360谭晓生：2014网络战背景下的互联网安全_IDC国内资讯

中国IDC圈1月10日报道，1月8日，第八届中国IDC产业大典在国家会议中心盛大召开。本次大会以“新资本新技术新格局”为主题，力邀工信部、通信发展司、电信研究院领导，IDC企业、电信运营商、互联网企业、设备厂商等各行业精英齐聚一堂，共同把脉中国IDC行业未来发展之路。其中奇虎360科技有限公司首席隐私官谭晓生应邀出席了大会并发表精彩演讲“2014网络战背景下的互联网安全”。

谭小声

奇虎360科技有限公司首席隐私官谭晓生

以下为谭晓生演讲实录：

谭晓生：各位朋友，各位来宾，我来给大家分享一下我们对于互联网安全的一些观点。首先是未来的战争形态，既不会是核站，也不会常规的战争。更大的可能是性网络站。从2010年底对伊朗核设施的攻击，2013年3月份韩国有三家电视台，两家银行不能正常的公司，SA的一些信息泄露，这足以让很多的国家觉得后背发凉。

在第二次世界大战的联合国，对战争的形态，包括怎么对待战俘等一系列的问题都有约定，常规的战争都有规则。但是现在在网络战上面规则不清晰。在网络的空间里面，国家的边界变得模糊，如果是一些美国的公司，在日本设的服务器，有中国的用户在用，这里面产生的信息归日本、中国、还是美国管，到现在为止，国际电联，联合国和伦敦会议这几个组织，都希望自己成为网络世界战争规则的制定者或者是一个裁判者或者是裁判者，但是现在还没有哪方真正的获得绝对的话语权。

去年的棱镜门事件，更多的折射网络方面的问题，存在什么危机。各个国家在网络控制权的争夺。在过去我们可以看到，这是在2010年以后发生比较有名的网络入侵事件，我用红色表明是和网站入侵有关。今天我们会议是IDC圈的会议，IDC圈更多的是做互联网服务，租赁我们的服务器，或者是把服务器放到我们这里。在这里我们可以看到，差不多有一半的服务，和网络入侵有关。其中比较严重的事件，就是去年的（佳瓦斯巴斯）漏洞，有很大的互联网企业，有几亿条数据库被拖，有这么严重的问题。对老百姓来说，最感兴趣的是开房门的事件，可以查开房记录的事件，这些会告诉我们在网络战的背景之下，其实哪怕是对破坏的老百姓，他的信息安全也是有挑战的。

最近的一件事情，就是比特币，号称央行一系列的表态，让比特币的交易受到影响，比特币的价格下跌一半，结果央行的网站遇到了攻击。我们发了一句话说要支持，我们就被人持续的打，而且打到流量120G，这是网站方面的安全。

如果我们看2011年，比较有影响力的APT攻击，可以看到排第一名的是政府，第二名是激进分子，第二是重型设备，航天航空和财经之类的这些内容。APT攻击过去被认为是是国家和国家之间互相搞，花很长的时间，很大的代价，用多种的手段慢慢的渗透，进去之后是为了偷情报，在重要的时刻搞破坏的攻击。在2011年这种攻击比较符合这种定义，排名第一个是政府，第二是激进分子，这两个都是很政治相关的。重型设备是什么，造坦克的机房是怎么造出来的，这是超大型的设备，这都和国家的安全，武器是比较相关的。

2012年美国有一家公司叫Bit9，他做了一项调查，政府仍然是APT攻击的首要目标，接着是零售与消费业务企业，律师事务所，医疗机构，工业控制系统。其中的工业控制系统，依是和国家安全比较密切相关的，电力系统，交通的控制系统，净水系统。电力系统是高度自动化的，一旦遇到网络攻击，可能造成你的供应链系统瘫痪。这个还是和国家的安全相关比较相关，但是零售与消费的企业，律师事务所和医疗机构这些信息，让人看到大规模的杀伤性的武器流向民间的一个倾向。律师事务所里面肯定有很多见不得人的信息，他如果入侵进去拿到一些材料，都是比较有价值的。医疗机构可以知道很多人的健康信息，这个健康信息和一些商务活动结合，能分析出一些商业的信息。

如今互联网已经是我们生活的一部分，不管是买东西，还是做娱乐，还是获取信息，还是和朋友互动，都离不开互联网。今天我们的终端都开始在联网，比如这张图是特斯拉内部的图纸，这个车是联网的，一个礼拜自己的车控制软件，自己会更新一把，是实时联网的设备。

家用路由器，手环，右下角是我们即将发布的儿童卫士电子手环，它也是实时联网的，家长可以通过它能知道孩子到哪里？我们手上戴的腕带，像我手上戴的也有这种东西，像胰岛素泵和心脏起搏器，为了方便他的参数调整，现在有了蓝牙和其他网络的连接形式。但是大家知道，这些所有的设备都可以被黑。心脏起搏器是在去年的大会上，说要黑掉心脏起搏器，说能心脏起搏器产生800多伏的电压。胰岛素泵是在前两年被黑掉的。像电厂的供水和交通控制系统在2010年的时候在伊朗的核设施攻击那次，已经成功的演示给我们大家说这些系统可以被搞掉。

在2013年中国家用无限路由器被黑掉了几百万台，现在有一些路由器修都修不过来。对很多的用户损害很大。今天我们的网络边界，其实也延伸的非常宽，过去大家通过网线来连接网络的时候很好办，现在企业里面有自己的无线局域网，家里有，咖啡厅有，老板为了更多的压榨自己的剩余价值，让你的手机也能够收邮件，把企业的边界也延伸到了企业之外。你甚至在国外旅旅行的时候，通过当地的运营商，也可以直接连上网。

如果有一天我们的ATM取不出钱，相反往外狂吐钱，电视台不能正常的播放节目，社交网络出现大量的谣言，或者是停电，水被污染，或者是汽车开着突然它不听使唤，你踩刹车它加油这些情况无一例外，都可以是网络攻击的结果。

今天这个时代，大家开的车，已经不是机械控制的，你打的转向，给你的阻力大小都是一种假象，你操作的都是传感器，由传感器由行车电脑控制，你们现在开的车子，平均一部车子的行车电脑是80多台，而且他们是连在一个总线上。在2013年的黑客大会上，黑客成功的演示了，黑掉了丰田的普瑞斯和福特翼虎这两款车。

互联网安全的现状是，windows下的客户端然间漏洞层出不穷，2013年微软总共修补了300多个软件的漏洞，360我们报了11个。安卓下漏洞层次不穷，在我们手里的漏洞都是几十个G的。fitbit的腕带被黑了。美国政府现在进入一个尴尬的境地，他投入越多，找到的漏洞也更多，这个就非常的尴尬。这些原因是我们今天所用的计算机的体系结构，它本身存在致命的缺陷，代码和数据是一回事，改了数据，如果让他执行，可能就变成某种恶意的代码去执行。

目前有各种各样的修补的手段，但是恐怕在新的体系结构成熟，并且被验证安全之前，没有彻底解决的办法，这个问题比较难办。

今天的终端安全是这样的，网站安全状况是什么样的？360前几天刚发布了2013年中国网站的报告，我们总共扫描了91.2万个网站，扫描了合法网站的三分之一，存在漏洞的有59.7万个，占总数的65.5%，比前年有所提高，前年在2012年我们扫下来超过70%的网站有漏洞。其中存在高危漏洞的网站有26.6万个，占总数的29.2%.什么叫高危漏洞？就是有可能通过这个漏洞，把这个站整个的拿下，大概是这样的一种状况。

360的网站安全检测服务，从上线到现在两年自由的时间，总共扫出来超过七千一百万的漏洞。这就是中国网站的情况。网站在网络安全的眼里看，基本上就是一个筛子。网站被黑的案例，剑阁县卫生局被黑掉以后，有一些黑链。什么赌博、彩票的网站。武州林业局，里面放上兼职，刷业绩的广告。张家港市普法网，北京市也挂了一个北京市福利采购中心。这个是政府网站，教育网站，是被黑的前两个。

DDOS的攻击，比特币的时候，我们遇到比较专业的攻击，一次只打一分钟，120G.这一分钟，我们后台的监测系统能够监测到，用户的网站受到的影响不是特别大。如果监测不是很厉害，就发现不了。60GB以上的DDOS攻击，在2013年会见到，几个G的攻击每天随时会发生。

CC型的攻击，我们平均每天要拦截6800万次的CC型攻击。针对DNS的攻击快速增长。还好DNS的抗攻击的手段，发展的比较快，至少在过去的一年里面，后面的大半年，我们基本上没有被DNS攻击所困扰。

信息失窃是现在存在非常严重的挑战。对于企业来说，你要想说企业的秘密要保存，哪怕你出了一个新的政策，是不是在发布之前，会不会被别人拿走，内部的通知会不会被人拿走，这个防范非常的困难。传统的防范手段是对数据进行加密，但是加密完了以后会引起使用不方便的问题。有人就说从信息的流转进行控制，现在互联网带宽越来越宽，各种各样的软件，各种各样的用法，尤其是有的手机之后，你在电脑屏幕上显示，我拍一下再传出去，这种预防非常的困难，未来有非常大的空间进行改进。

Anti—APT刚才说的，对APT攻击的，这种有效性待验证，其实也是现在非常大的一个需求。上个礼拜四的时候，美国一家（fali）的公司，是做APT解决方案的公司。宣布了收购了（万尼阳特）第二天他的股价涨到38%，前两天又涨了，差不多现在涨了超过40%，现在这个市值到了70 多美元，这家公司一直还在亏损。从投资界对他的认同，你可以看到这个问题有多严重，好不容易冒出来这么一家公司，哪怕他在赔钱，大家觉得它是一颗救命的稻草，价值会变得越来越高。

机遇是什么？机遇在安全方面，不再是锦上添花。在过去的十几年期间，不管是政府要求这个企业过等级保护，分级保护，安全对于大家来说，更多是锦上添花的，政府要求我做，我不得不做，我觉得没有什么东西可偷，往往有这样的观点。

但是在今天，在我们的资产越来越多的数字化，你企业最值钱的是什么？是你买的这栋楼吗，越来越不是这样。尤其在新兴的产业里面，我们所在的产业，以及我们所服务的用户，他们的资产在哪里。他们的资产更多的不是在他那栋楼，而是在服务器里的东西，不管是他的设计图纸，这些关系、这些合同这些知识产权可能是他的主要东西。

原有的解决方案，从90年代末期发展起来的，防火墙，IPS入侵防护系统，IBS入侵的检测系统，UTM的管理系统等这些东西防护变得无效，因为攻击者用了更加高级的攻击方法，不是一次性的攻击。而是不怕贼偷，是贼惦记，现在就是处于贼惦记的状态，他进来是为了偷你的数字化的资产。或者在关键的时刻，搞一下破坏，是这样的一种情况。

过去安全的防卫方案，逐渐的变得无效，我们面临技术和产品的升级。面临这种升级，对于产业界是一个机会，我们也面临着商业模式的升级。360在互联网的个人安全市场，成功的用免费做了一次打劫。其实我们做了一次商业模式的升级，我们不让用户出钱，最终由商家买单，360是挣钱的，利润率相当可以。在这种情况下，我给用户提供免费的安全服务。在今天在互联网的网站服务里面，有没有可能有同样的商业模式的升级出现。在企业的安全领域，是不是有同样的商业模式的出现，我们觉得是完全可以的。

今天也是一个打劫的时候，用互联网的思想打劫传统的行业，就是用典型的互联网营销的思路，打劫餐饮店。现在互联网金融是什么？直接就是打劫银行，而且不用承担行刑事责任的打劫银行。

我们的思路需要转换，过去我们保护终端，今天我们要保护用户的信息。用户的信息是在机房的服务器、硬盘里面，我们怎么保护用户的这些信息？我们要保护的不是物理的服务器，而是里面的信息。在中国搞安全的企业有超过两千家，中国你做IDC的服务商，不见得有两千家，这是一个高度碎片化的市场，为什么会这样。

我们今天这个产品要对付跨界，互联网的营销思路是什么？我的体验要做的足够好，在今天在互联网上我们谈安全，有四个假设。这四个假设非常的残酷，未来你能活下来就是在这四个假设之下。如果能处理，就能活下来。

第一我们的系统有没有发现漏洞。这是肯定的，100%.第二系统已经发现了漏洞。因为人懒，机器没开，不知道有漏洞。还有传统的工业控制系统，他都不敢打补丁，打完了之后工业系统不能工作了。第三我们已经假设系统已经被渗透，你不能认为你这边是安全的，美国和以色列对伊朗的核发起了一次攻击，最早的代码编译出来是2003年，发起攻击是2010年，中间隔了7年的时间，中间这七年时间病毒在哪里，肯定是不会藏再保险柜里睡觉的。这几年的时间，在过去的历史追溯，这个病毒已经在互联网上传播。你要认为你的员工是不可靠的，搞定员工是最容易的事情，搞定网管也是总容易的。

技术的趋势是说在2013年，我们可以成功的看到，我们把大数据的分析技术用于网络攻击。我们说要有一只眼看到网络上发生了什么事情，什么时刻，什么流量发生什么事情，过去是做不到，需要太强的处理和存储能力，现在可以做到。

我们要通过网络的可视化，让人发现攻击。数据量大的时候，这个人对数字不敏感，但是对图形敏感，如果你有很好的展示，这个就可以做到。还要有安卓的操作系统，大家用的安卓手机安全性是非常差的。这个系统有必要进行加固，如果对外提供网站服务，WAF网站的应用防火墙是必须的东西，我们需要联合的操作。

未来的防御体系是云加端，加边界的防护体系。

2013年360在10月22号，我们成立了中国网站的防非联盟，目前有30多家的企业，这个我们给大家提供的服务。你如果做了IDC，你提供的web服务，可以躲在我的防护线后面，我前面有一个基于云防护的盾的，在全国有十几个数据中心提供了200多G的带宽，，如果有DDOS攻击，会先打在我这上面。我会对攻击进行安全的检测，这个服务是免费提供的。这个业务本身，我们也内涵了一个DNS攻击的服务。去年的后半年，基本上在DNS上没有出现太大的问题。

360再说一下我们的目标，我们希望在未来的五年左右的时间我们能成为全球市值大的互联网安全公司。我们在网站的安全服务方面，肯定要成为中国大的一个网站安全的服务提供者。非常愿意和各位合作伙伴一起，来做这方面的事情，基本上在这里面，我们不是以盈利为目的，我们会在这里面共建网站安全的联盟，愿意为大家提供更多的服务和帮助，谢谢。