认证技术白皮书
华为技术有限公司
目录
1前言 (2)
2为什么使用认证 (3)
3认证相关技术 (3)
3.1PPP O E接入认证原理 (4)
3.2WEB接入认证原理 (8)
3.3802.1X接入认证原理 (14)
3.4绑定认证原理 (18)
3.5各种认证方式比较 (19)
4华为认证方案特点 (20)
4.1华为公司认证解决方案特点 (20)
5华为认证技术解决方案 (22)
5.1PPP O E接入认证典型组网方式 (23)
5.2WEB接入认证典型组网方式 (24)
5.3802.1X接入认证典型组网方式 (27)
5.4绑定认证典型组网方式 (29)
5.5多种认证自由组合 (29)
2003-06-30 内部资料,请勿扩散第1页, 共31页
1 前言
在数据网络中,包括企业网、INTERNET网络等等,追求的是网络简单、开放,所有人可以自由接入和使用。而在电信数据网络中,运营商(比如网络服务提供商NSP、业务提供商ISP等)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。
在可运营、可管理网络中,引入了针对用户管理的AAA技术,包括认证(Authentication)、授权(Authorization)、计费(Accounting)三个技术:
认证
..,是在用户开始使用系统时对其身份进行的确认动作。
授权,是在网络安全中,授权某用户以特定的方式与某网络系统通信。
计费,是记录并提供关于经济活动的确切清单或数据。
认证是识别用户身份的过程,而授权是根据认证识别后的用户情况授予对应的网络使用权限(QoS、带宽限制、访问权限、用户策略),而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息(时长、流量、位置等等),三个技术紧密联系但又相
互独立的。认证
..技术是用户管理最基本的技术。
目前网络中,有许多设备不支持认证,有许多设备只支持某一种认证,同时认证技术种类繁多、认证要求各不相同,造成网络中认证方案的混淆和混乱。
华为公司经过多年的努力,通过在全球运营商网络中大量的应用,对认证技术进行合作分析、商用、评估等,输出了完整的、成熟的认证技术和方案,有效地提供了认证技术选择、认证方案实施,很好地促进了宽带网络的优化和应用。
本文将从如下几个方面介绍认证技术:
?为什么使用认证
?认证相关技术
?华为认证技术解决方案及特点
?华为认证方案相关设备
2003-06-30 内部资料,请勿扩散第2页, 共31页
2 为什么使用认证
●电信数据网的困惑
在电信数据网络中,服务提供商(比如网络服务提供商NSP、业务提供商SP等)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。而电信数据网络中大量使用的是广泛应用在企业网、INTERNET网络中的以太网交换机、路由器等设备,遵循的是典型的数据网络理念,追求的是网络简单、开放,自由接入和使用。
怎么才能够在电信数据网络中针对用户进行运营、管理呢?最基本的技术就是通过认证识别用户身份。
●成熟的认证技术
当前最为普遍主流认证技术有三种:PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X 认证,这三种认证从标准状态、商用情况看,技术上都已经成熟。
3 认证相关技术
当前最为普遍主流认证技术有三种:PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X 认证。严格意义上讲,这三种认证技术并不是真正的认证方式,每种认证技术都支持两种以上的认证方式,具体认证技术和认证方式关系如下表所示:
表1认证技术和认证方式关系表
其中,EAP定义了一个认证构架,包含了很多种认证方式:
2003-06-30 内部资料,请勿扩散第3页, 共31页
2003-06-30 内部资料,请勿扩散
第4页, 共31页
图2 EAP 认证方式汇总
同时,针对特殊应用,还有绑定认证和快速认证等技术。
3.1 PPPoE 接入认证原理
PPP 是传统的认证方式之一,PPPoE 是利用以太网发送PPP 包的传输方法和支持在同一以太网上建立多个PPP 连接的接入技术。PPPoE 结合了以太网和PPP 连接的综合属性。
PPP 协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。PPP 协议一般包括三个协商阶段:LCP (链路控制协议)阶段,认证阶段(比如CHAP/PAP ),NCP (网络层控制协议,比如IPCP)阶段。拨号后,用户计算机和局方的接入服务器在LCP 阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS 协议将用户名和密码发送给AAA 服务器进行认证。认证通过后,在NCP (IPCP )协商阶段,接入服务器给用户计算机分配网络层参数如IP 地址等。经过PPP 的三个协商阶段后,用户就可以发送和接受网络报文。用户收发的所有网络层报文都封装在PPP 报文中。 PPP 协议的一个重要的功能是提供了身份验证功能。
以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP 协议提供了通讯双方身份验证的功能,但是PPP 协议是一种点对点的协议,协议中没有提供地址信息。如果PPP 应用在以太网上,必须使用PPPoE 再进行一次封装,PPPoE 协议提供了在以太网广播链路上进行点对点通讯的能力。
3.1.1认证系统架构
对于基于PPPoE的认证系统,客户终端上的PPPoE客户端到PPPoE服务器之间为二层网络,PPPoE服务器负责终结PPPoE客户端发起的PPPoE协议,并利用PPP协议中支持的认证方法对客户终端的PPP连接请求进行认证。
基于PPPoE的认证系统架构见下图:
图3基于PPPoE的认证系统架构
基于PPPoE的认证系统功能实体协议栈见下图。在PPP的LCP协商阶段,进行认证。
PPPoE客户端客户终端PPPoE服务器
接入服务器
AAA服务器
图4基于PPPoE的认证系统功能实体协议栈
2003-06-30 内部资料,请勿扩散第5页, 共31页
3.1.2接入流程
以PPP-CHAP为例,PPPoE用户的接入流程如下:
图 1 PPPoE认证流程
1)PPPOE客户端向PPPOE服务器设备发送一个PADI报文,开始PPPoE接入。
2)PPPOE服务器向客户端发送PADO报文。
3)客户端根据回应,发起PADR请求给PPPOE服务器。
4)PPPOE服务器产生一个session id,通过PADS发给客户端。
5)客户端和PPPOE服务器之间进行PPP的LCP协商,建立链路层通信。同时,协
商使用CHAP认证方式。
6)PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。
7)客户端收到Challenge报文后,将密码和Challenge做MD5算法后的,在Response
回应报文中把它发送给PPPOE服务器。
8)PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户
认证服务器,由RADIUS用户认证服务器进行认证。
9)RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失
2003-06-30 内部资料,请勿扩散第6页, 共31页
败报文到PPPOE服务器。如果成功,携带协商参数,以及用户的相关业务属性给
用户授权。如果认证失败,则流程到此结束。
10)PPPOE服务器将认证结果返回给客户端。
11)用户进行NCP(如IPCP)协商,通过PPPOE服务器获取到规划的IP地址等参数。
12)认证如果成功,PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。
13)RADIUS用户认证服务器回应计费开始请求报文。
用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,此时会按照12)、13)中的格式发送计费终止报文。详细情况,请参见下节。
3.1.3下线流程
PPPoE用户下线流程包括用户主动下线和异常下线两种情况。
用户主动下线流程如下图所示。
图5用户主动下线流程
1)用户通过PPPoE客户端,主动向PPPoE服务器发送Terminate-Request;
2)PPPoE服务器向PPPoE客户端返回Terminate-Ack报文;
3)PPPoE服务器向AAA服务器发送计费停止请求的报文;
4)AAA服务器向认证点回计费停止请求报文的回应。
异常下线流程如下图所示。
2003-06-30 内部资料,请勿扩散第7页, 共31页
图6异常下线流程
1)PPPoE服务器检测到用户已经不在线;
2)PPPoE服务器向AAA服务器发送计费停止请求的报文;
3)AAA服务器向认证点回计费停止请求报文的回应。
3.2 WEB接入认证原理
3.2.1认证系统架构
基于WEB的认证系统架构见下图。
接入服务器对来自STA的HTTP请求重定向到POTRAL服务器中,利用PORTAL页面对用户进行认证。
图7基于WEB的认证系统架构
基于WEB的认证系统功能实体协议栈见下图。
2003-06-30 内部资料,请勿扩散第8页, 共31页
客户终端接入服务器Portal服务器
Portal服务器接入服务器AAA服务器
图8基于WEB的认证系统功能实体协议栈
3.2.2WEB接入认证流程
用户在WEB认证之前,必须先通过DHCP、静态配置等获得IP地址。用户如果被配置成强制WEB认证,则用户只需要输入自己喜欢的网页即可,系统自动下载认证网页。
用户提交了用户名和密码之后,接入服务器与WEB认证服务器协调工作,对用户进行认证。下面以普通动态用户为例,具体步骤如下:
2003-06-30 内部资料,请勿扩散第9页, 共31页
2003-06-30 内部资料,请勿扩散 第10页, 共31页
图9 VLAN 用户接入流程(WEB 认证)
(1)-(4)为动态用户通过DHCP 协议获取地址的过程(静态用户手工配置地址即可。); (5)用户访问WEB 认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;
(6)WEB 认证服务器将用户的信息通过内部协议,通知接入服务器; (7)接入服务器到相应的AAA 服务器对该用户进行认证; (8)AAA 服务器返回认证结果给接入服务器; (9)接入服务器将认证结果通知WEB 认证服务器;
(10)WEB 认证服务器通过HTTP 页面将认证结果通知用户; (11)如果认证成功用户即可正常访问网络资源。
客户终端
接入服务器 DHCP 服务器
3.2.3三层用户的WEB认证
用户没有与接入服务器2层相连,中间存在路由器等3层设备,这样用户到接入服务器的报文中只有用户的IP地址没有MAC地址信息,这种类型的用户称为3层认证用户。
与2层认证用户不同的是3层认证用户的MAC地址接入服务器获取不到,因而不能进行MAC、IP的绑定检查安全性不高容易仿冒;ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。
对此,接入服务器要求3层认证用户必须进行WEB认证,不能通过绑定认证等方式上线。
另外,接入服务器支持当网络发生问题用户原先的线路不同,但有另一条线路可以访问接入服务器的情况,此时接入服务器可以通过新的IP包找到到达用户的新路径更新相关的信息。
IP报文触发3层用户上线的流程如下图所示:
ó??§
WEBè??¤
·
t???÷
MA5200AAA SERVER
(1)
(3)
(4)
(5)
(6)
(7)
Internet
(8)
(2)
图10IP报文触发3层认证用户上线流程
2003-06-30 内部资料,请勿扩散第11页, 共31页
(1)用户的IP报文到达接入服务器,接入服务器为其分配资源建立预连接;
(2)用户的HTTP请求被强制到(或用户主动访问)WEB认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;
(3)WEB认证服务器将用户的信息通过内部协议,通知接入服务器;
(4)接入服务器到相应的AAA服务器对该用户进行认证;
(5)AAA服务器返回认证结果给接入服务器;
(6)接入服务器将认证结果通知WEB认证服务器;
(7)WEB认证服务器通过HTTP页面将认证结果通知用户;
(8)如果认证成功用户即可正常访问网络资源。
3.2.4WEB认证用户下线流程
WEB认证用户下线流程包括用户主动下线和异常下线两种情况。
用户主动下线流程如下图所示。
图11用户正常下线流程
1)当用户需要下线时,可以点击认证结果页面上的下线机制,向Portal服务器发起一个
下线请求。
2)Portal服务器向接入服务器发起下线请求。
3)接入服务器返回下线结果给Portal服务器。
2003-06-30 内部资料,请勿扩散第12页, 共31页
4)Portal服务器根据下线结果,推送含有对应的信息的页面给用户。
5)当接入服务器收到下线请求时,向RADIUS服务器发计费结束报文。
6)RADIUS服务器回应接入服务器的计费结束报文。
异常下线包含两种情况:
接入服务器侦测到用户下线
s
图12接入服务器检测到用户异常下线流程
1) 接入服务器检测到用户下线,向Portal服务器发出下线请求。
2) Portal服务器回应下线成功。
3) 当接入服务器收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
4) RADIUS用户认证服务器回应接入服务器的计费结束报文。
Portal服务器侦测到用户下线
2003-06-30 内部资料,请勿扩散第13页, 共31页
图13Portal服务器检测到用户异常下线流程
1) Portal 服务器侦测到用户下线,向接入服务器发出下线请求。
2) 接入服务器回应下线成功。
3) 当接入服务器收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
4) RADIUS用户认证服务器回应接入服务器的计费结束报文。
3.3 802.1X接入认证原理
3.3.1认证系统架构
基于802.1x的认证系统架构见下图。在此种架构下,系统实现IEEE 802.1x中定义的认证请求者、认证点和认证服务器的三元结构。认证请求者对应客户终端,认证点可以对应接入服务器,认证服务器对应AAA服务器。
基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。
2003-06-30 内部资料,请勿扩散第14页, 共31页
图14基于802.1x的认证系统架构基于802.1x的EAP认证系统各实体协议栈见下图。
认证请求者客户终端
认证点
接入服务器
认证服务器
AAA服务器
图15基于802.1x的认证系统功能实体透传方式协议栈
3.3.2802.1X接入认证流程
基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。以EAP-MD5为例:
2003-06-30 内部资料,请勿扩散第15页, 共31页
图16EAP-MD5认证方式交互图
流程描述如下:
1.在用户和接入服务器之间建立好物理连接后,用户客户端向接入服务器发送一个
EAPoL-Start报文(如果用户是动态分配地址的,可能是DHCP请求报文;如果用户是手工配置地址的,可能是ARP请求报文),开始802.1x接入的开始。
2.接入服务器向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上
来。
3.客户端回应一个EAP-Response/Identity给接入服务器的请求,其中包括用户名。
4.接入服务器以EAP Over RADIUS的报文格式向RADIUS认证服务器发送2003-06-30 内部资料,请勿扩散第16页, 共31页
Access-Request报文,里面含有客户端发给接入服务器的EAP-Response/Identity报
文,将用户名提交RADIUS认证服务器。
5.接入服务器产生一个128 bit的Challenge。
6.RADIUS认证服务器回应接入服务器一个Access-Challenge报文,里面含有
EAP-Request/MD5-Challenge报文,送给接入服务器用户对应的Challenge。
7.接入服务器通过EAP-Request/MD5-Challenge发送给认证客户端,送给用户
Challenge。
8.客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法
后的Challenge-Password,在EAP-Response/MD5-Challenge回应中把它发送给接入
服务器。
9.接入服务器将Challenge-Password通过Access-Request报文送到RADIUS用户认证
服务器,由RADIUS用户认证服务器进行认证。
10.RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/
失败报文到接入服务器。如果成功,携带协商参数,以及用户的相关业务属性给
用户授权。
11.接入服务器根据认证结果,给用户回应EAP-Success/EAP-Failure,通知用户认证
结果。如果认证失败,则流程到此结束。如果成功,可以进行后续的授权、计费
等流程。
3.3.3用户下线流程
用户下线流程包括用户主动下线和异常下线两类情况。
用户主动下线流程如下图所示。
2003-06-30 内部资料,请勿扩散第17页, 共31页
图17用户主动下线流程
1)客户端主动向认证点发送EAP-Logoff消息;
2)认证点向认证服务器发送计费停止请求的报文;
3)认证服务器向认证点回计费停止请求报文的回应。
异常下线流程如下图所示:
图18认证点检测用户下线流程
1)认证点检测发现用户已经不在线;
2)认证点向认证服务器发送计费停止请求的报文;
3)认证服务器向认证点回计费停止请求报文的回应。
3.4 绑定认证原理
所谓绑定认证就是使用用户连接的物理信息进行认证。系统自动根据用户所在的端口、VLAN等物理信息到对应的AAA服务器进行认证,用户无需手工认证。
2003-06-30 内部资料,请勿扩散第18页, 共31页
3.5 各种认证方式比较
表2各种认证方式比较表
同时,需要注意的是,上述认证方式都包含了两部分内容:
1.用户终端和接入服务器之间使用PPPoE、WEB和80
2.1X认证;
2.接入服务器和AAA服务器之间使用的标准的或者扩展的RADIUS协议。
主要差异都在第一部分中;第二部分除802.1X使用扩展的EAP属性外,其他都一样。
2003-06-30 内部资料,请勿扩散第19页, 共31页
淘宝测试架构白皮书 2010 淘宝-技术研发部-市场产品技术-测试-系统测试-测试架构
目录 淘宝测试架构产生的原因 (3) 测试架构 (3) 测试架构流程综述 (5) 测试架构师工作职能 (6) 测试架构师的角色 (8) 测试架构师的招聘要求 (9) 编后注 (9) 感谢 (10) 作者 (10) 版本 (10)
淘宝测试架构产生的原因 在软件的生产环节中,会产生许多和测试相关的问题,相应的也会出现很多的解决方法,在一个肩负102 年使命的公司中做测试工作,在102 年宏大的软件生命周期中,测试问题解决方法也会以爆炸性的速度增加,结果会导致解决方法的数量是惊人的,方式却又是多样的,行为时分散的。一种声音会出现,停止解决不断出现的问题,我们需要一种系统的解决方案使测试更加专业,更加适应一个长期发展,不断创新的软件环境。这种系统的解决方案就是测试架构产生的雏形。 测试架构提供了在技术上结构化指导测试的方法,它的出现: ●为测试管理者和测试人员找到技术上的解决方案 ●优化测试流程 ●标准化测试工作,探索新的测试技术 ●团队中测试技术信息的对称 ●更好的保证各个测试团队的沟通工作 ●对测试技术及工具的开源提供框架和方法 ●找出有效,高效的测试方法 ●分析,指出并控制产品潜在风险 测试架构 在淘宝,测试架构被定义为工具箱:一个测试管理人员,PTM,测试工程师的工具箱。 它将为我们实现更为专业的测试提供技术意见。具体体现在以下几个方面 1. 测试策略 a) 前瞻性的提出未来测试的方向 b) 指导测试人员怎样测试 c) 建议测试管理者应该进行哪些方面的测试 d) 帮助分析测试范围 e) 针对每个不同的项目,在技术上分析测试进度并跟踪控制测试进度 2. 测试管理者的工具箱 a) 提供一切管理者所需要的: ●Test goal ●Test Scope ●Test Focus ●Risk ●Master test plan ●Planning guidelines ●Estimation guidelines ●Planning tools ●....... 3. 测试工程师的工具箱 a) 提供一切测试工程师所需要的: ●Test documentation ●Test tools and infrastructure ●Test design guidelines
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
UnisIDS技术白皮书
1UnisIDS 简介 1.1入侵检测系统概述 1.1.1入侵检测系统分类 不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。 基于网络的入侵检测系统具有如下特点: 通过分析网络上的数据包进行入侵检测 入侵者难以消除入侵痕迹–监视资料将保存这些信息 可以较早检测到通过网络的入侵 可以检测到多种类型的入侵 扫描–利用各种协议的脆弱点 拒绝服务攻击–利用各种协议的脆弱点 hacking代码规则匹配–识别各种服务命令 可灵活运用为其他用途 检测/防止错误网络活动 分析、监控网络流量 防止机密资料的流失
图 1网络入侵检测模型 而基于主机的入侵检测系统则具有以下的特点 具有系统日志或者系统呼叫的功能 可识别入侵成功与否 可以跟踪、监视系统内部行为 检测系统缓冲区溢出 基于主机的入侵检测可以区分为 基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否) 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进
Ibot8.0产品白皮书 第 1 页共47 页
目录 1.前言 (6) 1.1.目的范围 (6) 1.2.产品定位 (6) 1.3.名词术语 (6) 2.公司简介 (8) 2.1.小I简介 (8) 2.2.小I发展历程 (8) 3.产品概述 (11) 3.1.智能机器人 (11) 3.2.产品架构 (11) 3.1.1.机器人前端平台 (12) 3.1.2.智能服务引擎平台 (12) 3.1.3.机器人统一管理平台 (14) 3.1.4.知识库组织说明 (14) 3.3.产品演进路径 (17) 3.4.技术特点 (17) 3.5.技术指标 (18) 3.6.扩展接口 (19) 3.7.优势特性 (19) 4.产品主要功能 (22) 4.1.基础智能问答 (22) 4.2.前端用户功能 (23) 4.2.1 Web机器人功能 (23) 4.2.2微信机器人功能 (28) 4.2.3IM机器人功能 (31) 4.2.4短信机器人功能 (33) 4.3.后台主要管理功能 (35) 4.3.1知识管理功能 (35) 4.3.2服务管理功能 (36) 4.3.3渠道管理功能 (36) 4.3.4素材管理功能 (37) 4.3.5语音管理功能 (38) 4.3.6运维管理功能 (38) 4.3.7系统管理功能 (39) 5产品实施 (39) 5.1.实施流程 (39)
5.2.知识建设 (39) 5.2.1 语言知识库构建 (40) 5.2.2 业务知识库构建 (41) 5.3.二次开发 (42) 5.4.系统部署 (44) 5.4.1 常规部署 (45) 5.4.2 扩展部署 (45) 5.4.3 集群部署 (47)
LINGHANGTECHNOLOGIES CO.,LTD 中科云计算平台技术白皮书 北京领航科技 2014年04
目录 1.云计算概述 (4) 2.产品介绍 (5) 2.1 传统数据中心架构向云基础架构的变革! (5) 3.应用领域 (6) 3.1云计算应用场景标准 (6) 3.2产品应用领域 (7) 3.2.1 电子政务领域 (7) 3.2.2 教育领域 (7) 3.2.3 医药医疗领域 (7) 3.2.4 制造领域 (7) 3.2.5 金融与能源领域 (8) 4.功能特性 (9) 4.1虚拟计算 (9) 4.2融合存储 (9) 4.3动态拓展 (10) 4.4性能实时监测,故障报警 (11) 4.6网络管理 (12) 4.7在线迁移 (13) 4.8业务连续 (13) 4.9资源调度 (13) 4.10负载均衡 (14) 4.11安全可靠,容灾备份 (15) 5.产品优势 (16) 5.1秒级获取 (16) 5.2融合架构 (16) 5.3定制性能 (16) 5.4高扩展性 (16) 5.5高可用性 (16) 5.6高稳定性 (17)
5.7易管理 (17) 5.8定制镜像,快速部署 (17) 5.9异地灾备 (17) 5.10全面监控 (17) 6.平台模块 (18) 6.1云主机 (18) 6.2云硬盘 (18) 6.3云监控 (19) 6.4云镜像 (19) 6.5云安全 (19) 7.系统硬件要求 (20) 7.1系统总体要求 (20) 7.2中科云计算基础设施设备要求 (20) 8.价值与效益 (22) 8.1价值 (22) 8.2效益 (23)
精准测试白皮书 V3.0 (2019版)
目录 第一章精准测试诞生的背景 (1) 第二章精准测试的定义 (4) 第三章精准测试的基础架构介绍 (5) 3.1 精准测试的技术架构 (5) 3.2 软件示波器 (7) 3.3精准测试的双向追溯 (10) 双向追溯技术正向追溯 (11) 双向追溯技术反向追溯 (12) 数据追溯技术-追溯测试用例的全景调用 (13) 数据追溯技术-针对多系统多模块(微服务)的追溯 (14) 3.4 分布式结构下的数据穿透 (14) 第四章精准测试的核心组件与功能 (16) 4.1 风险控制 (17) 4.1.1 七种测试覆盖率 (17) 4.1.2 新增代码覆盖率 (19) 4.1.3测试覆盖率范围筛选与再统计 (20) 4.2 工作协同 (21) 4.2.1 打通开发与测试的隔阂 (21) 4.2.2 源码动静态数据的统一 (22) 4.2.3 缺陷最后执行时序分析 (25)
4.2.4 智能缺陷定位 (26) 4.3 敏捷迭代 (29) 4.3.1 敏捷迭代下多版本白盒测试数据的聚合 (29) 4.3.2 聚类分析 (30) 4.3.3 漏洞检出 (32) 4.3.4 精准测试与自动化测试对接 (34) 4.3.5 最小测试用例集 (34) 4.4 团队管理 (35) 4.4.1 精准测试的企业私有云可信化报表 (35) 4.4.2 精准测试的企业私有云-测试效率的直观展示 (37) 4.4.3 精准测试的企业私有云-测试用例排行图 (39) 4.5 知识库累积 (41) 4.5.1 精准测试数据的价值 (41) 4.5.2 精准测试智能回归测试用例智能选取 (41) 4.5.3 精准测试在回归测试中的性能评估 (43) 第五章精准测试的管理报表分析 (43) 5.1 项目指标 (44) 5.1.1 程序代码信息汇总 (45) 5.1.2 程序覆盖率指标 (45) 5.2测试用例-按日趋势图 (47) 5.2.1测试用例汇总信息 (47)
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/1c8401112.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 九、售后服务方式说明 (4)
一、背景概述 1、研发背景 介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等,以说明该产品的研发背景,以及满足的客户需求。 2、产品定位 为了满足客户以上需求,该产品具有什么功能,能够解决什么问题。 二、产品方案功能介绍 1、设计理念 该产品方案的设计思路。 2、系统拓扑图 使用统一的图标,制作系统拓扑图。 3、系统构架描述 按照系统的构成,分类对系统进行描述。 4、系统功能介绍 详细阐述系统的主要功能。 5、产品方案规格 产品方案不同的规格介绍,或者对产品方案技术规格的介绍。
四、产品方案应用介绍 1、应用模式 该产品方案包括的应用模式类型,或者针对不同类型客户的解决方案。 2、应用流程 该产品方案的应用流程。 3、应用环境 描述该产品所运行的应用环境。 五、产品方案特性介绍 1、技术特性 主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性 主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性 对系统的主要特性进行描述,根据产品不同和竞争优势的不同而不同。 六、产品方案技术介绍 1、相关技术 主要应用技术的介绍,以及该技术的优势。
华为eSight 产品技术白皮书 文档版本 01 发布日期 2016-05-30 华为技术有限公司
版权所有? 华为技术有限公司2015。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.doczj.com/doc/1c8401112.html,
目录 1 执行摘要 (4) 2 简介 (5) 3 解决方案 (7) 3.1 eSight系统介绍 (7) 3.1.1 关键技术特点 (7) 3.2 统一监控、诊断和恢复解决方案 (12) 3.2.1 性能采集和预测分析 (12) 3.2.1.1 整体方案介绍 (12) 3.2.1.2 关键技术点介绍 (13) 3.2.1.3 功能约束 (13) 3.2.1.4 典型场景应用 (14) 3.2.2 告警信息采集和通知 (14) 3.2.2.1 整体方案介绍 (14) 3.2.2.2 关键技术点介绍 (15) 3.2.2.3 功能约束 (16) 3.2.2.4 典型场景应用 (17) 3.2.3 网络故障诊断(智真会议) (17) 3.2.3.1 整体方案介绍 (17) 3.2.3.2 关键技术点介绍 (17) 3.2.3.3 功能约束 (18) 3.2.3.4 典型场景应用 (18) 3.2.4 通过设备配置备份数据快速修复故障 (20) 3.2.4.1 整体方案介绍 (20) 3.2.4.2 关键技术点介绍 (20) 3.2.4.3 功能约束 (21) 3.2.4.4 典型场景应用 (21) 3.3 安全管理解决方案介绍 (21) 4 结论 (22) A 缩略语 (23)
工业互联网平台技术白皮书
目录 一、工业互联网平台的整体态势 (1) (一)全球工业互联网平台保持活跃创新态势 (1) (二)我国工业互联网平台呈现蓬勃发展良好局面 (1) (三)工业互联网平台整体仍处于发展初期 (2) 二、工业互联网平台的应用路径 (3) (一)平台应用场景逐步聚焦,国内外呈现不同发展特点 (3) (二)我国平台应用进展迅速,大中小企业协同推进 (5) 1.平台应用全面开展,模式创新与跨界融合成为我国特色.5 2.我国大中小企业基于平台并行推进创新应用与能力普及.7 (三)平台应用发展层次与价值机理逐步清晰 (9) 1.由单点信息化走向跨域智能化,应用呈现三大发展层次.9 2.数据分析深度与工业机理复杂度决定平台应用优化价值和 发展热度 (12) (四)垂直行业平台应用走向纵深 (13) 1.高端装备行业重点围绕产品全生命周期开展平台应用.. 13 2.流程行业以资产、生产、价值链的复杂与系统性优化为应用 重点 (15) 3.家电、汽车等行业侧重于规模化定制、质量管理与产品后服 务应用 (17)
4.制药、食品等行业的平台应用以产品溯源与经营管理优化为 重点 (18) 5.电子信息制造业重点关注质量管理与生产效率提升 (19) 三、工业互联网平台的技术进展 (20) (一)边缘功能重心由接入数据向用好数据演进 (22) 1.数据接入由定制化方案走向平台通用服务 (22) 2.边缘数据分析从简单规则向复杂分析延伸 (23) 3.通用IT 软硬件架构向边缘侧下沉,为边缘应用创新提供更 好载体和环境 (24) (二)模型的沉淀、集成与管理成平台工业赋能的核心能力. 26 1.信息模型规范统一成为平台提升工业要素管理水平的关键 (26) 2.机理模型、数据模型、业务模型加速沉淀,工业服务能力不 断强化 (27) 3.多类模型融合集成,推动数字孪生由概念走向落地 (28) (三)数据管理与分析从定制开发走向成熟商业方案 (29) 1.平台聚焦工业特色需求,强化工业数据管控能力 (29) 2.实时分析与人工智能成为平台数据分析技术的创新热点. 30 3.平台贴近工业实际,完善工具不断提高工业数据易用性. 31 (四)平台架构向资源灵活组织、功能封装复用、开发敏捷高效加速演进 (32) 1.容器、微服务技术演进大幅提升平台基础架构灵活性.. 32
信息安全 等级保护检查工具箱系统 技术白皮书 国家信息技术安全研究中心
版权声明 本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护 检查工具箱产品的描述。与内容相关的权利归国家信息技术安全研究中心所有。白皮书中的任何内容未经本中心许可,不得转印、复制。 联系方式: 国家信息技术安全研究中心 地址:北京市海淀区农大南路1号硅谷亮城 2号楼C座4层 电话:0
简介 国家信息技术安全研究中心(以下简称,中心)是适应国家信息安全保障需要批准组建的国家级科研机构,是从事信息安全核心技术研究、为国家信息安全保障服务的事业单位。 中心成立于2005年,是国家有关部门明确的信息安全风险评估专控队伍、等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务非保密项目信息安全专业测评机构。 中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全理论研究、远程监控服务等项目,为国家基础信息网络和重要信息系统及社会各界提供多种形式的信息安全技术服务。 为提高我国基础信息网络和重要信息系统的安全防护水平,中心自主研发了一系列安全防护和检测工具产品。主要有:恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检测工具集、网络数据流安全监测系统、商品密码安全性检测工具集、漏洞扫描评估系统等。 中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点科研项目;积极承担国家下达的多项信息安全标准制定和研究任务;紧密跟踪国内外信息安全发展,采取多种形式为国家有关部门和行业提供信息安全咨询和培训服务。 经过多年的发展,中心服务的足迹遍及30余个省市自治区,为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息安全产品、咨询和测评服务。
白皮书
文档控制/Document Control 文档属性 模板修改记录 文档修改记录 审阅记录 分发
目录 第一章传统BPM面临的问题和挑战 (3) 1.1IT需要支撑业务在频繁的调整和优化 (3) 1.2传统BPM严重割裂业务 (3) 1.3对于复杂的中国特色企业管理的有效支撑 (3) 1.4高可扩展性和高性能的挑战 (4) 1.5移动端的挑战 (4) 第二章LBPM解决之道 (4) 2.1提出非常6+1接口规范来规约业务系统(去业务化解决方案) (4) 2.2不干预任何业务以避免割裂业务 (5) 2.3长期关注复杂的中国特色企业管理 (5) 2.4从底层架构就支持业务流程的高可扩展和高性能 (5) 2.5充分支持跨浏览器 (6) 第三章为何要使用LBPM? (6) 3.1快速应对市场和业务的频繁变化和调整 (6) 3.2业界性价比最高的BPM (7) 3.3多种手段提升业务系统与LBPM之间高效通讯 (7) 3.4完善的监控机制来保障快速跟踪和分析问题 (8) 第四章LBPM产品核心架构概述 (9) 4.1LBPM流程虚拟机 (10) 4.2LBPM流程引擎 (10) 4.3LBPM流程应用 (10) 4.4LBPM流程扩展服务 (10) 4.5LBPM集成引擎 (11) 第五章LBPM产品功能概述 (11) 5.1流程建模平台 (11) 5.1.1对接业务系统全局配置 (12) 5.1.2创建流程模板 (12) 5.1.3节点绑定业务表单 (13) 5.1.4业务字段映射配置 (13) 5.1.5节点的事件监听器配置业务逻辑 (14) 5.2流程运行平台 (15) 第六章LBPM流程分析平台 (16) 附录A 非常6+1参考 (17) 附录B BPM思想流派参考 (17)
工业互联网平台白皮书 (2017) 工业互联网产业联盟(AII) 2017年11月
编写说明 工业互联网平台作为工业全要素链接的枢纽与工业资源配置的核心,在工业互联网体系架构中具有至关重要的地位。近期,国务院《深化“互联网+先进制造业”发展工业互联网的指导意见》明确将构建网络、平台、安全三大功能体系作为其重点任务。在工业和信息化部信息化和软件服务业司的指导下,工业互联网产业联盟组织编写了《工业互联网平台白皮书》,希望加强研究与交流,与业界共同推动工业互联网平台发展。 白皮书主要分为五个部分。第一部分重点提出了工业互联网平台的体系架构与关键要素,明确了工业互联网平台是什么,有哪些功能和作用。第二部分提出了工业互联网平台的技术体系,并重点对平台层、边缘层与应用层的主要技术创新趋势进行了探讨。第三部分明确了工业互联网平台的产业体系,提出当前平台布局的四种路径,以及平台与应用生态构建的主要模式。第四部分提出了工业互联网平台的主要应用场景及案例。第五部分则重点面向平台企业,提出了平台发展的相关建议。 白皮书编写过程中得到了联盟成员及国内外众多平台企业的大力支持。相关企业不仅结合自身平台发展情况,从平台功能与应用案例等方面给予了大量素材支持,更是进行了多次现场调研和探讨,为白皮书观点的形成与落地提供了有力支撑。 白皮书编写过程中获得了众多专家的指导与帮助。特别感谢工信部信息化和软件服务业司谢少锋司长、安筱鹏副司长对白皮
书的全面指导。同时,清华大学访问学者郭朝晖、走向智能研究院执行院长赵敏、国务院发展研究中心研究员李广乾、e-works 数字化企业网总编黄培、走向智能研究院执行秘书长苏明灯、工业4.0研究院副院长王明芬等专家在白皮书成稿过程中也提出了许多建设性意见,在此一并致谢。 工业互联网平台的发展总体还处于起步阶段,当前我们对工业互联网平台的认识也还是初步和阶段性的,后续我们将根据工业互联网平台的发展情况和来自各界的反馈意见,在持续深入研究的基础上适时修订和发布新版报告。
御界高级威胁检测系统 技术白皮书
目录 第一章系统简介 (4) 1.前言 (4) 2.核心能力 (4) 第二章系统架构 (5) 1.架构设计 (5) 2.产品部署模式 (6) 高扩展性 (6) 多模块自由组合 (6) 低成本 (6) 3.产品型号 (7) 第三章系统特点 (7) 1.攻击链条检出 (7) 2.发现APT (8) 3.异常流量感知 (8) 4.勒索病毒检测 (9) 5.威胁情报 (9) 6.漏洞攻击检测 (9) 第四章核心功能模块 (9) 1TFA检测引擎 (9) 入侵特征模型检测模块 (9) 异常流量模型检测模块 (9)
异常域名检测模块 (10) 网络攻击检测模块 (10) 2文件还原模块 (10) 3文件分析检测模块 (10) 哈勃动态行为沙箱 (11) TAV杀毒引擎 (11)
1.前言 随着移动设备的普及和云基础设施的建设,企事业单位积极拥抱数字化,加之万物互联IoT潮流的到来,网络安全在当前这个时间点需要重新定义。经典的攻击方式还未落幕,层出不穷的高级攻击方式已经上演,在安全形势不断恶化的今天,即使部署了各式样的安全产品,也无法做到预防所有的威胁。 在网络边界处阻止所有的威胁固然是我们最希望看到的情况,但是这种同步的拦截方式受限于较高的性能要求和较少的信息量,很难独立成为一个完整的企业安全解决方案。御界高级威胁检测系统(以下简称御界)在网络边界处采用镜像流量,旁路检测的方式,旨在发现企业受到的恶意攻击和潜在威胁。 2.核心能力 御界基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,高效检测未知威胁。也正因为丰富的数据和海量运算能力,在发现威胁之后的溯源上御界的数据平台也能提供一流的服务。 真正高质量的攻击,比如APT攻击,大多是以新面貌呈现,基于特征或者是黑样本库黑网址库的防御方式在对抗新的威胁之时远不如动态分析来的直接和有效。恶意代码层面可以通过变形和加密来做对抗,远控地址和远程IP也是全新的,攻击的入口也不尽相同,可以是邮件收发和消息处理等用户行为,也可以是通过系统或者软件漏洞进入,但是入侵,潜伏,远程连接,远程控制等过程从行为上看是有很大的相似和关联性的,基于行为的检测方案比基于特征的检测方案站在更高的维度上。智能模型也需要以行为传感器为基础,综合考量网络流量中的各种信息,协议,地址,端口,流量,连接频率等各种信息,来完成异常流量、异常行为的发现。
业务服务监控平台技术白皮书 (V2.0) 联想中望系统服务有限公司 2008年7月
1背景及现状 随着企业IT技术的广泛应用,企业IT资源的拥有量越来越多,结构越来越复杂。如何保障IT系统的正常运行,从而保障公司的核心业务,已经日益成为CIO(首席信息执行官)需要仔细思考的问题。 此外,由于各种法规(如SOX法案)对企业诚信经营以及企业自身内控管理的要求,IT治理已开始越来越为各企业重视,作为IT治理框架的关键环节,IT系统的监控也已成为各企业的当务之急。 1.1 被动监控、分散管理 图1描述了支撑企业业务运营的典型IT资源结构图,其中包括硬件(主机、路由、存储等)、软件(系统软件、应用软件、数据库等)等多种IT资源。 图1 典型企业IT资源结构示意图 日益复杂的IT环境给运营环境保障人员带来如下问题: 1、监控劳动强度大,事故不易及时主动发现。 缺乏统一集中的监控手段,不能对所管理的IT资产进行及时有效的监控管理。随着IT设施的不断扩大,整个IT环境的日趋复杂,系统监控人员巡视设备(IT资源)的间隔越来越短,花费大量的时间,来发现与解决问题。 2、监控数据没有集中存储,无法为系统运行情况提供量化的科学依据。 缺乏一整套集中的数据中心来记录、配置信息和历史记录,使在日常的监控管理工作中,不能及时获取相关的信息,严重影响排查故障的效率。
没有建立一个统一的监控平台,难于适应业务系统扩展时的监控需求扩展业务系统在不断地扩展,相应地监控需求也在不断地扩展。缺少一个统一,高可扩展性的监控平台,使得新的监控需求难以被满足。 1.2 “自下而上”的模式不能有效保障业务可用性 企业的基础IT环境为业务系统提供支撑。传统的IT运维建设思路是“自下而上”的,即:从基础架构监控开始,到应用系统的监控,再到业务系统的监控。 自下而上的建设思路不能适用于高速增长下的中国企业。一方面,基础IT 环境的高可用性不能代表业务系统的高可用性;另一方面,业务的快速增长,需要更加快速、直接、高效的监控手段,以保障业务的有效运行。 下图描述了支撑企业业务运营的IT资源可用性对核心业务系统可用性的影响。 图2 基础IT资源可用性对业务可用性影响示意图上图描述的是:即便基础IT环境的可用性很高,仍然不能保证业务系统也有很高的可用性。 这种情况下,需要一种更直接、更高效、更快速的手段来为业务系统提供监测与保障。 这就是本产品所强调的:以业务为导向、自上而下的服务监控与保障手段。
深度操作系统 服务器产品技术白皮书 武汉深之度科技有限公司
目录 一、概述 (2) 二、深度操作系统服务器版 (3) 三、技术指标 (4) 四、应用需求 (6) 4.1 通用服务器应用 (6) 4.2 小型机替换 (6) 4.3 国产化应用 (7) 五、产品特点 (9) 六、技术特色 (10) 七、产品对比 (11) 八、应用场景 (13) 九、典型案例 (14) 9.1 国家工商总局法人库项目 (15) 9.2 国家工商总局商标局灾备项目 (16) 9.3国土资源部信访系统 (17) 9.4典型用户 (18) 十、产品资质 (19)
一、概述 深度操作系统将全球领先的技术和创新带入政府信息化建设和企业级信息技术基础架构,是当今国内增长最快的操作系统之一。许多政府和企业用户由于其易用性和可扩展性而选择深度操作系统,信息部门和运维部门则更重视深度操作系统提供给桌面终端的稳定性、安全性和灵活性。因为完全开放源代码和自下而上的自主研发,深度操作系统可以快速、轻松的增强和定制,而无需依赖国外厂家的产品维护周期。 深度操作系统服务器版提供对国产处理器与服务器的良好兼容,全面支持国产主流数据库、中间件和应用软件,并通过了工信部安全可靠软硬件测试认证,符合“自主可控”战略目标的要求,可以为国内电子政务、信息化管理等应用提供全国产一体化的架构平台。 深度操作系统服务器版通过对全生态环境的支撑,以及多应用场景解决方案的构建,能够满足企业级用户对服务器高稳定性、高可靠性、高可用性的要求。
二、深度操作系统服务器版 深度操作系统服务器版软件,是深度科技发布的符合POSIX系列标准和兼容LSB标准的服务器操作系统产品,广泛兼容各种数据库和应用中间件,支持企业级的应用软件和开发环境,并提供丰富高效的管理工具,体现了当今Linux服务器操作系统发展的最新水平。 深度操作系统服务器版软件,以安全可靠、高可用、高性能、易维护为核心关注点:基于稳定内核,对系统组件进行配置和优化,提升系统的稳定性和性能;在加密、认证、访问控制、内核参数等多方面进行增强,提高系统的整体安全性;提供稳定可靠的业务支撑,以及高效实用的运维管理,从容面对快速的业务增长和未来挑战。 产品分类产品名称 服务器操作系统产品深度操作系统服务器版软件(x86_64平台) 深度操作系统龙芯服务器版软件(龙芯平台,3B2000/3B3000等)深度操作系统申威服务器版软件(申威平台,1600/1610/1621等) 服务器应用软件产品 深度日志分析软件 深度高可用集群软件
DreamBI大数据分析平台 技术白皮书
目录 第一章产品简介 (4) 一、产品说明 (4) 二、产品特点 (4) 三、系统架构 (4) 四、基础架构 (7) 五、平台架构 (7) 第二章功能介绍 (7) 2.1.元数据管理平台 (7) 2.1.1.业务元数据管理 (8) 2.1.2.指标元数据管理 (10) 2.1.3.技术元数据管理 (14) 2.1.4.血统管理 (15) 2.1.5.分析与扩展应用 (16) 2.2.信息报送平台 (17) 2.2.1.填报制度管理 (17) 2.2.2.填报业务管理 (33) 2.3.数据交换平台 (54) 2.3.1.ETL概述 (55) 2.3.2.数据抽取 (56) 2.3.3.数据转换 (56) 2.3.4.数据装载 (57) 2.3.5.规则维护 (58) 2.3.6.数据梳理和加载 (65) 2.4.统计分析平台 (67) 2.4.1.多维在线分析 (67) 2.4.2.即席查询 (68) 2.4.3.智能报表 (70) 2.4.4.驾驶舱 (74)
2.4.5.图表分析与监测预警 (75) 2.4.6.决策分析 (79) 2.5.智能搜索平台 (83) 2.5.1.实现方式 (84) 2.5.2.SolrCloud (85) 2.6.应用支撑平台 (87) 2.6.1.用户及权限管理 (87) 2.6.2.统一工作门户 (94) 2.6.3.统一消息管理 (100) 2.6.4.统一日志管理 (103) 第三章典型用户 (106) 第四章案例介绍 (108) 一、高速公路大数据与公路货运统计 (108) 二、工信部-数据决策支撑系统 (110) 三、企业诚信指数分析 (111) 四、风险定价分析平台 (112) 五、基于斯诺模型的增长率测算 (113) 六、上交所-历史数据回放引擎 (114) 七、浦东新区能耗监控 (115)
微波射频测试技术白皮书 第一部分:微波技术发展的挑战 微波射频电路是整个电子系统的重要组成部分,主要完成发射和接收信号的功率控制和频率搬移,对整个电子系统灵敏度,动态范围等指标有决定性的影响。典型的微波射频电路包含天线,放大器,滤波器,频率合成器,传输线等有源和无源电路。随着系统功能和性能要求的提高,电子系统对这些电路的要求越来越高,而且很多性能指标的要求还是互相制约的,例如为提高系统的传输效率和抗干扰能力,无线通信采用了复杂调制技术,从MSK调频到PSK调相再到多载波的OFDM调制方式,这会造成信号的功率动态范围越来越大,对于放大器而言就要求尽量宽的线性范围,同时系统对放大器的效率有严格要求以保证功率利用率指标,这对于传统放大器技术来讲是很难满足的。这个技术挑战大大推动了功率放大器线性化技术的出现和发展。现在射频微波应用领域的发展动态有以下典型的几个特点: 特点1:新型的半导体材料的应用 无论在大功率器件还是降低器件噪声性能上,由于新半导体材料的使用让电路的性能得到提高,例如:GaN材料大大提高了功率管的输出功率, 而磷化铟材料大大降低了微波放大器的噪声系数。 图1:微波集成电路技术 特点2:频率资源的扩展 通过获得更宽的频率资源来获得系统性能的增益是很多电子系统采用的技术,例如LTE中的频率聚合技术,通过毫米波工作频段的使用来提高传输速率并降低干扰等。毫米波的应用从简单的汽车防撞雷达扩展到宽带通信等领域。无线通信的信号带宽从几百KHz扩展到了超过100MHz的带宽。 特点3:数字技术和射频技术的结合 数字预失真功率放大器是数字信号处理技术和射频微波技术结合最好的代表。通过数字技术来扩展单一功率放大器的线性范围,线性化技术也被认为是射频技术的核心内容。 特点4:多通道技术 无论是军用相控阵雷达还是无线通信中的智能天线都是通过采用多通道技术来实现空间波束的控制和合成,通道数量从几个通道到上万通道不等,这对于射频微波电路的研制开发来讲是机遇也是很大的技术挑战。
AS8000技术白皮书 1. 产品简介 浪潮AS8000存储系统是浪潮云时代DaaS存储产品的先导者,它传承了浪潮活性存储的产品设计理念,增加了云存储的技术内容,根据客户不同数据保护需求推出的业界领先的数据保护应用平台。在统一的管理系统中为客户提供异构虚拟化整合、业务连续保护、自动精简、无中断异构平台数据迁移、数据自动分层、持续数据保护、本地/异地容灾等高级功能,最大限度的保障用户数据安全,为不同需求的用户提供了多种级别的解决方案。 2. 产品优势 2.1 先进的系统架构设计 AS8000采用了全冗余架构、全模块化设计,无单点故障,保障业务系统持续运行; 标配两个DSE(Data System Engine)(active-active)引擎,可扩展为群集体系架构,实现多路径故障无缝自动切换、路径IO负载均衡的组网模式,并且随着节点的增加,系统性能线性增加; 丰富的扩展接口能够满足不同业务需求,充分保证了硬件的灵活性、可靠性
和扩展性; 实时监控设备运行状态,全方位的故障诊断机制,一目了然的硬件报警措施,极大的降低管理难度; 支持系统掉电保护 2.2 自动精简配置 存储资源的分配不再受存储物理空间大小的限制,实现100% 的随需分配; 当物理存储资源不足时,可在线实时扩容;降低初期IT 投入成本的同时,大幅度提高了资源使用效率。 2.3 容灾镜像保护 支持基于IP、FC的同步异步数据镜像,在异构存储间建立起本地或远程的数据容灾功能,打造数据级跨应用级容灾方案,实现数据零丢失; 支持多站点间的数据同步异步传输,建立大规模的全局数据容灾系统。 2.4 灵活的快照策略保护 可以基于虚拟系统或主机触发快照生成,用于备份、测试、数据挖掘等应用;增量的快照相比传统快照,空间缩减80%以上,有效降低系统负载。 2.5 持续数据保护 提供持续数据保护,可以将生产数据恢复到保护周期内的任意时间点,完全解决了连续快照方式只有有限时间点的弊端,实现真正意义上的持续数据保护。 2.6 便捷的管理 集中管理平台,对异构厂商存储设备实现统一管理; 支持FC SAN、IP SAN、NAS不同存储架构不同协议接入; 实时监控设备运行状态,全方位的故障诊断机制,一目了然的硬件报警措施,
FusionCube数据库超融合平台 技术白皮书
目录 2.1系统架构 (2) 2.1.1统一管理 (3) 2.1.2深度融合 (4) 2.1.3弹性扩容 (5) 2.1.4预集成 (5) 2.2分布式存储软件 (5) 2.2.1分布式机头 (6) 2.2.2分布式缓存 (6) 2.2.3精简配置 (7) 2.3高性能SSD存储 (8) 2.4高速IB交换网络 (9) 2.5可靠网络设计 (9) 3.1 E9000机框 (10) 3.2 E9000刀片 (11) 3.3 10GE交换 (14) 3.4 InfiniBand交换 (15) 4.1数据库基础设施配置规格指标 (17) 4.2 HANA一体机配置规格指标 (18)
1 引言 当今世界,越来越多的企业采用虚拟化与云计算技术来构建IT系统,提升IT系统的资源利用率,但同时面临如下挑战: ●基础设施平台部署和管理复杂,运维费用仍然维持增长趋势 ●安装部署复杂,硬软件来自多厂商,规划、部署、调优需要丰富的经验支撑 ●多厂商设备,售后支持界面多,解决问题慢 ●维护体系庞大(不同厂商硬件设备维护、虚拟平台管理) ●小规模数据中心优势不明显(人员要求高,上规模才有优势) ●扩充不灵活,业界数据库一体机大多采用固定规格配置,不能按业务需求灵活部署计算和存储资源,不能支持多种数据库。 客户越来越关注成本控制、业务敏捷、风险管控几方面,希望能拥有总成本低、新业务的上线时间快、资源可弹性伸缩、安全可靠、高性能的IT系统。 华为公司全力打造的华为FusionCube数据库超融合基础设施(Huawei FusionCubeHyper-Converged Infrastructure for Database)正是以计算/存储/网络融合、预集成、高性能、高可靠、高安全、业务快捷部署、统一运维管理、资源水平扩展为其设计理念,充分满足企业未来业务需求,帮助其IT系统转型以更快更好地应对日益激烈的竞争环境,实现与客户的共同成长。 本文档描述了FusionCube数据库超融合基础设施的架构、软硬件及其配置形态。本文档供销售工程师,渠道商,高级业务经理以及希望用FusionCube部署数据库相关IT设施的客户。
网络攻防实验平台技术白皮书
1.1攻防实验平台 1.1.1攻防实验平台功能 1.提供综合模式的安全攻防实验沙箱环境,模拟攻防环境包括攻击主机、目标 主机、操作系统、应用系统、漏洞等真实环境: 涵盖主流操作系统如windows2003、windows2008、linux等; 涵盖及主流web应用系统、数据库系统等; 涵盖主流漏洞如owasp top 10和各种常见系统或应用漏洞、后门; 涵盖主流防御技术如防火墙、IPS/IDS、WAF等。 2.全程自主操作的攻防演练,安全攻防实验沙箱反映真实的攻防场景,所有的 实验过程中,不设置既定输入和输出,实验环境的状态体现真实系统和应用按操作者(或攻击者)的操作所形成的效果,完全展现操作者(或攻击者)的思路和成效。 3.实验包封装,把一个攻防实验所需要的所有组件,包括运行环境、主服务程 序、标准化的攻击主机配置、技术帮助文档等封装成一个完整的实验包,可以方便地进行管理和加载。 4.可通过B/S架构的管理平台,管理和加载实验包,生成/恢复实验场景。 5.通过把试卷和实验包相结合,可以创建操作考试,对操作结果进行测试和评 分。 1.1.2攻防实验平台实验(考核)模块 1.1. 2.1主机安全实验模块 ●通过对操作系统、数据库、网络服务等安全的配置实验,提供对网络环 境中主流主机节点的实训安全实验。 ●覆盖主流操作系统(Windows 2003 Server、Linux)的安全配置合规性检 查分析和合规性加固配置操作实验。
●主流数据库(SQL Server、MySQL)的安全配置合规性检查分析和合规 性加固配置操作实验。 ●实现对不同操作系统平台下的主流网络服务如FTP、WEB、Email、DNS、 DHCP、AAA等的安全配置合规性检查分析和合规性加固配置操作实 验。。 1.1. 2.2网络防御技术实验模块 ●实现网络设备如路由器、交换机的安全基线; ●实现二、三层威胁防御,包含MAC泛洪、ARP欺骗、IP欺骗、STP DOS 攻击、DHCP饥饿攻击、非授权DHCP干扰、冗余网关攻击等; ●实现接入安全,如802.1x、NAC等; ●通过实际操作与配置,掌握防火墙、IPS、WAF等常用防御产品功能与 应用; ●理解典型网络安全架构部署,根据实际需求选择相应产品构建基本防御 体系。 1.1. 2.3通信加密实验模块 ●部署CA体系及信任架构 ●操作证书申请、管理及应用的PKI技术应用的全过程 ●实现PKI体系证书在Word、email、web等应用程序中的具体应用 ●在主流操作系统、主流网络设备、安全设备之间实现IPsec ●配置实现PPTP VPN ●配置实现L2TP over Ipsec VPN ●配置实现GRE over Ipsec VPN ●配置实现SSL VPN,利用SSL VPN实现单点登录 1.1. 2.4网络攻防实验模块 ●覆盖主流主机、操作系统、应用系统、漏洞的最新网络攻防技术实验,