认证规定@EnableSecuritypublic class MySecurityConfig extends WebSecurityConfigureAdapter{@Overrideprotected void configure(HttpSecurity http) throws Exception{ // 定制申请的受权规定 http.authorizeRequest().antMatches("/").permitAll() .antMatches("/level/**").hasRole("VIP"); // 开启主动配置的登录性能,如果没有权限就会跳转到登录页面 http.formLogin().loginPage("/"); // 跳转到自定义登录页 http.logout().logoutSuccessUrl("/"); // 登记胜利返回首页 http.rememberMe().rememberMeParameter("remember"); // 开启主动配置的记住明码性能}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception{ auth.inMemoryAuthentication().withUser("username").password("password").roles("role1","role2") .and() .withUser("username").password("password").roles("role1","role2")}3.管制申请的拜访权限Thymeleaf Extras Springsecurity4

最近，因为负责得一个网站受到3次网络攻击。间接敞开服务了。所以这两周就主攻平安了。以前对平安的确理解太少了。趁着这个机会放松学起来。O(∩_∩)O1、CIA准则机密性（Confidentiality）、完整性（Integrity）、可用性（Availability），咱们能够简称为 CIA 三元组，是平安的根本准则。实践上来说，一个残缺的平安保障体系，应该充分考虑到所有的 CIA 准则。机密性用一句话来说就是，确保数据只被受权的主体拜访，不被任何未受权的主体拜访。 简略用一个词总结就是“不可见”。完整性就是确保数据只被受权的主体进行受权的批改，简略来说，就是“不可改”。可用性就是确保数据可能被受权的主体拜访到 ，简略来说，就是“可读”。

近期通晓云的版本更新告诉频率低于去年，但咱们的产品经理和工程师始终在致力地迭代产品，更是时刻关注大家反馈的问题和需要，始终致力于为企业、集体开发者提供更好用的产品和服务。  明天通晓妹将把本月的更新内容进行大汇总，让你能够疾速理解：通晓云近期有哪些新能力已上线，正在做哪些大家期待已久的性能。 本月更新内容多平台能力通晓云行将反对快手小程序平台的接入，登录接入跟微信、QQ 等其它小程序一样简略。你能够在快手生态内，以快手小程序为载体，基于内容、服务的供应，或短视频、直播内容的生产连贯用户，实现本身业务的价值实现。  目前内测炽热招募中，如果你已有或筹备开发快手小程序，速来申请，优先体验。咱们将继续助力大家打造全平台产品体系，让业务没有死角。  Ps：反对通晓推送、客服音讯等能力也曾经安顿在路上，不日将与大家见面，敬请期待。 营销能力1、订阅音讯减少短信补充发送性能。当向用户发送订阅音讯失败时，你就能够通过小程序外链短信营销性能来告诉他们，防止用户错过任何一条重要音讯，用户触达更全面、更轻松。2、优化营销短信配置和发送流程。简化签名和短信模板审核流程，进步经营人员的工作效率。搭配小程序外链，用户增长成果更显著。3、小程序码减少下载按钮，不便经营人员下载曾经设置好的小程序码。小程序码反对自定义设置页面名称、页面门路、款式，以便用户快速访问指定页面，用户留存与转化更无效。 平安风控1、微信加密数据解密。当调用微信小程序接口获取敏感信息时，返回的数据往往是通过加密的，开发者如需获取这些敏感数据，须要对接口返回的加密数据进行对称解密。详见开发文档2、新增微信小程序平安风控接口的接入。微信针对小程序各利用场景中可能存在的歹意注册、营销舞弊等黑产危险和平安问题，公布了平安风控接口，帮助开发者应答刷单、虚伪交易、歹意骗取补贴等营销舞弊危险和批量注册、伪造身份等注册黑产危险，以便开发者保护小程序经营秩序和平安。即刻接入，让你的小程序安全系数更高。详见开发文档：微信小程序-开发文档、云函数-开发文档 其余更新1、模板音讯资源包新增 ¥40 / 50 万条的套餐，抉择更多、优惠力度更大。 版本更新预报1、基于企业微信的社群经营解决方案，助力企业打造私域流量体系。 2、快手小程序反对通晓推送、客服音讯。 3、公布新版微信小程序 SDK，同步调整获取用户信息的相干接口。详见微信官网文档 近期平台流动通晓云和 QQ 小程序携手推出校园助力打算，带来官网的生态能力，一站式赋能在校学生开发和经营小程序。7 月 31 日前报名申请，将有机会取得腾讯 QQ 小程序和通晓云的技术领导和经营赋能。立刻报名 一张图带你通晓咱们 3 月份做了哪些事