中国IDC圈7月17日报道:7月15日至7月16日,由工业和信息化部指导,工信部电信研究院、中国通信标准化协会主办,数据中心联盟和云计算发展与政策论坛承办的"2014可信云服务大会"在北京国际会议中心盛大召开。本次会议以"可信中国云 未来新生态"为主题,积极推动了国内可信云服务认证体系的建立,促进云计算产业良性发展。工信部总工程师张峰、财政部政府采购管理办公室主任王瑛、中央国家机关政府采购中心主任王力达、工信部电信研究院院长曹淑敏、中国通信标准化协会秘书长杨泽民、工信部通信发展司副司长陈家春等重量级嘉宾均出席了会议。其中奇虎360网站卫士总监胡振勇也应邀出席了大会并发表精彩演讲"云时代的网络安全".
以下为胡振勇演讲实录(请参考PPT):
胡振勇:各位领导,各位专家大家好,我是来自360的胡振勇,我在360负责网站安全这块的产品。今天我演讲的题目是云时代的网络安全。
首先给大家分享一个数据,从去年全年的数据来看,国内网站曝出来的漏洞数量呈现上升的趋势,在12月份这一块,数据稍微有一点减少。
这是网站篡改的状况分析,我们有一个产品叫网站安全检测,扫描了91万个网站,发现8.7%的网站,都存在页面被篡改的行为。为什么漏洞这么多?影响面这么广泛?这里面有几个问题,第一个是现在大家都知道,现在建网站的时候,很多人并不是自己写代码的,而是使用开源的,或者是第三方的软件,来搭建自己的网站,这样其实有很多软件的开发者,并不是很快速的去发布这个主题。在发展的过程中,会尽量的遮遮掩掩,因为大家知道承认自己犯错这是比较困难的。
现在所有的软件,都没有比较好的推送机制,有一些产品他可能只是针对商业的用户,比如说收费的用户,他会发布漏洞的警示。开发者定制的系统,有一些开发者,在第三方软件的基础上,做一些定制化的开发和升级。
今天我们讲的就是可信云的平台,云平台的外部威胁,主要是以下几种,一种是利用系统漏洞获得数据。后面我会给大家带来具体的案例。包括前面发生的携程事件的数据,信用卡的数据都会有。
还有一些DDOS的攻击,如果发生DDOS攻击,会导致平台的瘫痪。还有云平台内部的威胁,各位云服务的合作伙伴,都会提供一些免费的测试,会有一些钓鱼网站,像360提供免费的CDN服务,我们也可以为CDN的平台发布一些钓鱼的网站,针对CDN的域名,会开通一些白名单,导致有一些木马不会被杀毒软件杀掉。
在云存储,通过分享的功能,如果在360的云盘文件,这时候会出现DDOS的非法文件。有一些会从事非法的活动,比如像赌博、钓鱼诈骗的网站比较多。还有一种是用云主机发起DDOS的攻击。在今年1月份,央行被攻击的时候我们发现有100个帐号,是用来对央行进行DDOS攻击的。
给大家看一些真实的数据,这是我们360网站卫士做了一个防护产品,大家可以看到,我们在日常受到攻击普遍在50G以上,高的时候达到70G.攻击的频率非常的频繁,基本上每天要发生很多次的攻击。像这种小规模的10G、20G的攻击,基本上是家常便饭。
这里我给大家带来真实的案例,网页的内容劫持,这个页面打开是一个淘宝的页面,实际上里面多了一个弹窗,其实是一个钓鱼网站,可以对页面的内容进行篡改。
这是非常普遍的情况,就是黑店,我们专业叫做黑店SU,它是什么概念?黑客通过去篡改一些政府网站,这个网站的内容,在网页的源代码里面添加了一些暗藏的链接。这些链接在正常的访问的时候,是看不到。因为它的权重高,权重高了以后,会有很多的黑客,通过黑政府的网站,赌博网站比较多,他们做搜索引擎的权重的提升。
这是一个真实的案例,这是一个网站,是一个建筑类的OA系统的网站,他的官方网站,是非常正常的一个网站,但是我们在搜索引擎搜一下,发现他的网站下面是一些香港马会,赌马的网站。有一个网站他自己还带了一个蓝V的认证。这些问题总结就是一个重要性的问题,如果出现安全事件之后,用户的信息丢失,数据泄露,这里面会导致一些情况。我们曾经发生过数据被恶意的删除,有一些被修改。
还有一种就是服务的不稳定和用户的流失。网站被DDOS攻击,我们曾经接触过一个客户,他是直接被勒索要了钱,大概要了50万,这个用户没有给他,导致结果他的网站持续的被攻击了几天,他自己没有办法又交了钱。
去年年底比特币网站非常火,这个网站不断的被攻击。我们曾经监控到一个网站,连续24小时都一直在攻击。
我们现在讲云时代,大家都在讲云计算,云计算我们之前原来把一些线下的东西,拿到了线上,或者是把本地做的东西,拿到了云端。我们原来交水电费,可能要去银行交,现在直接在网上可以交。充话费也可以在网上充值。服务越来越方便了,对于犯罪分子来说也更方便了,这一点就带来了不安全的因素。
现在流行一个词叫大数据,大数据都存在在网上,像我个人,我的名字,身份证号,可能在很多的网站上都有,有了这些,就要问一些问题。我们这些大数据存在那之后,这些拥有者他有没有利用这些信息。他保存了信息,有没有足够的安全机制。我们也会讲一些问题,在云服务商里面,我们既然保存了这么多的用户数据,是否可以给用户提供足够多的安全保护机制。大数据丢失的情况,现在遇到比较多的,现在是航班信息的丢失。我亲身经历过的一个,我刚定过的机票,马上会收到一条短信,说我的航班被取消了。因为我自己做这个事,我知道没有问题。我有一个朋友因此就被人诈骗了,当时被诈骗了九千多块钱。
信息安全,跟国家的安全是息息相关的。之前大家可能不知道,去年斯诺登事件爆发之后,原来国外的一些势力已经潜伏很久,对我们国家的网站做一些网络的窃听。我们就要考虑一些问题,我们现在的国家,特别是我们的政府部门,和相关的比较重要的企业,他们是不是还在使用一些不可控的服务。
因为我们做一个云平台,有没有做好信息安全的检查。比如像一些钓鱼的软件,360也在对外提供云主机的服务,云主机上会不会有有一些恶意的租户,能不能在上面建立一些钓鱼的网站,或者是其他的网站,我们这个平台,你要不要建立一些检查的机制,就是如何去进行防范?
现在我们的云平台,会对用户的内容进行一些审计。特别是结合我们360浏览器,会做一些UIL的识别。如果发现这个网站出现大量的钓鱼链接,会直接把这个网站关掉了。
信息的安全,会不会被外部盗取?会不会被内部盗取?比如说快递单号、航班的、酒店的信息都有。有的人接到了一个骗子的电话,让这个骗子准确的说出你的名字,知道你的电话,甚至你的身份证号信息,这对云计算的可行性打了折扣。
下一代已经开始接触互联网,有没有对他们进行过多的保护。像我们的服务器有没有被攻击?前面我们讲的比较多的就是信息安全。现在可能会讲一些关于DDOS攻击的,在座平台服务商来说,其实我们有一个观点,就是网络的攻击现在已经形成产业化。讲了网络攻击,我先给大家介绍产业链。在这个产业里面有人专门是做漏洞挖掘的,有专门是做木马的,这些是属于技术专家。这些技术专家,把这些数据变成一个工具。只需要点一下按纽,就可以黑掉成千上万的网站,这一点不夸张。有人拿到这个工具之后,会黑掉他,要不是在别人的网页上面去管一个木马,或者是放一个黑面SU.就有人在网上卖。大家可以看到的是,钱可以买好几千个,这个都是有现成的网站。
再看DDOS的防御,攻击和防御的成本是非常的不匹配的。构建一个具有防护能力的云平台,我们在建云平台的过程中,会有几个问题。有几点认识:一个是用户的不可信,用户的系统是不可信的,用户的操作系统、业务系统,我们要对他进行扫描,及时的发现漏洞。我们要告诉用户。
用户的安全意识不可信,用户即使知道有安全的漏洞,他未必会引起重视,我们要做好外部的隔离。用户其实发现漏洞,他未必可以处理,未必处理得了。
从建平台本身来说,第一个肯定是要有足够的资源的支撑,云平台可以集中起来建设,可以方便的做到的是我们有足够的带宽,流量攻击的门槛可以提升,我们可以对服务器的软件做一些优化。我们的单机处理能够提高,防护能力会提高,会及时的发现攻击的行为。
云平台起到一定的规模效应,可以在骨干网上做一些流量的分析,也可以找到攻击的工具,也可以对攻击进行阻断。
最后是360的解决方案,360主要是做DNS的防护,这个可以自动发现DNS攻击行为,现在我们这个服务,已经为国内200多名域名提供了服务。还有一个DV域名解析。
我们有360的网站安全扫描,对网站进行一个漏洞的扫描,发现网页篡改和网页挂马的行为。我们日常的攻击防护大概在100G左右。我们曾经成功的做过两次对网络攻击的溯源,直接通过网络的客户端,把病毒杀掉之后,就不会发起攻击。
今天我给大家带来一个视频,因为我发现上当受骗的比较多,我们有一个360网络安全情景剧,旁边的二维码是它的地址,大家可以通过微信扫描可以打开。
演讲PPT下载:点击访问