销售易安全白皮书V1.0
销售易安全白皮书V1.0 编写:销售易安全管理委员会
前言 (3)
术语定义 (3)
一.组织安全 (4)
1.安全管理委员会 (4)
2.信息安全团队 (4)
3.安全审计团队 (5)
二.合规安全 (5)
1.安全体系 (5)
2.政策合规 (5)
三.人员安全 (6)
1.尽职调查 (6)
2.安全生产 (6)
四.数据安全 (7)
1.传输安全 (7)
2.存储安全 (7)
3.访问安全 (7)
4.数据销毁 (7)
5.数据保障 (7)
6.安全审计 (8)
五.应用安全 (8)
1.销售易SDL (8)
2.业务安全 (9)
3.销售易基础与特色安全 (12)
六.系统&网络安全 (12)
1.系统安全 (12)
2.网络安全 (13)
七.基础设施安全 (14)
八.灾难恢复与业务连续性 (15)
1.备份机制 (15)
2.恢复机制: (15)
九.附录: (16)
前言
销售易是北京仁科互动网络技术有限公司自主创新,面向企业级的SAAS产品。基于销售易五年多安全技术研究积累的成果,打造了业界一流的安全保障体系、高可靠的系统实现机制,为企业信息安全提供全方位的安全保障!
术语定义
SDL:Security Development Lifecycle 的简称,安全开发生命周期;
撞库:撞库是黑客通过收集互联网已泄露的账户和密码信息,生成对应的字典表,尝试批量登陆网站后,得到一系列可以登录的账户;
DDOS攻击:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于C/S技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动流量攻击,造成目标的业务系统无法供服务;
一.组织安全
销售易安全团队由安全管理委员会、信息安全团队、安全审计团队组成,通过高效、协同的工作给广大企业用户提供稳定、健康、安全的服务。
1.安全管理委员会
安全管理委员会成员由公司的研发VP、安全团队负责人、产品负责人及技术负责人组成,监督并决策信息安全体系的建设,对销售易业务整体安全负责。
2.信息安全团队
信息安全团队由应用安全、系统&网络安全、安全开发专家组成,信息安全团队负责产品安全架构及安全运营工作,是销售易信息安全体系的建设者,在安全策略、安全开发流程设计、落实及执行中扮演重要的角色。
1)设计、开发和运营入侵检测、攻击防护产品,供7*24小时安全监控,动态联动防攻击产品,以及引入第三方安全产品。如:防御系统、漏洞扫描与检测等;
2)依据数据类别及安全等级,设计访问控制策略,通过技术手段制定隔离措施和访问控制管理流程;
3)依据业务系统访问逻辑,审核访问请求,自动化监控活动,并实时审计,定期复查其执行情况;
4)通过安全解决方案流程,在产品设计阶段,对功能需求进行安全评审,在产品发布前,进行安全测试以及产品发布后,进行安全回归测试,以保障销售易业务的安全运营;
5)借助公司的人才资源及技术沉淀、与第三方安全服务商的合作,定期对销售易内部和外部应用进行漏洞检测与扫描,及时发现安全漏洞,并在预期时间内完成漏洞修复;
6)遵循信息安全事件管理标准,依据数据安全性的危害程度定义安全事件类别和响应流程,供全天候人工和系统的监控识别、分析和处理信息安全事件的能力;
7)定期进行攻防演练,评估安全策略可靠性和控制措施的适用性;
8)定期为销售易员工供安全意识培训,包括个人准则、信息保护、数据安全认证和安全开发等领域;
9)积极参予安全论坛与会议,吸取业界前沿的安全技术并保持与外部安全专家、白帽子黑客的交流沟通;
3.安全审计团队
安全审计团队主要对销售易系统化的监测、控制、处理、独立审查,以验证是否满足信息安全体系及标准,通过审计以满足合规性要求,如:ISO27001:2013等。
二.合规安全
销售易按照国内外以及行业的信息安全标准和最佳实践要求,持续改进、不断完善信息安全管理和技术体系,为客户提供经第三方权威测评及认证机构审核过的SaaS服务。
1.安全体系
1)ISO/IEC27001,推动信息安全体系(ISMS)建立与实施,采用以风险管理为核心的方法管理公司和用户信息,保障信息的保密性、完整性及可用性;安全审计团队依据该安全标准,审核销售易技术方案与技术框架内部信息安全管理同国际信息安全最佳实践接轨。
2.政策合规
销售易根据国家信息安全相关法律、法规要求,设置与信息安全监控机构之间的联络员,制定实施程序,以确保供的销售易产品符合国家关于知识产权相关法律和法规要求。销售易同所有企业及开发者签署保密协议,并通过定期检查识别、记
录、评审保密协议中数据安全的相关控制要求(如访问控制、防泄露及完整性要求),防止不正当披露、篡改和破坏数据。
三.人员安全
1.尽职调查
员工在入职之前,销售易在国家法律法规允许的情况下,通过一系列背景调查手段来确保入职的员工符合公司的行为准则、保密规定、商业道德和信息安全政策,背景调查手段涉及刑事、职业履历和信息安全等方面,背景调查的程度取决于岗位需求。
2.安全生产
员工在入职后,所有的员工必须签署保密协议,确认收到并遵守销售易公司的安全政策和保密要求,尤其关于客户信息和数据的机密性要求将在入职培训过程中被重点强调。
销售易依据员工的工作角色进行额外信息安全培训,确保员工管理的用户数据必须按照安全策略执行。
销售易通过企业价值观考核的方式检验每位员工是否以诚信、敬业的态度来管理每位客户的云端数据,保证其对客户、合作伙伴和竞争对手的尊重;
销售易供机密报告机制以确保员工可以匿名报告任何违反安全政策、商业道德的事件.
四.数据安全
信息安全主要目标之一是保护业务系统和应用程序的基础数据安全。依据数据安全生命周期,销售易从数据传输、存储、访问至销毁,使用了数据分级、数据加密等措施,保障了数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。
1.传输安全
所有公网数据均使用HTTPS安全协议传输,使用AES_256_CBC 进行加密的,同时使用HMAC-SHA1 进行讯息身份验证并使用ECDHE_RSA 作为密钥交换机制。
2.存储安全
销售易凭借以数据为中心的安全愿景,将安全技术嵌入至整个数据安全生命周期中,对数据的存储有严格的安全要求,所有业务级别数据(包括客户端数据)均使用加密处理或密码保护保障数据安全属性。
3.访问安全
销售易为用户和企业数据供访问控制保障。非特殊情况下除销售易产品提供的功能外没有任何其他形式可以访问数据。对于一些极特殊情况由客户授权为基础,在安全委员会成员相互监督下有限制的对数据进行访问并如实反馈给客户。
4.数据销毁
对于需要销毁的客户数据,销售易通过自主研发的服务安全的、彻底的清除掉所有相应数据。
5.数据保障
销售易系统使用了AWS中S3和RDS两种数据存储服务。
S3作为文件存储服务,采用加密且多副本冗余设计,AWS承诺可保障
99.99% 的可用性和99.999999999% 的耐久性;
RDS作为数据存储服务,实现多数据中心主从实时同步并保证每个数据中心多副本,既满足服务的高可用性,又保证了实时备份。同时作为增强的数据备份方案,RDS中的数据每天定时全量导出上传到S3服务中。
销售易所有与数据相关的服务器在AWS上都做了定期的镜像拷贝存储在S3中来保障。
6.安全审计
安全审计覆盖所有数据活动的详细跟踪记录,并进行实时的语境分析和行为过滤,从而实现对用户访问行为的主动控制,生成审计员所需要的信息。生成的结果报表使所有数据活动详细可见,如登录失败、权限升级、计划变更、非法访问、敏感数据访问等,这些行为是否合规一览无余并做到所有用户操作有踪可寻。
五.应用安全
1.销售易SDL?
销售易产品在项目开发流程中引入了SDL(Security Development Lifecycle),借鉴了微软推广SDL的经验,并结合企业级安全需求以及销售易自身的项目开发流程,控制项目整体的安全风险。SDL如下:
SDL流程图安全开发流程参照软件安全开发周期
SDL建立:
(1)人员培训环节:安全工程师给开发人员进行安全开发规范、安全意识培训等,高其安全意识;
(2)安全需分环节:根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架进行沟通,形成相应安全Story以驱动安全开发;
(3)安全开发环节:根据不同的开发框架,开发安全包、供安全编码规范及安全框架配置规范,避免开发人员写出不安全的代码;
(4)安全测试环节:通过代码扫描工具进行白盒、黑盒扫,并结合人工审核代码漏洞;
(5)项目发布环节:安全部门依据上述环节评价结果决定项目是否发布;(6)安全运营与应急响应:安全工程师通过应急响应平台进行安全运营及事件应急响应;
2.业务安全
a)账号安全
账号安全体系依托口令策略和访问控制策略,禁用弱口令,监控非法登录尝试。销售易给出上次登录的设备和时间、地点,以帮助用户识别是否正常登录。同时,通过账号监测平台,对用户同设备批量尝试登录账号进行监控报警,发现攻击行为,可将该设备拉至黑名单。
b)暴力破解&撞库
销售易账号基于可信设备判断是否进行二次验证,同时基于后端风控体系,实时监测账号破解、撞库与刷库等攻击行为,告警通知及处置恶意请求;账号依据信息安全风险库检测账号是否存在风险,发现存在风险的账号及时告知用户,进行账号密码的升级。
c)业务操作日志
销售易详细记录了业务操作日志,用以监控和约束用户的行为操作。用户操作日志永久保存,以保证恶意操作的不可抵赖性。
d)系统登录日志
销售易详细记录了用户的登录日志,用户可以查看上次登录的时间、地点、和登录终端。登录日志保证用户可以轻易发现异常登录情况,保障数据安全。
e)管理员操作日志
销售易提供详细的管理员操作日志,以记录系统的用户配置、权限配置等信息,以保证租户内部权限的安全,和操作的不可抵赖性。
f)业务权限控制
销售易严格的控制业务之间的权限隔离,保障用户仅能在权限范围内对其数据进行访问和相关操作。
g)WAF(Web应用防护系统)
销售易使用WAF对DDOS攻击,SQL注入等攻击手段进行严格的过滤和排除。
3.销售易基础与特色安全
a)协议安全
基于SSL/TLS协议为应用程序供数据保密性和完整性的基础上,销售易构建了一套完整的私有安全通信协议,通过加密用户在网络传输中的信息,防止窃听,以确保信息在网络中传输安全。
b)企业通讯录
企业通信录采用加密存储,可分级管理通信录,针对不同人群设置不同权限;同时企业可以设置对重要部门进行保护,该部门的信息会自动隐藏,即使是企业内的员工,没有相应权限无法访问。
销售易安全白皮书V1.0对于不同公司的信息,存储空间是相互隔离的,当员工离职后,会被踢出对应的企业群,自动剥离员工在该企业的权限。
企业可以设置对员工的手机号进行隐私保护,在对外展示员工信息时隐藏手机号码,防止信息泄露,但不影响销售易电话通讯和电话会议等相关功能的使用。
c)特色安全功能
i.客户端加密
销售易客户端的数据库进行了整库加密存储,根据用户设备信息通过加密算法生成的唯一密钥,保护用户客户端存储的敏感信息不被攻击者非
法获取,保障用户的隐私数据不被泄露。
六.系统&网络安全
1.系统安全
a)系统软件安全配置标准
线上服务运行在可信的操作系统版本上,安装软件,必须由运维人员从公司系统团队维护的可信安装源下载和安装。对于通用的系统软件,例如
tomcat,nginx,ssh等,制定了对应的安全配置规范,通过基线系统实时采集服务器上运行的软件版本和配置信息,并进行相应的维护。安全团队也会跟踪业界安全问题,评估服务器上的软件是否有安全漏洞,一旦有安全漏洞产生,会通过应急响应流程推动基础软件的漏洞修复。
b)系统登录授权访问
服务器上的帐号依据权限大小,分为高中低三个用户组,除了线上运维人员可拥有较高权限的用户组外,普通员工只能申请低权限的用户组,线上服务也以低权限用户运行。
员工登录服务器时使用个人帐号体系,登录服务器的密码强制定期修改。
员工登录服务器前,需要先交权限申请,访问权限有时间控制。在通过审批后,员工才能获得对应服务器的登录权限。员工离职/岗位发生变动/申请的权限到期时,都会在对应的服务器上删除对应的帐号。
对于生产服务器,员工需要先登录经过堡垒机之后,才能登录其他生产服务器。堡垒机经过了特别的加固,只对特定的办公网开放,并部署有操作日志记录和审计系统。
2.网络安全
a)销售易生产系统通过VPC(虚拟私有网络)与外界网络隔离,并在VPC中
划分公有子网和私有子网不同的子网有不同的安全访问策略与限制。
b)网络访问控制
公司的各类服务,只有在经过安全团队审核之后,才能发布上线并对公众服务。高危端口和服务禁止对互联网开放。内部后台应用仅对办公网开放。
不同子网及子网内不同主机分别通过ACL映射、安全组、iptables防火墙进行不同粒度的访问控制,来保障安全限制无死角。
c)流量劫持
针对http协议在网络传输过程中,可能会被篡改/窃听/截取,为了防止用户的隐私数据在传输过程中被窃听或者泄露,公司的重要业务都已经启用
https协议来代替http协议。
对于DNS劫持,公司的DNS团队通过多种手段在全国范围内监控重要域名的解析结果,一旦发现有严重的DNS劫持,有专业的安全工程师快速响应。
d)DDoS安全防御
销售易在CDN、反向代理服务和iptables等多个层面对DDos进行防护。
七.基础设施安全
销售易的物理基础设施由AWS提供。AWS的基础设施可提供强大的保护措施,以帮助保护客户隐私。所有数据均存储在高度安全的AWS数据中心内。
AWS在其基础设施中管理数十项合规性计划。这意味着已完成各部分合规性要求。
AWS通过以下保险项目以提供安全保障。
八.灾难恢复与业务连续性
销售易能够应对线上各类风险,具有自动调整和快速反应的能力,保障销售易业务连续运转。销售易通过了ISO20000认证,以国际安全认证标准保障服务的连续性,服务可用性可达99.9%。
销售易的灾难恢复机制,搭建在AWS提供的服务基础上,主要包含以下方面:
1.备份机制
系统环境:销售易通过快照的方式保存在S3上,供快速扩展和环境恢复;数据信息:一方面每日定时快照到S3上,另一方面我们利用了AWS RDS的跨AZ(多个数据中心)同步机制,共同保障数据的安全和完整;
系统代码:销售易采取本地备份和AWS的S3双备份机制;
可靠性:销售易依据AWS的服务承诺,可保障11个9的可靠性,并采用S3多副本冗余设计以保障系统的整体可靠性。
2.恢复机制:
系统环境:根据S3上的快照机制可以迅速恢复服务机器;
数据信息:根据AWS RDS的跨AZ(多个数据中心)同步机制,若需要恢复或调整,则使另一数据中心的副本自动升级为主实例即可,并且可以保证数据完全一致。如果实时切换失效,我们还可以根据S3上的每日定时快照,恢复数据到前一天;
系统代码:从S3上下载并自动化部署到新的机器上。
可靠性:根据AWS的服务承诺,其多个数据库中心的设计,可以保证我们任何时候都能启动机器进行恢复操作。
九.附录:
1.销售易选择顶级的美亚保险以保障安全,投保金额500万美元。
2.第三方合作安全厂商:
广电网络EPON产品--技术白皮书
广电网络EPON产品应用 技术白皮书
目录 1、前言 (3) 2、EPON技术简介 (4) 3、ACE公司EPON产品简介 (15) 3.1 ACE公司EPON产品 (15) 3.2 ACE公司EPON产品功能表 (23) 4、 EPON方式双向改选的业务能力分析 (25) 5、 ACE公司EPON产品与EOC技术的无缝对接 (26) 6、附件1:HFC双向改造成本核算与方案选择 (35)
1、前言 广电网络行业主要负责有线广播电视网络建设、开发、经营和管理及有线电视节目的收转和传送。 近年来广电行业的迅猛发展,建设投入的增加,其业务也逐渐扩大,逐渐形成了现有的以光纤为主的有线电视光纤、电缆混合网络。有线电视用户可通过有线广播电视光缆网收看到多套稳定、清晰的电视节目和收听多套广播电台高保真立体广播。 随着用户对新业务需求的增加,使得广电网络迫切的需求在开展广播电视基本业务的同时,利用有线广播电视网的宽带网络优势,开发广播电视网络的增值业务,例如宽带IP、数字电视、广播系统等。由于EPON系统在光纤网络传输方面的天然优势,使得它在广电网络应用中存在非常大的潜力。
2. 无源光纤网络(PON)技术简介 2.1 PON的演化与分类 业界多年来一直认为,PON是接入网未来的方向,它在解决宽频接入问题上普遍被看好,无论在设备或维运网管方面,它的成本相对便宜,提供的频宽足以应付未来的各种宽频业务需求。 PON自从在20世纪80年代被采用至今为止已经历经几个发展阶段,电信运营商和设备制造商开发了多种协议和技术以便使PON解决方案能更好的满足接入网市场要求。 最初PON标准是基于ATM的,即APON。APON是由FSAN/ITU定义了相应G..983建议,以ATM协议为载体,下行以155.52Mb/s或622.08Mb/s的速率发送连续的ATM信元,同时将物理层OAM信元插入数据流中。上行以突发的ATM的信元方式发送数据流,并在每个53字节长的ATM信元头增加3字节的物理层开销,用以支持突发发射和接收。 目前则有两个颇为引人注目的新的PON标准
人工智能系列白皮书-智慧农业
中国人工智能系列白皮书 -- 智慧农业
目录 第1 章智慧农业发展背景 (1) 1.1 人工智能在农业领域中的应用历程 (1) 1.2 智慧农业及其发展趋势 (8) 第2 章农业智能分析 (12) 2.1 农业数据挖掘 (12) 2.1.1 农业数据挖掘特点 (12) 2.1.2 农业网络数据挖掘 (13) 2.1.3 农业数据挖掘应用 (16) 2.2 农业数据语义分析 (18) 2.2.1 农业数据语义模型 (18) 2.2.2 农业数据存储模型 (19) 2.2.3 农业数据知识发现 (20) 2.2.4 农业数据语义检索 (21) 2.2.5 分布式农业知识协同构建 (21) 2.3 农业病虫害图像识别 (22) 2.3.1 基于机器视觉的农业病虫害自动监测识别系统框架 23 2.3.2 农业病虫害图像采集方法 (24) 2.3.3 农业病虫害图像预处理 (26) 2.3.4 农业病虫害特征提取与识别模型构建 (27) 2.3.5 农业病虫害模式识别 (28) 2.4 动物行为分析 (29) 2.5 农产品无损检测 (34) 2.5.1 农产品的无损检测 (35) 2.5.2 农产品无损检测主要方法与基本原理 (36) 2.5.3 无损检测在农产品质量检测中的应用 (38)
2.5.4 问题与展望 (38) 第3 章典型农业专家系统与决策支持 (40) 3.1 作物生产决策系统 (40) 3.1.1 作物生产决策支持系统的概念与功能 (40) 3.1.2 作物决策支持系统的发展 (41) 3.1.3 我国作物决策支持系统发展状况 (41) 3.1.4 作物生产决策支持系统的发展趋势 (42) 3.1.5 作物生产决策支持系统的存在问题 (43) 3.1.6 作物生产决策支持系统的发展措施建议错误!未定义书签。 3.2 作物病害诊断专家系统 (45) 3.2.1 病害诊断知识表达 (45) 3.2.2 作物病害描述模糊处理 (47) 3.2.3 病害诊断知识推理 (47) 3.2.4 基于图像识别的作物病害诊断 (48) 3.3 水产养殖管理专家系统 (49) 3.3.1 问题与挑战 (49) 3.3.2 主要进展 (51) 3.3.3 发展趋势 ........ .... ..... .. (52) 3.4 动物健康养殖管理专家系统 (54) 3.4.1 妊娠母猪电子饲喂站 (54) 3.4.2 哺乳母猪精准饲喂系统 (56) 3.4.3 个体奶牛精准饲喂系统 (57) 3.4.4 畜禽养殖环境监测系统 (58) 3.5 多民族语言农业生产管理专家系统 (59) 3.5.1多民族语言智慧农业即时翻译系统结构 (59) 3.5.2多民族语言农业智能信息处理系统机器翻译流程 .. 60 3.5.3多民族语言农业信息平台中的翻译关键技术 (62)
redware技术白皮书
RedWare 随着IT信息技术的高速更新,以及基于Internet应用的迅猛发展,市场需求已经从最初的PC时代,业已流行的internet时代,快速演变到目前所有以应用为重的网络应用时代。 在当今相互连接的世界,大型企业、金融机构、电信、能源等各行业均通过应用的网络化和基于Web的应用推动自身生产力或收益的增长。然而,基于网络的关键业务,也同样面临爆炸式访问量的增长压力;黑客泛滥背景下的安全威胁;以及各网络设备或应用的不稳定风险,一旦关键业务应用遇到这些困难,将使企业面临具额的经济损失。例如,对于一个中型企业而言,应用故障每分钟造成的平均损失可高达50.000美元,更不用提可能高达数百万美元的应用部署管理费用、基础设施投资和应用交付成本。因此,如何保证关键业务应用的可用性、提高性能和保证安全性?如何使关键业务具有最大的增长潜力,降低部署复杂度,并提高对IT基础设施和人员的投资收益等问题,成为各行业在建设或扩展网络,发布应用时最关心的问题之一。 Radware公司的APSolute智能应用网络解决方案,以智能应用技术为基础,将先进的负载均衡、应用交换、应用优化和包括业界领先的防Dos攻击,IPS,带宽管理等技术在内的应用安全解决方案进行整合,是一个使网络能够尽快的满足动态的应用和业务需要而设计的集成的解决方案,采用Radware的APSolute智能应用网络解决方案可以解决应用发布时遇到的流量过载、交易故障、数据拥塞,服务器性能瓶颈,安全漏洞、高昂的升级成本以及网络管理等问题。 APSolute 智能应用网络解决方案包括以下三个部分的内容: APSolute 应用访问提供完整的远程访问解决方案,该解决方案将诸多功能汇聚一身,例如多链路的WAN连接管理、访问控制、带宽管理、点到点压缩、集成VPN网关、入侵防范和服务保护的拒绝等;同时,这个强大的全企业范围内的解决方案支持“无服务器”分支体系结构,大大的简化了远程应用部署,能够在混合的公共和租赁线路中提供全面的灵活性。APSolute 应用访问降低了WAN的复杂性,提高了网络性能、降低了网络连接的费用,同时降低了网络基础设施的投资和运行成本。APSolute应用访问解决方案支持Radware公司下一代APSolute OS应用感知软件体系结构的全部功能。包括LinkProof系列产品。 APSolute应用前端为数据中心最优化提供统一的解决方案。该解决方案支持Radware公司下一代APSolute OS应用智能软件体系结构的全部功能,能够为企业和电信运营商智能优化数据中心,保障网络应用的高可用性、提升网络性能,加强安全性,全面提升IT服务器等网络基础设施的升值潜力;包括APPDirector 和APPXcel系列产品。 APSolute应用安全解决方案的系列产品全面提升了入侵防护和防Dos攻击性能,能够保证用户、网络应用和网络自身不受攻击,同时为企业和电信运营商优化了精益求精的网络安全防护工具,保护了网络应用,驱动了网络安全性能的全面提升。该解决方案充分利用了APSolute OS内含的安全功能,以实现集成的入侵防范和Dos保护。一旦被激活,APSolute OS IPS和DOS功能就能通过在攻击和恶意活动接近应用之前对其进行阻止,来确保关键任
2018年中国人工智能产业白皮书
2018年中国人工智能产业白皮书
册子 / 报告标题|章节标题 目录 主要发现 1第一章人工智能行业综述篇 3 1.1 全球及中国发展概况 4 1.1.1 全球市场 4 1.1.2 发展驱动力 6 1.1.3 面临挑战 11 1.2 人工智能产业链 12 1.2.1 基础层 13 1.2.2 技术层 14 1.2.3 应用层 16 1.3 中国人工智能领域投资 17 1.3.1 投资热点及趋势 17 1.3.2 进击的巨头 19第二章人工智能商业化应用篇 21 2.1 数字政府:政策利好加速政府智能化变革 23 2.2 金融:人工智能变革金融经营全过程 26 2.3 汽车:人工智能正在重塑汽车产业生态 30 2.4 医疗:人工智能加速医疗技术革新 34 2.5 零售:人工智能应用从个别走向聚合 38 2.6 制造业:人工智能应用潜力被低估 44第三章中国主要人工智能产业发展区域及定位 47 3.1 中国人工智能企业分布重点城市 48 3.2 人工智能产业园 57 3.3 杭州未来科技城人工智能发展建议 59 02
册子 / 报告标题|章节标题主要发现 1. 中国人工智能产业发展迅速,但整体实力仍落后于美国。中国已成为人工 智能发展最迅速的国家之一,2018年中国人工智能市场规模有望超过300亿 元人民币。人工智能企业数量超过1000家,位列全球第二。本次人工智能浪 潮以从实验室走向商业化为特征,其发展驱动力主要来自计算力的显著提升、 多方位的政策支持、大规模多频次的投资以及逐渐清晰的用户需求。与此同 时,中国处于人工智能发展初期,基础研究、芯片、人才方面的多项关键指标 与美国差距较大。 2. 中国企业价值链布局侧重技术层和应用层,对需要长周期的基础层关注 度较小。人工智能产业链分为基础层(芯片、算法框架)、技术层(计算机视 觉、自然语义理解、语音识别、机器学习)和应用层(垂直行业/精确场景)。中 国企业布局比较偏好技术相对成熟、应用场景清晰的领域,对基础层关注度 较小。瞄准AI专用芯片或将为中国企业另辟蹊径。 3. 科技巨头生态链博弈正在展开,创业企业则积极发力垂直行业解决方案, 深耕巨头的数据洼地,打造护城河。科技巨头构建生态链,已经占据基础设 施和技术优势。创业企业仅靠技术输出将很难与巨头抗衡,更多的创业企业 将发力深耕巨头的数据洼地(金融、政府事务、医疗、交通、制造业等),切入 行业痛点,提供解决方案,探索商业模式。 4. 政府端是目前人工智能切入智慧政务和公共安全应用场景的主要渠道, 早期进入的企业逐步建立行业壁垒,未来需要解决数据割裂问题以获得长 足发展。各地政府的工作内容及目标有所差异,因而企业提供的解决方案并 非是完全标准化的,需要根据实际情况进行定制化服务。由于政府一般对于 合作企业要求较高,行业进入门槛提高,强者恒强趋势明显。 5. 人工智能在金融领域的应用最为深入,应用场景逐步由以交易安全为主 向变革金融经营全过程扩展。传统金融机构与科技企业进行合作推进人工 智能在金融行业的应用,改变了金融服务行业的规则,提升金融机构商业效 能,在向长尾客户提供定制化产品的同时降低金融风险。 6. 医疗行业人工智能应用发展快速,但急需建立标准化的人工智能产品市 场准入机制并加强医疗数据库的建设。人工智能的出现将帮助医疗行业解决 医疗资源的短缺和分配不均的众多民生问题。但由于关乎人的生命健康,医疗 又是一个受管制较严的行业。人工智能能否如预期广泛应用,还将取决于产 品商业化过程中如何制定医疗和数据监管标准。 03
360网络安全系统准入系统技术白皮书-V1.3
360网络安全准入系统 技术白皮书 奇虎360科技有限公司 二O一四年十一月
360网络安全准入系统技术白皮书更新历史 编写人日期版本号备注刘光辉2014/11/11 1.2 补充802.1x 目录
第一章前言 (5) 第二章产品概述 (5) 2.1产品构成 (5) 2.2设计依据 (5) 第三章功能简介 (6) 3.1 网络准入 (6) 3.2认证管理 (6) 3.2.1保护服务器管理 (6) 3.2.2 例外终端管理 (6) 3.2.3重定向设置 (6) 3.2.3 认证服务器配置 (6) 3.2.4 入网流程管理 (7) 3.2.5 访问控制列表 (7) 3.2.6 ARP准入 (7) 3.2.7 802.1x (7) 3.2.8 设备管理 (7) 3.3用户管理 (8) 3.3.1认证用户管理 (8) 3.3.2注册用户管理 (8) 3.3.3在线用户管理 (8) 3.3.4用户终端扫描 (8) 新3.4 策略管理 (8) 3.4.1 策略配置 (8) 3.5系统管理 (8) 3.5.1系统配置 (8) 3.5.2接口管理 (9) 3.5.3 路由管理 (9) 3.5.4 服务管理 (9) 3.5.5 软件升级 (9) 3.5.6 天擎联动 (9)
3.6系统日志 (9) 3.6.1违规访问 (9) 3.6.2心跳日志 (10) 3.6.3 认证日志 (10) 3.6.4 802.1x认证日志 (10) 第四章产品优势与特点 (10) 第五章产品性能指标 (10) 5.1测试简介 (10) 5.2被测设备硬件配置 (10) 5.3 360NAC抓包性能指标 (11) 第六章产品应用部署 (11) 6.1 360NAC解决方案 (11) 6.1.1部署拓扑 (11) 6.2.基本原理 (13) 6.2.1 360NAC工作流程图 (13) 6.2.2 360NAC工作流程图详述 (14) 6.2.2.1 360NAC流程一部署 (14) 6.2.2.2 360NAC流程二部署 (14) 6.2.2.3 360NAC流程三部署 (14)
H3C以太环网解决方案技术白皮书
以太环网解决方案技术白皮书 关键词:RRPP 摘要:以太环网解决方案主要以RRPP为核心的成本低高可靠性的解决方案。 缩略语清单: 1介绍 在数据通信的二层网络中,一般采用生成树(STP)协议来对网络的拓扑进行保护。STP协议族是由IEEE实现了标准化,主要包括STP、RSTP和MSTP等几种协议。STP最初发明的是目的是为了避免网络中形成环路,出现广播风暴而导致网络不可用,并没有对网络出现拓扑变化时候的业务收敛时间做出很高的要求。实践经验表明,采用STP协议作为拓扑保护的网络,业务收敛时间在几十秒的数量级;后来的RSTP对STP机制进行了改进,业务收敛时间在理想情况下可以控制在秒级左右;MSTP主要是RSTP的多实例化,网络收敛时间与RSTP基本相同。 近几年,随着以太网技术在企业LAN网络里面得到广泛应用的同时,以太网技术开始在运营商城域网络发展;特别是在数据,语音,视频等业务向IP融合的趋势下,增强以太网本身的可靠性,缩短网络的故障收敛时间,对语音业务,视频等业务提供满意的用户体验,无论对运营商客户,还是对于广大的企业用户,都是一个根本的需求。 为了缩短网络故障收敛时间,H3C推出了革新性的以太环网技术——RRPP(Rapid Ring Protection Protocol,快速环网保护协议)。RRPP技术是一种专门应用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴,当以太网环上链路或设备故障时,能迅速切换到备份链路,保证业务快速恢复。与STP协议相比,RRPP协议具有算法简单、拓扑收敛速度快和收敛时间与环网上节点数无关等显著优势。 H3C基于RRPP的以太环网解决方案可对数据,语音,视频等业务做出快速的保护倒换,协同高中低端交换机推出整体的环网解决方案,为不同的应用场景提供不同的解决方案。 2技术应用背景 当前多数现有网络中采用星形或双归属组网模型,多会存在缺乏有效保护和浪费网络资源等诸多问题,如下图所示:
华为-VLAN技术白皮书
VLAN技术白皮书 华为技术有限公司 北京市上地信息产业基地信息中路3号华为大厦 100085 二OO三年三月
摘要 本文基于华为技术有限公司Quidway 系列以太网交换产品详细介绍了目前以太网平台上的主流VLAN技术以及华为公司在VLAN技术方面的扩展,其中包括基于端口的VLAN划分、PVLAN,动态VLAN注册协议,如GVRP和VTP等等。本文全面地总结了当前的VLAN技术发展,并逐步探讨了Quidway 系列以太网交换产品在VLAN技术方面的通用特性和部分独有特性,并结合每个主题,简要的介绍了系列VLAN技术在实际组网中的应用方式。 关键词 VLAN,PVLAN, GVRP,VTP
1 VLAN概述 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 VLAN在交换机上的实现方法,可以大致划分为4类: 1、基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。 2、基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。尤其是用户的MAC地址用变换的时候就要重新配置。基于MAC地址划分VLAN所付出的管理成本比较高。 3、基于网络层划分VLAN
华为FTTH技术白皮书V2
华为技术有限公司 FTTH技术白皮书 1 FTTH技术简介 1.1 光纤接入网(OAN)的发展 接入网作为连接电信网和用户网络的部分,主要提供将电信网络的多种业务传送到用户的接入手段。接入网是整个电信网的重要组成部分,作为电信网的"最后一公里",是整个电信网中技术种类最多、最为复杂的部分。电信业务发展的目标是实现各种业务的综合接入能力,接入网也必须向着宽带化、数字化、智能化和综合化的方向发展。 由于传统语音业务逐渐被移动、VOIP蚕食,宽带业务成为给固网运营商带来收入的主攻方向,运营商希望通过提供丰富多彩的业务体验来吸引用户。业务的发展尤其是视频类业务的逐渐推广,使用户对网络带宽和稳定性要求越来越高。随着光纤成本的下降,网络的光纤化成为发展趋势,原来主要用于长途网和城域网的光纤也开始逐步引入到接入网馈线段、配线段和引入线,向最终用户不断推进。 通常的OAN是指采用光纤传输技术的接入网,泛指端局或远端模块与用户之间采用光纤或部分采用光纤做为传输媒体的系统,采用基带数字传输技术传输双向交互式业务。它由一个光线路终端OLT(optical line terminal)、至少一个光配线网ODN(optical distribution network)、至少一个光网络单元ONU(optical network unit)组成。如图1所示。
图1. 光接入网参考配置 OLT的作用是为光接入网提供网络侧接口并经一个或多个ODN与用户侧的ONU通信,OLT 与ONU的关系为主从通信关系。 ODN为OLT与ONU之间提供光传输手段,其主要功能是完成光信号功率的分配任务。ODN 是由无源光元件(诸如光纤光缆、光连接器和光分路器等)组成的纯无源的光配线网。 ONU的作用是为光接入网提供远端的用户侧接口,处于ODN的用户侧。 1.2 光接入网的几种应用类型 光纤接入网(OAN)是采用光纤传输技术的接入网,即本地交换局和用户之间全部或部分采用光纤传输的通信系统。光纤接入网又可划分为无源光网络(PON)和有源光网络(AON),相比这两种光网络,从成本上看,无源光网络发展将会更快些。按照ONU在光接入网中所处的具体位置不同,可以将OAN划分为几种基本不同的应用类型:FTTCab,FTTCub,FTTB,FTTH和FTTO。 (1)光纤到交接箱(FTTCab) 光纤到交接箱(fiber to the cabinet,FTTCab)是宽带光接入网的典型应用类型之一,其特征是以光纤替换传统馈线电缆,光网络单元(ONU)部署在交接箱(FP)处,ONU下采用其他介质接入到用户。例如采用现有的铜缆或者无线,每个ONU支持数百到1 000左右用户数。 国内外与FTTCab概念相当的其他术语有:光纤到节点或光纤到邻里(fiber to the node 或neighborhood,FTTN),光纤到小区(fiber to the zone,FTTZ)。 (2)光纤到路边(FTTCub)
2018年中国人工智能创新应用白皮书
2018年中国人工智能创新应用白皮书
报告背景介绍 在全球人工智能发展的浪潮下,市场对人工智能的投入与期望空前巨大,正确理解人工智能目前的应用能力、发展状态以及与市场预期间的距离,成为了各行业企业的重要任务之一。此份独立报告为各行业企业在人工智能方向上的布局与行动举措提供了参考信息与建议,同时也为人工智能企业在具体行业发展方向的选择上提供了参考。 我们的讨论将由四个部分组成,第一部分为人工智能发展背景介绍,对人工智能的概念、发展历史、人工智能企业目前发展状况、人工智能未来的技术与应用走向进行讨论;第二部分为人工智能的商业应用情况,将讨论人工智能能够为各行业带来的具体价值,评估各个行业目前应用条件的成熟程度;第三部分梳理总结了人工智能在20个行业的80个具体应用场景,并详细介绍典型的行业应用场景与案例;第四部分将为企业当下如何借力人工智能给出行动举措方面的建议。 此份独立报告整合了中国人工智能学会与罗兰贝格在数字化领域积累的项目经验与素材,以及对人工智能领域初创企业管理人、各行业内企业经理人、人工智能研发人员的访谈等多方信息数据源,旨在提供具有落地意义的参考与建议,推动人工智能的应用与发展。
执行总结 今年7月,国家发布了新一代人工智能发展规划,将中国人工智能产业的发展推向了新高度。人工智能技术是继蒸汽机、电力、互联网科技之后最有可能带来新一次产业革命浪潮的技术,在爆炸式的数据积累、基于神经网络模型的新型算法与更加强大成本更低的计算力的促进下,本次人工智能的发展已突破了商业领域对其应用效果的预测,受到风险投资基金的热烈追捧,人工智能技术的应用场景也在各个行业逐渐明朗,开始带来降本增益的实际商业价值。 在巨大的产业需求规模与强有力的金融投资支持下,中国在全球新一代人工智能中发展态势良好,北京、深圳和上海在人工智能企业与人才积累上名列全球城市前茅,中国人工智能产业的发展进入了技术逐渐渗透到各行业产生实际价值的阶段。 根据大量行业研究,我们发现,除了互联网行业以外,汽车、消费品与零售、金融以及医疗行业等数据基础比较完善、数据资源比较丰富的行业具有最为成熟的发展基础与最大的市场应用潜力。根据我们的估算,在中国至2030年,在金融行业,预计人工智能将带来约6000亿元人民币的降本增益效益。在汽车行业,人工智能在自动驾驶等技术上的突破将带来约5000亿元人民币的价值增益。在医疗行业,预计人工智能可以带来约4000亿元人民币的降本价值。在零售行业,预计人工智能技术将带来约4200亿人民币的降本与增益价值。我们在价值链的研发、制造、营销、服务以及物流等环节上梳理并描述了这些典型行业内人工智能的主要应用场景。 就中国企业应如何把握机遇,抓住战略机会,我们提出了一系列的行动建议。企业在制定人工智能发展计划时,首先应当明确在当前业务场景下的应用机会点,这些机会点应当能够带来足够的商业价值,并且企业自身也具备应用这些机会点的条件。企业需要通过研究外部市场发展情况,了解目前行业中其他企业在此技术方向上的布局,评估人工智能技在价值链各环节上的商业应用案例。其次,企业需要评估在组织、数据与技术、运用与执行能力上具备的核心竞争力,认识到在哪些方面存在不足,并针对不足为相关部门提供包括组织、流程、KPI等各方面的支持与引导。最后,结合对企业内部核心竞争力打造计划与应用实施计划,企业需要制定明确的发展方向与发展程度期望,设置具有时间节点的发展蓝图,并打造相关的配套能力支持计划执行。 新一代人工智能技术的应用将给各行业带来众多新的可能性,甚至有可能颠覆现有的行业格局并可能重塑行业,我们期待看到中国的企业在新一次人工智能浪潮中抢占先机。
华为802.1X技术白皮书
华为 802.1X 技术白皮书
华为802.1X技术 白皮书
华为 802.1X 技术白皮书
目录
1 2 概述...........................................................................................................................................1 802.1X 的基本原理..................................................................................................................1 2.1 体系结构...........................................................................................................................1 2.1.1 端口 PAE...................................................................................................................2 2.1.2 受控端口 ...................................................................................................................2 2.1.3 受控方向 ...................................................................................................................2 2.2 工作机制...........................................................................................................................2 2.3 认证流程...........................................................................................................................3 3 华为 802.1X 的特点.................................................................................................................3 3.1 基于 MAC 的用户特征识别............................................................................................3 3.2 用户特征绑定...................................................................................................................4 3.3 认证触发方式...................................................................................................................4 3.3.1 标准 EAP 触发方式 .................................................................................................4 3.3.2 DHCP 触发方式 .......................................................................................................4 3.3.3 华为专有触发方式 ...................................................................................................4 3.4 TRUNK 端口认证 ..............................................................................................................4 3.5 用户业务下发...................................................................................................................5 3.5.1 VLAN 业务 ................................................................................................................5 3.5.2 CAR 业务 ..................................................................................................................5 3.6 PROXY 检测 ......................................................................................................................5 3.6.1 Proxy 典型应用方式 ................................................................................................5 3.6.2 Proxy 检测机制 ........................................................................................................5 3.6.3 Proxy 检测结果处理 ................................................................................................6 3.7 IP 地址管理 ......................................................................................................................6 3.7.1 IP 获取 ......................................................................................................................6 3.7.2 IP 释放 ......................................................................................................................6 3.7.3 IP 上传 ......................................................................................................................7 3.8 基于端口的用户容量限制...............................................................................................7 3.9 支持多种认证方法...........................................................................................................7 3.9.1 PAP 方法 ...................................................................................................................7 3.9.2 CHAP 方法 ...............................................................................................................8 3.9.3 EAP 方法 ..................................................................................................................8 3.10 独特的握手机制...............................................................................................................8 3.11 对认证服务器的兼容.......................................................................................................8 3.11.1 EAP 终结方式 ..........................................................................................................8 3.11.2 EAP 中继方式 ..........................................................................................................9 3.12 内置认证服务器...............................................................................................................9 3.13 基于 802.1X 的受控组播.................................................................................................9 3.14 完善的整体解决方案.....................................................................................................10 4 典型组网.................................................................................................................................10
1
西科分布式网络信息安全系统(专业技术白皮书)
西科分布式网络信息安全系统技术白皮书 陕西西科电子信息科技有限公司二零零九年九月 目录 1 开发背 景 . ...................................................................................... ..................................................................................2 1.1内网信息安全分 析 .................................................................................................................................................. 2 1.2内网信息失泄密途径及防护措施.................................................................................. ........................................ 3 2 西安分布式网络信息安全系 统 . .................................................................................................................................... 4 2.1产品设计目 标 ..........................................................................................................................................................4 2.2产品设计原则 .......................................................................................................................................................... 5 2.3产品组 成 . ................................................................................... ..............................................................................52.3.1 端口控制系统(Safe
QoS技术白皮书
QoS技术白皮书 关键词: QoS,服务模型,IntServ,DiffServ,拥塞管理,拥塞避免,队列技术,流量监管,流量整形,链路效率机制 摘要: 本文对Internet的三种服务模型(Best-Effort、IntServ和DiffServ),以及服务模型的发展历程进行了简单介绍,较为详细地介绍了H3C系列数据通信产品所支持的QoS技术,内容包括:流量分类和标记、拥塞管理、拥塞避免、流量监管与流量整形、链路效率机制以及MPLS网络相关QoS技术,并且简要描述了在实际应用中的QoS解决方案。网络运营商及行业用户等通过对这些QoS技术的灵活运用,可以在Internet或任何基于IP的网络上为客户提供有保证的区分服务。 缩略语:
目录 1 概述 1.1 产生背景 1.2 技术优点 1.3 QoS服务模型简介 1.3.1 Best-Effort服务模型 1.3.2 IntServ服务模型 1.3.3 DiffServ服务模型 1.3.4 IntServ与DiffServ之间的互通 2 IP QoS技术实现 2.1 IP QoS功能总述 2.1 流量分类和标记 2.1.1 IP QoS业务分类 2.1.2 IPv6 QoS业务分类 2.1.3 以太网QoS业务分类 2.2 拥塞管理 2.2.1 先进先出队列(FIFO) 2.2.2 优先队列(PQ) 2.2.3 定制队列(CQ) 2.2.4 加权公平队列(WFQ) 2.2.5 基于类的加权公平队列(CBWFQ)2.2.6 RTP优先队列 2.2.7 队列技术对比 2.3 拥塞避免 2.3.1 传统的丢包策略
2.3.2 RED与WRED 2.3.3 WRED和队列机制的关系2.4 流量监管与流量整形 2.4.1 约定访问速率(CAR) 2.4.2 通用流量整形(GTS) 2.4.3 物理接口总速率限制(LR)2.5 链路效率机制 2.5.1 链路分片与交叉(LFI) 2.5.2 IP报文头压缩(IPHC) 3 MPLS QoS技术实现 3.1 MPLS DiffServ 3.2 MPLS-TE 4 典型组网方案 4.1 企业VPN QoS实施 4.2 VoIP QoS网络设计 5 参考文献