10战略与管理
IT管理者首先要战略视野和战略思维,要能够理解企业的战略,并使得IT的战略与企业战略匹配。在新技术深刻改变业务的时代,IT管理者需要有对未来的洞察能力,并深刻理解新技术如何影响并改变企业战略。为了支撑好企业战略,IT管理者需要管理好IT组织,所以必须具备一定的专业管理能力。作为一个变革的领导者,IT管理者还需要一些软性的领导能力,包括一些管理理念、管理思维和沟通技能等。
11 IT战略
能够深刻理解信息化的内涵与作用,理解新的数字化转型方向,识别IT给企业带来的创新机会,能够制定务实有效的IT战略规划。
111信息化内涵与作用
理解信息化或数字化的本质内涵及发展历史,理解国家在信息化发展方面的战略,理解信息化在宏观经济社会层面及微观企业层面的作用,了解产业数字化与数字产业化的趋势。
112 数字化转型
理解新的数字化技术带来的转型机会,特别是人工智能带来的智能化转型机会。能够识别转型中的主要风险,把握转型的正确方向。能够制定正确的转型策略与方法,包括敏捷及迭代方法。
113 基于IT的企业创新
能够识别IT,特别是新一代IT给企业带来的创新机会,包括技术创新、业务创新、管理创新、产品创新和营销创新等。
114 IT战略规划
能够理解企业的战略,包括企业未来发展愿景和规划。能够识别企业业务中存在的主要问题及改进机会。能够根据企业和业务的战略制定IT战略规划,包括IT愿景、主要目标、主要工程、实施路径及治理模式等。
115 打造敏捷组织
在VUCA时代,企业越来越需要敏捷地应对环境地变化。信息化和数字化需要快速敏捷地应对环境和业务的变化,从而打造一个敏捷的组织。SAFe和VeriSM等框架提供了一些可参考的学习内容。
12 IT管理
既要掌握一些通用的管理方法,也要掌握一些与IT技术相关的专业管理方法。IT管理领域,包括IT项目管理、IT服务管理、信息安全管理和IT治理等,都已形成一些标准的框架与方法。
121 IT项目管理
在项目管理领域,国际上已形成PMBOK、PRINCE2两大体系。对于IT项目管理,可以采用其中某个体系,或者综合裁剪采用两个体系中的部分内容。
122 DevOps与服务管理
ITIL是IT服务管理领域的标准框架,目前已经发展到第4版,即ITIL v4。由于敏捷开发和快速迭代的需要,打破开发与运营的分割,促使开发和运营紧密结合的DevOps(开发运营组合)逐渐在改变传统的IT服务管理模式。
123 信息安全管理
信息安全是三分技术、七分管理。ISO27001是信息安全管理领域的国际标准框架。随着业务数字化的发展,隐私与数据保护变得越来越重要。EXIN根据欧盟《通用数据保护条例》(GDPR)制定的相关认证培训内容可以作为参考。
124 IT治理
IT治理的核心是要在IT相关决策和行动上控制风险,提交价值。合规性也是IT治理的一项重要内容。COBIT作为IT治理领域的一个流程框架得到了广泛采用。MIT关于IT决策的治理内容也得到了广泛采用。
125 数据治理与数据资产管理
区分数据管理、数据治理和数据资产管理的基本概念;掌握数据管理、数据治理和数据资产管理的基本方法,包括DAMA数据管理知识框架、主数据管理、数据治理框架、数据资产管理方法等。
13 领导力
作为一个IT管理者,不仅需要一些技术和管理方面的硬技能,还需要人际沟通和带领团队方面的软技能。对人的充分理解、好的管理思维、良好的人际沟通等等都是软技能的重要内容。
131 IT管理者领导力
IT管理者领导力是IT管理者带领团队的能力。谦虚、博学、诚信等都是IT管理者应具备的个人素质。IT管理者需要在战略视野和横向视野,沟通能力和协调能力等方面修炼自己的领导力。
132 中西思维与管理哲学
在大量接受西方标准管理框架的同时,IT管理者还需要理解东西方传统文化所带来的不同思维特征与思维模式,如西方文化更重视结构和流程,东方文化更重视整体和结果;西方文化更偏重逻辑思维,东方文化更偏重形象思维。
133 高效沟通
作为一个IT管理者,尤其是技术出身的IT管理者,如何更高效和有效的沟通非常重要。金字塔原理中的“打桩子”和“先结论再论据”等表达技巧值得IT管理者好好修炼。好的沟通心态和好的沟通技能,是高效沟通的前提。
20业务与流程
懂业务是IT管理者的关键成功因素之一。对于所在的企业,IT管理者需要理解企业的业务流程和管理流程,还要了解相应的行业知识。在某种程度上,优秀的IT管理者应该比某些具体的业务人员更懂他的业务,因为IT管理者可以通过信息视角从一个更高角度去看清业务;优秀的IT管理者不仅知道他们业务现在是怎么做的,而且知道他们的业务未来应该如何更好地去做。
21 业务流程
对于业务,IT管理者首先要能识别并理解企业的核心业务流程。对于一个制造型企业,其核心业务流程主要是“进销存”和“产供销”等。有关核心业务流程的具体内容主要有供应链管理、客户关系管理、电子商务、商业模式创新等。
211 业务流程管理
IT管理者需要理解的业务流程管理内容包括:业务流程的概念,流程与工作流,BPM的概念及价值,BPM的实施,流程性组织,业务流程架构与IT。
212 供应链管理
互联网新零售时代对传统的供应链管理(采购、库存、物流、渠道等管理)带来了新的需求和挑战。物联网、大数据和人工智能等新技术给供应链管理带来了基于数据的精准化运营模式。
213 客户关系管理
如何利用数字化手段对客户进行细分和有效管理,特别是在社交网络发达的互联网时代,如何通过消费者数据更好地经营客户。社交性CRM是这个时代客户关系管理的重要内容。
214 O2O与电子商务
无论是电子商务,还是线上线下相结合的O2O与新零售,电子商务模式正在朝线上线下一体化的方向发展。微信吸粉、数字导购、智能体验、智能推荐等正在打造全新的消费体验。
215 商业模式创新
什么是商业模式?商业模式的构成要素是什么?基于互联网的商业模式有哪些范式?商业模式创新案例分析。
22 管理流程
除了核心业务流程,企业还有一些管理流程用于管理者的决策与控制,如财务管理、商业智能与决策支持等。
221 财务管理
财务管理的主要内容包括:企业会计信息的作用,企业全面预算与财务资源配置,企业资金管理,企业成本管理与控制,企业财务共享中心的建设,财务报表分析等。
222 商业智能与决策支持
何为商业智能(BI)?大数据与商业智能,商业智能对管理决策的支持,商业智能项目的实施,大数据与商业智能案例分析。
23 行业与企业业务知识
虽然做IT管理者工作具有跨行业的通用性优势,但是了解其所在行业和企业的业务知识,是真正做好一个IT管理者的重要基础。
231 行业业务洞察能力
对行业业务知识要有足够的了解,特别是对行业的主要业务模式、核心业务流程、市场竞争格局等的了解。
232 企业业务洞察能力
对企业业务知识要有足够的了解,特别是对本企业的业务模式、核心业务流程、市场地位、核心竞争能力、主要问题及发展战略等的了解。
233 业务创新能力
对新技术如何改变本行业和企业有深入理解,如制造业需要深入理解的工业互联网与智能制造,政府部门需要深入理解的互联网+政务服务,金融行业需要深入理解互联网金融和金融科技等。
30技术与架构
理解技术的整体架构和发展趋势是IT管理者的基本功之一。IT管理者对横向技术面的了解(如有哪些主要的技术?各自的作用是什么?他们之间的架构层级是什么样?)比他对某个纵向技术点的精通要重要得多。
31 架构能力
IT管理者要了解技术的组成结构及匹配关系,能够根据业务需求识别出主要的解决方案架构和技术架构。架构思维和架构设计能力是作为一个IT管理者非常重要的能力。
311 信息化总体架构
信息化总体架构或企业架构(EA)主要描述了企业战略、业务和IT之间的匹配关系。TOGAF、FEA等架构框架中关于企业架构开发方法、架构参考模型等是IT管理者学习信息化总体架构的重要内容。
312 IT架构规划
IT架构规划主要是指应用架构、数据架构和技术架构(基础架构)等的规划设计。云架构、分布式架构、微服务架构等新的技术架构模式是IT架构规划的主要方向。
32 新兴技术
云计算、大数据、物联网、移动互联网和新一代IT人工智能(深度学习)等新兴技术正在改变企业IT结构和IT应用模式。
321 容器云与微服务架构
Docker容器技术和Kubernetes分布式系统管理技术等的结合为原生云应用开发提供了强大的支撑。基于微服务架构的原生云应用开发已成为应用开发的新模式和新趋势。
322 大数据技术及应用
大数据技术在存储、计算和分析等不同层面的技术组件及特征。大数据参考架构及技术图谱,大数据的应用场景及案例分析等。
323 物联网技术及应用
物联网主要技术,物联网参考架构,物联网与边缘计算,物联网产业链,物联网发展趋势,物联网的应用场景及案例分析。
324 人工智能技术及应用
人工智能的发展历史,大数据与人工智能,机器学习与深度学习,深度神经网络(卷积神经网络和循环神经网络)算法,主要实用的人工智能技术(语音识别、计算机视觉、自然语言处理),人工智能在行业的应用。
325 区块链技术及应用
比特币与区块链,区块链主要技术组合,区块链技术发展趋势,区块链技术的应用场景。
326 5G+AR/VR技术及应用
5G+AR/VR的技术组合、技术特点,AR/VR的主要应用场景、AR/VR应用的策略等。
40实践与绩效
IT管理者是一个实践性非常强的职业。IT管理者的价值需要在具体实践中去体现。IT管理者需要特别重视每一笔IT投资给企业带来的真实绩效,而不是为了技术而技术。
41 信息化实践
他山之石,可以攻玉。CI0需要学习和借鉴其它企业案例进行学习。
411 信息化案例研讨
信息化案例有技术专题相关的,也有行业相关的,案例中的成功经验与失败教训等值得学习和借鉴。
412 沙盘模拟演练
除了真实案例学习,IT管理者还可以通过好的沙盘模拟演练,体会企业经营管理中的物流、资金流和信息流,从而更深刻理解信息化在其中的作用。
42 信息化绩效
信息化绩效体现在投资以及投资之后的项目建设及运营管理中。
421 IT投资管理
选择比执行更重要。IT投资决策的风险是整个IT生命周期中最大的风险。IT管理者需要有效的IT投资管理,包括投资决策的机制、投资决策的依据(业务案例分析、ROI分析等)。
422 IT绩效管理
IT绩效管理主要指IT项目建设中的项目绩效管理以及系统运行维护过程中的运营绩效(如平衡积分卡、关联绩效卡、KPI等)
423 IT业务协同
敏捷化时代,IT对业务需求的响应能力和响应速度同样重要,IT业务协同绩效管理即是考核IT对业务目标的贡献能力,IT项目建设、IT运维和业务部门之间的高效协同,是保证业务和企业成功的关键。
IT是InformationTechnology的缩写,意为“信息技术”,包含现代计算机、网络、通讯等信息领域的技术。IT的普遍应用,是进入信息社会的标志。
应该这样理解:IT应是一个行业,而这个行业包括了很多不同的职业,这些职业都是和信息技术相关的。其实说到IT(InfomationTechnology-信息技术)包括范围之广,大到包括航天卫星,小到一个公司的打字员都与IT有关,不过我们目前讨论范围初步限于与电脑技术及其行业应用。
IT是信息技术的简称,Information Technology,指与信息相关的技术。不同的人和不同的书上对此有不同解释。但一个基本上大家都同意的观点是,IT有以下三部分组成:
-----传感技术 这是人的感觉器官的延伸与拓展,最明显的例子是条码阅读器;
-----通信技术 这是人的神经系统的延伸与拓展,承担传递信息的功能;
-----计算机技术 这是人的大脑功能延伸与拓展,承担对信息进行处理的功能。
所谓信息化是用信息技术来改造其他产业与行业,从而提高企业的效益。在这个过程中信息技术承担了一个得力工具的角色。
顺便说一句何谓IT产业,有一个大致的分类,可以供大家参考:
IT基础技术的提供 IC研发、软件编写 如INTEL、MS等
IT技术产品化 元器件、部件、组件制造 如精英、大众等
IT产品集成化 计算机及外设制造商 如联想、IBM
IT产品系统化 解决方案、信息系统 如华为、HP
IT产品流通 渠道、销售 如神州数码
IT产品服务 咨询服务和售后服务 如蓝色快车
IT产业舆论支持 IT类媒体 如CCW、CCID
IT产业第三方服务 各种需要配套的服务 如法律咨询、PR服务
IT后备人员培养 各种院校 如计算机专业
WBS:工作分解结构(Work Breakdown Structure),一般指结构代码(相当于书籍中的章节号)。
PND:项目网络图(Project Network Diagram),一般简称“网络图”。用于寻找项目的“关键路径”。
怎么在北京找it项目的外包公司?
北京华盛恒辉科技有限公司(北京)
北京五木恒润科技有限公司(北京)
东软集团Neusoft(沈阳)互联网是个神奇的大网,大数据开发和软件定制也是一种模式,这里提供最详细的报价,如果你真的想做,可以来这里,这个手机的开始数字是一伍扒中间的是壹壹三三最后的是泗柒泗泗,按照顺序组合起来就可以找到,我想说的是,除非你想做或者了解这方面的内容,如果只是凑热闹的话,就不要来了。
博彦科技BeyondSoft(北京)
海辉软件HiSoft(大连)
文思VanceInfo(北京)
如何选择一个靠谱的公司,开发APP的费用,简单来说就是这个APP需要多少人、做多长时间、人员的工资是多少。对于APP外包开发的报价,一般取决于下面几个因素:
1、APP支持平台:
常见的APP移动平台包括、苹果iOS(iPhone/iPad),做的手机APP是针对其中某一个、还是两个平台都需要,对应了不同的开发成本。
除了APP本身,很多APP还有网站版的管理后台,管理后台的开发成本也需要考虑在内
2、开发人员工资
一般来说,外包项目报价的基础是开发人员的工资,而工资又是和工作年限、经验、水平等决定的。这里的开发人员包括产品经理、UI设计师、前端工程师、服务端工程师、iOS和Android客户端工程师等,不同的外包项目需要的开发人员不同。
举个例子,假设一个iOS开发工程师一月工资22000元(工资数值仅举例),按照每月2175个工作日来计算每天的开发费用,这里是每
天 (22000/2175)=1000元,如果你考虑20%的利润,则每天费用变为了1000x(1+20%)=1200元。
(注:现实中,开发人员的工资之外,还有社保等其他人力成本支出)
3、产品功能的复杂程度
产品功能的复杂程度决定了所需要的开发人员和时间,开发需要30人/天和100人/天,价格是不同的。
接前面的例子,如果一个项目需要一个iOS开发工程师30人/天,那么按照1200元每天的价格,项目总费用就是(1200x30)=36000元。
4、外包团队经验和素质
如果是产品功能复杂的项目,外包团队的素质对最终结果影响很大,而好的团队则报价自然会更高一些。产品功能简单的项目,另当别论。
5、外包团队的所在地
同样能力的外包团队,在不同的城市也会导致开发成本的差异,比如在北京、深圳和上海的外包团队成本自然高一些,因为当地开发人员薪资和其他支出相对更高。
6、客户预算
如果产品需求很多,但是预算不够,那也白搭,因此客户应该根据预算了确定产品功能需求。
当然,一定会有甲乙双方讨价还价的过程,双方合作共赢才是王道。
网站建设合作项目有:
1域名、服务器提供商;
2400、800电话
3、邮件服务商
4网站即时在线交流工具:GG可视商务系统
等等
在这里特别注意下,网站即时在线交流工具,这关乎到一个网站访客对这个网站的信任度
能让你的网站订单有大幅增加的。
极其流行,同样也是竞争力极其大的一种商业模式。虽然国内软件开发公司都发展壮大起来了,但是各地软件开发公司的实力及资质仍然参差不齐。下面为大家介绍下近期国内软件开发公司的排名汇总。
1:华盛恒辉科技有限公司
上榜理由:华盛恒辉是一家专注于高端软件定制开发服务和高端建设的服务机构,致力于为企业提供全面、系统的开发制作方案。在开发、建设到运营推广领域拥有丰富经验,我们通过建立对目标客户和用户行为的分析,整合高质量设计和极其新技术,为您打造创意十足、有价值的企业品牌。
在军工领域,合作客户包括:中央军委联合参谋(原总参)、中央军委后勤保障部(原总后)、中央军委装备发展部(原总装)、装备研究所、战略支援、军事科学院、研究所、航天科工集团、中国航天科技集团、中国船舶工业集团、中国船舶重工集团、第一研究所、训练器材所、装备技术研究所等单位。
在民用领域,公司大力拓展民用市场,目前合作的客户包括中国中铁电气化局集团、中国铁道科学研究院、济南机务段、东莞轨道交通公司、京港地铁、中国国电集团、电力科学研究院、水利部、国家发改委、中信银行、华为公司等大型客户。
2:五木恒润科技有限公司
上榜理由:五木恒润拥有员工300多人,技术人员占90%以上,是一家专业的军工信息化建设服务单位,为军工单位提供完整的信息化解决方案。公司设有股东会、董事会、监事会、工会等上层机构,同时设置总经理职位,由总经理管理公司的具体事务。公司下设有研发部、质量部、市场部、财务部、人事部等机构。公司下辖成都研发中心、西安研发中心、沈阳办事处、天津办事处等分支机构。
3、浪潮
浪潮集团有限公司是国家首批认定的规划布局内的重点软件企业,中国著名的企业管理软件、分行业ERP及服务供应商,在咨询服务、IT规划、软件及解决方案等方面具有强大的优势,形成了以浪潮ERP系列产品PS、GS、GSP三大主要产品。是目前中国高端企业管理软件领跑者、中国企业管理软件技术领先者、中国最大的行业ERP与集团管理软件供应商、国内服务满意度最高的管理软件企业。
4、德格Dagle
德格智能SaaS软件管理系统自德国工业40,并且结合国内工厂行业现状而打造的一款工厂智能化信息平台管理软件,具备工厂ERP管理、SCRM客户关系管理、BPM业务流程管理、
OMS订单管理等四大企业业务信息系统,不仅满足企业对生产进行简易管理的需求,并突破局域网应用的局限性,同时使数据管理延伸到互联网与移动商务,不论是内部的管理应用还是外部的移动应用,都可以在智能SaaS软件管理系统中进行业务流程的管控。
5、Manage
高亚的产品 (8Manage) 是美国经验中国研发的企业管理软件,整个系统架构基于移动互联网和一体化管理设计而成,其源代码编写采用的是最为广泛应用的
Java / J2EE 开发语言,这样的技术优势使 8Manage
可灵活地按需进行客制化,并且非常适用于移动互联网的业务直通式处理,让用户可以随时随地通过手机apps进行实时沟通与交易。
#云原生背景#
云计算是信息技术发展和服务模式创新的集中体现,是信息化发展的重要变革和必然趋势。随着“新基建”加速布局,以及企业数字化转型的逐步深入,如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力,云原生进入快速发展阶段,就像集装箱加速贸易全球化进程一样,云原生技术正在助力云计算普及和企业数字化转型。
云原生计算基金会(CNCF)对云原生的定义是:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可d性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。
#云安全时代市场发展#
云安全几乎是伴随着云计算市场而发展起来的,云基础设施投资的快速增长,无疑为云安全发展提供土壤。根据 IDC 数据,2020 年全球云安全支出占云 IT 支出比例仅为 11%,说明目前云安全支出远远不够,假设这一比例提升至 5%,那么2020 年全球云安全市场空间可达 532 亿美元,2023 年可达 1089 亿美元。
海外云安全市场:技术创新与兼并整合活跃。整体来看,海外云安全市场正处于快速发展阶段,技术创新活跃,兼并整合频繁。一方面,云安全技术创新活跃,并呈现融合发展趋势。例如,综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合,提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面,新兴的云安全企业快速发展,同时,传统安全供应商也通过自研+兼并的方式加强云安全布局。
国内云安全市场:市场空间广阔,尚处于技术追随阶段。市场规模上,根据中国信通院数据,2019 年我国云计算整体市场规模达 13345亿元,增速 386%。预计 2020-2022 年仍将处于快速增长阶段,到 2023 年市场规模将超过 37542 亿元。中性假设下,安全投入占云计算市场规模的 3%-5%,那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上,中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛,对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展,云原生技术的应用越来越广泛,我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。
#云上安全呈原生化发展趋势#
云原生技术逐渐成为云计算市场新趋势,所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术,正在影响各行各业的 IT 基础设施、平台和应用系统,也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用,其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。
从各种各样的安全风险中可以一窥云原生技术的安全态势,云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中,安全是必须要考虑的重要因素。
#云原生安全的定义#
国内外各组织、企业对云原生安全理念的解释略有差异,结合我国产业现状与痛点,云原生与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。
面向云原生环境的安全,其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制,不一定具备云原生的特性(比如容器化、可编排),它们可以是传统模式部署的,甚至是硬件设备,但其作用是保护日益普及的云原生环境。
具有云原生特征的安全,是指具有云原生的d性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新,通过容器化、资源编排和微服务重构了传统的开发运营体系,加速业务上线和变更的速度,因而,云原生系统的种种优良特性同样会给安全厂商带来很大的启发,重构安全产品、平台,改变其交付、更新模式。
#云原生安全理念构建#
为缓解传统安全防护建设中存在的痛点,促进云计算成为更加安全可信的信息基础设施,助力云客户更加安全的使用云计算,云原生安全理念兴起,国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。
Gartner提倡以云原生思维建设云安全体系
基于云原生思维,Gartner提出的云安全体系覆盖八方面。其中,基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供,其它六部分,包括持续的云安全态势管理,全方位的可视化、日志、审计和评估,工作负载安全,应用、PaaS 和 API 安全,扩展的数据保护,云威胁检测,客户需基于安全产品实现。
Forrester评估公有云平台原生安全能力
Forrester认为公有云平台原生安全(Public cloud platform native security, PCPNS)应从三大类、37 个方面去衡量。从已提供的产品和功能,以及未来战略规划可以看出,一是考察云服务商自身的安全能力和建设情况,如数据中心安全、内部人员等,二是云平台具备的基础安全功能,如帮助和文档、授权和认证等,三是为用户提供的原生安全产品,如容器安全、数据安全等。
安全狗以4项工作防护体系建设云原生安全
(1)结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作,对于云原生环境中的各种组成部分,均可贯彻落实“安全左移”的原则,进行安全基线配置,防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言,其重点是应用安全问题。
(2)围绕云原生应用的生命周期来进行DevSecOps建设,以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”,在项目构建时注重“镜像安全”,在项目部署时注重“容器准入”,在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。
(3)围绕攻击前、中、后的安全实施准则进行构建,可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。
(4)改造并综合运用现有云安全技术,不应将“云原生安全”视为一个独立的命题,为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。
#云原生安全新型风险#
云原生架构的安全风险包含云原生基础设施自身的安全风险,以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于:容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。
#云原生安全问题梳理#
问题1:容器安全问题
在云原生应用和服务平台的构建过程中,容器技术凭借高d性、敏捷的特性,成为云原生应用场景下的重要技术支撑,因而容器安全也是云原生安全的重要基石。
(1)容器镜像不安全
Sysdig的报告中提到,在用户的生产环境中,会将公开的镜像仓库作为软件源,如最大的容器镜像仓库Docker Hub。一方面,很多开源软件会在Docker Hub上发布容器镜像。另一方面,开发者通常会直接下载公开仓库中的容器镜像,或者基于这些基础镜像定制自己的镜像,整个过程非常方便、高效。然而,Docker Hub上的镜像安全并不理想,有大量的官方镜像存在高危漏洞,如果使用了这些带高危漏洞的镜像,就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点:
1不安全的第三方组件
在实际的容器化应用开发过程当中,很少从零开始构建镜像,而是在基础镜像之上增加自己的程序和代码,然后统一打包最终的业务镜像并上线运行,这导致许多开发者根本不知道基础镜像中包含多少组件,以及包含哪些组件,包含的组件越多,可能存在的漏洞就越多。
2恶意镜像
公共镜像仓库中可能存在第三方上传的恶意镜像,如果使用了这些恶意镜像来创建容器后,将会影响容器和应用程序的安全
3敏感信息泄露
为了开发和调试的方便,开发者将敏感信息存在配置文件中,例如数据库密码、证书和密钥等内容,在构建镜像时,这些敏感信息跟随配置文件一并打包进镜像,从而造成敏感信息泄露
(2)容器生命周期的时间短
云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展,成为企业数字业务应用创新的原动力。在容器环境下,一部分容器是以docker的命令启动和管理的,还有大量的容器是通过Kubernetes容器编排系统启动和管理,带来了容器在构建、部署、运行,快速敏捷的特点,大量容器生命周期短于1小时,这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化,容器的全生命周期防护存在很大变数。对防守者而言,需要采用传统异常检测和行为分析相结合的方式,来适应短容器生命周期的场景。
传统的异常检测采用WAF、IDS等设备,其规则库已经很完善,通过这种检测方法能够直观的展示出存在的威胁,在容器环境下,这种方法仍然适用。
传统的异常检测能够快速、精确地发现已知威胁,但大多数未知威胁是无法通过规则库匹配到的,因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说,一段生产运营时间内的业务模式是相对固定的,这意味着,业务行为是可以预测的,无论启动多少个容器,容器内部的行为总是相似的。通过机器学习、采集进程行为,自动构建出合理的基线,利用这些基线对容器内的未知威胁进行检测。
(3)容器运行时安全
容器技术带来便利的同时,往往会忽略容器运行时的安全加固,由于容器的生命周期短、轻量级的特性,传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护,显示费时费力且消耗资源,但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点:
1不安全的容器应用
与传统的Web安全类似,容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞,容器在对外提供服务的同时,就有可能被攻击者利用,从而导致容器被入侵
2容器DDOS攻击
默认情况下,docker并不会对容器的资源使用进行限制,默认情况下可以无限使用CPU、内存、硬盘资源,造成不同层面的DDOS攻击
(4)容器微隔离
在容器环境中,与传统网络相比,容器的生命周期变得短了很多,其变化频率也快很多。容器之间有着复杂的访问关系,尤其是当容器数量达到一定规模以后,这种访问关系带来的东西向流量,将会变得异常的庞大和复杂。因此,在容器环境中,网络的隔离需求已经不仅仅是物理网络的隔离,而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。
问题2:云原生等保合规问题
等级保护20中,针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求,但是由于编写周期很长,编写时主流还是虚拟化场景,而没有考虑到容器化、微服务、无服务等云原生场景,等级保护20中的所有标准不能完全保证适用于目前云原生环境;
通过安全狗在云安全领域的经验和具体实践,对于云计算安全扩展要求中访问控制的控制点,需要检测主机账号安全,设置不同账号对不同容器的访问权限,保证容器在构建、部署、运行时访问控制策略随其迁移;
对于入侵防范制的控制点,需要可视化管理,绘制业务拓扑图,对主机入侵进行全方位的防范,控制业务流量访问,检测恶意代码感染及蔓延的情况;
镜像和快照保护的控制的,需要对镜像和快照进行保护,保障容器镜像的完整性、可用性和保密性,防止敏感信息泄露。
问题3:宿主机安全
容器与宿主机共享 *** 作系统内核,因此宿主机的配置对容器运行的安全有着重要的影响,比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险,端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统,提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能,各个功能之间进行联动,建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统,对主机进行全方位的安全防护,协助用户及时定位已经失陷的主机,响应已知、未知威胁风险,避免内部大面积主机安全事件的发生。
问题4:编排系统问题
编排系统支撑着诸多云原生应用,如无服务、服务网格等,这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限,进而对容器网络进行渗透横移,造成巨大损失。
Kubernetes架构设计的复杂性,启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件,因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制,进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略,合理使用这些机制可以有效实现Kubernetes的安全加固。
问题5:软件供应链安全问题
通常一个项目中会使用大量的开源软件,根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件,这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解,导致当开源软件中存在0day或Nday漏洞,我们根本无法获悉。
开源软件漏洞无法根治,容器自身的安全问题可能会给开发阶段带的各个过程带来风险,我们能做的是根据SDL原则,从开发阶段就开始对软件安全性进行合理的评估和控制,来提升整个供应链的质量。
问题6:安全运营成本问题
虽然容器的生命周期很短,但是包罗万象。对容器的全生命周期防护时,会对容器构建、部署、运行时进行异常检测和安全防护,随之而来的就是高成本的投入,对成千上万容器中的进程行为进程检测和分析,会消耗宿主机处理器和内存资源,日志传输会占用网络带宽,行为检测会消耗计算资源,当环境中容器数量巨大时,对应的安全运营成本就会急剧增加。
问题7:如何提升安全防护效果
关于安全运营成本问题中,我们了解到容器安全运营成本较高,我们该如何降低安全运营成本的同时,提升安全防护效果呢?这就引入一个业界比较流行的词“安全左移”,将软件生命周期从左到右展开,即开发、测试、集成、部署、运行,安全左移的含义就是将安全防护从传统运营转向开发侧,开发侧主要设计开发软件、软件供应链安全和镜像安全。
因此,想要降低云原生场景下的安全运营成本,提升运营效率,那么首先就要进行“安全左移”,也就是从运营安全转向开发安全,主要考虑开发安全、软件供应链安全、镜像安全和配置核查:
开发安全
需要团队关注代码漏洞,比如使用进行代码审计,找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。
供应链安全
可以使用代码检查工具进行持续性的安全评估。
镜像安全
使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估,对存在风险的镜像进行及时更新。
配置核查
核查包括暴露面、宿主机加固、资产管理等,来提升攻击者利用漏洞的难度。
问题8:安全配置和密钥凭证管理问题
安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互,为了简便,很多开发者将访问凭证、密钥文件直接存放在代码中,或者将一些线上资源的访问凭证设置为弱口令,导致攻击者很容易获得访问敏感数据的权限。
#云原生安全未来展望#
从日益新增的新型攻击威胁来看,云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善,ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识(Adversarial Tactics, Techniques, and Common Knowledge)的缩写,是一个攻击行为知识库和威胁建模模型,它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。
云原生安全的备受关注,使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施,让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗,评估企业目前的安全能力,对提升企业安全防护能力是很好的参考。
以上就是关于CIO40: IT管理者知识体系(长大以后)全部的内容,包括:CIO40: IT管理者知识体系(长大以后)、IT指哪些项目、it项目管理中WBS和PND分别是什么意思等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)