山石网科的博客

本文从DNS的隐私与安全问题出发讲述DoH的诞生、利弊、如何应对，4075字，讲透DoH的前世今生。

山石网科是中国网络安全行业的技术创新领导厂商，自成立以来一直专注于网络安全领域前沿技术的创新，提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务，致力于为用户提供全方位、更智能、零打扰的网络安全解决方案，是您优质可靠的伙伴！梯度泄漏攻击被认为是深度学习中最严重的隐私威胁之一，攻击者在迭代训练期间秘密地监视梯度更新，而不影响模型训练质量，但使用泄漏的梯度秘密地重建敏感的训练数据，具有很高的攻击成功率。从科学技术哲学的角度，新技术的出现往往不是突然的、随机的、不确定的，而是渐进的、确定的。

来这里，寻找解题思路

山石网科互联网企业安全SD-WAN解决方案从新挑战新思路到解决方案到应用场景

近日，全球权威IT研究与咨询机构Gartner发布了《2021年全球网络防火墙魔力象限报告》，山石网科连续8年入选，且在今年有质的突破，完成从“利基者”到“远见者”的闪亮进阶，成为首批迈进“远见者”队列的中国厂商，实现了此象限国内网络安全领域零的突破。这不仅意味着山石网科的技术成果和创新方向得到认可，更意味着中国网络安全力量越来越受到国际认可，中国网络安全厂商正在成为引领全球网络安全技术发展趋势的中坚力量。图注：山石网科入选Gartner2021网络防火墙魔力象限跻身“远见者”，国内

一、写在前面企业、高校、运营商等多链路负载均衡的问题，属于老生常谈的问题，山石网科从10多年前在二级运营商打开局面，作为高吞吐、高并发、高用户数量的广域网接入设备时，就开始尝试解决多链路负载均衡的问题。经过十多年的持续迭代和市场考验，山石网科的NGFW受到了市场广泛认可，取得了一定的成绩。即便如此，我们在最近的一些实践中，仍然发现我们的系统有优化的空间，对于有些场景和需求有更好的技术方案；于是我们在原有的基础上持续优化迭代，取得了一些阶段性的成果，特和大家进行分享。本文中所有的内容均基于山石网科

随着《数据安全法》、《个人信息保护法》的相继出台，数据安全治理受到了越来越多企业的关注。这不，作为公司信息科的业务骨干——岩小强被领导委以重任，负责数据安全治理技术理论学习和项目落地实施。岩小强所在的是一家跨国银行，其在业务开展和日常运营中积累了大量数据，这些数据大多直接关联金融消费者的财产和数据安全，甚至关乎国家经济建设与社会稳定，具有较强敏感性。该银行经常要将这些数据用于数据分析、开放测试、数据共享、风控管理等场景，在这过程中就需要预先用数据脱敏来防止敏感信息泄露，但用何种脱敏方式让岩小强犯了难

近年来，CISO面临的安全形势可谓“内忧外患”，对内面临多样化的网络接入途径、庞大且繁杂的IT资产；对外面临攻防关系、攻防手段、网络攻击的数量等呈指数级增长等问题，给组织的安全防护带来极大的挑战。而目前，大多数用户仍然采用传统“单点防护”的思路进行安全建设，即部署不同厂商各自能力突出的安全设备，俗称“异构”模式。对有限的安全管理人员来说，这样的模式带来的运营成本高昂，甚至脱离实际。直指核心，重新理解XDRXDR的安全建设思路，可以应对企业设备多且散，难以系统运营的问题。Gar

目 录1.医联体发展简介1.1.医联体的概念及目标1.2.医联体的组织形式1.3.医联体的建设进展2.医联体网络建设现状与挑战2.1.当前医联体网络现状2.1.1.专线投入成本高2.1.2.网络运维管理难2.1.3.业务链路质量差2.1.4.安全能力弱2.2.新型医联体WAN组网需要具备哪些特性？2.3.医联体WAN组网转型方案——SD-WAN3.山石网科SD-WAN解决方案3.1.方案架构设计3.2.方案价值3.2.1.【成本】.

从2016年公安部第一次举办正式的攻防演练行动已经经过了六个年头，作为国家应对网络安全问题所做的重要布局之一，攻防演练行动也在这几年的开展过程中得到了长足的发展，逐渐演变成现在的高对抗、重实战、常态化的安全活动。也正是随着防演练行动的不断演变，攻防双方的不断碰撞，各个企业开始发现自身网络安全建设中的不足，谋求新时代下的网络安全建设新模式。实战对抗过程中的企业的最外围防线往往是安全设备，通过安全设备处理大批量的攻击流量并进行自动化阻断往往是护网防守中的基础工作，缺少了安全设备的基础防线去谈攻防工作本身

昨日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》。这部专门法律充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。（此图来源于新华社）自去年10月《个人信息保护法（草案）》征求意见稿出台后，各方已就相关条例展开过讨论。在正式稿没发布前，今年4月提交的草案三次审议稿做出过一些修改，值得我们注意。比如，对个人信息处理规则，特别是应用程序个人信息过度收集、“大数据杀熟”等均有作出针对性规范；进一步完善个人信息跨境提供的规则；对完善个人信息保护投

上次的科普文章是否让大家对容器和云铠有了一个初步的了解呢？这次我们为大家来讲一讲典型场景下云铠的应用。容器服务本身安全能力极为脆弱，当前的虚拟边界防护可以阻断来自外部的攻击，但如果攻击的源头在平台内部，攻击发生在容器之间，那边界防护就会束手无策。资产流量可视化安全问题如何发现呢？溯源攻击路径，发现异常流量，云铠透视镜就好像一双火眼金睛，我们可以通过透视镜看到资产本身的风险，各服务间流量的轨迹，从而锁定攻击发起的源头。点击“透视镜”，可以看到所有应用服务资.

7月14日，工信部印发《新型数据中心发展三年行动计划（2021-2023年）》的通知，其中明确表示“绿色低碳”是新型数据中心建设的重点任务之一。同时该通知指出需要加快提升算力算效水平即引导新型数据中心集约化、高密化、智能化建设。图注：《新型数据中心发展三年行动计划（2021-2023年）》节选为了响应国家绿色低碳的号召，7月27日第9届ISC互联网安全大会上，山石网科重磅发布了采用“1U高度”设计的A系列智能下一代防火墙（iNGFW）。图注：山石网科A系列iNGFW

很久很久以前，人们提起搭建网络服务，第一时间想到的就是买服务器。因为应用要依赖于操作系统，而一台服务器只能对应一个操作系统。为了使服务能力更强，人们只能不断的增加物理服务器，花费大量金钱，也耗费了不少IT农民搬砖来维护。于是乎伟大的虚拟化技术诞生了，让一台服务器可以运行多个操作系统，物尽其用。从这时起，人们开始了“合租”生活的日子，把一个物理服务器（宿主机）变成了 N个虚拟服务器（虚拟机）。“以1变N”，IT农民以低于市场的价格，使用上了网络服务。而本文我们要说的，是一种叫容器的虚拟化技术。如果把传

勒索病毒频繁、威胁隐匿于加密流量、高级威胁藏于内部、物联网安全盲区众多，数字化发展及其带来的网络威胁态势正在发生着质的变化，网络安全所要求的防护能力不断提高。防火墙作为企业安全基础架构最重要的基石之一，其辐射到企业的边界、内网、终端安全等方面，防护需求也在发生着质的改变，智能下一代防火墙时代正在逼近。7月27日，山石网科在“持续变革 · 极智守护”智能下一代防火墙新品发布会上，正式推出新一代智能防火墙——A系列。和传统NGFW相比，新的A系列智能下一代防火墙（iNGFW）在硬件层面以及业务层面做了突

背景在网络攻防的大背景下，通俗的网络安防思想往往局限于网关级、边界级，如NGFW、AV、IDPS等，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的主机安全威胁却是众多安全管理人员所普遍反映的问题。为保护内网安全，部分单位将内网与外网物理隔离，或将内部通过统一网关接入外网，并在网关处架设防火墙、IDPS等安全设备。尽管上述所示的各类安全措施都得到了实现，众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生，这就

一.背景网络攻防形式下，资产不清、资产管理困难以及意识不强导致的安全防御无根基等痛点问题是安全行业的共性顽疾。资产的梳理及测绘在安全运营工作体系的战略层面和战术层面都起着重要的支撑作用。随着业务需求的不断增长，数字转型深化，资产量级也随之增长，用户某一业务系统所涉及的资产数量可能高达几百甚至上千。目前大部分企业由于管理人员变更和资产维护不到位，在资产方面或多或少存在一定的死角。不管是针对网络还是业务系统的恶意攻击或者威胁，最终需要和资产进行关联落地，再进行分析、排查等操作。因此在整个安全运营

当前，在世界各国激烈角逐“制网权”的网络空间新格局下，网络安全在保障数字社会建设、保障高质量可持续发展中的基础性和战略性地位日益突出。近年来，网络空间已逐渐成为继陆、海、空、天之后的第五大主权领域空间，也是国际战略在网络社会领域的映射，我国的网络安全正面临着日趋复杂和严峻的挑战。为有效应对此形势，2020年7月，公安部研究制定了《贯彻落实网络安全等保制度和关保制度的指导意见》，该指导意见明确要求重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，健全完善国家网络安全综合防控体系

我是山石云铠，这是我的攻击防护故事。攻击一天，一个黑客绕开了边界防线，并且成功调用kubernetes的API在容器集群里安装了攻击机，开始对容器集群里一个重要的web业务容器进行攻击，轻易拿到反弹shell，进行数据偷盗。在我的透视镜界面上能看到这个非法访问。防护我呼叫了管理员，并给他提供了两种攻击防护方法：运行时控制在之前的攻击过程中，我看到了超出web业务容器行为基线的行为，进行了告警。我请管理员配置了运...

近日，十三届全国人大常委会第二十九次会议表决通过多项法案及两项决定。其中，作为数据领域的基础性法律，《数据安全法》的顺利通过在促进以数据为关键要素的数字经济发展的同时进一步提升国家数据安全保障能力、切实维护国家主权、安全和发展利益等方面具有重大意义。这也对我国各行各业的信息安全从业者提出了更高要求。山石网科数据安全解决方案针对不同场景构建出与之匹配的防护堡垒，进一步助力企业数据安全防护。通过平衡业务需求与风险，制定数据安全策略，对数据分级分类，对数据的全生命周期进行管理；从技术到产品、从策略到管理，

数字时代下，数据已成为数字经济发展的核心生产要素和企业最重要的资产，然而数据在流通、流转、共享、使用、泄露、加密等各个环境中都存在一些问题，这些问题该如何解决？数字化时代下的数据安全又将如何得到保障？7月29日上午，在ISC 2021 第九届互联网安全大会主题论坛上，山石网科数据安全与审计业务群总经理赵胜发表了《新形势下数据安全探索与实践》主题演讲。他提到，数据作为数字经济的核心生产要素，正成为科技创新的突破口，面对数据安全的复杂现状，山石网科探索和实践了一套专门的数据安全治理解决体系。

后互联网时代是数字化时代，各行各业都面临前所未有的机遇和复杂多变的挑战，对身处数字化转型的企业来说，安全终究是一个逃避不了、日益凸显、引领发展并驱动创益的命题。概括来说，世界上只有2种类型的网络，已经经历过网络攻击的，和将要遭受网络攻击的。7月29日上午，在ISC 2021 第九届互联网安全大会数字化转型与安全数字化（CSO高峰论坛）上，山石网科研发副总经理李校俭发表了主题为《可持续安全运营的方法学》的演讲。在这场演讲中，李校俭提到了网络安全发展的现状和发展趋势，并表明只有可持续安全运营，才有可持续

防得好需要“可持续安全运营”，持续监控、动态调整，不断提升可持续安全运营能力，实现可持续安全。经历过2003年SARS的人，想必也会有类似的想法：“一鼓作气，新冠疫情就过去了！”现实却很骨感。医学专家预言Covid 19比同出一门的SARS、MERS等冠状病毒都“聪明”。跨入2021年，Covid 19各种变异，仅被列为高度关注的有四种，包括最近备受瞩目的Delta（δ）。即使在广州等地出现了Covid 19的变异病毒，国内的疫情防控态势依旧不错，一年多来整体反应更迅速，管理更人性化，对日.

企业在构建纵深防御体系之前，一个是可以看看ATT&CK攻击框架，从通用的攻击战术、技术、过程，通过透视攻击路径和方式方法，布局检测、防御的策略。另一方面，可以从目前的政策要求、标准来搭建体系化的防御体系。运用 MITRE ATT&CK 中的攻击者行为通用分类，可以帮助网络事件响应团队 (CIRT)、安全运营中心 (SOC)、红蓝队、威胁猎手、IT 部门等安全团队，更好地测试、开发和排序其检测和响应机制，对公司的业务、行业和知识产权提供高效安全保障。在栏目的第一篇文章，我们展现

1 、CAN总线的基本概念以及由来CAN（Controller Area Network）总线协议是由 BOSCH 发明的一种基于消息广播模式的串行通信总线，它起初用于实现汽车内ECU之间可靠的通信，后因其简单实用可靠等特点，而广泛应用于工业自动化、船舶、医疗等其它领域。要了解CAN总线协议，我们首先知道的一个概念是汽车ECU是指的什么？ECU（Electronic Control Unit）电子控制器单元，又称为汽车的“行车电脑”，它们的用途就是控制汽车的行驶状态以及实现其各种功能。主..

人工智能技术现在几乎可以说是无处不在了。在RSAC 2021看的演讲视频，发表一下我个人的浅见。先说好的方面，人工智能在极大的提高安全工作人员的效率，尤其是在安全从业人员极度短缺的背景之下。AI在XDR、IR方面的作用，对大量数据的智能处理，告警的关联分析，优先级的排序，极大地改善了企业SOC的运行。结果是安全分析员嗨皮了，不用996了。安全工程师高兴了，不用痛苦地维护更新规则了。CISO也高兴了，预算控制好不超额了，董事会也不会一出事就炒鱿鱼了。最强大的AI技术在SOC里应该能够帮助组织主动识别.

美国西部时间2021年5月17日，即RSA 2021大会开幕的第一天，来自MITRE的首席信息安全官William Hill和Stanley Barr博士做了题为“A Primer: Getting Started with MITRE Shield”的演讲。作为大名鼎鼎的MITRE ATT&CK知识库的后起之秀，连MITRE官方都亲切称之为ATT&CK的“年轻小表弟”，MITRE Shield的再次亮相受到了业界的广泛关注。作为行业内较早深度研究并积极探索应用ATT&amp...

安全技术往往跟随着信息技术的发展来发展。一个新的信息技术出现了，带来了新的安全问题，安全技术跟进来解决这些安全问题。所以，我们先看一下云端技术的发展趋势。近十几年来，云端技术的快速发展是显而易见的。尤其因为疫情的原因，云端技术的发展得到了更大的加速。云端技术总趋势是把本来在分支办公室（branch office）或总部（headquarter）的企业环境云化：1.企业内部的一些软件服务和环境被云化后，出现了Software as a Service (SaaS)，Platform as a Ser.

美国时间5月20日，RSA大会落下帷幕。大会虽已结束，讨论还在继续。对于大会的主题“Resilience”，每个厂商、每个人都有自己的解读。山石网科新技术研究院全程关注RSA大会，对于“Resilience”，他们的解读简单易懂接地气，极具山石特色。到底他们的解读是什么，他们眼中大会又有哪些看点，接下来，让我们一起来看~本周，我们还将带来更多RSAC 2021的专题解读，创新沙盒、MITRE Shield知识库等大热议题的解读马上发布，敬请期待~Question 1今年RSAC大会的..

4月14日，全球权威咨询机构Gartner发布了2021 Gartner Peer Insights “Voice of the Customer”报告。基于终端用户和专业人员对产品和解决方案的反馈和评价，山石网科以4.8分（满分5分）的客户评分，连续两年获得网络防火墙“客户之选”荣誉称号，成为全球仅有的五家、中国仅有的两家获此殊荣的厂商之一。同期入选的其他四家企业分别为：Juniper NetWorks、华为、Fortinet、Palo Alto NetWorks。连续两年，强势上榜2020年，G

一、业界动态1、国外区块链技术融合现状：从基础学科到前沿信息技术区块链被誉为通向未来的融合技术，集成创新和融合应用将更加充分释放其真正价值。当前，国外区块链技术与基础学科、前沿信息技术的融合发展初露头角，成为科技创新与产业变革的潜在动力，相关情况值得关注。原文链接：https://mp.weixin.qq.com/s/egDn06-4MKXmJKkMX5XFhA2、全球疫情背景下网络恐怖主义活动探析尽管“基地”组织（Al-Qaida）及其附属团体和“伊斯兰国”（ISIS）..

原文标题：一种实现ISA/IEC 62443操作技术标准的零信任应用简化模型。本文译自https://lookbook.tenable.com网站“Simplifying Adoption of ISA/IEC 62443 Using theZero Trust Model for Operational Technology”白皮书。一、简介根据波耐蒙研究所(PonemonInstitute)的一项研究，在依赖操作技术(OT)和工业控制系统(ICS)的所有组织和公司中，有一半由于网络事故而遭受.

现今的网络威胁不断地演化，攻击的类型和数量每年都在急剧增长。越来越多的企业和组织发生了被黑客侵入的事件。每当被入侵以后，组织或企业的安全管理员都会问，“攻击者是怎么进来的”？“他们又是怎么把计算机病毒从一台内网主机传播到另外一台的？”等类似的问题。组织或企业都希望理解更多和入侵相关的漏洞和攻击的技术，以便于事后去修复其网络安全基础设施中存在的问题。MITRE ATT&CK框架旨在通过提供一种通用的攻击技术及其缓解方法的描述来帮助企业和组织回答这些问题。组织或企业可以利用MITRE..

企业数字化转型和云计算技术的加持下，企业上云趋势势不可挡。与此同时，数据量加大，网络攻击日趋频繁，对企业来说，包括云计算安全在内的网络安全部署的重要性日益显现。但是，企业部署云安全产品之前，除了要考虑等保和关保的要求之外，更要考虑在数据量和数据价值重要性不断提升的时候，如何实现可持续安全运营，保持企业业务发展和安全并重，挖掘数据价值，进而实现可持续发展。将云安全落到企业关键的业务场景之前，应该先了解现在的云计算安全技术趋势。先明责，再部署目前对云安全划分最细...

近日，全球权威IT研究与咨询机构Gartner发布了《2020年全球网络防火墙魔力象限报告》。山石网科凭借领先的产品性能、持续的技术创新与优异的市场表现，连续7年入选，并在“前瞻性”（Completeness of Vision）上领跑国内厂商。图注：山石网科入选Gartner2020网络防火墙魔力象限防火墙，不止于“防火”魔力象限是Gartner对某一特定企业级 IT 技术市场的研究总结，使用形象化的二维模型去阐释各公司的实力及差异。一直以来，Gartner的魔力象限都是...

通过上期《山石岩读》，我们了解明白了区块链技术带来的冲击，那区块链创建和管理有哪些安全问题？区块链是否已经准备好迎接黄金发展期？五、与区块链创建和管理相关的其他安全问题修补私有区块链上的安全缺陷遵循与其它企业应用软件类似的最佳实践原则，且在大多数情况下，对企业的影响很小。另一方面，公共区块链的补丁会遇到一个特殊的挑战，因为其重大更新可能需要一个硬分支，如前所述，这将增加对后续受影响交易再处理的成本。在公共区块链中，几乎不可能实现资产、用户凭证的恢复或交易回滚，而私有区块链则不然，可被设计为提供相..

最近看到Gartner的Susan Moore写的一篇短文，《Top Actions From Gartner Hype Cycle for Cloud Security, 2020》（《2020年Gartner云安全技术成熟度曲线的主要变化》），唤起了笔者追踪七大关键云安全技术的想法。（点击文末“阅读原文”，可参看英文原文）笔者关注的七大关键云安全技术包括：Microsegmentation（微分段），CASB（云访问安全代理），CSPM（云安全配置管理），CWPP（云...

通过上期《山石岩读》，我们了解了区块链是什么，以及在加密货币应用领域中区块链应用程序的三个可能的通用用例。区块链在带来更多可能的同时，也必然带来巨大的冲击。这些冲击将会给我们带来怎样的影响呢？三、区块链技术带来的冲击衡量区块链潜在影响的一个方法是考虑该技术的完整性、可扩展性，当然，还有其它安全性和隐私方面的影响。1.完整性公共和私有区块链环境对完整性的影响是不同的。公共区块链网络存在于一个“无许可”的环境中，任何人都可以使用适当的软件在网络上执行交易。此外，...

当2017年比特币在全球各种加密交易中达到19000美元的峰值时，加密数字货币就吸引了不仅限于技术爱好者和挖矿者/交易者的全世界范围的广泛关注。随后，使比特币成为可能的区块链技术也作为新兴主流技术之一进入了人们的视野，从产品营销人员到网络专家，都开始“吹捧”区块链改善业务流程的潜力，从记录保存和交易跟踪，到许多其他后台活动，如资产管理、采购、库存、财务报告和税务报备等。近年来，我国也开始了对区块链技术应用的探索，据中国人民银行官方网站消息，央行行长易纲在接受媒体采访时表示，目前，数字人民...

近年来，随着信息技术的广泛应用和网络空间的兴起发展，各国在政治、经济、文化、社会公共安全等方面的利益及公民在网络空间的合法权益也面临着日益严峻的风险与挑战，因此关键信息基础设施的保护逐渐成为国际网络安全立法和技术研究的新焦点。在此背景下，我国国家互联网信息办公室于2016年12月发布并实施了《国家网络空间安全战略》，并于2017年7月发布了《关键信息基础设施安全保护条例》征求意见稿，公安部也于2017年6月颁布实施了《网络安全法》，均提出了加强对国家关键信息基础设施实施安全保护的要求，为...