【北大CIO班十周年】欧怀谷:金融互联网安全的新挑战及应对策略
【北大CIO班十周年】欧怀谷:金融互联网安全的新挑战及应对策略
2015-12-07 13:22:27 来源:CIO时代网
抢沙发
2015-12-07 13:22:27 来源:CIO时代网
摘要:2015年11月28-29日,备受关注的“北大CIO班十周年年会暨首届中国行业互联网大会”在北京大学与宽沟会议中心隆重举行。网宿科技首席安全官欧怀谷就演讲:“金融互联网安全的新挑战及应对策略“发表演讲。
关键词:
北大CIO班
我们今年在9月份遇到一次大规模攻击的时候,我们发现在我们平台上来了一次新的攻击行为,是我们以前没有识别到的。当时出现了一些攻击被透传的情况,后来我们很快就修复了,修复之后,事实上我们只花了大概一个小时左右,我们就可以在全网给所有客户享用到这种服务。
当然了,我们这个攻击也没有在全网泛滥开来,但是从这个角度可以看到,基于大数据的分析,实际上是或者说这种基于云量这种方式确实使我们更新迭代的速度更加快。
这个是我们的一个简单的这样一个示意图。那么传统的安全是我们把安全的边界总是定义在自己的数据中心的范围。实际上我今天也非常高兴可以看到很多金融公司,包括后面我会讲一些客户的案例,包括像银行,证券和保险为代表的传统金融公司,包括新兴的互联网金融公司,都在使用所谓的CDN的服务。那么在CDN服务上他有一个天然的特点,它就是能够帮助我们的网站来抵御来自外部的攻击。实际上除去这一点之外,除去它的天然特性之外,实际上我们现在也在包装类似的产品给一些非金融公司来提供相应的服务。那么它的一个很显着的特点是说,来自于外部的攻击首先会被大网所负载均衡掉,所分摊掉。
因此,它的单点这个步骤,它的概率就大大的下降。另外一个特点的话,就是说所有的攻击行为会先经由边缘的节点进行防护。那么在早期,说实话,在我加入网宿之前我们单点的防护能力非常低。因为当时我们几百个节点来分摊这样一些来自外部的攻击或者来自外部的正常请求。那么实际上我们当时认为已经够了,但是随着我们现在攻击愈演愈烈,我们原来单机做到四五个G,现在我们觉得这个远远不够,当我们带宽增强之后,我们现在单节点的防护能力可以做到40到80个G,就是单台,单台设备可以做到40个G。
我们通常都会采用多台设备在一个节点。那么随着现在我们也是在另外一个思路就是原来我们的采购思路或者设计思路,是在单节点,我们用多节点来代替单节点,那么实际上我们也是在逐步的来增加每一个节点的容量,使它每一个节点的两从原来的10个G,逐步要扩展到200到400个G,实际上我们今年在做明年预算的时候,网宿科技现在目前的带宽拥有量是12个T,在全国来看也是采购量靠前的,目前看超过了腾讯和百度的,这种带宽保有量来看。我们现在思路发生变化,我们希望能够在每一个点上的能力能够得到提升。
这个是我们的安全防护策略,我们运用这种方式,来加强化它对客户中心的这个看法,这也是我们对这个所谓云安全的一种观点。实际上这种方式不仅在中国是这样,在全球范围内,也拥有大范围的提供商。包括像我们CDN,CDN行业的龙头行业,美国CDN的发明者,他已经在前年的时候收购一家网络公司,它花了3.7亿美金收购了这家公司,实际上也是在给他的客户提供这种服务。
那么像最近在互联网上比较火的,也是以这种架构在给他的客户提供服务。在咱们中国,我们除了网宿之外,包括像360,包括像我们的百度等等一些公司也在采用类似的方案,来给广大的客户提供服务。并且这种方案我们被认为是行之有效的。
那么这张图实际上是一个动画演示。在边缘节点上我们有很多节点,同时在为我们的业务提供支撑。当然我们攻击来的时候,我们可能某一个节点它可能受到大规模的攻击,这个时候我们可以快速的用备用的节点给它补上,同时我们还可以把这个正常的业务把它调走,通过各种方式来保障我们全网的安全的运营。实际上是保障我们客户自身的安全的运营。同时把这个攻击化解了。这种方案,我认为是当前应对来自外部大规模海量攻击的非常有效的一个手段。当前在中国的话也是基本上是唯一的手段。
那么总结一下,我们的这个抗攻击平台,它能够防护多种类型的攻击,这就是一个小广告。因为我们有它的调度系统,能够使得我们整个系统能够不至于100%瘫痪,我们讲做安全,从来不能讲100%,那么实际上能够达到90%以上可用率的时候,这个实际上这个系统已经非常可靠了。
讲完了这个可用性之后,我就想谈谈一些对数据的精密性的这样一些看法。当前我们所有几乎网络的系统,除去一些游戏之外,大多数都是采用这种web的方式来进行交互,提供服务的。那么实际上由于我们这个网站的设计,网站研发人员,包括网站使用的一些第三方的组件,本身带来的缺陷,刚才提到系统漏洞,各种漏洞的数据,都会带来一些风险。
举个最简单的例子,如果说我们的网站在用户名和密码验证这个地方出了问题。那就很容易导致我们通过一些手段,使得绕过这个用户名的验证。当然现在我们的银行系统,包括金融系统都采用了多方多种验证手段。但是当然还在其他的行业里面我们认为这种情况也是非常常见的。包括现在我们像我们电信行业的一些网上营业厅,类似这种地方,我们都可以看到曾经也发生过类似的一些情况。通过各种注入,通过包括像页面注入,数据库的注入,这种所谓的非法的手段绕过这种正常的手段,很容易使得数据被窃取。同时,我们在配数的时候,我们在HTTP或者在web这个领域,面临很多来自外部的危险或者说有很多这样的缺陷。因此呢,对于web类的防护,网站的防护也是非常重要的一个地方。
作为网宿来讲,我们在2013年开始做这个事情。第一个专门针对于web网站防护的产品,实际上到今天已经过了七八年了,那么在网宿科技看来,我们也非常愿意为我们客户提供这样的保障。而我们平台实际上也是采用了这两种目前来看比较流行的思路,一种是黑名单技术,另外一种是白名单技术,同时我们基于我们所谓大数据的分析,能够给我们客户提供非常有利的保障。
当前的话我们提供以下的一些方式,比方说我们提供实时在线的查询功能,同时我们定期更新这个在线的规则、系统。定期的优化这个防护的策略,实际上我在过来开会之前,刚好我们就载给我们客户发现做一个日常的常规的安全检查。我们就发现他这个网站上有一个特殊的新的漏洞,只要用户稍微多一点用户访问一个链接,就会导致它整个网站瘫痪掉。刚好我们帮他发现了这个问题,实际上这也是从另外一个侧面也证明了我们所谓的专业性。用一句话来讲,今天我用一句话来总结我们这个网宿科技在这个上面的一些观点。就是说第一,传统的网络安全能做的事情现在我们也能做。第二,传统网络安全做不到的事情,我们现在比别人做的更好,这是我的一个观点。因此这个最后我想表达一点就是从经济性的角度来看,我非常看重的一点就是只要我们的网站系统上了CPA系统它就能够帮助我们网站隐藏自己原始身份,从而更大的来降低我们本身的暴露在外面的风险。
当然,我们自己还有一些安全的团队,包括我们专业的人员,这个我都不讲了,最后一页是我们的当前的客户,这里面特别想提两个非常具有代表性的客户,一个是工商银行,我们现在正在给工商银行,也是最近我们才开始合作的一个项目。其中也特别谈到了要求网宿提供这种服务,但是我们这个合同走到我这来审批的时候,我当时还在看。我犹豫一下,但是后来我发现,我们应该给客户做出这种承诺,就是以我们自己最大的能力来给我们客户提供服务,这是我们应该做的事情。当前我们刚才谈到网宿科技有12个T的带宽,攻击还没有那么强。第二个客户是海通证券,这也是风口浪尖。最近刚好被查的一间公司。今天在我们平台上使用的网就是我们刚才谈到网站的防护功能,实际上也是我们一个比较大的一个客户了。
这两个客户都非常有代表性,当然我们还有很多像建行,一直是我们大客户,招行,包括我们的民生银行等等,都是目前在我们的平台上跑的。最后,还是非常感谢大家的倾听。我们网宿科技刚好把最近刚好做了一次战略调整。开始我们是想把自己定位成一个卓越的互联网应用提供商,现在我们把它定位成以传输、存储、计算和安全于一体的云服务商,实际上定位发生了变化,感谢大家的倾听,谢谢大家。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
