张琦专栏

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 专家专栏 > 张琦专栏

张琦:企业信息安全实例分析

作者:张琦出处:IT专家网2013-01-29 16:05
 2011年12月15日比特网报道,由中国计算机用户协会、中国电子学会和北京市软件协会指导,天极传媒集团主办,比特网、比特CIO俱乐部和IT专家网承办的第四届中国CIO年会,在北京国家会议中心召开,本届中国CIO年会是一场“云”的盛宴!以云计算应用为着眼点,引来着众多知名CIO、行业信息化专家和相关云计算厂商的广泛关注。

  IT培训中心首席信息官信息安全专家张琦

  在第四届中国CIO年会下午的信息安全分论坛中,IT培训中心首席信息官信息安全专家张琦给我们带来企业信息安全实例分析的精彩演讲:我主要讲这么几部分内容,更多威胁与挑战,联动与矛盾,应用层的威胁与防护,最后说一下,因为咱们说云计算,需要跟云有关,虚拟化作为云的一个基础架构,所以说一说虚拟化的防范。

  我是做运维的,经常跟做开发的打架,我们由于知识不对称,前几年我遇到一个非常好的工作,那个开发密码终于不用英文来记了,后来发现云计算出来以后,我们所提的服务模式的改变,基础架构随之服务模式的改变,跟开发商打了这么多的架,因为之前所有安全工作已经变性了,涉及到更模糊的一种状态。如果在很早以前发现单位的笔记本上经常贴的黄的便利贴,你仔细发现会在里面找到密码,就是一定要细,有的那种隔开的,在它的墙角那部分也会发现密码,因为我没事干的时候,经常喜欢在各个地方闲溜达,我经常发现这些密码。后来他们把这个密码记手机里了,我也能看到。

  我们遇到了很多问题,刚才前面讲到打补丁,从第一个补丁开始,到后面各种系统的中毒开始,到我们所说的云计算、云安全,这里有很多东西需要进行诠释,在这么短时间内跟各位介绍不完,咱们就略过,把这些问题摘几个重要的说说。

  说说防御,怎么防御呢?先得知道对手怎么去做,我也属于07年被封过的一批人之一,被教育很好的一批人,不干坏事了,就是炫耀自己编写一个病毒,千古留名这么一种想法,后来我们这个圈子里面微博互发一下。05年的时候,跟咱们祖国另外一个地方就是台湾地区是进行了一次内部的演练,为了银子而来的攻击,他们想到什么,想拿到的是数据。他们是通过什么途径进来的?主要是通过网络,他们为何能进来?就是因为一些漏洞,他们能拿走数据吗?复制是可以的,有一定的方法可以防止复制。

  咱们说DOSS和APT的商业行为,DOSS现在我想攻击一家网站,让这家网站无法访问,我去苦学一门编程的脚本,然后编一个木马,然后给他散播出去,我再组织一个固定时间去攻击他,这太可笑了,很累。为什么呢?如果你过几年那个公司倒闭了,你再学这些东西也没有必要。现在你打一个电话,就可以花很少的时间让一个网站的访问量很大,因为这个时代是收钱服务,我们拿了钱就为你办事。

  让你的服务减弱,电信或者网通甭管用什么样的机房,机房不配合你,加上咱们国家垄断企业的不配合你,这几乎不可能。多少钱的产品,多少高级员工都是一样提供服务的,所以说只是会减弱。所以希望大家在做安全的时候,脑子灵一点,贼一点,经常光顾一些国外的黑客,需要一些真实姓名验证的论坛,这个不算非法的。

  说说分层,终端层、网络层、网关层、应用层,每一层都有问题。先说终端层,终端层面临的问题是病毒感染,终端层访问数据中心的时候一旦身份认证被破解,访问数据中心是很透明的,行为也是不可控的,所以终端层属于它的一部分。网络层是流量异常,网关层就是进出自由,应用层主要一种形式就是无法访问,在Google里面查一些木马代码的时候,你会搜索到自己的网站也在里面,所以通过那个代码点一样可以进入自己的网站。

  怎么样解决的?应用层很简单,加固优化代码检测,很多有特权的人,比如我的领导,他就可以不落实。再一个网络层,网络层希望建立一个预警机制,有很多的产品,我今天不说产品的名,大家可以查一下,把这些东西做起来以后,可以发现流量是从哪个终端出来的,原来的情况下很费劲,再一个如果病毒爆发的话,这个设备如果次一点,会当掉。终端层希望能做一下体检。

  层层联动,主要是在于统一管理,如果说在网关层、网络层、终端层备份等等一系列,一个厂商的产品会有控台,这样发现任何问题,它的代码也很少,在网络里面控制任何一个病毒的时候,你会很容易的每一层都去发现问题,然后去处理。我们网关主要负责的是进不来和出不去的问题,网络层主要是威胁的“发现”处,把病毒放进来,放进来以后要互相感染了呢?民就到处去查这个病毒的来源,如果在网关这一层先过滤,然后在终端这一层也进行防护的话,前面说过滤的70%,你只放了30%进来,那压力就小一点,但是强强联动有强强联动的弱点。

  同一个厂商的产品,管理密码一致,咱们编辑是后台,然后前面是访问,中间是服务器,这个网络里面经常是背对背防火墙,背对背防火墙密码有时候经常是一样的,因为同一个品牌,同一个配置,策略也是一样的,只不过安全等级不一样。

  还有一个是端点,咱们内部的端点如果感染病毒,就意味着整个防御系统将会受到被控,整个数据流,大家可以看到出去一旦拿下一端,整个数据流实际上都是被黑客所控制。

  APT攻击的那些事,想拿老总的邮件,在座各位谁想拿老总的邮件,想知道老总的秘密,怎么办呢?说老总我想知道你的邮件,你傻啊?你试试给老总的秘书打个电话,怎么说呢?你说我是新来的系统运营部的张琦,我没有听说,我是昨天刚到的,陈总把他的电脑放在我这儿了,说系统坏了,现在我们查没有问题,但是重启以后我们找不到它的密码。这些一般都是知道的,80%都是知道的,但是怎么知道你是张琦呢?我盯你这家公司盯了很长时间,我发现一个微博上说这是某某的一个员工,现在跳槽了,跳到哪儿去了,名字全有。知道真实的用户名,公司的电话更好查,打总机,找客服,没有客服,找老总,没有老总,我是你们老总的朋友那等一下我问一下秘书的电话,这样秘书的电话就知道的,其实有些时候都是非常小的问题暴露了内容。

  有另外一家公司问我,CRM系统,就是一个服务器厂商,这家公司想拿另外一家公司的商业机密,是什么机密呢?分销商的数据跟实际的交易额数据,就是底价,怎么拿呢?他问我们能不能找一些朋友咱们解决这个问题,我说不能帮你,因为这是犯法的。那怎么办呢?您可以雇一个人到他们公司应聘网管,这也可以解决,发现真的能够拿到,但是他没有这么做,因为这个就直接触犯了法律。

  可靠的身份认证,咱们说云安全说了半天,说云里面有很多的服务,一个企业建也私有云,会把营销中流、物流中心、计算中心放在一个平台里面,它会实现什么功能呢?我们叫做单点登陆,就是说输入一次用户名,这事一般谁先提呢?老总先提。说有十个系统,十个系统数据量的动态信息,老总十个用户名加老总十个密码,老总很疯狂,说这太麻烦了,想十分钟能不能全部解决?我说可以。云登陆的情况出现了,一登陆多少套系统全部公开,前面各位讲的并不是说没有实际的应用,它的实际应用在于安全本身的管理细化。

  云虚拟化、云如果想让人进去访问,物理主机是安全的,但是物理主机并不一定安全,我们说的很多内容都是在应用层去考虑问题,在操作系统当中考虑问题,但实际上一个物理层的东西,我见过很多买服务器的人都买双电源的服务器,双电源的服务器后面有两根电线,这两根电线插到哪儿呢?插在一个插线板上,家里也一样,说我们家电视不带断电的,我们插两根,你家现在就是一度电。那怎么办呢?买服务器的时候,你要仔细去考虑,厂商为什么这么去想,他是想让这两个电源插在两个不同的市电上,那没有两个不同的市电怎么办?就把这两个电源插在两个不同的插线板上,那是不是坏的机率就小一点了。

  说一下免罪金牌,免罪金牌就是说加一个虚拟主机,原来如果想测试服务器的话,需要拿很多流程,这些流程都没有了,它的管理并不知道这太虚拟主机存在,至于安全不安全就更不用提了。现在很多管理虚拟化,私有云、企业数据中心,一旦上了虚拟化,就会出问题,原来我们按照任何一个标准来进行管理,这些管理就是一板一眼来做事,我们不怕它慢,我们就怕出现问题,当我们一步步做得很慢的时候,我们的系统可能会更稳定,但是如果虚拟化上了以后,这里面没有包含到它,我们想做一个魔方,几秒钟魔方就能给变回来,这是为什么?是因为有固定一套东西,把这个背下来,就能转回来。

  但是如果说我们的虚拟化里面没有按照这套东西去走,没有按照流程去走,管理就会出问题。咱们中国最大的啤酒厂商就是这样,生产网络、测试网络,生产网络没有用虚拟化,测试网络先用,为什么呢?因为测试网络老有问题,那么挪过来,他们其实信息不足,所以我希望各位野趣了解一些咱们比较细的安全上的问题,把虚拟化,包括云计算纳入到标准化运维的体系当中来。

相关文章

关键词:安全,企业信息安全

责任编辑:邓晓蕾

专题推荐

原创文章

微博互动

白皮书

网警备案