前言随着企业对数据和计算能力需求的不断增长,大型服务器已成为许多组织必不可少的组成部分。大型服务器的成本可能很高,尤其是在规模不断扩大时。以下是一些降低大型服务器成本的专家提示。优化资源利用率使用云计算:云计算提供弹性资源,允许您根据需求按需扩展或缩减。这有助于避免为未使用的容量付费。采用虚拟化:虚拟化将单个物理服务器划分为多个虚拟机,从而更有效地利用硬件资源。实施容器化:容器化将应用程序打包在轻量级的、隔离的环境中,从而提高资源利用率并减少开销。优化服务器硬件选择合适的服务器配置。其他技巧与供应商协商:与服务器供应商协商优惠定价、维护合同或其他节省成本的措施。考虑托管解决方案:托管服务提供商可以在其自己的数据中心托管和管理您的服务器,从而节省您维护和支持成本。探索开源替代方案:考虑使用开源软件替代商业应用程序,以降低许可费用。结论通过实施这些技巧,您可以有效地降低大型服务器的成本,同时又不牺牲性能和可靠性。优化资源利用率、服务器硬件、软件配置、自动化和监控将帮助您控制开支,并从您的服务器投资中获得最大的收益。
请教我一招实用的电脑操作技巧?
教你用智能ABC关闭程序的方法 很实用。
。
先选定一个程序 然后打开智能ABC然后按V,再按方向键↑,然后按Delete键,最后回车 一般程序都可以关闭。
。
就一招吗?我说完了 。
。
常用的电脑操作小技巧
很多时候我们工作学习中都会用到电脑,所以学会电脑小技巧可以让们工作学习更加方便,电脑技巧很重要,下面小编就给大家分享几个,一起来看看吧。
一、提高电脑运行速度:方法1:更改文件默认的储存位置C盘储存满了,会影响电脑运行速度,我们可以进入【账户】,选择你的账户名称,一般没有设置过账户名称的,系统默认名为Administor。
接下来将你账户下面的桌面、音乐、下载、文档、图全部移动到其他盘(如E、D、F盘都可以)。
对桌面右键选择【属性】-【位置】,我们可以看到大部分软件都在C盘,桌面放的东西越多,C盘就会越小,因此我们可以在D盘新建一个文件夹,自己命名,然后将桌面搬到D盘。
看C盘的时候,你就可以发现内存剩余了很多。
方法2:更改软件默认储存位置打开C盘,基本所有软件都储存在【Program Files】文件夹中,我们可以将C盘的【Program Files】文件夹内的软件移动到D盘或者其他盘。
在这里我们以酷狗软件为例子,进入【控制面板】,找到酷狗音乐后直接卸载,卸载完成后,再次安装酷狗软件,在安装时,看到【自定义】选项,它的默认路径是C盘,在这里我们可以点击【更改目录】,将它放在D盘,再点击【安装】,安装完成时,如果看到几个复选框,把这些勾全部去掉,里面都是一些垃圾软件,占用你的系统内存,再点击【完成】。
完成以上两个步骤,电脑就减了一半的压力,运行速度就有所提高了。
二、误删电脑文件找回小技巧1、运行数据恢复软件,点击软件界面的“误清空回收站”按钮,该功能能够恢复我们回收站删除的文件。
3、点击进入之后,软件就会扫描我们删除的文件,这时候我们等待软件扫描完成即可。
4、等待软件扫描完成后,我们就可以在回收站找到的文件中查找自己需要恢复的文件,我们可以通过预览功能,找到自己想要恢复的文件,然后点击“下一步”。
5、最后就是文件的保存,我们通过浏览选择自己想要保存的位置,然后点击“下一步”就可以将文件进行保存。
三、在电脑右下角加字的生活小技巧1、在这里我们以win10系统为例子,点击【开始菜单】-【设置】-【时间和语言】2、选择左边的【区域和语言】后,再点击右边的【其他日期、时间和区域设置】如图:3、再点击【区域】,如图:4、点击区域页面的【其他设置】,如图:5、选择【时间】选项卡,在【长时间】里的文字加【tt】,在【上午符号】和【下午符号】输入你要显示的文字,点击【确定】,如图:6、在区域页面选择【长时间】下拉框里的【ttH:mm:ss】,点击【确定】即可,如图:最后你可以看到右下角有文字显示四、禁用键盘上的win键.1、在微软小娜搜索栏中输入【regedit】后,按回车键进入注册表编辑器2、找到以下路径:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced3、在【advanced】文件中【新建】-【字符串值】,命名文件为【DisabledHotkeys】,如图:4、在【DisabledHotkeys】中输入数据值(注:如果想要禁止Win+A键,就输入数值为A),点击【确定】,如图:如果想要禁止多个数值,如WIN+A、WIN+B、WIN+C、WIN+D、WIN+E,就在数值输入ABCDE,如图:以上就是禁止Win键的方法,如果你像要恢复Win的快捷键,只要删除【数值数据】的内容即可,同时在【开始菜单】的【电源】中选择【注销】当前账户,再进入,禁用快捷键就生效了以上就是祝亚科技给大家分享的小技巧,需要用到的小伙伴们赶紧看看吧。
编辑于 2020-09-16TA的回答是否帮助到你了?能够帮助到你是知道答主们最快乐的事啦!有帮助,为TA点赞无帮助,看其他答案查看全部11个回答电脑做账怎么做 老会计手把手教做账 30天学精通根据文中提到的电脑操作为您推荐电脑做账怎么做,老会计教做账,150多个行业真账在线练习,300位老会计免费答疑!电脑做账怎么做培训会计学堂,真账实操,升职加薪两不误,150万会员共同选择!本月3635人已咨询相关问题咨询深圳快学教育软件技术有限公司广告打字键盘练指法新手五笔键盘usb电脑键盘带五笔字根的键盘本月1416人下载¥34 元¥36 元购买拼多多广告常用的电脑操作小技巧专家1对1在线解答问题5分钟内响应 | 万名专业答主极速提问garlic 正在咨询一个职场问题— 你看完啦,以下内容更有趣 —重庆地区_电脑维修_查询您附近的维修地址重庆维修点查询,设备检测/进水/黑屏蓝屏/不开机/键盘按键失灵维修和快速更换服务!为客户提供放心的维修,在线维修预约!广告2021-02-06常用的电脑操作小技巧有哪些?网络一下29浏览关于使用电脑的一些小技巧4赞·1播放电脑常用的小技巧有哪些?1、 影音文件在xp中无法删除 很多情况下是因为预览功能搞的鬼。
开始|运行中输入并执行“REGSVR32 /U ”,取消息预览。
恢复时运行“REGSVR32 ”。
其实就是去掉预览功能。
2、注册表解锁 REGEDIT4 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]DisableRegistryTools=dword 3、 在XP下重装IE: 运行注册表编辑器,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components],把键值从1改成0,重启后xp将自动开始安装IE6。
4、 永久不开启3721 Win9x/Me编辑文件 X:Windowshosts,添加一行代码 255.255.255.255 WinNT/2000编辑文件 X:WINNTsystem32driversetchosts,添加一行代码:255.255.255.255 WinXP编辑文件 X:Windowssystem32driversetchosts,添加一行代码:255.255.255.255 对于 CNNIC 的中文域名也能用,域名改成 5、任务栏里的显示桌面丢失了如何办? 简单的办法:记事本新建输入:[Shell]Command=2IconFile=,3[Taskbar]Command=ToggleDesktop保存为 显示桌面拖到快速启动 6、WIN98中用快捷方式实现一键关机 每次关闭计算机,都需要执行“开始/关闭计算机”命令,给本来就很简单的关机操作带来了很多麻烦,下面介绍一种实现一键关机的办法。
第一需要在桌面的空白处单击鼠标右键,并且新建立一个“快捷方式”,在弹出的创建快捷方式对话窗口中,在“命令行”中输入“ user,ExitWindows”,然后单击“下一步”按钮,给该快捷方式命名为“一键关机”,这时系统的桌面上就会出现刚才建立的快捷方式了,打开该快捷方式的属性窗口,进入“快捷方式”页,并且给该快捷方式自定义一个快捷功能键,如F11,解决以后,就能按F11键执行关机命令。
7、 将MP3中音质不好的部分去除 修正MP3歌曲能通过mp3Trim软件来实现。
运行程序之后载入需要修正的MP3歌曲,第一要清楚需要截取的是哪一部分,在“从头部”处输入截取部分的开始时间,单击右边的小喇叭按钮,同时在“从尾部”处输入时间(这个时间是从文件末尾往前推的时间,所以此时间需用音乐总的时间减去刚才记下的时间来得到),单击右边的小喇叭按钮,紧接着选择保存便大功告成了。
除了从时间选择截取片段,mp3Trim支持从帧来选择截取片段,其操作办法与时间截取大同小异,而且其他诸如音量控制、淡入淡出效果等功能也很有特色。
8、 双击窗口左上角的图标能关闭窗口 如果同时有多个窗口打开,想要关闭的话,能按住shift不放然后点击窗口右上角的关闭图标。
9、 输入法问题: 1)、解决安装officexp输入法图标问题: 只要把 x:windowssystem(x为安装windows的盘符)文件夹下的在dos下删除或改名即可。
(用该法操作后第一次启动电脑时,如发现输入法图标不再系统托盘中,可在控制面板的输入法图标中把它找回来)。
2)、找回office2003的输入窗口: 在注册表中[HKEY_CURRENT_USER/Control Panel/Input Method/]下的Show Status值变为0,将其改为1。
并重新登陆即可解决问题。
10、 用记事本减肥win2k 进入在编辑菜单中选替换,在查找中输入“hide,”点击全部替换,在添加删除中可出现一些常见的选项,你可根据自己的需要进行选择。
sfc /purgecache 在运行里输入这个命令回车,能清理很多缓存和一些备份文件,一般都能去掉300-400M的文件,对系统没有任何伤害,xp通用。
11、 用ghost压缩 随便找一个gho镜像文件,用ghost explorer把文件中的内容删除。
用ghost explorer打开空gho文件,并在ghost explorer的窗口里点右键粘贴或是直接把文件拖进窗口就行了(ghost explorer的压缩速度比winrar还要快,而添加、删除等都能方便实现,用起来就象资源管理器一样)。
12、win2000/XP在遇到系统严重问题无法启动 能利用故防恢复控制台,把c:windowsrepair文件夹中保存的初始化注册表文件(system、software、sam、security、default),复制进system32config(先将其同容备份后删除)中来换救系统。
13、手动下载xp升级补丁 许多朋友在装好sp1后通过windows update网上升级后还会发现有许多升级补丁,但是,如果通过windows update网上升级速度奇慢,有什么办法能加速下载呢?通过实践,我发现一个小窍门。
步骤: 1):通过开始菜单里的windows update进行上网升级。
2):选择“扫描以寻找更新”查找升级补丁。
3):“复查并安装更新”开始查看更新补丁说明。
4):点击“立即安装”跳出windows update–网页对话框开始下载补丁 5):选择取消,退出升级 6):打开c:windowsWindows 看见了吧!你所要得补丁下载地址都在这里!现在所要做的就是复制下载链接地址用网际快车(FlashGet)这类的下载软件进行下载。
14、 利用fc和>来分析注册表 例如,我们能在安装软件前份一次注册表(如),安装后再导出注册表文件()然后再在MS-DOS方式(纯DOS方式也行)下执行下列命令: c:>fc first,reg > (回车) 再打开fc,txt文件,即可查看该软件对注册表添加了哪些子项了。
注:重定向输入的文件类型一般为形式也能,如 、等,前提是必须安装相应的文件打开程序。
15、 轻松破解foxmail账户口令 在foxmail中为了账户的安全,我们一般会为账户设置一个口令,如果忘了也不要紧。
打开mail目录下以你的帐户命令的文件夹,删除。
口令解除了。
不用删除,改个后缀名即可。
系统会自动创建一个新的文件,出来后删除此文件,再改回原文件后缀,就能神不知鬼不觉看别人的邮件了。
不过最好不要用于非法用途。
16、 局域网隐身法: 在局域网中常通过网上邻居查看局域网中其他用户的在线情况,如果你不希望别的用户清楚你是否在线,这时能在win2000/xp下运行cmd然后再运行net config server /hidden:yes 回车后就隐身啦。
如果要取消只要把yes 改成no。
17、 用winrar合并MP3: 把多少首要合并的mp3文件选中,右键单击——添加到档案文件,压缩方式选择存储。
然后把压缩好的文件后缀改成mp3。
再放一下听听是否两首歌已经合成一首啦。
18、 禁用设备驱动更新向导 这个设置能允许你在设备管理器中禁用通过windows Update升级设备的驱动程序。
要进行这个设置,能按以下步骤进行操作:在任务栏上点击开始按钮,然后在开始菜单中点击运行,输入regedit并点击确定,打开注册表编辑器。
展开HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindows NTDriver Signing创建一个名为“NoDevMgrUpdate”的DWORD 键,然后设置键值为“1”。
你修改的设置会在你重启动电脑后生效。
19、改变驱动签名验证选项 这个设置能让你决定在安装未经过签名或者测试的驱动程序时系统采取如何的操作。
要进行这个设置,能按照以下步骤进行操作:在任务栏上点击开始按钮,然后在开始菜单中点击运行,输入regedit并点击确定,打开注册表编辑器。
展开HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindows NTDriver Signing 创建一个名为“BehaviorOnFailedVerify”的DWORD 键,设置键值为“0”。
你修改的设置会在你重启动电脑后生效。
20、卸载传真和图片查看器 如果不想用XP自带的传真和图片查看器,你能运行这个命令卸载它: regsvr32 /u 21、 禁止officexp输入条 先在添加/删除程序里把《中文可选输入办法》禁用,然后在区域设置详细信息将除“英语(美国)”之外的其它输入法删除,最后运行: regsvr32 /u 32 /u 22、 豪杰超级解霸V8 只要将安装目录中的改名就能去掉资源管理器中的按钮。
23、系统是2K或xp,如果你的系统分区是fat32格式,如果非法关机,下次启动的时候系统会运行磁盘扫描程序,但是启动的时候总是会有10秒钟的等待时间,如何去掉呢? 只要一个命令即可: CHKNTFS /t:0 上面的0是等待秒数。
24、2k系统老是提示“无法装载动态链接库***,系统找不到指定文件”。
把该文件copy到原路径也没用,这时你能试试dos下的这个命令来修复系统文件: sfc /scanonce 如果需要的话会提示插入2k光盘,然后重启就应该能。
25、 MyIE2里如何改google搜索 MYIE2>设置中心>快捷搜索>*是默认搜索,最新简体中文搜索是… 2&lr=lang_zh-CN。
26、 不用重新启动都能应用修改后的注册表 修改注册表后,保存对注册表的修改。
然后同时按下“Ctrl+Alt+Del”组合键,在弹出的Windows任务列表,加亮“Explore”,单击“结束任务”,显示关机屏幕,单击“否”,稍候,弹出错误信息,单击“结束任务”,Windows浏览器即会和新的注册表一起重新装载。
27、QQ自己加自己的办法: 在黑名单中加自己,然后再把自己拖到我的好友中就能了,然后再运行注册向导。
28、启动Winamp,并播放一首MP3,然后按住[SHIFT]不放,再单击面板上的“停止”按钮,你会发现音乐没有立即停止,而是逐渐降低音量直至完全消失,就象电台DJ做的一样。
29、原来硬盘图标也能这么漂亮啊! 第一你得在网上下载多少个你喜欢的图标(后缀名为),分别放入每个驱动器的根目录下面,命名为如,然后新建一记事本,输入: [autorun]icon= 然后保存为就能了,重启系统就能看到效果了!另外最好把这两个文件的属性设置为隐藏,主要是因为如果不这样做的话,你打开每个驱动器都能看见这么两个文件,太丑了,而且也使我们把硬盘图标变漂亮的秘密给暴露了! 而且这一招还能应用到光盘上,在你刻录的光盘上也加入一个文件和一个图标,那么你的光盘也会有这样的一个图标! 另外,把的内容改成: [autorun]open= 插入光盘时便会自动运行这个文件,这一招也很实用! 30、 RealOne Player是一个非常优秀的音视频播放软件,美中不足的是启动时间比较长,那我们何不想点办法来加快RealOne Player的启动速度呢? 1).无声地启动 执行“开始→搜索→文件或文件夹”命令,分别查找“”和“”文件,找到后将它们更名,比如更名为“”和“”,此后当你再次启动RealOne Player时,就不会再有欢迎音乐,软件也不会再尝试连接软件主页了。
2).省略软件简介 在“Tools→Album info”中选中“Hide”项,则以后RealOne Player就不再显示产品简介了。
3).关闭媒体浏览器 RealOne Player提供了一个媒体浏览器,关闭它的办法是:在RealOne Player窗口右上角“关闭”按钮的下面,“地球”按钮的右面,找到一个三角箭头,单击这个箭头打开其下拉菜单,取消“show media browser”项前的勾即可 再次启动RealOne Player,感觉速度是否快了许多?31、让中文文件名按笔画排序 在Windows的资源管理器中,不管文件(或文件夹)名是英文还是中文,当我们用“详细信息”方式查看时,在文件列表标题“名称”上单击,文件名默认的排序方式都是按字母的顺序排列的。
如果你有大量的中文文件名,那么让中文文件名按笔画排序会更符合我们的使用习惯。
办法是: 在Windows XP中双击“控制面板→区域和语言选项”,切换到“区域选项”选项卡,单击“自定义”按钮打开“自定义区域选项”对话框,单击“排序”选项卡,在排序办法下拉列表中选择“笔画”。
重新启动计算机后,打开资源管理器,单击文件列表标题“名称”,会发现中文文件名已经按笔画好多排序了! 注意:该设置只影响中文名称文件,不管以“发音”还是以“笔画”排序,用英文命名的文件,其排序方式总是按名称排序。
32、 巧破网页禁用鼠标右键。
巧破网页禁用鼠标右键 第一种情况,出现版权信息类的。
破解办法如下: 在页面目标上按下鼠标右键,弹出限制窗口,这时不要松开右键,将鼠标指针移到窗口的“确定”按钮上,同时按下左键。
现在松开鼠标左键,限制窗口被关闭了,再将鼠标移到目标上松开鼠标右键,哈哈,弹出了鼠标右键菜单,限制取消了! 第二种情况,出现“添加到收藏夹”的。
破解办法如下: 在目标上点鼠标右键,出现添加到收藏夹的窗口,这时不要松开右键,也不要移动鼠标,而是使用键盘的TAB键,移动焦点到取消按钮上,按下空格键,这时窗口就消失了,松开右键后,我们熟悉的右键菜单又出现了。
第三种情况,超链接无法用鼠标右键弹出“在新窗口中打开”菜单的。
这时用上面的两种办法无法破解,看看我这一招:在超链接上点鼠标右键,弹出窗口,这时不要松开右键,按键盘上的空格键,窗口消失了,这时松开右键,可爱的右键菜单又出现了,选择其中的“在新窗口中打开”就能了。
上面的办法你全都清楚?那再看下面的你清楚不清楚?在浏览器中点击“查看”菜单上的“源文件”命令,这样就能看到html源代码了。
不过如果网页使用了框架,你就只能看到框架页面的代码,此办法就不灵了,别急,我还有别的办法。
你按键盘上的Shift+F10组合键试试,能直接调出右键菜单! 再看我这一招:看见键盘右Ctrl键左边的那个键了吗?按一下试试,右键菜单直接出现了!这一招在江湖上可是很少见到的,如何?还不行吗? 看来必须使出我的独门绝招了!要看仔细了,这可是江湖上从来没有出现过的“无敌****”哦!在屏蔽鼠标右键的页面中点右键,出现限制窗口,此时不要松开右键,用左手按键盘上的ALT+F4组合键,这时窗口就被我们关闭了,松开鼠标右键,菜单出现了!这一招一使出来,以上所有情况都可轻易破解掉。
33、 键盘“Print Screen”键的妙用四则 1、代替屏幕截图软件 按下Print Screen键,将会截取全屏幕画面。
用鼠标点击“开始→程序→附件→画图”,将会打开“画图”程序,点击该窗口中的“编辑→粘贴”菜单,这时会弹出一个“剪贴板中的图像比位图大,是否扩大位图?”对话框,点击“是”,就会将该截取的图片粘贴到其中。
再按下Ctrl+S键将图片保存即可。
2、抓取当前活动窗口 在使用Print Screen进行屏幕抓图时,同时按下Alt键,就会只抓取当前活动窗口,然后按上述办法保存即可。
3、截取游戏画面 我们都清楚用键盘上的Print Screen键能抓取系统中的桌面图案,然后在“画图”程序或是Photoshop之类的图像处理软件中能“粘贴”出来。
但是如果我们要抓的是游戏画面的话,上面这个办法可能就不灵光了。
没关系,启动Windows Media Player(6.0以上版本),打开一个视频文件,选择“文件→属性→高级”,双击Video Renderer,在Direct Draw中,把YUV Flipping、RGB Flipping、YUV Overlaya和RGB Overlays四个选项取消,确定后退出。
再试试看,用Print Screen键也能抓游戏画面了。
4、截取DirectX图 Print Screen键无法截取DirectX图,没关系,只要我们略施小计,就能让它大展拳脚。
在“开始”菜单的“运行”中输入regedit,打开注册表编辑器,然后展开注册表到HKEY_Local_MachineSoftwareMicrosoftDirectDraw分支,新建一个“DWORD”值,并将其重命名为“EnablePrintScreen”,填入键值“1”,即可使Print Screen键具有截取DirectX图的功能。
35、快捷使用你的软件 在桌面上找到你最常用的软件的图标,点右键-属性,将快捷方式选项更改为你认为最合适的,比如我的myie2是F9,winamp是F10,QQ是F11,再在myie外部工具栏里添加你上网常用的软件,这样我开机时只要按F9、F10、F11,我三个最常用的软件就很快打开了,但是最好不要将快捷键设置与系统常用的相同,一般设置时会提示的! 36、用下载软件查看隐藏分区 操作系统:WINDOWS XP分区格式:FAT32下载软件:网际快车、影音传送带、迅雷、BT精灵 隐藏分区软件:优化大师或是通过修改注册表,原理是一样的,具体的不再详细说明。
本人是用优化大师的优化功能隐藏了h盘。
情况一:下载工具中有H盘软件或文件的下载记录。
比如曾经用上面的任何一个下载工具下载了QQ在H盘,记录未删除。
此时选择这个记录,以快车为例,任务-打开下载的文件目录,你会发现隐藏的H盘被打开,里面的文件能进行操作了!呵呵! 情况二:下载工具中无隐藏分区的相关文件下载记录或无任何记录,而你怀疑或是清楚隐藏了某个分区(比如我们现在清楚我的电脑上隐藏了H盘),此时任意找到一个下载链接,以快车为例,用快车下载,保存在H盘任意一文件夹下,不一定要下载完毕,然后任务-打开下载的文件目录,H盘就被打开了,当然前提是确实隐藏了H盘。
37、WinXP自带批量重命名功能只要选中一堆文件,选重命名,然后改第一个文件,改
关于网吧服务器万象网管被攻击的问题~进~
的确,IT产业将全球供应链与市场结合到一起。
记者无意去研究宏观的IT环境,不过当记者把全部精力投入到安全上面的时候,有趣的结果产生了:安全也是平的。
从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN,到内网身份认证、安全客户端、安全日志、网管系统,看似独立的安全产品已经出现了改变,无论是从早先的安全联动、802.1X、还是近期的私有安全协议、安全与目录服务整合,都体现出了一个趋势:安全是密切相连的,是“你中有我,我中有你。
”信息安全的第一要素就是制定“企业安全规范”,而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合,涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。
换句话说,安全已经不是传统上的单一设备,或者像某些厂商所讲的那种独立于网络的设备。
事实上,近三年的发展已经证明,日后信息安全将会逐渐以用户需求的系统方案为核心。
而在这套完整的安全方案之内,各部分都是有机联系的,之间呈现一种技术与需求交织的扁平网状关系。
因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候,记者则开始关注信息安全的平坦化了。
同时,为了让更多的读者了解信息安全的现状,记者专门打造了“安全是平的”系列专题,与大家一起研究信息安全的新技术与新应用。
作为本系列的开篇之作,记者从“身份认证与内网安全”入手。
这一对密不可分的安全要素,已经成为了当前安全界最热门的话题,很多企业用户对于两者的关联与部署充满了疑问,而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家,与读者一起分享其中的心得。
【大势所趋】从双因数认证入手目前在信息安全界有三大技术趋势:第一,可信计算;第二,身份认证与内网安全;第三,统一威胁管理(UTM)。
根据IDC在今年1月份的统计报告,目前在身份认证与内网安全方面的需求最多。
而IDC近期出炉的《2006~2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。
在身份认证过程中,一般都是基于用户名和密码的做法。
根据美国《Network World》今年8月份的调查结果,超过60%的企业已经对传统的认证方式不放心了。
所谓双因数认证,是针对传统身份认证而言的。
深信服的安全产品经理叶宜斌向记者表示,随着各种间谍软件、键盘记录工具的泛滥,企业的IT人员发现,仅仅依靠用户名、密码的单一认证体制非常不安全。
而双因数认证则基于硬件建权,通过建立证书系统来进行客户端的认证工作。
另外,采用双因数认证还可以保证客户端登录网络的唯一性。
神州数码网络的安全产品经理王景辉介绍说,安全证书的生成可以提取其他一些信息,比如网卡MAC 地址、客户端CPU的序列号等。
因此当一台笔记本电脑第一次进入企业网络时,第一步是认证系统产生用户名和密码,第二步则是系统收集笔记本的特征,进而提取具备唯一性的信息,以便生成一个唯一对应的证书。
所有的认证信息都可以导入认证服务器,从而实现对客户端唯一性登录的检查。
根据美国和中国的统计,超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。
此外,大部分网络银行服务业采用了证书模式。
招商银行的IT专家透露说,目前该行已经在专业版网上银行系统中采用安全数字证书,并通过USB Key的方式进行保存。
USB Key中存放的是用户个人的数字证书,银行和用户各有一份公钥和私钥,用户仅需要记忆一个密码就可以使用。
新华人寿保险集团的IT经理向记者表示,USB Key的认证模式在新华人寿已经全部实现了,主要还是为日常的OA服务。
而该项目的实施方,CA的安全专家介绍说,现在很多大型企业已经开始采用证书系统,像新华人寿这样的企业,对系统数据流安全非常关注,特别是关注那些很多到桌面、到用户文件的内容。
除了数字证书,还有一种双因数认证方式,即动态令牌。
动态令牌根据基于时间的算法,每分钟都产生一个5-6位的认证串号。
在客户端,用户通过一个类似电子表的硬件,计算出每分钟产生的令牌串号。
那么用户登录系统,只要输入用户名和相应时间段的串号,就可以安全登录。
有意思的是,记者发现很多IT安全厂商自身都在使用动态令牌技术。
像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。
动态令牌避免了记忆密码的过程,其寿命一般为三年。
不过动态令牌由于内置了一个相当精确的时钟,因此成本较高。
2006-11-17 12:51 Namebus【平坦安全】内网安全之美前面讲过了,目前安全界的趋势是平坦化。
一套认证系统做的再强大,如果仅仅孤立存在,仍然无法带来更多的价值。
事实上,认证系统越来越成为内网安全的一个子系统,它确保了企业网在出现安全问题的时候,内网安全机制能够最终定位到具体的设备或者具体的人员上。
要知道,把安全问题落实到点上是多少年来企业IT人员的梦想。
新华人寿的IT安全负责人向记者表示,以前企业配置了IDS,结果一旦网络出现问题,IDS 就会不停的报警,然后给网管人员发出一大堆可疑的IP地址信息。
网管不是计算机,让它从一堆IP地址中定位某一台设备,这简直是在自虐。
利用认证系统,首先就可以保证网络用户的真实性与合法性。
只有界定了合法用户的范围,才有定位的可能性。
目前,不少安全厂商已经开始完善自身的内网安全技术,并与身份认证系统做到有机结合。
王景辉介绍说,他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安全管理技术,作为3DSMP技术的具体化。
而在DCSM技术中,提出了五元素控制:即用户名、用户账号、IP地址、交换机端口、VLAN绑定在一起,进一步去做访问控制。
在此基础上,内网安全机制可以根据IDS/IPS的报警,对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒,比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。
此时,DCBI控制中心就会进行实时告警。
若告警无效,系统就可以阻断某个用户的网络联结。
由于通过完整的认证过程,系统可以知道用户所在交换机端口和所在的VLAN,封杀就会非常精确。
不难看出,一套安全的认证系统,在内网安全方案中扮演着网络准入控制NAC的角色。
Cisco的安全工程师介绍,一套完善的认证机制与内网安全管理软件组合在一起,就可以实现丰富的准入控制功能。
此外,一般这类管理软件本身不需要安装,只要通过服务器进行分发,就可以推给每一台试图接入网络的计算机上。
而Juniper的安全产品经理梁小东也表示,把认证系统与内网安全系统结合起来,可以确保总体的网络设计更加安全。
而且通过内置的安全协议,可以最大程度地让更多的安全产品,如防火墙、IDS/IPS、UTM、VPN等互动起来。
而用户也可以根据自己的预算和资金情况,选配不同的模块,具备了安全部署的灵活性。
在采访的过程中,记者发现各个安全厂商已经在内网安全的问题上达成了共识。
也许正如王景辉所讲的,虽然企业用户都拥有完善的基础设施,包括全套防病毒系统,可近两年的状况是,病毒大规模爆发的次数不但没有减少,反而更多了,而且大量安全事件都是从内网突破的。
因此总结起来看,要实现一套完善的内网安全机制,第一步就需要一个集中的安全认证;第二步是部署监控系统。
让IDS/IPS来监控网络中的行为,去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体执行。
当问题判断出来以后,让系统合理地执行很重要。
传统上封堵IP的做法,对于现在的攻击和病毒效果不好,因为现在的攻击和病毒MAC地址及IP地址都可以变化。
因此有效的方式,就是在安全认证通过以后,系统就可以定位到某一个IP的用户是谁,然后确定相关事件发生在哪一个交换机端口上。
这样在采取行动的时候,就可以避免阻断整个IP子网的情况。
此外,通过利用802.1X协议,整套安全系统可以把交换机也互动起来,这样就可以更加精确地定位发生安全事件的客户机在哪里。
[table=80%][tr][td=5,1][align=center]主流安全认证技术一瞥[/align][/td][/tr][tr][td][align=center]属性[/align][/td][td][align=center]类型[/align][/td][td][align=center]主要特点[/align][/td][td][align=center]应用领域[/align][/td][td][align=center]主要问题[/align][/td][/tr][tr][td=1,2][align=center]单因数认证[/align][/td][td][align=center]用户名密码体制[/align][/td][td][align=center]静态的认证方式,实现简单[/align][/td][td][align=center]常见于办公网络[/align][/td][td][align=center]安全性较差[/align][/td][/tr][tr][td][align=center]短信认证[/align][/td][td][align=center]动态的认证方式,部署方便,成本较低,安全性较高[/align][/td][td][align=center]常用于企业IT部门或部分金融机构[/align][/td][td][align=center]无法与AD结合[/align][/td][/tr][tr][td=1,2][align=center]双因数认证[/align][/td][td][align=center]数字证书[/align][/td][td][align=center]安全性很高,可以与AD结合使用。
[/align][/td][td][align=center]常见于金融机构,政府部门[/align][/td][td][align=center]系统开发的复杂度高,存在一定的证书安全隐患[/align][/td][/tr][tr][td][align=center]动态令牌[/align][/td][td][align=center]具有最高的安全性,基本不会有单点安全的困扰[/align][/td][td][align=center]IT安全厂商有使用[/align][/td][td][align=center]成本高昂[/align][/td][/tr][/table]2006-11-17 12:54 Namebus【精明用户】混合认证模式的确,纯粹的双因数认证对于安全起到了很高的保障作用。
但不可否认的是,其带来的IT管理问题也无法忽视。
美国《Network World》的安全编辑撰文指出,美国很多年营业额在1.5亿到10亿美元的中型企业用户,很多都不考虑双因数认证的问题。
因为他们认为,双因数认证系统不仅难于配置,而且花费在购买和实施上的资金也较高,特别是其管理和维护的复杂度也过高。
回到国内,记者发现类似的问题确实也有不少。
这个问题的关键在于,这些中型企业恰好处于市场的成长期,用户的账号像兔子繁殖一样增加。
因此认证需要的安全预算和人力不成正比。
在此模式下,部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。
不过,这并不意味着认证安全无法解决。
事实上,很多企业已经开始行动了。
在此,记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。
顾名思义,“混合认证”就是把传统的身份认证与双因数认证进行了整合,以求获得最佳性价比。
在此,请跟随记者去看看福建兴业银行的典型应用。
福建兴业银行在认证系统中,将对人的认证和对机器的认证进行了有机结合。
在OA办公领域,采用的都是传统的“用户名+密码”的方式,而在分散各地的ATM机器中,采用了双因数认证,通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证,从而确保了安全监管的需求。
“我们通过这种混合认证模式,既保证了OA系统的简单、高效,同时又在安全的基础上,降低了企业网的运营成本。
”福建兴业银行的IT安全负责 人解释说,“这是把有限的资金用在生产网上。
”对于类似的认证,确实可以确保企业的安全与利益。
神州数码网络的安全产品经理颜世峰曾向记者坦言,如果国内企业普遍采用了混合认证模式,那么可以极大地规范企业网中的隐性安全问题,包括一些私有设备和无线设备的准入控制,都可以低成本地解决。
事实上,中国特色的模式还不仅如此。
叶宜斌曾经和记者开玩笑地说道:“在这个世界上,没有哪个国家的人比中国人更喜欢发短信了。
”因此,利用短信进行安全认证也成为了一大特色。
短信认证的成本很低,客户端只需要一部手机,服务器端类似一部具备SIM卡的短信群发机。
用户登录时用手机接收用户名和密码,这种模式甚至可以规定用户安全认证的期限。
不过叶宜斌也指出,短信认证虽然安全、成本低,但是其无法与企业目录服务(AD)进行整合,因此易用性受到挑战。
2006-11-17 12:57 Namebus【系统整合】平坦概念出炉近年来,在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。
所谓泥石流问题,其根源还是多重账户密码现象。
要知道,无论是多么完善的认证系统,或者认证系统与内网安全技术结合的多么好,用户都难以避免多账户密码的输入问题。
登录账户、密码,邮件账户、密码,办公账户、密码等等,还有多账户、多密码的问题已经引起企业IT人员的重视。
因为人们难以记忆不同的账户名和密码,而这往往导致安全隐患的出现。
事实上,在2004年8月欧洲的InfoSecurity大会期间,有70%的伦敦往返者欣然地和其他在会议中的人士共享他们的登录信息,其初衷仅仅是为了少记忆一点账户名和密码。
为此,将安全认证、内网安全、包括VPN信息中的账户密码统一起来,已经是不可忽视的问题了。
王景辉介绍说,目前各家厂商都希望将认证系统、内网安全设备,包括VPN、UTM等,与企业的AD整合到一起。
他认为,这样做绝对是一个很好的思路。
因为目前企业用AD的很多,微软的产品多,因此安全技术中的所有模块都可以进行整合,包括认证系统与AD的深度开发。
在很多情况下,让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的,而且相当麻烦。
合理的方法是与用户既有的认证系统结合起来,而目前使用最多的就是域账号。
对此,企业的VPN、动态VPN包括认证系统都可以使用相同的AD账户,从而实现单点登录(Single Sign On)。
从更大的方面说,整个网络准入控制阶段都可以与AD结合。
正如Cisco的安全工程师所说的,现在的整体安全技术,最起码都要做到与AD结合,做到与Radius认证结合,因为这两个是最常用的。
有意思的是,根据美国《Network World》和本报在2005年的统计,无论是中国用户还是美国用户,企业网中部署AD的都相当多,从中也反映出Windows认证的规模最广。
但要把AD与内网安全进行整合,目前最大挑战在于,安全厂商必须对微软的产品特别了解,需要一定的技术支持才能做相应的开发。
以新华人寿的认证系统为例,传统的Windows登录域界面已经被修改,新的界面已经与后台AD和企业邮件系统作了整合,一次登录就可以实现访问所有应用。
此外,根据用户的具体需求,王景辉表示内网安全技术还可以进一步与LDAP、X.509证书进行结合。
记者了解到,目前国内的很多政府部门都在做类似的工作。
以河南计生委的安全系统为例。
河南计生委的数字证书都是基于原CA公司的认证系统生成的。
因此,他们在部署其他安全设备的时候,不能另起炉灶再搞一套,否则会出现多次认证的问题。
这就要求安全厂商需要同原CA厂商合作,一起做认证接口的数据交换——安全厂商负责认证信息提交,CA厂商负责认证与返还信息。
最后,与CA证书结合后的安全系统同样可以实现一次性的三点认证(身份、域、VPN)。
记者注意到,美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念,他认为将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起,就可以形成最完善的UIM体制。
其理由也很简单—认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库,因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。
而这正是UIM存在的基础。
对此,国内安全厂商的看法是,UIM很重要,可以解决企业用户的认证管理问题,不过从更大的内网安全方向看,UIM仍不是全部。
颜世峰的看法是,一套完善的内网安全技术至少包括三方面:第一网络准入控制NAC(也可以算是UIM)。
它保证了只有合法的、健康的主机才可以接入网络,其中包括用户身份认证与接入设备的准入控制管理;第二,网络终端管理NTM。
它解决企业办公终端的易用性、统一管理、终端安全等问题;第三,网络安全运行管理NSRM。
它可以动态保证网络设备、网络线路的安全、稳定运行,自动发现网络故障、自动解决并报警。
看到了么,一套身份认证系统,就牵扯出整个内网安全的各个组成部分。
现在应该没有人会怀疑安全的平坦化了,但请记住,平坦才刚刚开始。
编看编想:平坦的安全缺乏标准安全是平的,但在平坦的技术中缺乏标准。
不论是身份认证还是更加庞大的内网安全,各个国家都没有对应的通用标准。
事实上,即便是802.1X协议,各个安全厂家之间也无法完全通用。
对内网安全技术来说,现在国内外没有一个厂商大到有很强的实力,把不同的专业安全厂商的产品集成到一起,因此很多还要靠大家一起来做。
因此业界有天融信的TOPSEC,也有CheckPoint的OPSEC,也有神州数码自己定义的协议SOAP。
业界需要标准,但是没有。
王景辉无奈地向记者表示,各家厂商不得不定义自己的通信接口和密钥协商机制,其中还要确保协议隧道中的所有数据都是加密的。
不过他同时认为,目前的状态可以满足市场需求。
记得有印象,早在2000年就有人提出统一安全标准的问题,但是做不到。
退一步说,目前安全市场的趋势是变化和更新速度非常快。
开发一个安全协议要考虑保护用户现有和既有的投资,要让过去的设备能用起来。
但现在的情况是,还没有等协议出来,过去的设备已经过时了,从这个角度上说,统一所有厂家的安全协议没有价值。
而且,各国政府在安全上是有自己的想法的,国际厂商出一个协议,不一定能够认同。
__________________I came, I saw, then I left.囧~~~~~ 手都麻了 ,不对 也要给啊
