1IaaS
Infrastructure-as-a-Service(基础设施即服务)第一层叫做IaaS。
几年前如果你想在办公室或者公司的网站上运行一些企业应用,你需要去买服务器,或者别的高昂的硬件来控制本地应用,让你的业务运行起来。
但是现在有了IaaS,你可以将硬件外包到别的地方去。IaaS公司会提供场外服务器,存储和网络硬件,你可以租用。节省了维护成本和办公场地,公司可以在任何时候利用这些硬件来运行其应用。
2PaaS
Platform-as-a-Service(平台即服务)第二层就是所谓的PaaS。公司所有的开发都可以在这一层进行,节省了时间和资源。
PaaS公司在网上提供各种开发和分发应用的解决方案,比如虚拟服务器和 *** 作系统。这节省了你在硬件上的费用,也让分散的工作室之间的合作变得更加容易。网页应用管理,应用设计,应用虚拟主机,存储,安全以及应用开发协作工具等。
3SaaS
Software-as-a-Service(软件即服务)第三层也就是所谓SaaS。这一层是和你的生活每天接触的一层,大多是通过网页浏览器来接入。任何一个远程服务器上的应用都可以通过网络来运行,就是SaaS了。
目前三者的发展情况都不错,三者之间也有着较为密切的联系,其中IaaS是基础层、PaaS是平台层的,而SaaS是软件层的。
4CaaS
Communications-as-a-Service通讯即服务(也可称为协作即服务)。CaaS是将传统电信的能力如消息、语音、视频、会议、通信协同等封装成API(Application Programming Interface,应用软件编程接口)或者SDK(Software Development Kit,软件开发工具包)通过互联网对外开放,提供给第三方使用,将电信能力真正作为服务对外提供。
5MaaS
Machine as a Service物联网即服务,这个概念伴随着物联网产生,物联网常见的两种业务形式就是MAI与MaaS,因此MaaS属于物联网业务形式的一种。
6NaaS
NaaS(Network as a Service)网络即服务,通过网络虚拟化,安全设备虚拟化,SDN等网络技术,为各种用户提供不同的虚拟化网络服务。NaaS在现代云计算当中扮演着至关重要的一环,充当各元素的桥梁的角色。
在传统的IT网络架构中,系统部署或者升级时,需要同时调整相应的网络设备(路由器,交换机,防火墙)是一件非常繁琐并且成本很高的事情。这并不满足当前应用对稳定性和敏捷性的要求。而NaaS则可以很好的解决这些问题,通过虚拟的网络层使用户的应用和服务摆脱对底层硬件的束缚,用户可以快捷并廉价的部署网络服务如IP-Sec,负载均衡,IPS等。
文 华润医药商业集团有限公司智能与数字化部 孙宏鸣
零信任概念的提出,彻底颠覆了原来基于边界安全的防护模型,近年来受到了国内外网络安全业界的追捧。
所谓零信任顾名思义就是“从不信任”,那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型,而向零信任安全模型进行转变呢?零信任是企业安全建设中必须经历的安全防护体系技术革新,但它必然要经历一个长期 探索 实践的过程。
一、零信任的主要安全模型分析
云计算和大数据时代,网络安全边界泛化,内外部威胁越来越大,传统的边界安全架构难以应对,零信任安全架构应运而生。作为企业,该如何选择“零信任”安全解决方案,为企业解决目前面临的安全风险?
目前“零信任”安全模型较成熟的包括安全访问服务边缘(SASE)模型和零信任边缘(ZTE)模型等。以这两种模型为例,首先要先了解目前模型的区别,探讨各自的发展趋势,再选择适合企业的落地实施方案。
对 SASE 模型,身份驱动、云架构、支撑所有边缘以及网络服务提供点(PoP)分布是其主要特征。SASE 模型扩展了身份的定义,将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等,这些要素都被归纳成了身份,所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同,SASE 不会强制将流量回传到数据中心进行检索,而是将检查引擎带到附近的 PoP 点,客户端将网络流量发到 PoP 点进行检查,并转发到互联网或骨干网转发到其他 SASE 客户端,从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务(SECaaS),即提供所有云服务特有的功能,实现最大效率、方便地适应业务需求,并将所有功能都放置在 PoP 点上。
SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本,整合供应商和厂家的资源,为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构,减少 IT 团队管理及运维安全产品的数量,降低后期运维的复杂性,极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程,并对未授权的数据进行保护。
SASE 模型强调网络和安全紧耦合,网络和安全同步建设,为正在准备搭建安全体系的企业提供了较为理想的路径。反之,已经搭建或正在搭建安全体系过程中的企业,如果要重构企业网络结构,是个极大的挑战,也是一笔不小的投入。所以,SASE 模型可能更适用于面对终端用户的零售行业,为这类企业提供完整的安全服务,不需要企业在每一个分支节点上搭建一整套安全体系,便于统一管理并降低建设成本。
ZTE 模型的重点在零信任。一是数据中心零信任,即资源访问的零信任,二是边缘零信任,即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块,本质上是一个概念。ZTE 模型强调网络和安全解耦,先解决远程访问问题,再解决网络架构重构问题。
二、华润医药商业集团零信任的实践
华润医药商业集团有限公司(以下简称“公司”)作为华润下属的大型医药流通企业,在全国分布百余家分子公司,近千家药店,日常业务经营都离不开信息化基础支撑,所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求,完善网络安全防护能力,公司同样十分重视网络安全建设,目前同国内主流安全厂商合作,建立了以态势感知为核心,贯穿边界与终端的纵深防御体系,并通过连续两年参与攻防演练,不断提升网络安全人员专业水平,通过攻防实战进一步优化网络安全建设。
但公司在涉及云计算、大数据、物联网等技术领域时,现有的网络边界泛化给企业带来的安全风险不可控,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施,而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。
公司选择了 SASE(安全访问服务边缘)和ZTE(零信任边缘)两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。
公司分支企业众多,几乎覆盖全国范围,存在安全管控难、处置难、安全性低、资源灵活性差等问题,并缺少整体统一的长效运营机制。基于以上问题,公司参考了 SASE 模型的解决方案,将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案,由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构,而是分为三类情况使用不同的方案。
第一类是改变网络安全管理方式,主要针对区域公司。 由于大部分区域公司已经搭建了相对成熟的安全体系,只将原有的传统广域网链路改为就近接入运营商 PoP 点,并将原有的双线冗余线路的备用线路使用软件定义广域网(SD-WAN)技术进行替换,并通过服务质量(QoS)机制将主营业务与办公业务进行合理切分,大大提高了网络使用效率,降低费用成本,并且可以通过统一的管理平台对广域网进行管理,统一下发配置安全策略,提高整体安全管控和处置。
第二类是逐层汇聚、分层管理,主要针对二、三级分支机构。 这类单位安全体系虽已建设,但还未达到较高的程度,通过就近接入 PoP 点或汇聚到区域公司,由运营商提供部分安全服务或由区域公司进行统一管控。
第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。 使用 SD-WAN 安全接入方案就近接入 PoP 点,由运营商提供整体的安全服务,从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整,提供全面、一致的安全服务 , 同时降低整体安全建设成本,提高工作效率。
近两年,公司办公受新冠疫情的影响,员工居家办公成为常态化。作为虚拟专用网络()产品的使用“大户”,公司原有的 账户众多 ,传统 在使用过程中已经难以满足当前业务的需求,一些问题逐渐暴露,经常出现不同程度的安全风险。传统 架构存在很多问题,如权限基于角色固定分配,不够灵活,在业务生成中及重保等特殊时期,粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网,本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 业务运维,涉及下级单位 问题均需要总部人员处理,诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 客户端的兼容性不同,兼容性问题也是经常被员工吐槽的地方。在 使用中,基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。
为此,公司参考了 ZTE 模型的解决方案,首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点,以零信任理念为指导,结合深信服软件定义边界(SDP)架构的零信任产品,构建了覆盖全国办公人员的零信任远程办公平台。
SDP 架构的零信任产品,对访问连接进行先认证、再连接,拒绝一切非法连接请求,有效缩小暴露面,避免业务被扫描探测以及应用层分布式拒绝服务攻击(DDoS)。通过单包认证(SPA)授权安全机制实现业务隐身、服务隐身,保护办公业务及设备自身。对于没有安装专有客户端的电脑,服务器不会响应来自任何客户端的任何连接,无法打开认证界面及无法访问任何接口。具备自适应身份认证策略,异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时,零信任平台强制要求用户进行二次认证、应用增强认证,确保用户身份的可靠性。
零信任的试点应用,提升了公司的网络安全性,简化了运维。但基于公司现状及规划,试点工作还需进一步同厂商进行下一步的工作落地和 探索 。在使用体验优化方面,由于 SDP 架构的数据转发链更多,零信任与 使用流畅度上差异不大,在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版(IPV6),依据相关政策要求,需要进行 IPV6 业务改造,通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯,将零信任产品进一步同公司现有办公平台进行对接,实现身份、业务的统一管理,实现单点登录。公司零信任安全体系建设的下一步工作,是将公司现有安全体系建设进一步与零信任产品体系打通,实现数据互通,进一步提高管理信息化中的安全可靠性。
三、结语
零信任安全架构对传统的边界安全架构模式重新进行了评估和审视,并对安全架构给出了新的建设思路。但零信任不是某一个产品,而是一种新的安全架构理念,在具体实践上,不是仅在企业网络边界上进行访问控制,而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制,从而真正实现“从不信任,始终验证”。
(本文刊登于《中国信息安全》杂志2022年第2期)
京东方物联网解决方案在金融领域的应用主要包括以下几个方面:
金融设备智能监控:通过物联网技术实现金融设备的实时监测、远程控制和故障预警,提高设备的稳定性和安全性,降低维护成本。
金融安全防范:利用物联网技术建立金融安全监控系统,实现对ATM机、钞箱、安全门等金融设备的全方位监测和实时响应,防范盗窃和安全事故。
资产管理和追踪:利用物联网技术实现金融资产的实时追踪和管理,包括货币、贵金属、文物等高价值资产,提高资产的安全性和管理效率。
数据分析和风险管理:通过物联网技术实现对金融数据的采集、分析和挖掘,帮助金融机构实现风险管理和预测,提高金融业务的决策能力和效率。
金融客户服务:通过物联网技术实现金融客户的个性化服务,包括智能化问答、个性化推荐、智能语音识别等,提高客户体验和忠诚度。
综上所述,京东方物联网解决方案在金融领域的应用具有广泛的应用前景和市场潜力。
物联网应用涉及国民经济和人类社会生活的方方面面,因此,“物联网”被称为是继计算机和互联网之 后的第三次信息技术革命。信息时代,物联网无处不在。由于物联网具有实时性和交互性的特点,因此 ,物联网的应用领域主要有如下。1、城市管理
(1)智能交通(公路、桥梁、公交、停车场等)物联网技术可以自动检测并报告公路、桥梁的“健康状 况”,还可以避免过载的车辆经过桥梁,也能够根据光线强度对路灯进行自动开关控制。
在交通控制方面,可以通过检测设备,在道路拥堵或特殊情况时,系统自动调配红绿灯,并可以向车主 预告拥堵路段、推荐行驶最佳路线。
在公交方面,物联网技术构建的智能公交系统通过综合运用网络通信、GIS地理信息、GPs定位及电子控 制等手段,集智能运营调度、电子站牌发布、IC卡收费、ERP(快速公交系统)管理等于一体。通过该系 统可以详细掌握每辆公交车每天的运行状况。另外,在公交候车站台上通过定位系统可以准确显示下一 趟公交车需要等候的时间;还可以通过公交查询系统,查询最佳的公交换乘方案。
停车难的问题在现代城市中已经引发社会各界的热烈关注。通过应用物联网技术可以帮助人们更好地找 到车位。智能化的停车场通过采用超声波传感器、摄像感应、地感性传感器、太阳能供电等技术,第一 时间感应到车辆停入,然后立即反馈到公共停车智能管理平台,显示当前的停车位数量。同时将周边地 段的停车场信息整合在一起,作为市民的停车向导,这样能够大大缩短找车位的时间。
(2)智能建筑(绿色照明、安全检测等)
通过感应技术,建筑物内照明灯能自动调节光亮度,实现节能环保,建筑物的运作状况也能通过物联网 及时发送给管理者。同时,建筑物与GPs系统实时相连接,在电子地图上准确、及时反映出建筑物空间地 理位置、安全状况、人流量等信息。
(3)文物保护和数字博物馆
数字博物馆采用物联网技术,通过对文物保存环境的温度、湿度、光照、降尘和有害气体等进行长期监 测和控制,建立长期的藏品环境参数数据库,研究文物藏品与环境影响因素之间的关系,创造最佳的文 物保存环境,实现对文物蜕变损坏的有效控制。
(4)古迹、古树实时监测
通过物联网采集古迹、古树的年龄、气候、损毁等状态信息。及时作出数据分析和保护措施。
在古迹保护上实时监测能有选择地将有代表性的景点图像传递到互联网上,让景区对全世界做现场直播 ,达到扩大知名度和广泛吸引游客的目的。另外,还可以实时建立景区内部的电子导游系统。
(5)数字图书馆和数字档案馆
使用RFID设备的图书馆/档案馆,从文献的采访、分编、加工到流通、典藏和读者证卡,RFD标签和阅读 器已经完全取代了原有的条码、磁条等传统设备。将RFID技术与图书馆数字化系统相结合,实现架位标 识、文献定位导航、智能分拣等。
应用物联网技术的自助图书馆,借书和还书都是自助的。借书时只要把身份z或借书卡插进渎卡器 里,再把要借的书在扫描器上放一下就可以了。还书过程更简单,只要把书投进还书口,传送设备就自 动把书送到书库。同样通过扫描装置,工作人员也能迅速知遭书的类别和位置以进行分拣。
2、数字家庭
如果简单地将家庭里的消费电子产品连接起来,那么只是—个多功能遥控器控制所有终端,仅仅实现了 电视与电脑、手机的连接,这不是发展数字家庭产业的初衷。只有在连接家庭设备的同时,通过物联网 与外部的服务连接起来,才能真正实现服务与设备互动。有了物联网,就可以在办公室指挥家庭电器的 *** 作运行,在下班回家的途中,家里的饭菜已经煮熟,洗澡的热水已经烧好,个性化电视节目将会准点 播放;家庭设施能够自动报修;冰箱里的食物能够自动补货。
3、定位导航
物联网与卫星定位技术、GSM/GPRS/CDMA移动通讯技术、GIS地理信息系统相结合,能够在互联网和移 动通信网络覆盖范围内使用GPs技术,使用和维护成本大大降低,并能实现端到端的多向互动。
4、现代物流管理
通过在物流商品中植入传感芯片(节点),供应链上的购买、生产制造、包装/装卸、堆栈、运输、配 送/分销、出售、服务每—个环节都能无误地被感知和掌握。这些感知信息与后台的GIS/GPS数据库无 缝结合,成为强大的物流信息嘲络。
5、食品安全控制
食品安全是国计民生的重中之重。通过标签识别和物联网技术,可以随时随地对食品生产过程进行实时 监控,对食品质量进行联动跟踪,对食品安全事故进行有效预防,极大地提高食品安全的管理水平。
6、零售
RFID取代零售业的传统条码系统(Barcode),使物品识别的穿透性(主要指穿透金属和液体)、远距离 以及商品的防盗和跟踪有了极大改进。
7、数字医疗
以RFID为代表的自动识别技术可以帮助实现对病人不问断地监控、会诊和共享医疗记录,以及对医 疗器械的追踪等。而物联网将这种服务扩展至全世界范围。RFID技术与信息系统(HIS)及药品物流系统的融合,是医疗信息化的必然趋势。
8、防入侵系统
通过成千上万个覆盖地面、栅栏和低空探测的传感节点,防止入侵者的翻越、偷渡、恐怖袭击等攻击性 入侵。上海机场和上海世界博览会已成功采用了该技术。
据预测,到2035年前后。中国的物联网终端将达到数千亿个。随着物联网的应用普及,形成我国的物联 网标准规范和核心技术,成为业界发展的重要举措。解决好信息安全技术,是物联网发展面临的迫切问题。
根据我的预测未来物联网的市场潜力非常巨大,现在各大公司巨头也已经开始布局物联网市场了,所以掌握物联网核心技术是非常有益的!!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)