将变压器的中性线接地引出地面,分成二根,一根为工作零线并保持绝缘,一根为保护接零与外壳相接。这就是所说的TN-S系统(即三相火线、一根零线、一根地线)。对于TN—S系统,重复接地就是对PE线的重复接地,其作用如下:(1)如不进行重复接地,当PE断线时,系统处于既不接零也不接地的无保护状态。而对其进行复重接地以后,当PE正常时,系统处于接零保护状态;当PE断线时,如果断线处在重复接地前侧,系统则处在接地保护状态。进行了重复接地的TN—S系统具有一个非常有趣的双重保护功能,即PE断线后由TN—S转变成TT系统的保护方式(PE断线在重复接地前侧)。 (2)当相线断线与大地发生短路时,由于故障电流的存在造成了PE线电位的升高,当断线点与大地间电阻较小时,PE线的电位很有可能远远超过安全电压。这种危险电压沿PE线传至各用电设备外壳乃至危及人身安全。而进行重复接地以后,由于重复接地电阻与电源工作接地电阻并联后的等效电阻小于电源工作接地电阻,使得相线断线接地处的接地电阻分担的电压增加,从而有效降低PE线对地电压,减少触电危险。 (3)PE线的重复接地可以降低当相线碰壳短路时的设备外壳对地的电压,相线碰壳时,外壳对地电压即等于故障点P与变压器中性点间的电压。假设相线与PE线规格一致,设备外壳对地电压则为110V。而PE线重复接地后,从故障点P起,PE线阻抗与重复接地电阻RE同工作接地电阻RA串联后的电阻相并联。在一般情况下,由于重复接地电阻RE同工作接地电阻RA串联后的电阻远大于PE线本身的阻抗,因而从P至变压器中性点的等效阻抗,仍接近于从P至变压器中性点的PE线本身的阻抗。如果相线与PE线规格一致,则P与变压器中性点间的电压UPO仍约为 110V,而此时设备外壳对地电压UP仅为故障P点与变压器中性点间的电压UPO 的一部分,可表示为:UP=UPO×RERA+RE 假设重复接地电阻RE为10Ω,工作接地电阻RA为4Ω,则UP=786V。 如果只是对N线重复接地,它不具有上述第(1)项与第(3)项作用,只具有上述第(2)项的作用。对于TN—S系统,其用电设备外壳是与PE线相接的,而不是N线。因此,我们所关心的更主要的是PE线的电位,而不是N线的电位,TN—S系统的重复接地不是对N线的重复接地。 如果将PE线和N线共同接地,由于PE线与N线在重复接地处相接,重复接地前侧( 接近于变压器中性点一侧)的PE线与N线已无区别,原由N线承担的全部中性线电流变为由N线和PE线共同承担(一小部分通过重复接地分流)。可以认为,这时重复接地前侧已不存在PE线,只有由原PE线及N线并联共同组成的PEN线,原TN—S系统实际上已变成了T N—C—S系统,原TN—S系统所具有的优点将丧失,故不能将PE线和N线共同接地。 在工程实践中,对于TN—S系统,很少将N线和PE线分别重复接地。其原因主要为: 1)将N线和PE线分别重复接地仅比PE线单独重复接地多一项作用,即可以降低当N线断线时产生的中性点电位的偏移作用,有利于用电设备的安全,但是这种作用并不一定十分明显,并且一旦工作零线重复接地,其前侧便不能采用漏电保护。 2)如果要将N线和PE线分别重复接地,为保证PE线电位稳定,避免受N线电位的影响,N线的重复接地必须与PE线的重复接地及建筑物的基础钢筋、埋地金属管道等所有进行了等电位连结的各接地体、金属构件和金属管道的地下部分保持足够的距离,最好为20m以上,而在实际施工中很难做到这一点。综上所述,由于实际施工的问题,TN-S系统在实际中安全性有打折扣。 IT系统特点(不引出中性线)-发生第一次接地故障时,接地故障电流仅为非故障相对地的电容电流,其值很小,外露导电部分对地电压不超过50V,不需要立即切断故障回路,保证供电的连续性;-发生接地故障时,对地电压升高173倍;-220V负载需配降压变压器,或由系统外电源专供;-安装绝缘监察器。使用场所:供电连续性要求较高,如应急电源、医院手术室等。 IT 方式供电系统 I 表示电源侧没有工作接地,或经过高阻抗接地。每二个字母 T 表示负载侧电气设备进行接地保护。 IT 方式供电系统在供电距离不是很长时,供电的可靠性高、安全性好。一般用于不允许停电的场所,或者是要求严格地连续供电的地方,例如电力炼钢、大医院的手术室、地下矿井等处。地下矿井内供电条件比较差,电缆易受潮。运用 IT 方式供电系统,即使电源中性点不接地,一旦设备漏电,单相对地漏电流仍小,不会破坏电源电压的平衡,所以比电源中性点接地的系统还安全。 但是,如果用在供电距离很长时,供电线路对大地的分布电容就不能忽视了。在负载发生短路故障或漏电使设备外壳带电时,漏电电流经大地形成架路,保护设备不一定动作,这是危险的。只有在供电距离不太长时才比较安全。这种供电方式在工地上很少见。
#云原生背景#
云计算是信息技术发展和服务模式创新的集中体现,是信息化发展的重要变革和必然趋势。随着“新基建”加速布局,以及企业数字化转型的逐步深入,如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力,云原生进入快速发展阶段,就像集装箱加速贸易全球化进程一样,云原生技术正在助力云计算普及和企业数字化转型。
云原生计算基金会(CNCF)对云原生的定义是:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可d性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。
#云安全时代市场发展#
云安全几乎是伴随着云计算市场而发展起来的,云基础设施投资的快速增长,无疑为云安全发展提供土壤。根据 IDC 数据,2020 年全球云安全支出占云 IT 支出比例仅为 11%,说明目前云安全支出远远不够,假设这一比例提升至 5%,那么2020 年全球云安全市场空间可达 532 亿美元,2023 年可达 1089 亿美元。
海外云安全市场:技术创新与兼并整合活跃。整体来看,海外云安全市场正处于快速发展阶段,技术创新活跃,兼并整合频繁。一方面,云安全技术创新活跃,并呈现融合发展趋势。例如,综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合,提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面,新兴的云安全企业快速发展,同时,传统安全供应商也通过自研+兼并的方式加强云安全布局。
国内云安全市场:市场空间广阔,尚处于技术追随阶段。市场规模上,根据中国信通院数据,2019 年我国云计算整体市场规模达 13345亿元,增速 386%。预计 2020-2022 年仍将处于快速增长阶段,到 2023 年市场规模将超过 37542 亿元。中性假设下,安全投入占云计算市场规模的 3%-5%,那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上,中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛,对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展,云原生技术的应用越来越广泛,我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。
#云上安全呈原生化发展趋势#
云原生技术逐渐成为云计算市场新趋势,所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术,正在影响各行各业的 IT 基础设施、平台和应用系统,也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用,其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。
从各种各样的安全风险中可以一窥云原生技术的安全态势,云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中,安全是必须要考虑的重要因素。
#云原生安全的定义#
国内外各组织、企业对云原生安全理念的解释略有差异,结合我国产业现状与痛点,云原生与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。
面向云原生环境的安全,其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制,不一定具备云原生的特性(比如容器化、可编排),它们可以是传统模式部署的,甚至是硬件设备,但其作用是保护日益普及的云原生环境。
具有云原生特征的安全,是指具有云原生的d性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新,通过容器化、资源编排和微服务重构了传统的开发运营体系,加速业务上线和变更的速度,因而,云原生系统的种种优良特性同样会给安全厂商带来很大的启发,重构安全产品、平台,改变其交付、更新模式。
#云原生安全理念构建#
为缓解传统安全防护建设中存在的痛点,促进云计算成为更加安全可信的信息基础设施,助力云客户更加安全的使用云计算,云原生安全理念兴起,国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。
Gartner提倡以云原生思维建设云安全体系
基于云原生思维,Gartner提出的云安全体系覆盖八方面。其中,基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供,其它六部分,包括持续的云安全态势管理,全方位的可视化、日志、审计和评估,工作负载安全,应用、PaaS 和 API 安全,扩展的数据保护,云威胁检测,客户需基于安全产品实现。
Forrester评估公有云平台原生安全能力
Forrester认为公有云平台原生安全(Public cloud platform native security, PCPNS)应从三大类、37 个方面去衡量。从已提供的产品和功能,以及未来战略规划可以看出,一是考察云服务商自身的安全能力和建设情况,如数据中心安全、内部人员等,二是云平台具备的基础安全功能,如帮助和文档、授权和认证等,三是为用户提供的原生安全产品,如容器安全、数据安全等。
安全狗以4项工作防护体系建设云原生安全
(1)结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作,对于云原生环境中的各种组成部分,均可贯彻落实“安全左移”的原则,进行安全基线配置,防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言,其重点是应用安全问题。
(2)围绕云原生应用的生命周期来进行DevSecOps建设,以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”,在项目构建时注重“镜像安全”,在项目部署时注重“容器准入”,在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。
(3)围绕攻击前、中、后的安全实施准则进行构建,可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。
(4)改造并综合运用现有云安全技术,不应将“云原生安全”视为一个独立的命题,为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。
#云原生安全新型风险#
云原生架构的安全风险包含云原生基础设施自身的安全风险,以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于:容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。
#云原生安全问题梳理#
问题1:容器安全问题
在云原生应用和服务平台的构建过程中,容器技术凭借高d性、敏捷的特性,成为云原生应用场景下的重要技术支撑,因而容器安全也是云原生安全的重要基石。
(1)容器镜像不安全
Sysdig的报告中提到,在用户的生产环境中,会将公开的镜像仓库作为软件源,如最大的容器镜像仓库Docker Hub。一方面,很多开源软件会在Docker Hub上发布容器镜像。另一方面,开发者通常会直接下载公开仓库中的容器镜像,或者基于这些基础镜像定制自己的镜像,整个过程非常方便、高效。然而,Docker Hub上的镜像安全并不理想,有大量的官方镜像存在高危漏洞,如果使用了这些带高危漏洞的镜像,就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点:
1不安全的第三方组件
在实际的容器化应用开发过程当中,很少从零开始构建镜像,而是在基础镜像之上增加自己的程序和代码,然后统一打包最终的业务镜像并上线运行,这导致许多开发者根本不知道基础镜像中包含多少组件,以及包含哪些组件,包含的组件越多,可能存在的漏洞就越多。
2恶意镜像
公共镜像仓库中可能存在第三方上传的恶意镜像,如果使用了这些恶意镜像来创建容器后,将会影响容器和应用程序的安全
3敏感信息泄露
为了开发和调试的方便,开发者将敏感信息存在配置文件中,例如数据库密码、证书和密钥等内容,在构建镜像时,这些敏感信息跟随配置文件一并打包进镜像,从而造成敏感信息泄露
(2)容器生命周期的时间短
云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展,成为企业数字业务应用创新的原动力。在容器环境下,一部分容器是以docker的命令启动和管理的,还有大量的容器是通过Kubernetes容器编排系统启动和管理,带来了容器在构建、部署、运行,快速敏捷的特点,大量容器生命周期短于1小时,这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化,容器的全生命周期防护存在很大变数。对防守者而言,需要采用传统异常检测和行为分析相结合的方式,来适应短容器生命周期的场景。
传统的异常检测采用WAF、IDS等设备,其规则库已经很完善,通过这种检测方法能够直观的展示出存在的威胁,在容器环境下,这种方法仍然适用。
传统的异常检测能够快速、精确地发现已知威胁,但大多数未知威胁是无法通过规则库匹配到的,因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说,一段生产运营时间内的业务模式是相对固定的,这意味着,业务行为是可以预测的,无论启动多少个容器,容器内部的行为总是相似的。通过机器学习、采集进程行为,自动构建出合理的基线,利用这些基线对容器内的未知威胁进行检测。
(3)容器运行时安全
容器技术带来便利的同时,往往会忽略容器运行时的安全加固,由于容器的生命周期短、轻量级的特性,传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护,显示费时费力且消耗资源,但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点:
1不安全的容器应用
与传统的Web安全类似,容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞,容器在对外提供服务的同时,就有可能被攻击者利用,从而导致容器被入侵
2容器DDOS攻击
默认情况下,docker并不会对容器的资源使用进行限制,默认情况下可以无限使用CPU、内存、硬盘资源,造成不同层面的DDOS攻击
(4)容器微隔离
在容器环境中,与传统网络相比,容器的生命周期变得短了很多,其变化频率也快很多。容器之间有着复杂的访问关系,尤其是当容器数量达到一定规模以后,这种访问关系带来的东西向流量,将会变得异常的庞大和复杂。因此,在容器环境中,网络的隔离需求已经不仅仅是物理网络的隔离,而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。
问题2:云原生等保合规问题
等级保护20中,针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求,但是由于编写周期很长,编写时主流还是虚拟化场景,而没有考虑到容器化、微服务、无服务等云原生场景,等级保护20中的所有标准不能完全保证适用于目前云原生环境;
通过安全狗在云安全领域的经验和具体实践,对于云计算安全扩展要求中访问控制的控制点,需要检测主机账号安全,设置不同账号对不同容器的访问权限,保证容器在构建、部署、运行时访问控制策略随其迁移;
对于入侵防范制的控制点,需要可视化管理,绘制业务拓扑图,对主机入侵进行全方位的防范,控制业务流量访问,检测恶意代码感染及蔓延的情况;
镜像和快照保护的控制的,需要对镜像和快照进行保护,保障容器镜像的完整性、可用性和保密性,防止敏感信息泄露。
问题3:宿主机安全
容器与宿主机共享 *** 作系统内核,因此宿主机的配置对容器运行的安全有着重要的影响,比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险,端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统,提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能,各个功能之间进行联动,建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统,对主机进行全方位的安全防护,协助用户及时定位已经失陷的主机,响应已知、未知威胁风险,避免内部大面积主机安全事件的发生。
问题4:编排系统问题
编排系统支撑着诸多云原生应用,如无服务、服务网格等,这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限,进而对容器网络进行渗透横移,造成巨大损失。
Kubernetes架构设计的复杂性,启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件,因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制,进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略,合理使用这些机制可以有效实现Kubernetes的安全加固。
问题5:软件供应链安全问题
通常一个项目中会使用大量的开源软件,根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件,这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解,导致当开源软件中存在0day或Nday漏洞,我们根本无法获悉。
开源软件漏洞无法根治,容器自身的安全问题可能会给开发阶段带的各个过程带来风险,我们能做的是根据SDL原则,从开发阶段就开始对软件安全性进行合理的评估和控制,来提升整个供应链的质量。
问题6:安全运营成本问题
虽然容器的生命周期很短,但是包罗万象。对容器的全生命周期防护时,会对容器构建、部署、运行时进行异常检测和安全防护,随之而来的就是高成本的投入,对成千上万容器中的进程行为进程检测和分析,会消耗宿主机处理器和内存资源,日志传输会占用网络带宽,行为检测会消耗计算资源,当环境中容器数量巨大时,对应的安全运营成本就会急剧增加。
问题7:如何提升安全防护效果
关于安全运营成本问题中,我们了解到容器安全运营成本较高,我们该如何降低安全运营成本的同时,提升安全防护效果呢?这就引入一个业界比较流行的词“安全左移”,将软件生命周期从左到右展开,即开发、测试、集成、部署、运行,安全左移的含义就是将安全防护从传统运营转向开发侧,开发侧主要设计开发软件、软件供应链安全和镜像安全。
因此,想要降低云原生场景下的安全运营成本,提升运营效率,那么首先就要进行“安全左移”,也就是从运营安全转向开发安全,主要考虑开发安全、软件供应链安全、镜像安全和配置核查:
开发安全
需要团队关注代码漏洞,比如使用进行代码审计,找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。
供应链安全
可以使用代码检查工具进行持续性的安全评估。
镜像安全
使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估,对存在风险的镜像进行及时更新。
配置核查
核查包括暴露面、宿主机加固、资产管理等,来提升攻击者利用漏洞的难度。
问题8:安全配置和密钥凭证管理问题
安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互,为了简便,很多开发者将访问凭证、密钥文件直接存放在代码中,或者将一些线上资源的访问凭证设置为弱口令,导致攻击者很容易获得访问敏感数据的权限。
#云原生安全未来展望#
从日益新增的新型攻击威胁来看,云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善,ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识(Adversarial Tactics, Techniques, and Common Knowledge)的缩写,是一个攻击行为知识库和威胁建模模型,它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。
云原生安全的备受关注,使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施,让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗,评估企业目前的安全能力,对提升企业安全防护能力是很好的参考。
IT系统管理的重要性体现在三个方面:
1、IT技术的发展,要求必须加强IT系统管理
IT技术的发展,引发了业务应用的激增;Web和门户技术带来了应用和内容的个性化;Extranet和Internet的发展促使了企业组织与其供应链、渠道合作伙伴乃至客户的整合,政府也是如此。在电子商务和电子政务的环境下,如何在跨防火墙应用中做到内外有别?如何既提高服务效率,又能保证信息安全?
2、IT部门角色的转变
随着信息技术在企业组织运营各个方面应用的深入,企业IT部门的职能也在转化,由关注建设到关注规划,由关注开发到关注需求,由被动实现业务需求到主动参与业务流程的改变。
3、企业所处市场环境的变化
IT重要性不断提高,正在成为企业核心竞争力的组成部分。业务应用系统的可靠性、可用性,能否达到约定的服务水平(SLA,Service Level Agreement)等已经成为可能影响企业赢利水平甚至生死攸关的关键问题。
一、“国资云”或带来新一轮IT建设,一文梳理受益的三大方向!
近期多地国资委响应国家号召进行国资云建设,统筹所辖国企的业务云化。如天津市要求国企不再使用第三方云服务,2022年9月30日前全部迁移至国资云平台;四川省国资委4月28日发布四川国资云,面向省内国企提供专属云平台,一期平台采购金额1649万元;重庆8月24日公布国资云二期平台中标金额为1425万元。
1)各地国资委开展“国资云”建设的影响
各地国资委开展国资云建设的驱动力包括两块:
①IT集约化: 过去数年,政府相关部门一直强调IT的集约化建设;
②数据安全: 根据第一 财经 ,阿里云未经用户同意擅自泄露相关数据。
基于以上,天风证券认为影响在于三点:
①直接影响:国资云预计规模约百亿,乐观展望或不止于laaS
目前各地国资云均有所动作(浙江、天津、四川、重庆、深圳、苏州和黑龙江等),值得强调的是多个国资云平台采用完全国产化的信创服务器,打造全国产化行业云平台,有望加速信创市场放量。
乐观来看建设范围不仅是laas,亦有望包括部分Saas和云迁移,如天津市。根据测算,预计国资云IaaS层面新增采购规模约74亿元,进一步考虑SaaS层面办公软件的潜在需求,带来的市场机会可达百亿。
②间接影响之一:大厂份额溢出,部分厂商有望受益私有云大盘和份额双升
国资云立足于服务国资系统内部企业的数字化、信息化建设,积极整合现有的数据中心资源,本质是混合云平台,且以私有云为主。
从数据安全角度,互联网大厂现阶段存在一定不足,如上述提到的阿里云泄露数据事件。故而以安全的名义:
a、私有云大盘提升: 预计IT市场结构有望变化,私有云份额有望呈现更快的提升;
b、私有云份额变化: 部分忏背景厂商如深信服、青云有望享受大厂在私有云份额的溢出。
③间接影响之二:国资云建设大背景在于数据安全,产业密集落地
在国家高度重视数据安全的背景下,国资云是自上而下保障数据安全的一记重拳。未来围绕国资云,将延伸出数据安全保障和数据要素市场化两大中心战略,数据安全厂商有望从数据安全技术支持、数据安全服务、数据交易三方面深度参与。
3)三大方向有望受益
第一、数据安全重要性再次提升,安全厂商有望受益
《数据安全法》将在9月实施,数据安全重要性不断提升。此次国资云的推出,就属于数据安全的具体保障措施。未来数据安全的具体措施有望不断出台,给安全厂商带来增量。
第二、云厂商格局可能迎来变动,安全性、私有云成为关键词
国资云地方统一采购代替分别采购,预计带来云厂商新的变动和竞争;同时,采购预计将更看重安全、过往信用记录等,而目预计大多数或全部都将是私有云,利好安全性高的私有云厂商。
第三、新一轮信创建设
过去信创的主要内容是IT基础设施,包括芯片、 *** 作系统、中间件等,此次国资云建设的提出说明政府已经将云的重要性进行提升,云以及相关产品的采购将带来新的增量。
此外,国泰君安证券也分析指出,具备国资背景的IDC厂商也潜在受益。
二、异质结电池领域或将大幅拉动铟需求,铟价进入上行周期!
铟属于稀散金属,熔点15661 C,沸点2080 C,具有质软、延展性好、强光投性和导电性等特点。铟的可塑性强,有延展性,可压成极薄的金属片。铟可以与许多金属形成合金,制成化合物半导体、光电子材料、特殊合金、新型功能材料以及有机金属化合物等,对应下游是半导体、焊料、整流器、热电偶。
1)铟储量:全球铟资源量估计至少356万吨
截止2017年,根据全球已知的1512处含铟矿床估计,全球铟资源量至少356万吨,其中已经公布资源量数据的101处矿床铟金属资源量合计约76万吨。中国、玻利维亚和俄罗斯是全球铟矿资源最为丰富的国家,以上三国铟矿资源量合计约占全球总量的60%,其中中国占比26%。
2)铟产量:2019年全球原生铟产量760吨,主要分布在中国和韩国
铟的供给包括原生铟和再生铟2部分。
从产能来看: 根据USGS2017年的数据,可统计的企业产能为1400吨,目前中国总产能为887吨(全球占比63%)。
从产量来看: 根据USGS数据全球原生铟产量基本维持在700吨以上,根据SMM数据再生铟产量在1000吨左右。2019年全球原生铟产量为760吨,其中中国产量300吨(全球占比39%);韩国产量为240吨(全球占比31%)。再生铟产量预计与过去相比变化不大,预计2018-2021年再生铟产量分别是1000、1000、900、945吨。
3)铟需求:异质结电池或拉动铟需求快速增长
异质结电池成本不断逼近PERC电池,未来潜力巨大。目前采用MBB技术的异质结电池成本预计在179元/瓦,采用SWCT技术的异质结电池成本预计在169元/瓦,接近PERC电池的166元/瓦。得益于技术进步和规模化生产,预计异质结电池的成本不断降低,未来或将实现大规模应用。
4)铟价格:铟价或进入上行周期
从需求来看,如果异质结电池技术一旦成熟,铟的需求大幅提升,预计2020-2021年异质结电池铟需求量为18和45吨,预计2020年-2021年铟总需求量是1540和1709吨;从供给来看,铟主要伴生于锌矿,供给相对刚性,预计2020年-2021年供给分别是1599、1679吨,2021年或出现铟出现供给缺口,短缺30吨,铟价有望迎来上行周期。
三、通达系全部上调派费,快递行业价格回暖确定!
1)通达系快递企业上调派费,落实快递员权益保障,同时行业揽件价格有望同步回暖
三通一达及百世均宣布自9月1日起全网末端派费每票上涨01元,安信证券认为本次派费上涨利好行业发展,其影响有三:
②由于通达系的加盟制架构和结算政策,派费由总部代收代付和调节支付,则派费的上涨有望传导至终端揽件价格,同时行业旺季将至,提价压力较小;
3)快递派费上涨利好行业终端价格,估值回调具备吸引力,继续看好快递龙头。
短期看: 各快递企业上调派费利好行业价格改善,考虑到快递企业在规模效应带动下单票成本仍有改善空间,我们预计2021H2快递企业盈利有望明显改善,而当前时点,我们认为快递板块估值已基本反映前期市场对价格战的悲观预期;
中长期看: 线上渗透率持续提升背景下,快递行业需求增长确定性较强,新兴电商平台崛起后,快递企业客户更加多元化;供给端新入局的加入,我们认为将加速头部企业的分化,同时,在强规模效应+网络效应下,快递行业进入门槛大幅提升,格局稳定后,行业龙头将充分受益份额与盈利提升。
1)悄然上涨的小金属
锰、锆、锑、钼四种小金属年初至今涨幅超过60%;镁、钴涨幅超过30%;钨、钒、锗涨幅超过20%;钛和铟分别上涨19%和12%。
2)锆、锦、钼、镁相关公司股价可能滞涨
有色金属的生产加工成本相对固定,在涨价中,拥有资源的企业可以充分享受涨价带来的利润上升,加工类公司也可以通过存货收益获得超额利润。
按此推断,有色金属利润的增幅应高于产品价格的涨幅,假设市场环境不发生大的变化,股价涨幅理应高于产品价格涨幅。小金属品种中,锆、钼、锑、镁几种小金属的相关公司涨幅等于或低于产品价格涨幅,因此股价或存在滞涨可能。
3)国产锆英砂价格出现大幅上涨
锆主要用于陶瓷具有较强的房地产后周期属性,21年有望成为国内房地产的竣工高峰,在需求带动下,国产锆英砂年初至今上涨9133%,氧化锆上涨7419%。锆的潜力应用在于核电锆管,国内核电再次重启可能再次带来海绵锆的需求增长。锆相关公司:东方锆业(年初至8月23日涨幅5789%,下同),三祥新材(35%)。
4)锑价有望继续维持高位
锑的主要下游为阻燃剂,广泛用于塑料制品中,随着全球经济恢复,锑的需求有望继续回升;锑的供应则主要集中于国内,近年来没有新的锑矿出产。供需格局逆转带来锑精矿价格年初至今上涨6984%。锑相关企业:ST华钰(12,7%)。
5)钼价有望继续上涨
钼主要用于普钢添加剂和不锈钢中,国内普钢产量有望继续保持平稳,不锈钢产量有望继续增加;钼精矿价格年初至今上涨6258%。钼靶材广泛应用于屏幕制造中,可能带来高端钼材料的放量。相关企业:金钼股份(324%)。
6)镁价不断上涨
镁主要下游为合金,广泛应用于 汽车 、航空航天、电子制品等领域;年初至今镁价上涨4419%。 汽车 用镁合金正处于放量期,有望成为镁合金未来最重要的需求增长领域。镁相关企业:云海金属(91%)。
风险提示:股市有风险,入市需谨慎
在这种极度复杂的情况下,需要的是一个单一的、集成的解决方案,使得企业能够收集、关联和管理来自异类源的大量安全事件,实时监控和做出响应,需要的是能够轻松适应环境增长和变化的解决方案,需要的就是企业完整的安全管理平台解决方案。
但同时也存在另一方面的难题,仅依赖于某些安全产品,不可能有效地保护自己的整体网络安全,信息安全作为一个整体,需要把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,才能有效地保障企业的网络安全和保护信息投资,信息安全管理水平的高低不是单一的安全产品的比较,也不是应用安全产品的多少和时间的比较,而是组织的整体的安全管理平台效率间的比较。 完整的IT运维管理系统中必须要包含安全运维管理,通过建立网络安全运维管理系统,将网络安全日常运维管理各业务功能整合在一个统一的平台进行管理。 企业外网的安全运维管理 企业通过Internet网提供Web网站、邮件、FTP、视频服务等应用,这是目前很多企业网络应用中都必须要解决安全方面的一个共同问题。 防火墙是长期以来保障网络安全最常用的工具,自然也是企业网络安全保护的一项重要措施。采用防火墙技术对于企业来说无疑是最佳的选择,防火墙设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 对于Web网站安全来说,首先是Web服务器的安全,一般用来架构web网站的UNIX系统,Linux系统,Windows系统,总的来说UNIX系统的Web站点的安全性较好、其次是Linux系统、目前被黑客和病毒攻击最多的是Windows,因此在企业经济条件允许的条件下,架构在AIX、Solaris以及HP-UNIX等UNIX系统平台上web服务器的安全性是首选。当然无论选择何种 *** 作系统,系统补丁都要及时安装,只是Web网站最基本的条件。其次是采用web服务器软件的安全如IIS、Apache、Tomcat的安全配置,采用ASP/ASPNET、PHP和JSP动态技术开发网站程序的安全,后台数据库系统的安全也是保证网站安全的重要因素。 虚拟专用网(***)是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 通过“安全邮件网关”有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击,同时为邮件用户提供:屏蔽垃圾邮件、查杀电子邮件病毒(包括附件和压缩文件)和实现邮件内容过滤(包括各种附件中的内容)等功能。采用基于内容过滤、实现查杀病毒和防范垃圾邮件的产品,大大提高了防范的准确率,垃圾邮件过滤率最高可达98%。 上面是企业外网安全运维管理所采用的安全产品与策略,以及一些安全措施。主要是保证网络和业务应用的正常、安全与稳定的运行,但从实际 *** 作运行来看,特别是从目前的蠕虫、病毒、木马、僵尸网络、垃圾邮件等比较猖獗的情况下,通过安全产品和安全策略能抵挡一些,但还是显得“力不从心”,得不到人们想像的“预期效果”。 企业内网的安全运维管理 这里的内网主要是指企业的内部局域网。随着企业ERP、OA、CRM等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,内网信息网络已经成了各个单位的生命线,对内网稳定性、可靠性和可控性提出高度的要求。内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。 相对于内网安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全,包括传统的防火墙、入侵检察系统和***都是基于这种思路设计和考虑的。外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。 而内网安全的威胁模型与外网安全模型相比,更加全面和细致,它即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何一个节点上。所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的内网。由此可见,相比于外网安全,内网安全具有:要求建立一种更加全面、客观和严格的信任体系和安全体系;要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理等特点。 外网安全主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多,同时技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。当然造成内网不安全的因素很多,但归结起来不外乎两个方面:管理和技术。 由于内网的信息传输采用广播技术,数据包在广播域中很容易受到监听和截获,因此需要使用可管理的安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。从终端用户的程序到服务器应用服务、以及网络安全的很多技术,都是运行在 *** 作系统上的,因此,保证 *** 作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。为了维护企业内网的安全,必须对重要资料进行备份,对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。 在内网考虑防病毒时,防杀毒方式需要全面地与互联网结合,不仅有传统的手动查杀与文件监控,还必须对网络层、邮件客户端进行实时监控,防止病毒入侵;防病毒软件应有完善的在线升级服务,使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护。由于内部局域网一般都是通过防火墙实现与互联网的逻辑隔离,因此通过对防火墙的NAT地址转换,终端PC机的IP/MAC地址绑定以及安全策略的实现内网安全。局域网内的PC机 *** 作系统、应用软件以及防病毒、软件的补丁与升级、正版软件的使用等也是影响内网安全的重要方面。 采用上网行为管理系统软件,实现网站访问限制、网页内容过滤、即时通工具过滤、IP地址绑定、IP访问控制等功能,为内网的用户实现了高度智能化的上网行为管理,全面保障企业关键应用的正常运行。应该以动态的方式积极主动应用来自内网安全的挑战,建立健全的内网安全管理制度及措施是保障内网安全必不可少的措施。 因此,企业内网的安全运维管理需要一个整体一致的内网安全体系,包括身份认证、授权管理、数据保密和监控审计等方面,并且,这些方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全内网的效果。企业用户内网安全管理制度、整体一致的内网安全解决方案和体系建设将成为内网安全的主要发展趋势。 企业网管系统中是否需要安全运维管理 随着企业网络应用和规模的不断增加,网络管理工作越来越繁重,网络故障也频频出现:不了解网络运行状况,系统出现瓶颈;当系统出现故障后,不能及时发现、诊断;网络设备众多,配置管理非常复杂;网络安全受到威胁,现在企业可能会考虑购买网管软件来加强网络管理,以优化现有网络性能,网管软件系统已经变成企业不可缺少的一项功能。 目前网管系统开发商针对不同的管理内容开发相应的管理软件,形成了多个网络管理方面。目前主要的几个发展方面有:网管系统(NMS)、应用性能管理(APM)、应用性能管理、桌面管理(DMI)、员工行为管理(EAM)、安全管理。当然传统网络管理模型中的资产管理,故障管理仍然是热门的管理课题。越来越多的业务将进入网络管理的监控范围,对于业务的监控的细分化,都将成为今后的网络管理系统完善的重点。 安全运维管理在企业IT 系统中的应用 1、安全管理平台及其应用 企业的网络存在着各种风险,如何保证网络安全有序运行成为用户最为关心的问题。当企业的网络工程师面对大量的网络数据时,他需要的明确的思路、清晰的条理、实际可 *** 作的依据,征对以上这些困惑,Broada安全管理平台(简称Broada SOC)集中对安全威胁进行检测和响应,使网络工程师能获取最新的安全信息,通过强大的实时故障处理、安全威胁响功能,进而查看企业IT系统的安全状况视图,从而整理出切实有企业有用的数据信息,提高安全管理效率,降低总成本并提高投资回报率。 下图是Broada S0C系统功能架构图,通过对防火墙、IDS等设备数据信息采集,能实时收集信息,然后通过事件处理中心,运行其独特的数据挖掘和关联技术能力,迅速识别出关键事件,自动做出响应,最大化地减少攻击对网络产生影响;同时强大的知识库也可以集成各种故障处理事件,网络工程师依据知识库所提供的帮助就能解决大部分的网络故障问题,有效减少了宕机时间,确保了运行效率,在此基础上能提供企业安全趋势分析,使网络工程帅能轻松了解各种风险并采取明知决策。 2、桌面安全管理及其应用 目前网络的另一大难题就是,企业网络规模的日益扩大,单纯手工 *** 作已无法满足系统的需要,企业所需要的是能统一对内网所有PC机、服务器进行 *** 作管理的IT运维平台,于是桌面终端安全管理系统的诞生就显得相当必要了,它主要实现两大功能:省去网络工程师大部分手工 *** 作的时间,提高IT服务部门的工作效率;对员工的行为 *** 作做审计规范,从网络参与者方面保障了网络安全。 下图是Broadaview广通桌面安全管理软件的功能示意图,可以看到目前企业所亟需用到的网络管理功能都一应俱全。软件分发、补丁管理、远程维护等功能非常方便网络工程师对整个企业网进行更新维护,同时可以通过事件报警器及时发现故障,帮助员工解决软硬件难题;桌面安全评估、非法外连监控、IT资产管理则能从安全性上保障企业网的良好运行,能有效防止企业机密外泄、IT资产流失、非法外连导致内网中病毒等情况的出现。 3、安全应用案例 杭州市民卡项目总投资12亿,是“数字杭州”的重点工程之一;旨在建立高效、便捷的公共服务体系。该系统分为两大部分:一是市民基础信息交换平台和基础信息资源的建设、管理与维护、市民卡的发行和日常管理、市民卡服务网点的管理等工作;二是市民卡的各种应用,如,以社会保障为代表的政府应用;以电子钱包为代表的电子支付应用;以城市交通为代表的公用事业应用等。 整个市民卡项目系统的主要由数据中心、交换平台和服务网络三部分组成。数据中心部分环境已有设备包括小型机、台式PC服务器、磁带库等,此外还包括数据库管理系统、中间件、备份管理系统等几部分数据系统。交换平台部分环境主要由消息中间件、部门交换前置机和遍布全市的服务网点系统组成。交换网络链路为租用的网通***网络。 为了保障整个系统正常、高效和稳定地运行,杭州市信息化办公室在充分调研了目前市场上可选的网管系统产品的基础上,通过公开招投标方式严格甄选,从稳定性、易用性、灵活性等方面进行了细致的考察,并从研发能力、核心技术、技术支持等方面进行了评估,最终决定采用广通信达公司的Broadview网络监控平台软件产品作为“杭州市民卡系统及网络管理系统”的主要支撑系统。 Broadview软件系统部署在一台PC服务器上,为杭州市民卡项目提供了一站式全方位的IT管理解决方案。 Broadview网络监控平台可以实时监控网络状况,掌控PC机服务器的性能数据,并深入到应用层对数据库、Web服务、Email服务监测,查看其运行健康度;强大的拓扑功能,能很快发现全网设备,让网络工程师直观明确全网的运行支撑资源,然后展现成网络拓扑图,并能单独提供每一设备的详细资料及运行情况,方便监控重要设备的运转;网络工程师还需要做的一件事情就是向信息中心领导汇报IT投资情况,在Broadview网络监控平台的帮助下,哪台设备出现故障,现用资金用于何种设备都能一一明确,可以说完全能给网络工程师提供IT投资依据,从而在硬件上保障整个杭州市民卡系统的良好运转。 广通信达Broadview平台采用面向运维服务的层次化系统架构,结构清晰,可扩展性强。系统具备全面的网络监测和健全的业务管理功能,内置多种监测器,支持主流 *** 作系统的服务器、多厂家的各种网络设备、存储系统等。同时Broadview系统采用高度模块化设计,提供开放的API接口和高效的二次开发服务,方便地满足了市民卡各种个性化需求。 杭州市民卡网管工程运行以来,网络管理人员通过Broadview网络、业务拓扑图就可以实时监测市民卡网络运行状况、业务服务质量,并可通过Email、手机短信等多种方式及时接收报警,通过运维平台协同处理告警,大大缩短了发现和解决故障的时间,有效保障了网络的持续、稳定、高效运行,同时也大大降低了市民卡IT系统管理的运维成本。 三分技术,七分管理 总而言之,对于企业安全运维管理来说,三分技术,七分管理,在企业内部建立一套完善的安全管理规章制度,使管理机构依据相应的管理制度和管理流程对日常 *** 作、运行维护、审计监督、文档管理等进行统一管理,同时加强对工作人员的安全知识和安全 *** 作培训,建立统一的安全管理体系,帮助企业识别、管理和减少信息通常所面临的各种威胁,架构企业的安全保障体系。
新能源车采用IT电网更加安全可靠。
IT系统就是保护接地系统。所谓接地,就是将设备的某一部位经接地装置与大地紧密连接起来。保护接地的做法是将电气设备在故障情况下可能呈现危险电压的金属部位经接地线、接地体同大地紧密地连接起来;其安全原理是把故障电压限制在安全范围以内。IT系统的字母I表示配电网不接地或经高阻抗接地,字母T表示电气设备外壳接地。
保护接地适用于各种不接地电网。在这类配电网中,凡由于绝缘损坏或其他原因而可能呈现危险电压的金属部分,除另有规定外,均应接地。
架构是综合考虑功能、性能、安全、扩展性及其他各方面做出来的IT解决方案。
性能、安全性、扩展性等是软件的质量特性,他们是会互相影响的,比如说你加强了安全要求,审核、审计很严格,那么必然会降低性能。
以上就是关于IT系统的原理全部的内容,包括:IT系统的原理、在IT项目建设中,如何保证数据库安全性、IT系统管理的重要性体现在哪些方面等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)