信息安全

问题背景 2020年02月20日， 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器，按照Sun Microsystems提供的技术规范，实现了对Servlet和JavaServer Page（JSP）的支持。由于Tomcat本身也内含了HTTP服务器，因此也可以视作单独的Web服务器。 CNVD-2020-10487是文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件、源代码等。 问题来源 ajp13是一个二进制的TCP传输协议，相比HTTP这种纯文本的协议来说，效率和性能更高，也做了很多优化，但是，浏览器并不能直接支持AJP13协议，只支持HTTP协议，通过Apache的proxy_ajp模块进行反向代理，暴露成http协议给客户端访问。其他支持AJP协议的代理服务器当然也可以用这种做法。但是实际情况是，支持AJP代理的服务器非常少，比如目前很火爆的Nginx就没这个模块。因此tomcat的配置大部分都是关闭AJP协议端口的，因为除了Apache之外别的http server几乎都不能反代AJP13协议，自然就没太大用处了。

前言 Fuchsia，是由Google公司开发的继Android和Chrome OS之后的第三个系统，已在Github中公开的部分源码可以得知。Google对于Fuchsia的说明是“Pink（粉红）+Purple（紫色）=Fuchsia（灯笼海棠，一个新的操作系统）”。 开发语言 谷歌新一代开源操作系统 Fuchsia 的开发者网站上公布了一份 Fuchsia 编辑语言策略，文档描述了 C、C++、Dart、Rust 与 Go 的优劣势，并明确指定了其中哪些语言将会在 Fuchsia 开发生态中得到怎样程度的支持。 C 优点： C 是一种广泛使用的语言。该语言具有易于理解的特性，已在很长一段时间内保持稳定，并且过去已用于构建类似的系统。该语言具有成熟的工具链和相关的开发人员工具； C 具有稳定的 ABI，它使 Fuchsia SDK 包含预编译的二进制文件，供最终开发人员重新使用； 许多语言可以使用外部函数接口与 C 互操作。支持 C 可使最终开发人员更轻松地将这些语言与 Fuchsia 集成在一起； 我们目前的终端开发人员已经在使用该语言。 缺点： 对异步编程的支持很弱； 用该语言编写的程序通常会由于缺乏内存安全性而导致安全漏洞。 用该语言编写的程序通常包含资源泄漏，因为该语言不提供自动释放资源的功能。 与 C++ 相比，类型安全性较弱。简单地将某些 C 代码重新编译为 C+

问题 为了保证用户的信息安全，敏感信息需要脱敏。 项目开发过程中，每次处理敏感信息的日志问题感觉很麻烦，大部分都是用工具类单独处理，不利于以后统一管理，很不优雅。 于是，就写了一个基于 java 注解的日志脱敏工具。 github sensitive 项目介绍 日志脱敏是常见的安全需求。普通的基于工具类方法的方式，对代码的***性太强。编写起来又特别麻烦。 本项目提供基于注解的方式，并且内置了常见的脱敏方式，便于开发。 用户也可以基于自己的实际需要，自定义注解。 变更日志 日志脱敏 为了金融交易的安全性，国家强制规定对于以下信息是要日志脱敏的： 用户名 手机号 邮箱 银行卡号 密码 持久化加密 存储的时候上面的信息都需要加密，密码为不可逆加密，其他为可逆加密。 类似的功能有很多。不在本系统的解决范围内。 特性 基于注解的日志脱敏 可以自定义策略实现，策略生效条件 常见的脱敏内置方案 快速开始 maven 导入 <dependency> <groupId>com.github.houbb</groupId> <artifactId>sensitive-core</artifactId> <version>0.0.1</version> </dependency> 定义对象 User.java 我们对 password 使用脱敏，指定脱敏策略为 StrategyPassword。

「揭秘：宜信科技中心如何支持公司史上最大规模全员远程办公|上篇」 中，我们介绍了宜信科技中心支持史上最大规模远程办公的方案：通过SSLVPN 实现远程访问数据中心和业务系统，同时辅助办公协同系统、会议系统等信息传递，确保足够的网络带宽保障数据正常传输，并介绍了我们在IT运维方面的部署。 客户服务是金融业务重要组成部分，亦是劳动密集型业务，如何保证业务和数据安全，不影响公司正常运营，实现安全顺畅的远程办公，成为当下较为突出的挑战。今天我们分享宜信科技中心在保证呼叫中心远程办公方面的详细部署以及宜信科技中心在远程办公安全方面的关键举措。 一、AI机器人全面上线 客户服务是金融业务重要组成部分，亦是劳动密集型业务，如何保证业务和数据安全，不影响公司正常运营，成为当下较为突出的挑战。为了应对挑战，科技中心团队联合作战，充分利用AI、云计算、大数据等科技手段突围。 宜信技术团队快速响应调整，紧急协调并部署了AI机器人，替代人工，每日对全平台所有客户进行智能化的业务操作提醒。 AI机器人通过NLP语言构建的对话管理系统，标准的业务话术机器人与客户智能对话方式，这套智能服务系统不仅7x24小时在线服务，同时还结合大数据图谱技术构建了超过68种金融业务场景，应用于公司内部的全部业务的自动化客户服务过程，对比人工服务的效果，可联率与接通率得到了较大的提升；与此同时

微记忆尊重并保护所有注册用户的个人隐私权。为了给您提供更准确、更贴心的服务，微记忆会按照本隐私权政策的规定储存并使用您的个人信息。微记忆承诺将以高度严格的审慎义务对待这些信息。除本隐私权政策另有规定外，在未征得您事先许可的情况下，微记忆不会将这些信息对外披露或向第三方提供。 您在同意微记忆服务使用协议之时，即视为您已经同意本隐私政策全部内容。本隐私政策属于微记忆服务使用协议不可分割的一部分。 1 、适用范围 a) 在您注册微记忆帐号时，您根据微记忆要求提供的个人注册信息； b) 在您使用微记忆网络相关服务时，微记忆自动接收并记录的账户信息等数据。 2 、信息使用 a) 微记忆不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息，除非事先得到您的许可，或该第三方和微记忆单独或共同为您提供服务，且在该服务结束后，其将被禁止访问包括其以前能够访问的所有资料； b) 微记忆不允许任何第三方以任何手段收集、编辑、出售或者无偿传播您的个人信息。任何微记忆用户如从事上述活动，一经发现，微记忆有权立即终止与该用户的服务协议； c) 为更好地服务用户，微记忆可能通过使用您的个人信息，向您提供您感兴趣的信息，包括但不限于向您发出产品和服务信息，或者与微记忆合作伙伴共享信息以便他们向您发送有关其产品和服务的信息（后者需要您的事先同意）。 3 、信息披露 当以下情况发生时

一、漏洞背景 安全公告编号：CNTA-2020-0004 2020年02月20日， 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞， 攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如： webapp 配置文件或源代码等 。 受影响的版本包括：Tomcat 6，Tomcat 7的7.0.100以下版本，Tomcat 8的8.5.51以下版本，Tomcat 9的9.0.31以下版本。 CNVD 对该漏洞的综合评级为“ 高危 ”。 二、影响版本 1、Apache Tomcat 9.x < 9.0.31 2、Apache Tomcat 8.x < 8.5.51 3、Apache Tomcat 7.x < 7.0.100 4、Apache Tomcat 6.x 三、漏洞分析 3.1 AJP Connector Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接，Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求，以及把Tomcat服务器的响应结果发送给客户。 在Apache

当今网络规模变得越大，越难以监测。网络盲点可以轻易对网络产生巨大影响。 想要监控的网络端口越来越多，接入的监控设备也大幅增加，对网络管理者提出更高的要求。传统接入监测方法（例如端口镜像）的成本非常高且会对被镜像设备造成非常大的压力。由于网络正以前所未有的速度急剧增长，如今高性能、可扩展的监测解决方案已成为当务之急。 通过TAP网络分路器的形式串接或并接在网络中，采集网络流量数据，可复制到多个端口、或把多条数据汇聚到个别端口，再给后端需要对网络内容进行分析、监控的平台应用，还可以根据一定规则过滤出应用平台想要的数据。这种灵活多变的方式逐渐被大家所接受。明辰智航网络分路器应用到各个领域，下面说明多种连接方案以及各行业中的典型案例： （图一）TAP网络分路器灵活多变的部署形式 TAP网络分路器典型连接方案如下图： 1串行接入（Inline模式） 2并行接入（Span模式） 案例 一、TAP在信息安全领域的典型应用案例及说明 典型应用 网络安全是很多用户关注的，网络安全设备种类繁多，很多客户在网络里会部署多种安全设备，如： 检测、WAF、SOC、IDS、IPS、漏扫、抗DDOS、上网行为、 还有各种网络安全监控设备等等，如何把这些设备合理的部署到网络当中，又不对网络传输质量产生应用，通过TAP网络分路器的形式可以更方便有效的管理网络 TAP设备，不管端口数量多少、端口接口特性如何

网站可用性 所谓网站可用性(availability)也即网站正常运行时间的百分比，业界用 N 个9 来量化可用性， 最常说的就是类似 “4个9(也就是99.99%)” 的可用性。 容灾恢复能力的关键指标 RPO：（Recovery Point Obejective，恢复点目标）是指业务系统所允许的在灾难过程中的最大数据丢失量，用来衡量容灾系统的数据冗余备份能力。 RTO：（Recovery Time Objective，恢复时间目标）是指信息系统从灾难状态恢复到可运行状态所需的时间，用来衡量容灾系统的业务恢复能力。 我国的国家标准《GB20988-2007-T 信息安全技术信息系统灾难恢复规范》对灾备数据中心根据RPO与RTO两项指标分成了6个相应的等级，如下所示： 来源： 51CTO 作者： 阿星哟 链接： https://blog.51cto.com/14082573/2330122

第二周（9.14-9.20）: 学习计时：共 xxx小时 读书： 代码： 作业： 博客： 一、学习目标 1. 能够独立安装Linux操作系统 2. 能够熟练使用Linux系统的基本命令 3. 熟练使用Linux中用户管理命令/系统相关命令/文件目录相关命令/打包压缩相关命令/比较合并相关命令/网络相关命令等 4. 熟练应用“搜索”进行举一反三的学习 二、学习资源 1. 课程资料： https://www.shiyanlou.com/courses/413 实验一 2. Linux 基础入门： https://www.shiyanlou.com/courses/1 (重点，第一次课考核内容全部从这里面出) 3. Linux命令： en cn 三、学习方法 1. 进度很重要：必须跟上每周的进度，阅读，练习，问答，项目。我会认真对待每一位同学，请你不要因为困难半途而废。 2. 问答很重要：遇到知识难点请多多提问，这是你的权利更是您对自己负责的义务。问答到博客园讨论小组： http://group.cnblogs.com/103791/ 3. 实践很重要：解决书中习题，实践书中实例，完成每周项目，才算真的消化了这本好书。通过实验楼环境或自己安装的虚拟机在实践中进行学习 4. 实验报告很重要：详细记录你完成项目任务的思路，获得老师点评和帮助自己复习。学习完成后在博客园中（ http:/

现今，“数据泄露事件”、“企业数据信息安全”、“网络环境下数据安全”、“企业数据防泄漏”……等都成为互联网时代的相关热门话题，也是国内政企机构等重点关注的问题。为什么数据泄露事件以及信息安全保护工作得到了如此广泛的关注？近年来，可能大家多多少少都关注到互联网新闻中经常会报道出某某企业数据泄露，什么什么公司的数据泄露导致数据在网络上售卖等等，这都给互联网的企业以及个人敲响了警钟，加强了对数据安全的关注程度，想要通过寻求某种方法，来切实有效的保证数据文件在流通使用中的安全，防止自身的企业发生数据泄露事件。因此，针对目前的互联网环境， 企业文件加密 工作的进行刻不容缓！ 知识经济、知识版权时代，互联网企业之间的竞争都是知识产权与版权所有之间的竞争，一旦企业在发展以及管理过程中出现纰漏，造成自身企业泄露，轻则会造成企业经济损失，重则会影响企业的形象，造成企业在后期未来市场竞争力衰退，甚至影响到企业的生死存亡。因此，企业数据防泄漏系统的使用对于企业来说尤为重要，且具有其必要性！ 针对企事业单位的发展现状，目前企业所面临的数据泄露危机增多，并且泄露的根源也在不断增强，那么对于这样的情况，企业的数据防泄漏工作应该如何进行？企业文件加密软件又要如何的使用和选择？ 对于目前的企事业单位来说，具备了一定的安全意识的前提下，其次就是要去选择安全实用的文件加密软件来实现对企业环境下数据文件的保护工作