汪为农：聚焦网站安全

由畅享网主办的以“跨界融合引领IT创新”为主题的第十一届信息化领袖峰会暨畅享网CIO年会于2016年1月14至15日在太阳岛旅游度假区隆重举办，来自全国各地的数百位知名企业CIO、信息化负责人等诸多行业精英齐聚一堂，共同对企业未来的转型发展之路进行探讨与交流，分享行业经验，谋求行业发展。

会上，上海交通大学教授、博士生导师、信息安全专家汪为农教授就安全防御所面临的挑战及当前存在的安全威胁两个方面进行了分享，并在最终将焦点聚焦于网站安全。

上海交通大学教授、博士生导师、信息安全专家 汪为农

一场攻防与博弈

汪为农教授指出，在“互联网+”蓬勃发展的大背景下，由于经济利益和不同目的的驱使，黑客的活动日益猖獗。在不断的攻防与博弈当中，也就是黑帽子和白帽子的博弈当中，安全管理始终处于一种劣势，处于一种被动应付的局面。其原因在于，许多年来网络的发展一直滞后于应用技术的发展与黑客技术的发展。就当前所用的传统的安全防护产品而言，各种产品都存在着不同程度上的局限。例如目前为大多数人所采用的IES、ITS，均是基于被动监测的技术，是以发现黑客的活动为主要目标。然而这也就导致了IES、ITS对于网站所存在的一些问题无能为力。因此，又出现了防火墙系统。防火墙可分为两类，一类是通用防火墙，是对外阻挡黑客的攻击，对内对用户的行为进行管理。但同样的，对于网站的安全问题来说，防火墙依然具有很大的局限性。因此，在这种情况下，Web防火墙应运而生。而Web防火墙又是针对网站的，Web防火墙对常见的跨站攻击、注入攻击、网站后门等确实十分有效。但同时，对一些变形的网站后门类，以及网页篡改、网站的漏洞，Web防火墙同样也表现出了十分大的局限性。

除上述之外，还有一些扫描工具，可实现对系统的扫描。通常是对主机、网站、数据库等进行扫描。它是具有主动性的监测技术，对常见的、通用的一些系统漏洞、配置漏洞比较有效。但新的安全问题不断出现，尤其是在应用层面的安全问题，这时，扫描工具的局限性也就显露了出来。

两大挑战

就此，汪为农教授提出了在安全防御领域，我们面临的两大挑战。

第一个挑战是大流量。

汪为农教授解释道，现在的网络总干网已经到达100G，用户网的接入，也达到了千兆、万兆，甚至万兆以上的流量。一些大型企业或是高校，尤其是高校，其流量都是在10G以上。在这样的大流量情况下，老安全防御产品大部分依然停留在万兆以下，同时，万兆设备在目前来看，已然十分昂贵。如果要做到40G，十分少见。

第二个挑战就是监测能力。

正如刚才上面所提到的那样，目前被大面积采用的各种安全产品的技术发展，一直滞后。所以各种各样的安全产品表现出了各有千秋但同时各有局限的局面。

一条不同的技术路线

面对这两大挑战，汪为农教授说道，上海交通大学自2013年以来，一直都在就一条不同的技术路线和解决方案进行探索与研究。而这一条不同的技术路线就是网络安全卫星监测。对大流量的监测，采用常见的X86服务器，用低廉的方式，来解决一些性能上的问题，同时使传统的交互机实现流量的均衡与分配。对于发现监测能力，汪为农教授说道：“我们自己并没有技术创新，但是我们的创新在于融入了不同的技术。”

就该技术，汪为农教授解释道：“首先，根据不同的安全类型，通过通信流量的特征和黑客的行为特征。第二基于流量的分析，我们融入了将固有分析的方法和异常分析的方法融合起来。第三，我们既有安全的威胁的增势，正如我前面所讲到的两种不同的系统组成的不同的技术，我们将被动监测和主动监测的技术联合起来，因此实现了监测功能上的突破。”

汪为农教授还与我们分享了一个原型系统与一个体系架构。

就该原型系统，汪为农教授介绍道：“这是我们在2013年开发的一个原型系统，这个系统是规避了架构，分平台部分和可探针部分。曾经大型的探针，我们曾经部署在教育网和公网的交界，部署在不同的城市，包括上海、北京及广州，整体的流量达到了170G。可以看到，这是一种大型的探针流量，采用的方式为服务器的堆叠，下面是交换机，首先是将10G以上的流量融入在一起，通过路由的技术，将其均匀分配到各个服务器。”

就体系架构，汪为农教授是这样说明的。“该体系架构与其他传统的安全产品有所不同的是，我们引入了3D引擎。第一个引擎是绿色的部分，这是基于规则，基于流量特征的，是与传统的IBS一样的。在这当中的一个引擎被我们称之为卫星分析监测引擎，我们采用主动监测的技术，是基于我们对于安全知识的一个了解，属于核心部分。在服务器端，我们引入了观点分析的引擎，主要是根据我们发现的安全分析事件，进行数据挖掘，大数据分析，然后找出各个事件的关联。”

三个方面

汪为农教授谈到网站安全时表明，网站安全涉及到三个方面。之前所谈到的漏洞、后门、篡改，这三者之间是关联的。首先，漏洞是问题的根源。因为有了漏洞，黑客便利用漏洞，攻破了网站。网站被攻破以后，为了能够经常出现在网站上，黑客会植入后门，以此控制网站。控制网站之后为进一步实现黑客的目标，因此黑客很有可能是对网站进行一个网页的篡改，实现ICU工程，这是网络营销的一种黑色进入方式。

第一方面，在网站漏洞当中，其实我们可以看到的绝大部分的网站漏洞都是一些陈旧的网站安全漏洞。主要是两大派，一派是开源的中间件漏洞，另外一派是相当数量的应用系统漏洞。

第二方面，针对应用漏洞，汪为农教授说道，任何一个安全漏洞，从它曝光到真正的被完全消除，有一个非常长的周期的长尾效应。

第三方面就是网页篡改。网页篡改也分为两类。汪为农教授表明，现在的网页篡改，黑客已经实现自动化，批量定期的刷新。黑客在网上点一下服务器，把大量的导览放在服务器上，然后定期的更新。

谈到最后，汪为农教授也做出一个提醒。

除了网页篡改，不少的网站被黑客攻破以后，进行钓鱼，窃取银行账号、密码等信息。临近年关，提醒大家加强防范。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友