新浪科(kē)技(jì)訊 1月(yuè)22日(rì)下(xià)午消息，2015中國(guó)互聯網産業(yè)峰會(huì)在北(běi)京召開(kāi)，360公司雲事(shì)業(yè)部副總經理(lǐ)胡振勇分(fēn)享了(le)《雲時(shí)代及大(dà)數(shù)據形勢下(xià)的(de)雲安全防護體(tǐ)系》。他(tā)講述了(le)互聯網服務中常見(jiàn)的(de)安全風(fēng)險，分(fēn)享了(le)2014年(nián)全年(nián)360網站(zhàn)安全檢測平台報(bào)告。

胡振勇指出互聯網服務中常見(jiàn)的(de)安全風(fēng)險：DDOS攻擊；DNS攻擊/劫持；利用(yòng)網站(zhàn)或服務器(qì)漏洞進行(xíng)數(shù)據竊取(拖庫)₽；利用(yòng)服務器(qì)漏洞上(shàng)傳後門(mén)，服務器(qì)淪為(wèi)木(mù)馬肉雞；APT攻擊，洩露商業(yè)機(jī)密。

胡振勇稱，2014年(nián)全年(nián)，360網站(zhàn)安全檢測平台共掃描各類網站(zhà"n)164.2萬個(gè)，其中被篡改的(de)網站(zhàn)13.7萬個(gè)，約占掃描網站(zhàn)總數(shù)的(de)10.8%。(尚紫)

以下(xià)為(wèi)胡振勇演講全文(wén)：

胡振勇：感謝(xiè)主辦方，感謝(xiè)各位來(lái)賓的(de)光(guāng)臨，我在這(zhè)裡(lǐ)就(jiù)是(shì)首先為(wèi) 大(dà)家(jiā)今天帶來(lái)的(de)演講是(shì)雲時(shí)代大(dà)數(shù)據形勢下(xià)雲安全防護體(tǐ)系的(de)介紹。這(zhè)&頁講是(shì)今天演講的(de)大(dà)綱，首先我會(huì)給大(dà)家(jiā)看(kàn)一(yī)下(xi↕à)我們雲時(shí)代我們一(yī)些(xiē)威脅，其實2014年(nián)大(dà)家(jiā)也(yě)在雲安全這(zhè)塊，其實我們來(lái)看(kàn)雲安γ全的(de)定義，往往很(hěn)多(duō)人(rén)問(wèn)我們雲安全，雲安全有(yǒu)兩層含義，一™(yī)層含義是(shì)傳統安全威脅依然存在。第二個(gè)因為(wèi)雲計(jì)算(suàn)引入一(yī)些(xiē)新型威脅，首先看(kàn)傳統的(de)威脅服務，DDOS攻↔擊，DNS攻擊劫持，利用(yòng)網站(zhàn)漏洞挂馬、篡改，利用(yòng)網站(zhàn)或服務器(qì)漏洞進行(x←íng)數(shù)據竊取(拖庫)利用(yòng)服務器(qì)漏洞上(shàng)傳後門(mén)，服務器(q‌ì)淪為(wèi)木(mù)馬肉雞，APT攻擊，洩露商業(yè)機(jī)密。首先我們看(kàn)這(zhè)裡(lǐ)今天給大(dà)家(jiā)看(kàn)一(yī)下(xiàλ)比如(rú)說(shuō)到(dào)雲服務，如(rú)果雲服務不(bù)安全有(yǒu)什(shén)麽危害。因為(wèi)其實我們講到(dào)所有(yǒu)不(bù)安全的(dβe)因素都(dōu)是(shì)來(lái)自(zì)一(yī)個(gè)漏洞。都(dōu)來(lái)自(zì)于系統α漏洞，如(rú)果漏洞出現(xiàn)首先輕量級威脅像網站(zhàn)挂馬是(shì)最大(dà)的(de)，導緻網站(→zhàn)非法SEO，另外(wài)像數(shù)據庫拖庫直接後面就(jiù)會(huì)帶來(lái)信息大(dà)家(jiā)知(zhī§)道(dào)前面鬧的(de)比較火(huǒ)的(de)12306，大(dà)家(jiā)說(shuō)12306洩露用(yòng)戶數(shù)據，其實并不(bù)是(shì)123‌06洩露用(yòng)戶名密碼是(shì)黑(hēi)客洩露其他(tā)網站(zhàn)密碼最終試探出12306用(yòng)β戶密碼，其次更多(duō)服務器(qì)被控制(zhì)成為(wèi)肉雞，第一(yī)種成為(wèi)攻擊代理(lǐ)，攻擊新的↔(de)受害者。

另外(wài)就(jiù)是(shì)成為(wèi)DDO肉雞，然後再講從(cóng)雲計(jì)算(suàn)引入一(yī)些 (xiē)新的(de)威脅，首先我們看(kàn)有(yǒu)虛拟化(huà)平台的(de)漏洞，大(dà)家(jiā)知(zhī)道(dào)從(cóng)虛拟化(huà)平台來(lái§)講，主流有(yǒu)幾種，一(yī)個(gè)是(shì)開(kāi)源平台，虛拟機(jī)逃逸，穿透到(dào)底層服務器(qì)，比如(rú₹)說(shuō)虛拟機(jī)盜走，另外(wài)還(hái)有(yǒu)雲內(nèi)部攻擊，雲平台惡意用(yòng)戶攻擊，數(shù)據隔離(lí)之前如←(rú)果大(dà)家(jiā)傳統網絡自(zì)己在使用(yòng)自(zì)己服務，服務器(qì)沒有(yǒu)問(wèn)題，如(rú)果用(yòng)雲計(jì)算(suàn&)服務那(nà)這(zhè)樣有(yǒu)共享網絡和(hé)共享數(shù)據庫，包括存儲接口都(dōu)是(shì)共享的(de)。另外(wài)就(jiù)是→(shì)管理(lǐ)風(fēng)險，大(dà)家(jiā)知(zhī)道(dào)以前可(kě)能(néng)自(zì)己服務器(qì)都(dōu)自↕(zì)己來(lái)管，但(dàn)是(shì)未來(lái)如(rú)果在雲平台是(shì)其他&(tā)人(rén)幫你(nǐ)管理(lǐ)服務器(qì)，這(zhè)裡(lǐ)面帶來(lái)一(yī)些¶(xiē)人(rén)員(yuán)風(fēng)險。

首先這(zhè)裡(lǐ)講雲安全一(yī)些(xiē)解決途徑，比如(rú)像傳統安全問(wèn)題可(kě)能(n éng)我們需要(yào)雲平台的(de)協助，一(yī)般常見(jiàn)的(de)做(zuò)法是(shì)像漏洞掃描，比如(rú)探一(yī)下(x✘ià)自(zì)己業(yè)務發現(xiàn)什(shén)麽漏洞，看(kàn)一(yī)下(xià)©我們寫的(de)代碼有(yǒu)沒有(yǒu)漏洞，另外(wài)像WAF防火(huǒ)牆在雲計(jì)算(suàn)環境裡(lǐ)面會(huì)有(yǒu)"虛拟化(huà)的(de)設備。另外(wài)做(zuò)一(yī)些(xiē)安全檢測發現(xiàn)網站(zhàn)有(yǒu)沒有(yǒu)存在漏洞，有(yǒu)沒有(yǒu)存±在被注入的(de)情況，另外(wài)還(hái)有(yǒu)上(shàng)一(yī)些(xiē)防篡改的(de)措施。雲平台自(zì)身(sh±ēn)安全問(wèn)題需要(yào)雲平台提供商來(lái)解決，對(duì)雲平台提供商而言有(yǒu)一(yī)個(gè)安全的(de)解決方案雲平台才能(néng)得(de )到(dào)用(yòng)戶認可(kě)，其實現(xiàn)在提供雲計(jì)算(suàn)服務平台非常多(duō)，現(xiàn)在國(guó)家(jiā♥)也(yě)在做(zuò)一(yī)些(xiē)可(kě)信雲認證這(zhè)一(yī)塊的(de)工(gōng)作(zuò)。

這(zhè)裡(lǐ)其實給大(dà)家(jiā)分(fēn)享一(yī)些(xiē)數(shù)據，這(zhè)個(gè)¶是(shì)我們應該是(shì)2015年(nián)1月(yuè)7号新鮮出爐的(de)報(bào)告，2014年(nián)全年(₩nián)，360網站(zhàn)安全檢測平台共掃描各類網站(zhàn)164.2萬個(gè)，其中被篡改的(de)網站(™zhàn)13.7萬個(gè)，約占掃描網站(zhàn)總數(shù)的(de)10.8%。我們從(cóng)漏洞攻擊的(de)IP數(sαhù)，從(cóng)受害者來(lái)看(kàn)96%受害者在境內(nèi)，境外(wài)隻有(yǒu)4%，我們這(zhè)個(gè)從(cóng)&安全防護這(zhè)塊360網站(zhàn)360提供一(yī)個(gè)對(duì)中小(xiǎo)網站(zhàn)進行(xíng)安全防護的(de)雲防護産品叫360網站(zhàn×)衛士，我們全年(nián)攔截CC攻擊205.0億次，平均每天攔截CC攻擊6138萬次，統計(jì)顯示，全年(nián)共有(yǒu)15.6萬個(gè)網站(zhàn)。從(c‌óng)網絡攻擊戰術(shù)攻擊方式來(lái)看(kàn)，一(yī)個(gè)是(shì)撞庫攻擊愈演愈烈，∞全網知(zhī)識庫大(dà)大(dà)豐富、建站(zhàn)系統漏洞被廣泛利用(yòng)、新漏洞發現(xiàn)與利用(yòng)的(de)速度越來(lái)越快(kuài)、第三方代碼托管平台÷被攻擊。

然後2014年(nián)爆出奪氣安全事(shì)件(jiàn)分(fēn)析來(lái)看(kàn)，利用(yòng)網站(zhàn)服務器(qì)與手機(jī)APP之‌間(jiān)的(de)接口存在的(de)漏洞對(duì)網站(zhàn)服務器(qì)發起攻擊，已經成為(wèi)一(yī)種流行(xíng)趨勢。網頁篡改被大(dà)量用(yòn>g)于釣魚攻擊。其實很(hěn)多(duō)企業(yè)在這(zhè)種安全中的(de)困境，前面有(yǒu)ESG對(duì)這(zhè)種規模超過千人(rén)企業(yè)進行(xí€ng)調查，怎麽做(zuò)一(yī)個(gè)安全的(de)雲服務，一(yī)個(gè)觀點是(shì)貼近(jìn)業(yè)務做(zuò)安全，就(jiù)說(shuō)¶現(xiàn)在很(hěn)多(duō)時(shí)候大(dà)家(jiā)可(kě)能(néng)在做(zuò)安全的(de)時(s∏hí)候認為(wèi)是(shì)不(bù)是(shì)買一(yī)個(gè)防火(huǒ)牆就(jiù)可(kě)以了(le)，因為(wèi)我們認為(wèi)你(nǐ)這(zhè₩)樣一(yī)個(gè)産品與業(yè)務不(bù)匹配，往往無法防範業(yè)務級别漏洞，或者有(yǒu)針對(duì)性的(de)攻擊，另外(wài)安全不(bù)是(shì)說(shuō)簡α單器(qì)材威脅，我們見(jiàn)過有(yǒu)些(xiē)企業(yè)可(kě)能(néng)從(cóng)網絡入口最終服務器(qì)中間(jiān)加了γ(le)五層防護，依然被黑(hēi)客穿透，我們也(yě)提出一(yī)個(gè)理(lǐ)念基于公有(yǒu)雲，把安全變成服務，可(kě)以把安全交給專業(yè)團隊去(qù)做(zuò)，π這(zhè)樣避免重複投入，然後我們後面介紹一(yī)下(xià)360雲安全一(yī)些(xiē)體(tǐ)系，講傳統安全會(huì)講DPR模型，我們做(zuò)安全依然不(bù)會(h♥uì)丢棄到(dào)傳統的(de)DPR模型，掃描防護和(hé)響應，我們增加兩項就(jiù)是(shì)M¶和(hé)A，M是(shì)監控，監控可(kě)以對(duì)網站(zhàn)可(kě)用(yòng)性監控和(hé)÷服務器(qì)監控。分(fēn)析我們會(huì)做(zuò)大(dà)數(shù)據分(fēn)析，這(zδhè)裡(lǐ)我們也(yě)看(kàn)到(dào)Gartner在大(dà)數(shù)據分(fēn)析也(yě)是(shì)很(hěn)熱(rè)的(de&)詞。

從(cóng)傳統安全借鑒，看(kàn)警察辦案，一(yī)般通(tōng)過多(duō)少(shǎo)手段像身(shēn)份證✔等級，信用(yòng)檔案，違法犯罪記錄檔案，監控攝象頭、交通(tōng)記錄交易流水(shuǐ)記錄等，安全上(shàng)來(lái)看(kàn)我們做(zuò)一(yī)個(δgè)假設如(rú)果我們知(zhī)道(dào)每一(yī)個(gè)人(rén)，人(rén)是(shì)指程序或者IP他(tā)都(dōu)幹過什(shén)麽，我們又 (yòu)知(zhī)道(dào)網站(zhàn)每一(yī)個(gè)URL訪問(wèn)行(xíng)為(×wèi)，服務所有(yǒu)正常的(de)請(qǐng)求模型，分(fēn)析出一(yī)些(xiē)特定的(≠de)黑(hēi)客攻擊方式。這(zhè)裡(lǐ)我們今年(nián)打造一(yī)個(gè)産品360≠星圖，其實就(jiù)是(shì)基于大(dà)數(shù)據分(fēn)析架構來(lái)去(qù)做(zuò)一(yī)些(xiē)安全分(fēn)析。我們是(shì)通(tōng)過采集盡可<(kě)能(néng)多(duō)的(de)采集系統內(nèi)部的(de)數(shù)據，通(tōng)過這γ(zhè)個(gè)大(dà)數(shù)據的(de)分(fēn)析最終得(de)出一(yī)些(xiē)結果。功能(néng)這(zhè)塊像常規的(de)數✘(shù)據分(fēn)析，我們會(huì)做(zuò)一(yī)些(xiē)安全事(shì)件(jiàn)分(fēn)析，通(tōng)過一(yī)些(xiē)攻擊特征和( hé)文(wén)件(jiàn)指紋能(néng)夠分(fēn)析這(zhè)個(gè)網站(zhàn)是(shì)否遭到(dào)攻擊，這(zhè)是( shì)我們一(yī)些(xiē)分(fēn)析報(bào)告結果，可(kě)以看(kàn)到(dào)一(yī)些(xiē)常規的(de)數(shù)據，這(zhè)是(s©hì)一(yī)些(xiē)攻擊類的(de)數(shù)據。這(zhè)裡(lǐ)給大(dà)家(jiā)看(kàn)一(yī)下(xià)前面講的γ(de)這(zhè)種關聯分(fēn)析，就(jiù)是(shì)同一(yī)個(gè)IT攻擊多(duō)少(shǎo)網站(zhàn)又(yòu)通(tō©ng)過這(zhè)個(gè)網站(zhàn)又(yòu)攻擊了(le)誰，這(zhè)是(shì)全球化(huà)的(de)背景展示。♣

謝(xiè)謝(xiè)大(dà)家(jiā)。