建立网络安全新生态，网络态势感知至关重要

建立网络安全新生态，网络态势感知至关重要

杭州安恒CSO刘志乐

从大数据安全风控中心的报告可以发现，对25万个中国网站进行监测，去年发现有840万个漏洞，平均每一个网站就有32.4个漏洞，其中高危漏洞将近57万个，充分说明这些系统安全问题的严重性。

目前有组织的网络犯罪，就是将公民的隐私信息在互联网上泄露出来。从安恒信息去年的报告里面可以发现，在去年某一周之内，就有很多安全的事件发生。比如3月30日山东省人社厅涉及到上百万人的身份信息泄露事件；3月20日爱奇艺、3月30日海尔集团某网站的售后服务漏洞造成了300万的帐户泄露；3月29日福建住宿的采集系统涉及到几百万的住宿信息泄露； 3月28日中国联通的53万个固话宽带的工作信息遭到泄露。在整个2015年期间，因公民的信息泄露造成的诈骗金额达到了805亿。

近年来，黑客利用外面公开的被入侵泄露的个人数据，最终形成一个多库融合的库，包括每个人的身份证号码、常用密码等等，这个库为黑客攻击提供了方便。

现在APT高级可持续性攻击的影响比较深远。去年有一个病毒的APT样本，对它做了完整分析后发现它实际上会释放一个ER然后加载执行，但是前台伪装成EOS，就是一个Word文件。一旦打开这个文件就显示损害而无法正常启动，很容易迷惑一般的用户，这实际上病毒就直接植入到了计算机的系统里面。这个病毒功能非常强大，它支持HTB中间人、E磁盘的读写等等。

移动互联网和物联网的未来安全越来越严峻，可能跟每个人都息息相关。如果行驶在高速公路上的智能汽车突然撞车，在目前公众会理解为交通肇事，但在未来物联网时代，他人可以买通地下黑客来远程入侵造成汽车故障，实现恶意谋杀案件的产生。甚至在未来家庭里有越来越多的智能设备，黑客可以通过远程控制，让微波炉温度突然升高而造成爆炸，使你的家庭受损，这样的例子还有很多。未来，公众在享受物联网便利的同时，可能也将对整个社会法律，以及生活的其他方方面面都会带来一些挑战。

安恒信息有幸承担了一些重大的网络安保工作，比如第一届、第二届世界互联网大会的网络安保工作。当时大会的官网和注册网都是在阿里云上，我们通过部署云的审计和云的堡垒来确保虚拟内网的安全。然后再通过安恒信息集中云防御和云的审计（非编系统），最后实时在乌镇网络安全保卫指挥中心通过大屏幕显示出来。

在去年的世界互联网大会期间，针对官网群的整个攻击达到了1200多万次，攻击的源头显示主要是集中在美国、新加坡、德国，也可能不是这些国家，因为黑客可能利用他们作为跳板。

针对两次世界互联网大会的网络安保经验进行比较可以发现，在网络攻击的规模上，第一次世界互联网大会期间受到的攻击量只有27万次，而在第二次世界互联网大会期间，针对核心系统的攻击就达到了1000万次以上，防护系统最终统计出来的攻击是3.8亿次。两次大会攻击的手段也不同，第一次世界互联网大会期间主要是一些常见的自动化的攻击。但是在第二次世界互联网大会期间就发现有非常多的攻击方式出现，包括新型的0Day攻击、DDOS攻击、WIFI攻击等等。防御手段也从只是针对核心的信息系统的防护，升级为整个对核心的信息系统以及整个大会周边所有的重要信息系统的防护。因为第二届世界互联网大会是在云平台上，所有的数据返回到风控中心，完成大数据的分析，进行的是人工7×24小时的值守。

在第二届世界互联网大会之后，安恒信息统计了一些比较有趣的数据。比如看谁在关注第二届世界互联网大会，结果发现有来自191个国家的10亿次访问。国内有32个省市自治区进行了8.7亿次的访问。大家喜欢用什么样的设备？72%是PC……安恒信息对所有的数据都有这样的统计，这就是大数据的技术。

今年美国CSA发布了十二大云上安全威胁，从数据泄露到共享技术，共享危险。针对这些威胁，安恒信息积极的做着准备工作。首先安恒信息结合云平台的提供商，跟阿里云联合国家产品保护、产品中心一起完成云上合规的工作。过去主要是针对传统的网络和硬件设备，但是现在到云平台上，它已经发生了很大的变异，网络已经不是过去传统的物理网络，它的主机也变成了虚拟机。

在云计算广泛使用以后，企业面临诸多安全问题。整体上来讲，就是一个云平台支撑安全问题。怎样让云的提供商做好内部安全，以及外部防御工作？一些系统上云以后遇到了一些新的安全问题，比如部署模式，边界防护等问题。整个云计算的这种环境的风险，已经成为制约用户跟企业拥抱云计算和大数据的重大障碍。

在实践当中经常会遇到很多单位在迁上云与不上云之间犹豫，因为他不知道在云上以后的安全怎么做？过去在非云情况下可以买防火墙和一些安全设备，但云平台上这些设备都变得无处安放。在这种情况下，要想保障云上的系统安全，对他们来说，确实是一个挑战。

面向这种云租户的安全，安恒信息提出了一整套的思路。首先帮云租户在各个层面部署虚拟化，在云平台上部署各种防火墙、检测设备、审计设备，让用户能自主掌握自己的安全动态。安恒信息还有一体化的云上安全平台实践，通过远程云监测对用户所有系统进行7×24小时的服务，从漏洞到入侵事件，从可用性到云集中防御，从网络层到主机层、应用层针对防御，然后到云端运维审计等等，最终将所有数据汇总到整个大数据的安全中心，通过可视化，人工的值守给客户提供安全能力的交付。

安恒信息的云上防御产品——玄武盾，它是一种集中防御模式，只要将用户域名或者IP指向玄武盾，玄武盾就可以抵挡住从网络层到应用层的攻击，免除了过去把一个防护设备到网络里面去部署这样的问题，它拥有高达300G以上的防护能力，可以实时地迅速完成全面的防护。

安恒信息基于大数据的日志分析，可以发现一些威胁的情报。从用户域名到IP库再到网站，从用户所有数据、日志到离线文件，都可以存储在大数据存储和计算中心，然后通过实时的处理、计算、存储，通过分析平台出来查询的界面。

最后，为什么有那么多的安全的事件要去预备。

第一，近年来，很多信息系统的规划、编码、上线之前没有做好安全的防范措施，导致上线后出现大量安全问题再修修补补。因此建议整个系统在规划、编码和上线之前就要把安全工作做好，这样就有比较强壮的安全系统，不会出现太多的安全问题。

第二，推行一体化攻防相结合的网络安全体系化建设。

第三，把过去的产品迭代变成产品+服务+运营这样的转变融合，这是国际上不可阻挡的潮流。

第四，要充分借力云计算和大数据来实现最佳网络安全保障。