亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　現(xiàn)在很多企業(yè)互聯(lián)網(wǎng)化了，未來將會有更多的業(yè)務(wù)使用IT，而帶來的問題就有安全問題，最近有一個新聞挺震驚的，美國索尼電影公司內(nèi)部系統(tǒng)被黑客入侵以后整個公司斷網(wǎng)了，完全回到紙筆辦公，被黑客控制以后，一上電腦，數(shù)據(jù)會繼續(xù)泄漏……安全可以說是最頭疼的問題，那如何應(yīng)對呢？下面就來看看360副總裁譚曉生分享的內(nèi)容：

　　我主要介紹一下我們的信息安全防御體系怎么建的，從安全理念、防護體系、安全團隊三方面講，最后，介紹一下全球新的防御思想是什么。

　　我們是怎么構(gòu)建安全防御體系的：安全理念，一個中心、兩個原則、三個陣地和四個假設(shè)。

　　首先，總體防御，要的是辦公網(wǎng)、數(shù)據(jù)中心、VPN網(wǎng)絡(luò)，如果沒有VPN，你非常危險，如果郵件服務(wù)器直接放公網(wǎng)上，郵件系統(tǒng)二逼搞定的可能性非常大，對360來說，如果上公司內(nèi)部任何系統(tǒng)，都是需要經(jīng)過VPN的，有雙因子認(rèn)證才能上VPN，經(jīng)過很多不同的訪問控制。對360來說，我有十多個辦公室，80多個數(shù)據(jù)中心，涉及到國外的數(shù)據(jù)中心，VPN要求員工出差時隨時能夠接入，收郵件必須通過VPN。

　　兩個原則：攻防平衡，自主可控。攻防安全，安全做起來是有代價的，甚至花在多錢都不能做到百分之百安全，要平衡我要保護的商業(yè)目標(biāo)的價值是多大、盈利能力是什么情況，花這么多錢的情況下，做到盡可能好的防御。第二，自主可控。我也買過別人家的安全產(chǎn)品，過去掃描類產(chǎn)品，黑洞抗擊Dos供給的東西，最近走到了自主可控、自主開發(fā)這條路上，自己首先要明白該怎么防，別人家的東西都是防的組件。講自主可控，其中一個原因，說句實話，現(xiàn)在外面產(chǎn)品不太靠譜，美國的稍微好一點，國產(chǎn)的很多東西非常不爭氣，只能用它解決局部問題，大量洞需要自己堵，說的夸張一點，有時開玩笑說這是一堵墻，墻上有幾個洞，但是，在黑客圈里，大家覺得那不是一堵墻，僅僅是擺幾塊磚而已，站在攻擊者和防御者角度看待這個問題時候有非常大的差異。

　　三個陣地：第一道防線：中國邊境線，邊境線是什么？第一，你的產(chǎn)品，我們有客戶端產(chǎn)品，產(chǎn)品在用戶機器里運行時本身有漏洞，就會帶來非常大的問題，你的手機或者你的手環(huán)或者家用路由器和汽車控制的東西，這些是是你的產(chǎn)品，這些產(chǎn)品如果有漏洞同樣很要命；第二，對外提供的服務(wù)，指Online服務(wù)，特指WebService，我們網(wǎng)站是給大家提供服務(wù)的，我們每天消耗100G帶寬，有非常多的外部服務(wù)，在今天我們面臨的時代，VPN越來越外部化，漏洞非常多；第三，員工，你的員工可能拿手機收郵件，他出差時，他可能在咖啡廳接入了不安全的網(wǎng)絡(luò)，你的網(wǎng)絡(luò)可能受威脅，邊境線到你的員工級別，你的員工是不是間諜？或者你的員工是不是在別人挾持之下做一些攻擊內(nèi)部網(wǎng)絡(luò)的事情。第二道防線：保衛(wèi)大城市，包括重要的基礎(chǔ)設(shè)施、重要的服務(wù)器、重要的業(yè)務(wù)系統(tǒng)、重要的數(shù)據(jù)。第三道防線：反潛伏，假設(shè)你被搞定了，沒人敢吹牛說自己沒被搞定，我干這幾年，開會時候，我問所有互聯(lián)網(wǎng)公司誰敢舉手說自己沒被別人偷過庫？我也被偷過。反潛伏，假設(shè)我被搞定了，有機器被別人控制了，有員工的機器被木馬直進(jìn)來了，我怎么盡早發(fā)現(xiàn)？像反間諜一樣，手段無外乎監(jiān)控、審計、大數(shù)據(jù)分析等等。

　　在企業(yè)里，現(xiàn)在做到安全，基本有四個假設(shè)：這個假設(shè)蠻殘酷的，

　　第一個假設(shè)，你的系統(tǒng)一定有未被發(fā)現(xiàn)的漏洞，這幾年投入的資金越多，挖出來的洞越多，今年估計過一萬我覺得沒啥懸念，去年7800多，而且CVE僅僅是一部分洞，外面Web軟件的洞多少呢？我們花三百萬塊錢收39000多個洞，不是某一個網(wǎng)站有那個洞，建站工具39000多個洞，一個洞能影響幾十萬個網(wǎng)站，到處都是洞，我們生活在道路都是窟窿的IT世界里。

　　第二，你的系統(tǒng)可能有洞，這個洞已經(jīng)有了補丁，由于各種原因，你不能修補，如果你是生產(chǎn)型企業(yè)，人家告訴你工業(yè)控制的上位機用的是XP，現(xiàn)在發(fā)現(xiàn)一個新的漏洞，出了一個補丁，你敢補嗎？補了之后，工業(yè)控制系統(tǒng)可能真的不能工作了，我聽過最夸張的故事是導(dǎo)彈發(fā)射車的操作系統(tǒng)是XP的，我相信沒有人敢上去打補丁，沒有機會給你試一下，打完補丁之后導(dǎo)彈能不能發(fā)射出去，能不能命中目標(biāo)，有大量系統(tǒng)有洞不能補。

　　第三，你的系統(tǒng)今天已經(jīng)被滲透了，別人已經(jīng)潛伏在里面了。

　　第四，員工不可靠，甚至做安全的員工可能都不靠譜，有的攻擊手段是找到原購弱點，比如他在外面包一個小秘，拿這個要挾他，讓他搞情報，你的員工有可能是別人派進(jìn)來的間諜，有可能本身不是間諜，但是被別人控制了，或者僅僅是因為他比較蠢，搞定一個企業(yè)最簡單的方法是搞定網(wǎng)管，派一個年輕小姑娘去搞，給小姑娘兩百萬，你說這個小姑娘干不干，IT運維人員可能是最苦逼的活，還有一個辦法是搞定公司前臺，人是有漏洞的。我們其實是在沙灘上建筑防御攻勢。

　　攻防理念：你想攻擊者所想，還好，360公司本身是做安全的，過去在歷史上招募了一堆黑客，差不多一半黑客，一半開發(fā)工程師，我2010年接手的這件事，理念是首先找攻擊者，沒有攻擊者思維，防御無從做起，我首先找過來黑客，發(fā)現(xiàn)寫代碼的能力往往比較差，能寫代碼的人員非常少，我開始配開發(fā)工程師，做工具。

　　防御體系，我們的防線無外乎這么幾個：第一，網(wǎng)絡(luò)訪問的統(tǒng)一管理平臺，第一步首先是準(zhǔn)入，員工個人的電腦帶到公司里是不能用的，不是說通過管理手段不能用，而是通過技術(shù)手段不能用，我們員工的電腦首先必須是公司簽發(fā)的電腦；二是必須裝了安全軟件才能上網(wǎng)，否則訪問任何東西都給一個提示，說對不起，你的電腦不能上網(wǎng)，原因是123456，不是公司簽發(fā)的電腦，根本不會加入域，802.1X的認(rèn)證不會過，不會獲得正常IP，假如公司電腦，入了域，終端管理軟件會和一臺服務(wù)器非常頻繁的通信，會告訴我這臺機器裝了沒有，出去沒有檢測到有裝軟件的打點記錄，對不起，802.1X根本不會分配IP，這臺機器如果超過24小時沒有重啟，也會把XP踢到非正常IP網(wǎng)段，訪問所有東西都會提示對不起，超過24小時未重啟了，要重啟。我們過去發(fā)現(xiàn)一個事故，發(fā)現(xiàn)員工兩三個月沒有重啟電腦，后來強制24小時必須重啟，這是完全可以接受的。在網(wǎng)絡(luò)邊界上布了群流量監(jiān)聽，我們差不多是100來G帶寬，全部抓包抓下來，長期存儲，反復(fù)運算，用概率找小概率事件，每天大量發(fā)生的事是正常的，攻擊是小概率事件，然后建模，試圖找出來網(wǎng)絡(luò)威脅。無線入侵檢測，在公司里，無線局域網(wǎng)是非常常見的，無線局域網(wǎng)是非常危險的，大家有一種設(shè)備，帶一個充電寶，到你那兒能夠工作一兩天時間，基本可以訪爆所有設(shè)備，你的設(shè)備過去連過哪個設(shè)備，不斷重新發(fā)起掃描，這個設(shè)備可以告訴你你連上來吧，攻擊開始做了。

　　在公司里要檢測有沒有人起來非法App，問所有App的時候，我會查過去連過什么樣的App，無線其實是一個弱點，我們手里有高達(dá)5.5萬億條的密碼庫，抓半個小時包，回來以后拿服務(wù)器一算就可以了。Web安全掃描系統(tǒng)、Webshell白盒掃描系統(tǒng)，兩套掃描器交叉掃描，經(jīng)驗數(shù)據(jù)是兩套掃描器重疊掃描概率的90%，有90%洞兩個都能發(fā)現(xiàn)，還有10%個洞各自發(fā)現(xiàn)。Webshell白盒掃描系統(tǒng)，對服務(wù)器上代碼做檢測，對安卓有半自動化掃描，掃描系統(tǒng)做法上，我們采用不相信員工的策略，明白告訴所有員工，默認(rèn)不被信任，我要通過各種手段查你，包括對于開發(fā)人員，要求開發(fā)完之后送交安全審查，然后上線，這個事能得到遵守的可能性微乎其微，開發(fā)人員有個特點，開發(fā)完之后要測一下，部署一個代碼之后，自己總要上去看看對不對，我把這個過程抓下來，只要發(fā)現(xiàn)過去掃描沒有掃到的URL，掃描器立馬找漏洞，服務(wù)器上代碼一產(chǎn)生改變，掃描器立馬開始掃描，做成全自動的，規(guī)定你報，不報也能抓出來。后來做了鷹眼，當(dāng)當(dāng)、去哪兒等將近十家互聯(lián)網(wǎng)公司在用，銷售許可證前幾天才拿到，沒有銷售許可證的時候，這些互聯(lián)網(wǎng)公司開使用了，我不要求制度，我認(rèn)為制度不可靠，靠系統(tǒng)自動發(fā)現(xiàn)。辦公網(wǎng)的安全審計等等，比如申請ACL，過去ACL是申請了我就開，開了之后放在哪兒？時間長了，人們要一個什么東西時候會找你要，不用的時候很難告訴你，ACL也是，核心交換機上抓了所有的網(wǎng)關(guān)之間的流量，我會看哪IP和哪個IP用哪個端口進(jìn)行過通信，通過大數(shù)據(jù)的方法，校驗ACL策略，如果沒有某種通信，最后還是要問他為什么當(dāng)初要申請這個東西。

　　第二層，比如VPN訪問是雙因子認(rèn)證的，重要業(yè)務(wù)系統(tǒng)訪問是雙因子認(rèn)證的，對所有員工的密碼采用暴力破解，有一臺6CPU密碼破解設(shè)備，要求是復(fù)雜密碼，15位以上，附加條件是只要能夠被我們算出來無條件修改，過程全是自動的，算出來之后3天之內(nèi)改，如果不改，抄送APP，再不改，直接開掉。所有機器通過加固機器上去，有數(shù)據(jù)安全審計系統(tǒng)。服務(wù)器上，有日志系統(tǒng)，日志有兩套，本機有一套，遠(yuǎn)程有一套，我們用這套手段成功抓出了三年前試圖在春節(jié)前看12366的同事，他在服務(wù)器上干活的時候，信息安全部同事已經(jīng)報告到我這兒了，要直接把他踢過去，春節(jié)前把這個人開掉了。對于服務(wù)器上產(chǎn)生的新聞檢，需要做Webshell的掃描和監(jiān)控。

　　內(nèi)部使用工具上，我們要求做安全防范的同事像產(chǎn)品經(jīng)理一樣，360產(chǎn)品比較講究用戶體驗，我們做安全產(chǎn)品時也是這樣的，哪怕內(nèi)部工具，也要求做的好用。團隊，目前信息安全部有36個人，一半黑客，一半開發(fā)人員，從團隊分工來說，有專門負(fù)責(zé)網(wǎng)絡(luò)層的，網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議；有負(fù)責(zé)Web安全的，有負(fù)責(zé)云計算安全的，私有云規(guī)模也挺大的，有無線與硬件安全團隊，現(xiàn)在發(fā)現(xiàn)硬件領(lǐng)域的安全還是蠻荒時代，拿到攝象頭之后，拆開以后，馬上能找到破解方法，我們做了一個盒子，WiFi模塊和以太網(wǎng)模塊上面都有，完全靠軟件很難搞，做了調(diào)試工具，有安卓安全組，有iOS安全組，有應(yīng)急響應(yīng)中心，有專門做協(xié)議和逆向分析組，在360安全公司里，我們本身能得到安全主線的支持，即使這樣，我們還是建了完整的團隊。就像前面李大學(xué)講的，做技術(shù)支持，其實和商業(yè)結(jié)合很重要，和商業(yè)的關(guān)系怎么處很重要。

　　萬物互聯(lián)的后移動互聯(lián)網(wǎng)時代

　　在座多數(shù)是同行，從IT來說，有些什么新的趨勢呢？智能硬件越來越多，不管叫物聯(lián)網(wǎng)，還是叫智能硬件，今后幾年肯定越來越多。但是，它的安全是非常成問題的，今年Defcon上有一個展示，45分鐘，展示22種硬件設(shè)備，包括海信電視機、LG冰箱、亞馬遜機頂盒、索尼和松下的藍(lán)光播放器，今年發(fā)現(xiàn)USB的漏洞，入侵的話，可以改USB Firmware，智能硬件變成了破解對象。我們過去的防御，不管防火墻，還是IPS，有用沒用？有用，十顆***過來能擋住三顆、五顆，在物聯(lián)網(wǎng)時代，過去的東西沒辦法保護你的安全，由于太大，或者由于部署原因，沒辦法部署在那個東西前面，過去我們的防御思想是邊界防御，剛才那些全在網(wǎng)絡(luò)邊界上，越來越模糊，而且會持續(xù)的模糊下去，為什么？互聯(lián)網(wǎng)給我們帶來的紅利本質(zhì)上是什么？無外乎兩點：一個是信息變得對稱了，信息流動變得快速和便捷；二是數(shù)字信息的復(fù)制是無損的，可以非?？焖俚膫鞑ィ烊坏膶傩詴屵吔缱兊媚：?，隨時隨地都能聯(lián)網(wǎng)的時候，人到處走，身上帶的智能終端設(shè)備跟著你走，網(wǎng)絡(luò)不斷的變，如果靠傳統(tǒng)的防御思想已經(jīng)過時了。今天企業(yè)的網(wǎng)絡(luò)邊界已經(jīng)推到了某個設(shè)備上，不管是隨身帶的，還是房間里的智能設(shè)備，或者是一臺服務(wù)器，或者是租用的虛擬機，到了某一個對象上，邊界在那里，邊界的防御思想要跟著辦。

　　安全體系也經(jīng)過了若干變化，現(xiàn)在流行的安全體系是立體防御，說穿了是什么？由過去玩工程的游戲，就是靠城墻防御變成塔防游戲，區(qū)別在哪里？城墻一旦被打破，進(jìn)去可以屠城，如果塔防程序，進(jìn)攻者需要過一道一道關(guān)，過去叫硬殼軟糖，殼咬破之后，里面的東西很美味，現(xiàn)在玩塔防新的安全模型，云管端，管道就是邊界一級的防御，終端上的防御，在2014年，終端防御的優(yōu)先級重新被提高了，過去大家認(rèn)為終端已經(jīng)做到那個樣子，殺毒軟件快做死了，過去終端管控也不是特別有效，今年對于終端安全的重要性又提升了，這條防線到什么程度了呢？開始和云結(jié)合起來，一個程序在某個終端里運行時，會采集它的行為，他做了什么API的調(diào)用，它用了什么資源，會把這些信息匯總到云端，云端可以收集多個終端設(shè)備的行為信息，再用大數(shù)據(jù)分析看有沒有異常，和過去在單個終端上做的安全防御有非常大的變化。終端這一級要引起足夠重視，第一，要納入安全防御網(wǎng)絡(luò)中，第二，終端要有自我防御能力，這是下一步可能要增強的，終端要能檢測到它自己遇到了什么問題，它有自我防御機制。云是這些年一個大的變化，可能已經(jīng)有超過5年時間了，云安全思想，云提供的是更大的數(shù)據(jù)存儲能力和更強的計算能力，我有了云，有算力，可以翻來覆去算歷史數(shù)據(jù)，找出中間的異常。

　　新的安全邊界在哪里？安全邊界有很大的變化，過去網(wǎng)絡(luò)出口是邊界，現(xiàn)在某一臺終端中跑的一個應(yīng)用程序變成新的邊界，比如手機里的一個App會變成新的邊界，今年有一個思想，軟件定義邊界，過去我們做ACL，從這臺設(shè)備到另外一臺設(shè)備中間可以通過哪個端口進(jìn)行通訊，今天要看的是某個終端中間的某一個應(yīng)用程序可以和另外的某個終端上某個應(yīng)用程序通過某個端口進(jìn)行通信，深入到一個終端物理設(shè)備內(nèi)部進(jìn)到一個程序進(jìn)行控制。

　　有了云之后，你的網(wǎng)站可能在公有云里邊，公有云中有很多東西是你不能控制的，比如多住戶安全問題，比如云服務(wù)商會不會偷看你的數(shù)據(jù)問題，你的邊界已經(jīng)推到云里了，這個邊界也需要一系列解決方案，這方面有關(guān)的法律法規(guī)比較欠缺，后面幾年大家肯定能夠看到這方面的完善。無線網(wǎng)絡(luò)，這是一個新的邊界，還有各種各樣智能硬件設(shè)備，會帶來新的邊界。你開的汽車，車聯(lián)網(wǎng)，邊界又到了車?yán)铮衲暝频内厔萁谢旌显疲接性坪凸性谱詈罂赡軙兂苫旌显?，邊界是動態(tài)變化的，邊界防御沒錯，只是在邊界防御具體怎么做上會產(chǎn)生非常大的變化。

　　要重視一點，Thaeat Intelligence，這是今年特別熱的一個詞，要做完全，要玩情報這一級，我們認(rèn)為需要兩方面東西：第一，大數(shù)據(jù)收集與分析能力；第二，攻防知識。所謂的大數(shù)據(jù)的分析能力，我要能夠存儲多長時間的數(shù)據(jù)，有多大的業(yè)務(wù)范圍，業(yè)務(wù)細(xì)節(jié)程度，一個App同另外一個機器里的App通信，如果不了解業(yè)務(wù)規(guī)則，你很難知道這個通信應(yīng)該不應(yīng)該產(chǎn)生。這個業(yè)務(wù)到底是干什么的？到這一級才能知道訪問到底是不是違規(guī)的。中心是攻防思想，給一個銀行做一個安全解決方案的時候，剛開始開發(fā)人員拿了一套方案，看著不滿意，我把信息安全部人叫過來，問他們應(yīng)該怎么搞，他們講一個小時，攻擊者提的攻擊點和防御者設(shè)防的地點無一重合，兩者是完全不同的思想，攻防知識其實是核心。

    文章來源：http://gryphon.blog.51cto.com/204617/1591162