密钥管理

MongoDB 4.2已经发布，我们来看看它增加了哪些新特性？分布式事务？数据库加密？通配符索引？ 在2019年MongoDB World大会上，CTO Eliot Horowitz介绍了MongoDB 4.2中的一些功能，这些功能扩展了其在数据库技术方面的领先地位：分布式事务（Distributed Transactions），字段级加密（Client Side Field Level Encryption），通配符索引（Wildcard Indexing）、按需物化视图（Materialized Views）。 这些都是重大的改进，表明MongoDB在企业级功能方便更加完善。 MongoDB 4.2提升了事务和分析技术水平。它提供大规模的分布式事务的ACID担保和复杂的数据处理流程，还有最先进的加密控制保护机制。我们可以在任何地方运行MongoDB4.2：在本地数据中心，云上、混合云、Atlas云上。我们可以获得阿里云、AWS，Azure和GCP可用的完全托管，云原生的MongoDB服务。阿里云全球第一个实现了MongoDB异地多活架构。可以支持互联网跨国公司的大规模出海业务。 现在使用MongoDB的公司越来越多了，技术架构方案也越来越成熟。MongoDB新特性也是为了满足更多的企业级业务场景需求。 1. MongoDB 4.2 新特性 先来大体上看看有哪些改进，作为4

git是分布式的代码管理工具，远程的代码管理是基于ssh的，所以要使用远程的git则需要ssh的配置。简单的说，Git - 版本控制工具；Github是一个网站，提供给用户空间创建git仓储，保存用户的一些数据文档或者代码等；GitLab是基于Git的项目管理软件 　　首先，使用代码管理工具把本地的代码上传到服务器时需要加密处理，加密传输的算法有很多种，git可使用rsa，rsa要解决的一个核心问题是，如何使用一对特定的数字，使其中一个数字可以用来加密，而另外一个数字可以用来解密。这两个数字就是你在使用git和github，gitlab的时候所遇到的public key也就是公钥以及private key私钥。 其中，公钥就是那个用来加密的数字，这也就是为什么你在本机生成了公钥之后，要上传到github的原因。从github发回来的，用那公钥加密过的数据，可以用你本地的私钥来还原。如果你的key丢失了，不管是公钥还是私钥，丢失一个都不能用了，解决方法也很简单，删除原有的key，重新再生成一次，然后在github.com里再设置一次就行在个人电脑生成ssh密钥后，会同时生成一个公开密钥和一个私有密钥，默认情况下在用户主目录下的.ssh目录中，密钥为id_rsa，公开密钥为id_rsa.pub。 密钥和公开密钥是共同使用的，协同开发中，一般会将公钥配置在服务器中，这样方便经常登录

（一）网络操作系统安全 网络操作系统安全是整个网络系统安全的基础。操作系统安全机制主要包括 访问控制 和 隔离控制 。 访问控制系统一般包括主体、客体和安全访问政策 访问控制类型： 自主访问控制 强制访问控制 访问控制措施： 入网访问控制 权限访问控制 属性访问控制 身份验证 网络端口和结点的安全控制 （二）网络实体安全 计算机网络实体是网络系统的核心，既是对数据进行加工处理的中心，也是信息传输的控制中心 网络设备的冗余 网络服务器系统冗余： 双机热备份：设置两台服务器（一个主服务器，一个备份服务器） 存储备份冗余 磁盘镜像 RAID 电源冗余：采用双电源系统（即服务器电源冗余） 网卡冗余 核心交换机冗余 供电系统冗余：使用UPS作为备份电源 链接冗余 网络边界设置冗余 ACL(路由器访问控制列表) 基于包过滤的流控制技术，主要作用一方面保护网络资源，阻止非法用户对资源的访问，另一方面限制特定用户所能具备的访问权限 类型： 标准ACL：序列号1-99 扩展ACL：序列号100-199 VRRP(虚拟路由器冗余协议) 选择性协议，可把一个虚拟路由器的责任动态分配到局域网上VRRP路由器 交换机端口汇聚 端口聚合也称以太通道，主要用于交换机之间的连接。就是将多个物理端口合并成一个逻辑端口 Internet上的应用服务器 HDCP服务器 Web服务器 FTP服务器 DNS服务器

  随着某某站被“tuoku”的新闻弥漫整个互联网、朋友圈、it饭局等,已经成为了众多圈内人士关注的热点议题。海量用户数据被泄露很有可能造成个人财产等各方面受到威胁。“洗库”、“撞库”也随之发生,数据泄漏不光是用户损失,对于企业来讲声誉、可靠性、安全性的门面将会被打破,法律的制裁、监管机构的约谈和通报、用户流失等都将是对企业致命的打击,所以数据安全对于企业来讲如同命脉自然成为了企业的命脉,但是对于数据防护我们应该怎么去防护?怎么去保存?如何分类?如何定级?针对数据安全的防护本人总结了一句话“技术是手段,业务是王道。”   回顾一下“华住”用户数据库泄漏事件,我们发现代码上传github首先不去分析上传行为是否合规,文件包含了数据库的对外管理端口、用户名、密码、互联网映射地址信息,一系列组合给hacker提供了便利,由此事件我们做安全的应该深思如下几点: 代码上传是否对内制定了管理机制?是否部署或者监控了有企业敏感字段的git检测? 数据对外发布是否有严格的审计制度,数据库管理端口映射到公网上本就是个危险动作,属于不安全行为,存在风险。若真是数据库管理为何不使用堡垒机多因子身份认证来完成? 关于访问控制是否存在严格的审计制度?外网对内的访问权限除发布服务端口外是否遵循了最小化原则优先。 对于事后分析是否有健全的溯源和回溯的机制,能否对已经发生的安全事件有效的追溯。  

欢迎有疑问的读者与我交流 需要完成事件： 1.安装bind服务程序； 2.DNS域名正/反向解析服务； 3.部署从服务器； 4.安全的加密传输； 5.部署缓冲服务器； 6.分离解析技术。 Bind简介： Linux中通常使用bind来实现DNS服务器的架设，bind软件由isc(www.isc.org)维护。在yum仓库中可以找到软件，配置好yum源，直接使用命令yum install bind就可以安装。当前bind的稳定版本为bind9，bind的服务名称为named，监听的端口为 53号端口 。bind的主要配置文件为/etc/named.conf，此文件主要用于配置区域，并指定区域数据库文件名称。区域数据库文件通常保存于 /var/named/ 目录下，用于定义区域的资源类型。 准备开始 查看本地物理机IP地址: 从上图可见：图中最下因为我是连接校园网无线网，然后虚拟机准备使用 桥接模式 (若对虚拟机三种网络模式的区别不明白，请参考： https://blog.csdn.net/Alpha_B612/article/details/80979101 )，所以我选择将虚拟机的网段与网关与图中最下面的保持一致； 设置虚拟机的IP： 查询虚拟机网卡： 配置： 请注意上图： 1）请注意设置的IP地址的掩码长度，我这里与本地物理主机一致16位 2）网卡使用nmcli conn up

2019-2020-1 20175307 20175308 20175319 实验二 固件程序设计 小组成员 20175307高士淳 20175308杨元 20175319江野 实验步骤 1.MDK 实验要求 0．注意不经老师允许不准烧写自己修改的代码 1．三人一组 2．参考云班课资源中“信息安全系统实验箱指导书.pdf “第一章，1.1-1.5安装MDK，JLink驱动，注意，要用系统管理员身分运行uVision4，破解MDK（破解程序中target一定选ARM） 3．提交破解程序中产生LIC的截图 4．提交破解成功的截图 实验步骤 下载并运行安装程序，安装MDK MDK安装结束页面，点击安装ULINK驱动 Ulink安装结束后自动退出，安装结束 运行uVision4，点击 文件>>许可证管理 ,复制CID 运行keil-MDK注册机，粘贴CID并选择 ARM ，点击 generate 生成 LIC 将生成的LIC复制到keil4中的LIC输入框中，点击 Add LIC ，破解完成。 2.LED 实验要求 0．注意不经老师允许不准烧写自己修改的代码 1．参考云班课资源中“信息安全系统实验箱指导书.pdf “第一章，1.4” KEIL-MDK 中添加 Z32 SC-000 芯片库，提交安装截图 2．参考云班课资源中“信息安全系统实验箱指导书.pdf “第一章，1.9”完成LED实验

​ 本文是Spring Cloud专栏的 第十篇 文章，了解 前九篇 文章内容有助于更好的理解本文： Spring Cloud第一篇 | Spring Cloud前言及其常用组件介绍概览 Spring Cloud第二篇 | 使用并认识Eureka注册中心 Spring Cloud第三篇 | 搭建高可用Eureka注册中心 Spring Cloud第四篇 | 客户端负载均衡Ribbon Spring Cloud第五篇 | 服务熔断Hystrix Spring Cloud第六篇 | Hystrix仪表盘监控Hystrix Dashboard Spring Cloud第七篇 | 声明式服务调用Feign Spring Cloud第八篇 | Hystrix集群监控Turbin Spring Cloud第九篇 | 分布式服务跟踪Sleuth ​ 一、介绍 系统流小说 wap.kuwx.net Spring Cloud Config是Spring Cloud团队创建的一个全新项目,用来为分布式系统中的基础设施和微服务应用提供集中化的外部配置支持,它分为服务端(config server)与客户端(config client)两个部分。其中服务端也称为分布式配置中心,它是一个独立的微服务应用,用来连接配置仓库并为客户端提供获取配置信息、加密/解密信息等访问接口

HTTP 的缺点 到现在为止，我们已了解到 HTTP 具有相当优秀和方便的一面，然而 HTTP 并非只有好的一面，事物皆具两面性，它也是有不足之处的。HTTP 主要有这些不足，例举如下。 1、通信使用明文（ 不加密） ， 内容可能会被窃听 2、不验证通信方的身份， 因此有可能遭遇伪装 3、无法证明报文的完整性， 所以有可能已遭篡改 这些问题不仅在 HTTP 上出现，其他未加密的协议中也会存在这类问题。 除此之外，HTTP 本身还有很多缺点。而且，还有像某些特定的 Web 服务器和特定的 Web 浏览器在实际应用中存在的不足（也可以说成是脆弱性或安全漏洞），另外，用 Java 和 PHP 等编程语言开发的 Web 应用也可能存在安全漏洞。 通信使用明文可能会被窃听 由于 HTTP 本身不具备加密的功能，所以也无法做到对通信整体（使用 HTTP 协议通信的请求和响应的 内容 ）进行加密。即，HTTP 报文使用明文（指未经过加密的报文）方式发送。 TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点，这是因为，按 TCP/IP 协议族的工作机制，通信内容在所有的通信线路上都有可能遭到窥视。 所谓互联网，是由能连通到全世界的网络组成的。无论世界哪个角落的服务器在和客户端通信时，在此通信线路上的某些网络设备 、光缆、计算机等都不可能是个人的私有物

第一章 密码学 信息安全的三要素（ 三种属性 ）：机密性、完整性（真实性）、可用性。 机密性 ：是指保证信息不泄露给非授权的用户或实体，确保存储的信息和被传递的信息仅能被授权方得到。通常通过加密来保证机密性。 完整性 ：只在数据整个生命周期维持其准确和一致。一般通过生成一个改动检测码来检验信息是否被篡改。 可用性 ：是指保障信息资源随时可提供服务的能力特性，任何信息系统都必须满足。高可用性的系统不仅要在停电、硬件故障和软件升级时保持信息资源可用，还要能地址拒绝服务攻击。 攻击的主要形式： （1）中断（也叫拒绝服务），是对可用性的攻击 （2）截取，就是未授权的窃听 （3）篡改， （4）伪造， （5）重放 攻击的分类： （1）被动攻击   截取，攻击信息保密性 （2）主动攻击   中断，攻击系统可用性   篡改：攻击信息真实性   伪造：攻击发送方真实性   重放：系统真实性（实时性） 安全机制为实现安全服务提供了 技术手段 ：   1.加密   2.数字签名   3.访问控制   4.数据完整性   5.鉴别交换   6.通信业务填充   7.路由选择控制   8.公证 第二章 加密技术 古典密码 密码算法基本手段出现针对的是字符；特点：数据的安全基于算法的保密 古典密码 分类 ：    代换密码 Substitution cipher    置换密码 Permutation

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> HTTPS 时代已经来临，而新一代安全传输协议TLS1.3的普及会大大提升HTTP连接速度的性能，消除HTTPS使用性能上的担忧，助推HTTPS进一步应用落地。早在去年，阿里云CDN HTTPS就已经全面支持TLS1.3，鼓励用户逐步升级到更安全、性能更佳的TLS1.3，帮助终端获得更好的访问体验。本文由阿里云CDN技术专家林胜恩（啸坤）为你详细揭秘TLS1.3的发展历程、特性以及应用。 一、TLS1.3协议发展历程 SSL协议起源于1994年，当时网景公司推出首版网页浏览器及HTTPS协议，用于加密的就是SSL。此后相继推出SSL2.0及3.0版本，1999年IETF将SSL标准化，即 RFC 2246 ，并将其命名为TLS。2006年和2008年又分别推出TLS1.1和TLS1.2版本。 在SSL/TLS发展过程中曾出现过各种安全漏洞，如Heartbleed、POODLE，这导致SSL3.0及其之前版本逐渐废弃，目前互联网使用的主流协议是TLS1.2版本。 TLS1.3协议针对安全强化及效率提升等方面进行了大量修改，IETF相继推出个28个草案版本，历时4年多，终于在今年8月份完成最终的标准化 ( RFC 8446 ) 。 二、TLS 1.3协议好在哪？ 安全强化 ，TLS1.3依循极简主义的设计哲学