新闻频道 > 观点论述

更多

宗劼:安全挑战无处不在 倡议建设安全防御联盟

发布时间: 2011-11-23 19:11   来源: 荆楚网   进入电子报

蓝汛公司副总裁宗劼在“第十一届中国网络媒体论坛”技术分论坛发言。人民网记者于凯 摄

  人民网武汉11月21日电 (记者 李岩)以“推动网络媒体新跨越 促进网络文化大繁荣”为主题的第十一届中国网络媒体论坛今日在武汉隆重开幕。本届论坛下设四个分论坛,其中第二分论坛——“借力技术手段 提升影响力传播力”邀请八位嘉宾进行主题演讲,蓝汛公司副总裁宗劼以“你的网站安全吗?——安全之道全剖析”为题进行了主题演讲。

  以下是蓝汛公司副总裁宗劼演讲实录:

  宗劼:我的演讲主题是“你的网站安全吗”。今天花一些时间,想从网站整体结构和网站服务过程中注意事项,来去考虑怎么做到网络安全。

  首先,安全的挑战无处不在。

  国家安全信息中心发布了一个消息,在国内有3.5万家网站被黑客攻击过,内容篡改时时刻刻发生在我们周边,像域名攻击,包括像微软、宏基、沃达丰等都曾被轻易篡改。像Facebook这样的社交网站也曾受到攻击,网站无论大小,无论规模多大,无论做什么事情,对于黑客来说,一旦他想要去攻击你,一旦他在业务上和你有冲突,你就有被攻击的可能性。

  网络面临五大威胁:第一,恶意入侵。网站内容经常被篡改,很大程度都是入侵主机。现在很多网站在这一点上防范都比较积极,比较主动,做很多安全措施。

  第二,流量型的DDoS攻击。对于流量性攻击来说,没有一些彻底解决之道,所有的解决方式,或者叫做可能不太正确的例子,就是叫“以暴抑暴”,就是攻击规模有多大承载能力就要有多大,而且要有多层次的防护,不仅仅是网站自身,还涉及到运营商本身,包括国家体系组织一个大规模的抵抗攻击,才有可能实现。

  第三,连接型的DdoS,这将更多地消耗资源。如,GET Flood、CC、空连接。

  第四,应用安全问题,如SQL注入、XSS、网页篡改、网页挂马。

  第五,域名解析污染,篡改解析指向,包括一些网站域名解析篡改,这是在日常当中很容易被忽略的一个环节。

  我们在安全上,会有三个比较常见的误区。

  一个是一味增加设备数量性能和机房带宽。我们应对攻击,应提高自己的性能,提高自己网络的处理能力,在一个机房里面买最强悍的机器,在机房里放很多的设备,加强更多的带宽,所有带宽在日常当中都需要成本的。同时对于服务器来说,如果我们买了很多服务器,如果没有一些专业的优化,服务器的性能无法发挥起来,可能一个很简单的DDoS攻击,一个很简单的小规模的攻击,就会导致服务器大量的瘫痪。

  另外是认为部署专业防火墙就安全了。几乎所有的网站一定都有防火墙,而且一定分内外的区域。我们可以想像,一个防火墙的架设实际上是一个专业的工作,我们买一个防火墙之后,我们需要有一个针对性的配置,就是针对这个网站常见被攻击的形式,很多防火墙都是通用型的,好像是“万金油”,什么都可以防,但是我们知道既然是万金油,大病是治不了的。我们可以很清醒的看到,防火墙需要我们做、怎么做好,这其实是需要我们和防火墙运营厂家去沟通,但是不要相信,你有了防火墙就是安全的。

  另外,过分依赖流量清洗服务。一般都是运营商支撑这个事,从运营商角度来说,可以做40G、50G的流量清洗,但真正有攻击的时候,真正把流量导到清洗中心的时候,可能发现根本没有办法清洗你现在面临的攻击方式。这种情况下,可能在技术支持上又不是一个即刻响应,在技术支持上需要有更大的专业响应。

  我们觉得安全防范大概总结了四个方面:

  一是定期扫描补漏洞,安全意识必须提高,对于攻击来说更大程度是防,要随时想着可能会有攻击过来,再定期的扫描漏洞,发现这种可能性,因为所有的扫描软件不断地升级,不断提出业界里各种各样的攻击手段,这样方式可以加固我们。

  二是实时监控、早发现。像域名更改,像域名污染和指向,我们都知道域名服务器解析时间,一般都是超一天,特别在自己设置当中,可以设置很长,一旦有任何域名污染的时候,如果实时从根域上发现内容被篡改,其实你可能有一天的时间进行各种防范和阻塞,当真正爆发的时候,已经发现来不及了,而这种爆发,我们相信当时经历的人知道并不是所有人访问都会出现问题,因为有一个污染扩散过程。

  如何通过有效监控可以及早发现污染情况的发生?就是在这个危害扩散之前,我们及时发现了这个问题,可以在很大程度上,或者尽最大的努力去抑制危害的扩散。

  三是应急方案常演习。应急方案如果是摆设就没有用,前提就是要制定有效地应急方案,很多时候应急预案是摆在纸面上,或者摆在你的文件夹里。作为一个网站,可能会受到攻击,但是有多少人演习过,一旦有攻击之后,你要做什么操作?比如针对DDoS攻击做什么操作?就像我们刚才说的流量清洗,如果真的攻击来了,找到流量清洗要做哪几个方面操作?如果被关闭服务器,去修改哪些及时发现的错误?首先我们要有正确的预案,要有正确预案的基础上,要实现整个预案的演习,这需要实时的演习。就像我们军队一样,没有战争的时候每年都要有演习,而且是越来越有针对性、实战性的演习,这样才会在出现问题的时候有效地防御,否则都是不堪一击。

  四是广泛合作性抗攻击。我们更多的需要社会,甚至整个国家一起来合作,我们在防攻击的时候不仅仅需要我们自己去做,我们可能和服务提供商和运营商一起做,多层次的防护才能达到一个最佳的防护效果。

  在这个基础上,蓝汛提出云感知网络系统架构,在这个系统架构基础上,我们尽量可能将网站的安全承载在我们基础的网络平台之上,也就是在云平台之上。我们有几个层次的,包括感知系统可以及时发现问题,通过流量的调度,通过大规模的网络,保护整个网站的安全。

  首先,像刚才前面提到的“以暴抑暴”,对于任何网站来说,像200G的带宽,在短时间内可能无法达到,我们通过云基础网络平台基于这样的工作。我们更关注的是一种服务,我们会实时发现攻击的来源的异常,实时调整,首先会有一些自动的反应,比如对于一些常见的攻击我们肯定会有反应,一旦作为一个服务,服务的目的就在于随时应对各种需求的变化,在这种情况下,可以很容易达到面对各种突发事件的时候进行应对。还有就是流动调度,我们前面也提到过,对于网络供给来说,事实上是一个突发性,可以在网络各个不同点上进行攻击,针对这种网络攻击形式,可以将不同的攻击流量,如果基于域名的话,可以调度到不同地方,可以有效保护网站。

  我们觉得安全绝对不是通过前面一个简单介绍,或者一个简单的小的论坛就可以把所有问题解决,我希望倡议建设一个安全防御的联盟,我们可以基于大家的力量建立这个联盟,不管是从技术上、网络规模上和整个技术储备上,我们可以合在一起去做,比如我们可以把所有的中央政府媒体加入到联盟当中,大家就可以实现一个技术共享。

  二是我们可以采用各种各样服务的方式和运营商,包括和运营商合作,就像我前面所说的误区,误区最大一点就在于很多时候我们单独去看一个东西,我们希望每个网站把这些结合起来,不是自身的加强,还要和服务运营商、电信运营商合作,形成一个多层防御安全体系,这样才能更多的增加我们的防御。

(本文来源:荆楚网 编辑:黄沛)
关键词:

相关新闻:

湖北焦点

国内要闻

娱乐推荐

荆楚网版权相关声明:
① 本网欢迎各类媒体、出版社、影视公司等机构与本网进行长期的内容合作。联系方式:027-88567716
② 在本网转载其他媒体稿件是为传播更多的信息,此类稿件不代表本网观点。如果本网转载的稿件涉及您的版权、名誉权等问题,请尽快与本网联系,本网将依照国家相关法律法规尽快妥善处理。联系方式:027-88567711
③ 本网原创新闻信息均有明确、明显的标识,本网严正抗议所有以"荆楚网"稿源的名义转载发布非荆楚网原创的新闻信息的行为,并保留追究其法律责任的权利。
④ 在本网BBS上发表言论,不代表本网立场,应当理性、文明,遵守相关法律法规。
鎰熻阿鎮ㄧ殑娴忚锛-鑽嗘缃