中國IDC圈1月7日報道，1月5-7日，第十屆中國IDC產(chǎn)業(yè)年度大典（IDCC2015）在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo)，中國IDC產(chǎn)業(yè)年度大典組委會主辦，中國IDC圈承辦，并受到諸多媒體的大力支持。

中國IDC產(chǎn)業(yè)年度大典作為國內(nèi)云計算和數(shù)據(jù)中心領(lǐng)域規(guī)模最大、最具影響力的標(biāo)志性盛會，之前已成功舉辦過九屆，在本屆大會無論是規(guī)格還是規(guī)模都"更上一層樓"，引來現(xiàn)場人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等多個領(lǐng)域。

百度云安全資深安全專家郝軼出席IDCC2015大會并在大數(shù)據(jù)應(yīng)用與安全技術(shù)論壇發(fā)表主題為《全息安全：互聯(lián)網(wǎng)空間中的導(dǎo)彈防御系統(tǒng)》的精彩演講。

百度云安全資深安全專家郝軼

以下為郝軼演講實錄：

我今天的議題分幾個部分，是我們在信息安全方面有關(guān)大數(shù)據(jù)的思考以及百度的時間和我個人的態(tài)度。

五年前經(jīng)常說的一個事，我們信息安全風(fēng)險管理有三個要素，這邊是我們的資產(chǎn)，外面是威脅，資產(chǎn)有脆弱性，所以我們需要控制措施，需要這些豌豆、堅果做防護(hù)。信息安全在以往的思路上大家講縱深防御，如果一道防線防不住的話，后面還有別的防線。那個時候我主要做內(nèi)網(wǎng)安全，又過了五年，我覺得這個事有別的思路，我們站在攻擊者的角度和防護(hù)者的角度是不同的，我們希望我們能夠形成縱深防御，假設(shè)攻擊者的路線比較曲折，要一步一步來，假設(shè)我們是攻擊者，為什么要按照防御者規(guī)定好的路線和方向來攻擊呢？二是傳統(tǒng)的內(nèi)網(wǎng)里面的結(jié)構(gòu)里一定的復(fù)雜度，互聯(lián)網(wǎng)上中小網(wǎng)站結(jié)構(gòu)比較簡單，買一個云主機(jī)就結(jié)束了，沒有這么大的空間讓你部署這些防護(hù)系統(tǒng)，很難形成縱深防御，就這個想法我做了一些展開。

比如在伊拉克戰(zhàn)爭的時候，站在防護(hù)者的視角，就是薩達(dá)姆這一端，他們想說我們有很多軍隊，如果一旦發(fā)生戰(zhàn)斗我們要把敵人引到我們的巷子里面去，引到復(fù)雜的胡同、樓宇里進(jìn)行巷戰(zhàn)，做縱深防御是他們當(dāng)時的想法。站在旁觀者的角度，這個靠譜，縱深防御有很多人，我們在陸地上做防護(hù)，一個薩達(dá)姆需要一二十個國家非常難。有另外一個問題，如果站在攻擊者的角度，美國叫斬首行動，由于陸地上攻擊、推進(jìn)的話需要耗費大量的人力財力，而且有死亡的危險，他更希望派飛機(jī)和無人機(jī)直接斬首掉對方的領(lǐng)袖，比如本拉登，這是攻擊者的想法。實際上攻擊者沒有必要按照防護(hù)者的思路去走他的攻擊路線和攻擊路徑。我后來找到了一個圖，戰(zhàn)爭五環(huán)，這也是國外關(guān)于防護(hù)的理論，戰(zhàn)爭中有幾層，最核心的是領(lǐng)導(dǎo)、關(guān)聯(lián)系統(tǒng)要素、基礎(chǔ)設(shè)施、民眾和軍隊，從攻擊者的角度來講，他并不想直接和防御者的軍隊進(jìn)行直接接觸，他希望直接滅了對方的領(lǐng)導(dǎo)，就是斬首行動。

防護(hù)一個系統(tǒng)之前做很多建設(shè)，我們試圖把我們的防御機(jī)制，把我們要保護(hù)的對象比如我們的網(wǎng)站做得更安全，我們要不停地上防護(hù)的設(shè)備，增加安全的控制措施，這就像是我們設(shè)一座堡壘，我們有資產(chǎn)。昨天還是前天據(jù)說我們的鄰居朝鮮造出來一個武器氫彈，看報道它發(fā)射得不準(zhǔn)，這導(dǎo)致一個問題，很難把中小的網(wǎng)站每一個都防護(hù)得足夠承受攻擊，如果有人發(fā)射導(dǎo)彈，一種防護(hù)方法是把堡壘修得足夠結(jié)實，能扛得住導(dǎo)彈，還有一種是中小網(wǎng)站的成本不適合做這么高強度的控制措施，一般的國家怎么防護(hù)，監(jiān)控這種攻擊從預(yù)謀到開始、到途中、到快打到你這兒，爭取在空間中把你攔掉，這就是我今天要講的我們在互聯(lián)網(wǎng)空間中對中小網(wǎng)站的防護(hù)思路。我們一方面給予網(wǎng)站一個基本的防護(hù)，同時我們在整個空間中形成周密的監(jiān)測和系統(tǒng)，爭取在攻擊尚未打到你這兒時把它打掉。

我們做的過程中還有一些困擾。內(nèi)網(wǎng)APP威脅，很多針對互聯(lián)網(wǎng)中小網(wǎng)站的攻擊是程咬金的方法，屬于三斧子買賣或者一錘子買賣，打一下就好，像威客這種，一個中小的網(wǎng)站不需要你長期持續(xù)性的攻擊把它拿下，有這么多白帽子，對中小網(wǎng)站來講拍你一下就閃了，半小時就把你數(shù)據(jù)導(dǎo)走了，這種方法我們怎么做到。一個立方體，我們能不能看得更全面，站在甲方的業(yè)務(wù)的角度，你是做什么的，你能付出多少成本，你有多大財務(wù)上的影響，你安全人員的考慮，站在攻擊者的角度考慮怎么考慮你，安全行業(yè)對這件事情怎么考慮，你是處于什么行業(yè)，同行業(yè)對安全這件事情的看法。多個角度在視角上對目標(biāo)進(jìn)行分析。同時我們考慮到距離和范圍，原來關(guān)注更多的是你的外部，你的外部應(yīng)用防火墻，現(xiàn)在同時考慮到你的鏈路，比如百度自身的CDN監(jiān)測里面有沒有惡意的數(shù)據(jù)，監(jiān)控攻擊源，從不同的角度看這個事。比如我站得越來越遠(yuǎn)，我看的范圍會越來越大，從資產(chǎn)、行為、時間、身份多個維度進(jìn)行分析，這就是我們?nèi)踩龅氖隆?p align="center" class="pageLink"> 1/3    1 2 3 下一頁 尾頁