2017 CCS企業(yè)云計(jì)算高峰論壇(ccs.d1net.com)于4月26日在北京新世紀(jì)日航飯店盛大舉行，這是國(guó)內(nèi)面向政企客戶的最重要的一個(gè)云計(jì)算會(huì)展。CCS企業(yè)云計(jì)算高峰論壇的主題為云計(jì)算的生態(tài)鏈。

以下是現(xiàn)場(chǎng)速遞。(聲明：本稿件來(lái)源為現(xiàn)場(chǎng)速記，可能有筆誤和別字，僅供參考)

國(guó)家信息中心安全專家 趙睿斌

主持人：感謝李總。在云計(jì)算的部署中，安全一直是一個(gè)大家最為關(guān)注的核心問(wèn)題，可以說(shuō)，安全決定了云計(jì)算的前景。今天我們很高興請(qǐng)到了一位實(shí)戰(zhàn)行家，國(guó)家信息中心安全專家趙睿斌，趙總將為我們帶來(lái)：云安全等級(jí)保護(hù)關(guān)鍵問(wèn)題探討。掌聲歡迎!

趙睿斌：大家好，我是趙睿斌，是國(guó)家信息中心的，我看了昨天和今天的日程安排，大家都是講應(yīng)用，以及云計(jì)算的一些相關(guān)的問(wèn)題探討。我今天給大家共同來(lái)探討一下云計(jì)算在發(fā)展過(guò)程中我們所遇到的一些安全的問(wèn)題。

我的匯報(bào)提綱分三個(gè)點(diǎn)。第一，近期信息安全的熱點(diǎn)事件分析。第二，云等級(jí)保護(hù)冷卻提升云安全能力。第三，“互聯(lián)網(wǎng)+”時(shí)代企業(yè)的安全該如何去選擇?因?yàn)槲覀冊(cè)谧�都是CIO，我們對(duì)安全還是要接觸到一些的。

互聯(lián)網(wǎng)發(fā)展到現(xiàn)在可能會(huì)面臨很多的安全，包括黑客攻擊、信息竊取、信息篡改，有大量的木馬、病毒、釣魚(yú)鏈接，以及我們最常見(jiàn)的賬號(hào)被盜、撞庫(kù)，尤其現(xiàn)在手機(jī)辦公，手機(jī)智能終端被丟失的情況，導(dǎo)致信息泄露。

這種情況下，信息安全我們作為企業(yè)CIO該怎么辦?我把上半年從1月份到4月份目前國(guó)際上發(fā)生的一些重大的信息安全事件跟大家一起分享一下。

這是4月份的時(shí)候優(yōu)酷發(fā)現(xiàn)一個(gè)11個(gè)被盜的中國(guó)賬戶中出現(xiàn)了一個(gè)優(yōu)酷的相關(guān)賬號(hào)，它數(shù)據(jù)庫(kù)包含了十幾萬(wàn)的優(yōu)酷的賬戶被盜。優(yōu)酷賬戶被盜，因?yàn)閮?yōu)酷會(huì)涉及到一些付費(fèi)用戶，VIP用戶，付費(fèi)用戶，VIP用戶一定跟手機(jī)、信用卡、銀行帳號(hào)綁定就實(shí)名制了，這個(gè)賬號(hào)一被盜，就會(huì)導(dǎo)致大量的信用卡個(gè)人信息的泄露，黑客利用相關(guān)的撞庫(kù)就會(huì)跑到別的賬戶上用這個(gè)賬戶名撞庫(kù)，導(dǎo)致了信息泄露。

賬戶被盜舉一個(gè)很簡(jiǎn)單的例子，2015年12306大致大量的賬號(hào)被盜，13萬(wàn)賬號(hào)被盜，現(xiàn)在很多人也沒(méi)有更改密碼，因?yàn)槲覀兇竽X中不可能同時(shí)會(huì)記住十幾個(gè)密碼來(lái)回更換，那會(huì)把人整瘋的，一般人都會(huì)使用2-3個(gè)密碼，支付寶、微信、信用卡的密碼，還有京東的一些支付密碼，一般都是2-3個(gè)，基本上是比較固化的，這樣黑客用賬戶攻擊很容易能夠進(jìn)入個(gè)人賬號(hào)。

這個(gè)是NSA的武器泄露引發(fā)網(wǎng)絡(luò)世界的“核彈危機(jī)”，美國(guó)安全局有一個(gè)方程式黑客組織，使用部分的網(wǎng)絡(luò)武器被公開(kāi)，其中包括可以遠(yuǎn)程攻破全球約70%Windows機(jī)器的漏洞利用工具。360安全衛(wèi)士官方微博發(fā)布紅色警報(bào)，如果我們單位有一些XP系統(tǒng)一定要進(jìn)行相關(guān)的補(bǔ)丁的升級(jí)，包括我們國(guó)家信息中心也對(duì)XP進(jìn)行及時(shí)的補(bǔ)丁更新，要發(fā)布一些，大家把這個(gè)東西要注意一些。

這個(gè)是物聯(lián)網(wǎng)/Linux惡意軟件攻擊數(shù)字視頻錄像機(jī)并組建僵尸網(wǎng)絡(luò)。有一個(gè)黑客發(fā)現(xiàn)中國(guó)大陸地區(qū)有70萬(wàn)個(gè)智能網(wǎng)，包括一些相關(guān)的家居智能，但是很多人買了這個(gè)攝像頭安裝家里，一般都不會(huì)更改密碼，還是初始密碼，123456，或者8個(gè)1，或者12345678。前兩天網(wǎng)易新聞上轉(zhuǎn)的，黑客到了這個(gè)網(wǎng)站上，通過(guò)某個(gè)網(wǎng)站然后輸入了相關(guān)攝像頭的型號(hào)+密碼就能看到某個(gè)女主人在家正在做飯，如果我們家里要安裝攝像頭，一定記得要更改初始密碼，包括�？低�視，包括很多的攝像頭的密碼，智能家居會(huì)越來(lái)越多，初始密碼一定要改，改成字母大小寫(xiě)加數(shù)字，如果記不住放到一個(gè)筆記本里頭，否則很容易你的隱私就被別人所窺探到了。黑客應(yīng)用這個(gè)視頻數(shù)據(jù)傳輸會(huì)進(jìn)行DDoS的攻擊，因?yàn)楹芎?jiǎn)單，大量的視頻傳輸?shù)揭粋�(gè)網(wǎng)站，很容易把一個(gè)網(wǎng)站攻癱了，這是暴露在公網(wǎng)上的很多智能設(shè)備密碼沒(méi)有修改。

網(wǎng)絡(luò)安全監(jiān)督機(jī)構(gòu)發(fā)現(xiàn)大型跨國(guó)網(wǎng)絡(luò)攻擊APT10的攻擊，國(guó)外對(duì)這個(gè)網(wǎng)站攻擊進(jìn)行了ATP10的攻擊，現(xiàn)在這個(gè)ATP主要針對(duì)IT、通信、醫(yī)療、能源研究機(jī)構(gòu)的目標(biāo)，現(xiàn)在一定是一個(gè)灰色黑色的產(chǎn)業(yè)鏈進(jìn)行ATP的攻擊。

這是蘋(píng)果手機(jī)的一個(gè)漏洞，蘋(píng)果手機(jī)在今年上半年有一個(gè)WiFi的漏洞，通過(guò)這個(gè)WiFi黑客從網(wǎng)上能夠繞到蘋(píng)果手機(jī)登錄到個(gè)人手機(jī)上，能夠獲得相關(guān)的一些內(nèi)容。

在過(guò)類的安全事件，從前年和去年開(kāi)始集中在這么幾大類，視頻類，酒店類、金融類、物流類，這些企業(yè)容易受到攻擊，攻擊的目標(biāo)主要就是黑客產(chǎn)業(yè)鏈。

這是黑色產(chǎn)業(yè)鏈的一個(gè)設(shè)計(jì)圖，從制馬開(kāi)始，進(jìn)行相關(guān)的販馬，然后種馬，信息販賣，流量也可以進(jìn)行販賣，形成黑色產(chǎn)業(yè)鏈，以相關(guān)的肉雞，控制了大部分的肉雞，都可以給種馬的人相關(guān)信息�，F(xiàn)在肉雞其實(shí)因?yàn)榧矣脦�寬的升高，�?dǎo)致我們家用的電腦導(dǎo)致流量的攻擊會(huì)越來(lái)越大。這是熱點(diǎn)事件跟大家探討一下。

下面是我們國(guó)家信息安全中心承擔(dān)了一個(gè)云安全等級(jí)保護(hù)的工程，GB2239對(duì)整個(gè)性能的一個(gè)標(biāo)準(zhǔn)的補(bǔ)充。云平臺(tái)其實(shí)在互聯(lián)網(wǎng)時(shí)代會(huì)面臨更多的安全威脅，因?yàn)槲覀儼阉�有設(shè)備都集中在云上了，然后放在云上我們又看不見(jiàn)，摸不著，不像以前單個(gè)機(jī)房可以看到設(shè)備，這樣虛擬機(jī)如此之多，對(duì)于用戶來(lái)講是不知道的，所以云安全面臨的其實(shí)是很大的威脅。

云計(jì)算的四大特點(diǎn)，資源彈性、自動(dòng)部署、運(yùn)營(yíng)高效、按需分配。但是，導(dǎo)致的安全也是不可忽視的。這是一個(gè)簡(jiǎn)單的云計(jì)算系統(tǒng)的邏輯結(jié)構(gòu)，不講了。

這是云系統(tǒng)典型的架構(gòu)，等級(jí)保護(hù)政策是公安部推的，從2003年開(kāi)始一直到目前，等保技術(shù)目前國(guó)內(nèi)的測(cè)評(píng)機(jī)構(gòu)是162家，從業(yè)人員是6000人到7000之間，這樣對(duì)于安全等級(jí)保護(hù)工作公安部工作量還是做的不錯(cuò)的。這是等保的一個(gè)示意圖。

其實(shí)面向云計(jì)算的時(shí)候我們會(huì)遇到很多意想不到的事情，包括服務(wù)、架構(gòu)、方案、設(shè)備、用戶、安全措施、事件。比如虛擬機(jī)如何做安全防護(hù)，虛擬機(jī)在遷移的時(shí)候我們?cè)趺慈プ霭窗踩�防護(hù)，以及云計(jì)算系統(tǒng)的邊界化的問(wèn)題，如何做好云計(jì)算系統(tǒng)的邊界劃分，如果政府用戶，或者有一些今年銀監(jiān)會(huì)對(duì)于P2P企業(yè)下了一個(gè)文，P2P企業(yè)必須過(guò)等級(jí)保護(hù)。那么，過(guò)等保的前提下，一般P2P企業(yè)都會(huì)過(guò)三級(jí)，或者二級(jí)，P2P企業(yè)都會(huì)把相關(guān)系統(tǒng)部署在云上，這種情況下，二級(jí)三級(jí)邊界如何劃分，如何防止數(shù)據(jù)來(lái)回導(dǎo)流，以及如何做好虛擬機(jī)的安全防護(hù)控制，以及做好虛擬機(jī)安全隔離，虛擬機(jī)之間如何進(jìn)行防護(hù)，如果進(jìn)行隔離，如何能夠防治虛擬機(jī)的內(nèi)層數(shù)據(jù)不被竊取，就是做云計(jì)算我們要考慮很多問(wèn)題。

其實(shí)云計(jì)算的等級(jí)保護(hù)研究的意義，2239來(lái)講，這個(gè)是從計(jì)算機(jī)系統(tǒng)老的一套過(guò)來(lái)的。從我們新的來(lái)講，云計(jì)算的威脅以及國(guó)內(nèi)的情況，云計(jì)算等保標(biāo)準(zhǔn)比較缺失，測(cè)評(píng)參考的一些相關(guān)準(zhǔn)也比較缺失，這樣的情況下，我們國(guó)家信息中心承擔(dān)了公安部云計(jì)算安全等級(jí)保護(hù)的基本要求，這個(gè)基本要求目前網(wǎng)上已經(jīng)能夠查到了，大家上信息安全標(biāo)準(zhǔn)化委員會(huì)網(wǎng)站，已經(jīng)試行滿意發(fā)布了，大家有興趣可以看一下基本要求。

這個(gè)就是我們當(dāng)時(shí)從2014年年底結(jié)合這個(gè)課題以后做的一些基本情況，信息安全等級(jí)保護(hù)，云計(jì)算基本要求我們?nèi)绾巫鼍帉?xiě)，我們?cè)趺唇o國(guó)家做相關(guān)的支持。

當(dāng)時(shí)的研究路徑，要從使用入手，現(xiàn)在包括企業(yè)，包括政府大量的系統(tǒng)都部署在云上，云上如何去做相關(guān)的一些等保的測(cè)評(píng)，就是從幾個(gè)方面，確定云計(jì)算環(huán)境安全檢查與評(píng)估指標(biāo)框架，還有云計(jì)算環(huán)境面臨的威脅，導(dǎo)入云計(jì)算環(huán)境安全保護(hù)基本要求，針對(duì)每項(xiàng)要求，結(jié)合保護(hù)對(duì)象，測(cè)試方法，給出測(cè)評(píng)指標(biāo)項(xiàng)等。

這個(gè)研究的方式其實(shí)我們也是從這么幾個(gè)點(diǎn)來(lái)出發(fā)的。比如說(shuō)，云服務(wù)門(mén)戶的如何安全，數(shù)據(jù)安全，虛擬化安全，多租戶如何進(jìn)行隔離，服務(wù)水平協(xié)議管理，云管理平臺(tái)的安全，以及底層數(shù)據(jù)的備份。比如云服務(wù)門(mén)戶安全，云服務(wù)門(mén)戶安全我們?nèi)绾文軌蜻_(dá)到防控制，雙向升溫的鑒別，以及網(wǎng)絡(luò)傳輸要進(jìn)行加密，門(mén)戶要防DDoS攻擊，門(mén)戶防入侵，用戶流量隔離。數(shù)據(jù)的安全就是如何對(duì)數(shù)據(jù)進(jìn)行加密純屬，多租戶安全，就是多租戶共享的情況下實(shí)現(xiàn)資源、環(huán)境、數(shù)據(jù)的隔離，租戶的身份證、訪問(wèn)控制。還有在虛擬主機(jī)上我們?cè)撊绾芜M(jìn)行相關(guān)的防護(hù)。

而對(duì)于底層數(shù)據(jù)，我們?nèi)绾芜M(jìn)行備份，就是多數(shù)據(jù)中心，多資源地的備份，怎么去考慮，以及虛擬機(jī)的備份與恢復(fù)怎么考慮這個(gè)問(wèn)題，各個(gè)租戶之間的數(shù)據(jù)是不是在一個(gè)池子里，它進(jìn)行相關(guān)的割裂沒(méi)有，A租戶對(duì)B租戶的數(shù)據(jù)是不是能夠輕易接觸到，都是我們要考慮的問(wèn)題。

這個(gè)就是從這個(gè)標(biāo)準(zhǔn)編制的思路來(lái)入手的，就是從標(biāo)準(zhǔn)草案來(lái)講，我研究如何去編制，對(duì)于這個(gè)相關(guān)意向我們是按照相關(guān)逃路來(lái)做的。等保是整體分層的，比如物理安全，就是機(jī)房、環(huán)境，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)參數(shù)，主機(jī)安全就是為我們傳輸?shù)闹鳈C(jī)，應(yīng)用安全主要是系統(tǒng)應(yīng)用安全。

應(yīng)用安全測(cè)評(píng)內(nèi)容，就是對(duì)云服務(wù)方、云租戶，各自控制部分進(jìn)行審計(jì)和集中審計(jì)，并為數(shù)據(jù)審計(jì)匯集接口進(jìn)行測(cè)評(píng)。還包括數(shù)據(jù)備份以及數(shù)據(jù)恢復(fù)的內(nèi)容，就是我們對(duì)于云租戶方的加密方案和解密方案，以及數(shù)據(jù)備份的方案，數(shù)據(jù)加密以后能不能正常遷出，遷出以后怎么解密，解密以后停留的這些數(shù)據(jù)能不能進(jìn)行恢復(fù)，這都是我們對(duì)測(cè)評(píng)的要求要考慮的內(nèi)容。

這是云等級(jí)保護(hù)具體的測(cè)評(píng)內(nèi)容，舉個(gè)例子。從這么幾個(gè)，網(wǎng)絡(luò)架構(gòu)、訪問(wèn)控制、遠(yuǎn)程訪問(wèn)、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、安全審計(jì)進(jìn)行全生命周期的測(cè)評(píng)。虛擬化網(wǎng)絡(luò)資源和網(wǎng)絡(luò)拓?fù)涫欠窦皶r(shí)更新，虛擬化網(wǎng)絡(luò)資源和網(wǎng)絡(luò)拓?fù)淠懿荒芨鶕?jù)需求實(shí)時(shí)變化，這個(gè)東西是我們非常關(guān)注的一個(gè)內(nèi)容。以及測(cè)評(píng)，資源是的劃分，資源隔離，測(cè)評(píng)是否開(kāi)放結(jié)果，第三方產(chǎn)品如何進(jìn)行接入，我們?nèi)绾嗡�相關(guān)的接口進(jìn)行安全的測(cè)評(píng)。

訪問(wèn)控制測(cè)評(píng)內(nèi)容，就是測(cè)評(píng)虛擬機(jī)是否可以非授權(quán)訪問(wèn)虛擬機(jī)，虛擬機(jī)是不是可以沒(méi)有經(jīng)過(guò)授權(quán)而訪問(wèn)其他的虛擬機(jī)，而訪問(wèn)控制設(shè)備呢?

比如入侵防范，對(duì)入侵防范以前的傳統(tǒng)設(shè)備來(lái)講，就是三大入侵防范設(shè)備。對(duì)于云計(jì)算的平臺(tái)，是因?yàn)樵破脚_(tái)對(duì)于不同的租戶提供不同的服務(wù)內(nèi)容，對(duì)于不同的服務(wù)內(nèi)容，比如對(duì)等級(jí)保護(hù)三級(jí)來(lái)講，如何把虛擬的防火墻，虛擬的入侵防范設(shè)備如何達(dá)到安全的要求。

這是云安全審計(jì)的一個(gè)測(cè)評(píng)內(nèi)容，是1234567，尤其從鏡像和快照保護(hù)，我講的主要是對(duì)于我們標(biāo)準(zhǔn)里頭的一個(gè)全生命周期的流程的一個(gè)過(guò)程。

這是云等級(jí)保護(hù)管理的測(cè)評(píng)內(nèi)容，其實(shí)這個(gè)云安全，因?yàn)樗�技術(shù)的變化會(huì)帶來(lái)一些管理的變化，管理的變化不大，但是對(duì)變化的要求還是有的。比如系統(tǒng)建設(shè)管理，如何對(duì)系統(tǒng)管理進(jìn)行防護(hù)，安全方案的測(cè)試，供應(yīng)鏈的測(cè)評(píng)，這以前我們等保是弱點(diǎn)，對(duì)于供應(yīng)鏈安全如何進(jìn)行管理，云服務(wù)商如何進(jìn)行管理，尤其像以前2014年的時(shí)候我給翻譯了一篇材料，就是美國(guó)對(duì)供應(yīng)鏈安全的管理，我們對(duì)于供應(yīng)鏈安全可能是各大云商都會(huì)去注意的一個(gè)問(wèn)題。

這個(gè)是云安全等級(jí)保護(hù)單元的一個(gè)測(cè)評(píng)，就是我們從云計(jì)算安全的系統(tǒng)和以前的老系統(tǒng)進(jìn)行了對(duì)比，比如物理安全這一塊基本上沒(méi)有什么變化，網(wǎng)絡(luò)安全這一塊有了一個(gè)虛擬化網(wǎng)絡(luò)設(shè)備，主機(jī)安全，會(huì)出現(xiàn)宿主機(jī)，虛擬機(jī)。應(yīng)用安全這一塊變化不大，數(shù)據(jù)安全要去管理數(shù)據(jù)，租戶的數(shù)據(jù)是否是統(tǒng)一管理，還是放在一個(gè)資源池里，還是隔離管理，包括虛擬機(jī)的鏡像文件，因?yàn)闃I(yè)務(wù)數(shù)據(jù)包括隱私，數(shù)據(jù)泄露會(huì)影響到租戶的一些情況。

系統(tǒng)建設(shè)管理，是否有安全風(fēng)險(xiǎn)報(bào)告和安全預(yù)案，系統(tǒng)運(yùn)維管理，這里頭提安全評(píng)估拔高和安全預(yù)案，就是因?yàn)椤毒W(wǎng)絡(luò)安全法》從去年11月7號(hào)開(kāi)始發(fā)布以后，大量的提到風(fēng)險(xiǎn)評(píng)估，就是以后的信息化系統(tǒng)，包括云平臺(tái)也好，風(fēng)險(xiǎn)評(píng)估可能中央網(wǎng)信辦會(huì)作為一個(gè)重要的節(jié)點(diǎn)去提出，目前相關(guān)部門(mén)正在做相關(guān)的工作。

這是一個(gè)云安全等級(jí)保護(hù)整體的測(cè)評(píng)，包括安全控制點(diǎn)的測(cè)評(píng)，層面間的測(cè)評(píng)，區(qū)域間的測(cè)評(píng)，測(cè)評(píng)結(jié)論，是整體測(cè)評(píng)的一個(gè)流程。

這也是云安全等級(jí)保護(hù)條款的一個(gè)事例，從測(cè)評(píng)指標(biāo)，提出一個(gè)云計(jì)算的基本要求，然后測(cè)評(píng)指標(biāo)，你是如何去檢測(cè)呢，測(cè)試呢，上設(shè)備呢，就是一個(gè)檢測(cè)方法。第二，測(cè)評(píng)對(duì)象，測(cè)評(píng)對(duì)象包括系統(tǒng)管理員，包括關(guān)鍵服務(wù)器，宿主機(jī)、虛擬機(jī)，關(guān)鍵數(shù)據(jù)庫(kù)系統(tǒng)，以及云平臺(tái)。然后是測(cè)評(píng)實(shí)施。

研究成果，因?yàn)槌薪恿讼嚓P(guān)的等保的一個(gè)國(guó)家標(biāo)準(zhǔn)，雖然我們后來(lái)出了一系列相關(guān)的研究標(biāo)準(zhǔn)，包括《云計(jì)算實(shí)際應(yīng)用環(huán)境調(diào)研報(bào)告》 、《云計(jì)算環(huán)境威脅與風(fēng)險(xiǎn)分析》，前年開(kāi)始和去年開(kāi)始我們國(guó)家信息中心一直是國(guó)家中央網(wǎng)信辦的支持單位。給公安部的信息系統(tǒng)，《信息系統(tǒng)安全等級(jí)保護(hù)云計(jì)算相關(guān)標(biāo)準(zhǔn)》這就是當(dāng)時(shí)給公安部提交的所有文檔。

下面跟大家探討一下，“互聯(lián)網(wǎng)+”時(shí)代，企業(yè)人群該何去何從。其實(shí)做CIO的各位都會(huì)碰到這一點(diǎn)，我們這個(gè)安全就是說(shuō)從終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全三大塊。但是，終端安全我們對(duì)于網(wǎng)絡(luò)控制、終端加密這一塊去做相關(guān)的措施。訪問(wèn)控制包括實(shí)名注冊(cè)可信人員。云端加密就是數(shù)據(jù)加密，網(wǎng)絡(luò)安全這一塊，就是APP如何進(jìn)行防護(hù)，APP防護(hù)這一塊從這兩年開(kāi)始興起，現(xiàn)在智能手機(jī)大概人手一臺(tái)，很多企業(yè)開(kāi)發(fā)了自己的APP的應(yīng)用程序。那么，APP的防護(hù)就是如果CIO回去要加強(qiáng)注意一下，APP現(xiàn)在有很多漏洞，APP有底層代碼的一些漏洞，會(huì)導(dǎo)致黑客進(jìn)行相關(guān)的一些信息泄露。應(yīng)用安全，就是我們剛才所說(shuō)的很多企業(yè)上云了，云端如果進(jìn)行加密，我們是不是使用了相關(guān)的一些系統(tǒng)。

這些企業(yè)關(guān)注安全事件的發(fā)展，一般從兩個(gè)點(diǎn)，可用性安全事件和應(yīng)用安全事件。可用性安全事件是指服務(wù)器無(wú)法正常訪問(wèn)或者使用，危險(xiǎn)在線業(yè)務(wù)的可用性。包括DDoS攻擊，包括我流量攻擊和應(yīng)用攻擊，會(huì)造成可用性安全事件。比如游戲類的公司，還有P2P企業(yè)的攻擊，因?yàn)槲覀兌夹枰�在線操作，P2P的公司我接觸比較多一些，他們的在線網(wǎng)站對(duì)應(yīng)用層要求比較高一些，因?yàn)镻2P網(wǎng)站需要通過(guò)網(wǎng)站客戶隨時(shí)進(jìn)行投資，如果這個(gè)網(wǎng)站不能用，損失很大。

應(yīng)用安全事件指服務(wù)器的數(shù)據(jù)和業(yè)務(wù)內(nèi)容被盜取、業(yè)務(wù)信息、用戶信息的安全無(wú)法得到保障。網(wǎng)站存在漏洞，被黑客惡意利用，會(huì)造成業(yè)務(wù)安全事件。如果一個(gè)企業(yè)你的業(yè)務(wù)數(shù)據(jù)，包括公眾所關(guān)注的隱私信息得到泄露，這在人們的心目中會(huì)大打折扣，這樣你的業(yè)務(wù)會(huì)受到影響。

目前流行一個(gè)DDoS攻擊，DDoS攻擊包括流量攻擊、業(yè)務(wù)攻擊，主要是耗費(fèi)服務(wù)器的帶寬資源，導(dǎo)致網(wǎng)絡(luò)資源不能被應(yīng)用，導(dǎo)致不能被企業(yè)自身的系統(tǒng)達(dá)到正常工作的狀態(tài)。

這是DDoS攻擊的一個(gè)示意圖，DDoS攻擊因?yàn)榇蜻^(guò)來(lái)流量很多，全球有能夠控制上百萬(wàn)臺(tái)的智能終端，包括物聯(lián)網(wǎng)上的攝像頭，這些攝像頭很容易產(chǎn)生導(dǎo)流，同時(shí)被引到IP上，IP上的運(yùn)營(yíng)服務(wù)器就被堵住，不能使用了。

這是DDoS攻擊發(fā)展的規(guī)模，從2013年開(kāi)始，黑客認(rèn)為的攻擊方法，網(wǎng)上看也比較簡(jiǎn)單，下載一些攻擊程序，攻擊一些流量的服務(wù)器有能夠給某個(gè)網(wǎng)站進(jìn)行DDoS攻擊。比如說(shuō)給網(wǎng)吧進(jìn)行攻擊，導(dǎo)致大家不能上網(wǎng)，招攬不來(lái)客戶，這樣就是一個(gè)典型的DDoS攻擊。

DDoS攻擊如何去預(yù)防呢?我們跟華云安盾共同合作的一個(gè)平臺(tái)，部署在我們那個(gè)地方，DDoS設(shè)備有多大，我們跟行業(yè)合作伙伴分析過(guò)，現(xiàn)在有時(shí)候能達(dá)到1T的流量，一般機(jī)房是承受不了的。這是公有云的抗DDoS業(yè)務(wù)的一個(gè)流程。

講一個(gè)具體的案例，前段時(shí)間讓一個(gè)朋友從路由器上截取了一個(gè)抗DDoS的流量分析圖，將近1T的流量就過(guò)來(lái)了，而且持續(xù)很長(zhǎng)一段時(shí)間，我發(fā)現(xiàn)一個(gè)公司他們對(duì)于相關(guān)的一些游戲類的網(wǎng)站進(jìn)行了一個(gè)訪問(wèn)，這么長(zhǎng)的一個(gè)流量會(huì)導(dǎo)致整體的游戲網(wǎng)站運(yùn)營(yíng)不下去。

這個(gè)是路由器上QPS實(shí)時(shí)的流量圖，將近好幾分鐘的流量，這樣流量過(guò)來(lái)，我們?nèi)绾稳ヌ幚�，這么大流量，如何把這個(gè)流量導(dǎo)出去，如何讓正常的應(yīng)用開(kāi)展，是我們可能以后可能會(huì)遇到的問(wèn)題。

這是WAF的應(yīng)用，WAF一般的單位都會(huì)上。這是一個(gè)安全的防御機(jī)制的截圖，也是實(shí)時(shí)的，也是前幾天的一個(gè)實(shí)時(shí)截圖。這是兩個(gè)，其實(shí)從上云流量圖來(lái)講，數(shù)字是100G的流量。

整體的防御開(kāi)啟，就是從開(kāi)啟防護(hù)，然后到DNS解析，流量攻擊，為什么講一個(gè)例子，大家以后可以遇到這樣的事情，一旦應(yīng)用打不開(kāi)，我們采取哪種手段進(jìn)行訪問(wèn)，或者去處理。這是一個(gè)總體的流量分析，會(huì)持續(xù)一段時(shí)間。

最后，謝謝大家，感謝大家給我半個(gè)小時(shí)跟大家互動(dòng)的時(shí)間。

標(biāo)簽： 云計(jì)算 云安全 信息安全 互聯(lián)網(wǎng) 黑 凸セ

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。