彭朝晖:Web 安全2.0新时代-挑战、趋势和我们的对策

　　摘要：咱们先看看安全2.0是怎么提出来的。首先，互联网从WEB1.0到2.0以后，它引入了很多的互动，以前我们的1.0大部分是静态的网页，那么现在动态的B2B的、B2C的，这种动态的交互功能进来以后，是一个特点，就是说同样带来了很多安全和威胁的新的挑战。

　　推荐白皮书：

　　严测深信服广域网加速设备报告

　　网络世界评测实验室采用领先测试方法严格测试深信服广域网加速设备M5100-Q，它会有什么惊人的表现呢？

　　【CNW.com.cn 资讯】咱们先看看安全2.0是怎么提出来的。首先，互联网从WEB1.0到2.0以后，它引入了很多的互动，以前我们的1.0大部分是静态的网页，那么现在动态的B2B的、B2C的，这种动态的交互功能进来以后，是一个特点，就是说同样带来了很多安全和威胁的新的挑战。

彭朝晖：

　　有很长时间没参加过这种研讨会了，可能比较忙于业务。实际上我发现研讨会这个形式是非常好的，就在这儿，大家就是一个很小的环境，可以畅所欲言的，厂家的、政府的、媒体的，然后还有，一会儿我们有一个圆桌会议，大家都可以把这些想法，这些信息，还有这些最新的观察到这儿来进行讨论和碰撞，所以感谢网络世界给我们稳捷这个机会，把我们的一些想法跟大家分享一下。

　　我想讲一个例子吧，就是说，在我们跟客户提这个解决方案的时候，我碰到过这么一个情况。在国内一家很大的一家，在它这个行业是排第一的公司，它需要这个网络安全的解决方案，然后我们就跟它做了一个评估。做了一个评估以后，它的CIO就说，现在你要跟我有一些比较有说服力的证据，然后我才好去跟董事长CEO说，需要有这个解决方案。那么我们就跟他设计了一个方案，就是说在他的网络，它有很多的VILINE。那么在它的VILINE上挑了一个最重要的，挑了一个CEO和投资人之间的一个危难，装上去以后，过了一个星期以后，我们的报告出来了，发现有很多很多的威胁在它的VILINE上面，但是纬度它的CEO的IP地址没有被攻击到。然后我们就跟它的CEO介绍，它的CEO说，我很了解网络安全，他是一个IT的发烧友，它在笔记本上装满了安全措施，360软件，防木马什么的都有了，这个CEO是清华毕业的，对网络安全很有研究的，他就跟我说，我不需要你的解决方案，他说我的机器是固若金汤。后来的实际情况是怎么样的呢?后来这个CEO没采用网络级的解决方案。实际情况就是刚才杜总说的，我们国家的安全问题非常严重，只是有些领导，或者说有一些不了解这个网络安全现状的，像我们这个企业的CEO，后来我跟他的投资人说，你们的机器里面种了很多的木马，我说，你如果没有保护好的话，你的投资人的数据一旦泄漏，你们公司的股价，它是在海外上市的，将会受到什么影响。这是我跟大家说的一个例子，就是我们客户的情况，实际上有很大的网络威胁在它的网络中，但是没有人呼吁，当你呼吁的时候，碰到比较自信的CEO，他说我的机器没问题，他就推测了其他的机器也没问题，我们公司的损失不是很严重，但实际的情况在哪呢?我觉得我今天想跟大家分享我的观点，我们现在网络已经进入到2.0时代，2.0跟1.0有什么区别。为什么说2.0时代这个威胁更严重?

　　咱们先看看安全2.0是怎么提出来的。首先，互联网从WEB1.0到2.0以后，它引入了很多的互动，以前我们的1.0大部分是静态的网页，那么现在动态的B2B的、B2C的，这种动态的交互功能进来以后，是一个特点，就是说同样带来了很多安全和威胁的新的挑战。

　　第二个是，以前我们传统的保护方案，就比如我提的CEO，他的解决方案是把终端保护主了，实际上，在网络里面流窜的病毒，不是说你把终端保护住了，它就不跑了。所以以前的传统的服务器是以保护终端为主，以软件为主，但是很多的传统的保护方案，效率上已经不够了。

　　第三个就是云计算，WEB2.0很大的一个情况就是很多的计算都放到云里面去了。

　　现在业界有1.0，有2.0，现在应该是2.0这个版本。那么这些威胁的形式，我这里做了一个比较，从1.0到2.0，有哪些威胁的形态的改变?比如说在网络型的威胁，1.0多数是通过文件的传输，那么WEB2.0，它很明显的特征是通过网络，既不是U盘，也不是磁盘，是通过网络进来的。那么在应用这一层，1.0很多是通过非法途径走后门，非法途径从非法端口进来的，那么2.0的端口都是合法的，它通过合法途径进来的，但是它隐藏在内容里面。从结构上来讲，就是我刚才说的，来自于内容方面，以前是单独的一个包，现在是跟应用一块进的。那么这种来自内容的威胁，以前1.0的手段是很难防范的，另外，就从内容本身来讲，1.0的这种特点是静态的，那么2.0的是动态的。所谓动态的，就是说有很多安全威胁，它是无处不在，它不是说从一种形态，你比如说像大家帖的很多的肉鸡，那你的电脑有多少肉鸡，你不知道。但是你的电脑已经是被人家种上马了，就是这种动态的特性。另外就是设备，现在的设备多样化，原来的1.0，基本上病毒就攻击WINDOWS系统，那么现在已经很明显了，不光是WINDOWS，移动、手机，PDA智能手机IPHONE同样有病毒了，那么就提出了很多的问题，就给我们业界的厂商提出了一个挑战。说我们怎么样有一个好的解决方案和产品，能够应付这么多多样化的危险。

　　我记得给大家说，吹一吹威胁到底有多严重。实际上有很多的信息，大家都知道，有的一统计出来是很触目惊心的。我们现在绝大部分的恶意软件都是通过WEB服务器和应用服务其传播的。那么现在这个恶意软件到底是什么量呢?08年的统计，这个恶意软件是1100万，这是08年的数据。

　　摘要：咱们先看看安全2.0是怎么提出来的。首先，互联网从WEB1.0到2.0以后，它引入了很多的互动，以前我们的1.0大部分是静态的网页，那么现在动态的B2B的、B2C的，这种动态的交互功能进来以后，是一个特点，就是说同样带来了很多安全和威胁的新的挑战。

　　推荐白皮书：

　　严测深信服广域网加速设备报告

　　网络世界评测实验室采用领先测试方法严格测试深信服广域网加速设备M5100-Q，它会有什么惊人的表现呢？

　　我们说，每一天，有15000个网页被感染，这个数据可能不同的统计渠道来的不一样，至少大家可以看这个规模，每一天全球15000个网页被感染，90%的威胁都是来自于下载，就是跟下载有关的网络传输活动。而且，很多网页是在毫不知情的情况下被感染的。所谓毫不知情，就是你在用电脑也好，在家里也好，在办公室也好，你的电脑已经出了问题，但是你可能根本就不知道，现在的杀毒软件也不报，它不报的原因，我后面还会讲，有的是它也不知道，它报不出来，但是实际上，你的机器已经是中毒了。那么这个损失，大家就知道了，不但有些政府网站被攻击以后，就是政治上的问题，还有咱们敏感数据的问题，经济损失。

　　更有意思的，我找了两个资料给大家看一下。这是卡巴斯基08年的数据统计，它是对全球的数据统计。那么到08年底，全球用户的机器，这个电脑遭到攻击的排名的前20位的国家。大家看到一个，有一个很有趣的一个，不是很有趣的，就是很严重的一个情况，中国是排第一，中国的电脑被攻击数量是1200多万台，排第二。而且这个比例比排第二的埃及高了不是一点半点，我们是全球总量被攻击的数量里面，我们占53%，第二名埃及才占到15%。这说明什么问题呢?病毒在国内用户的网络间、机器间流窜的程度有多严重。而这个严重程度跟我们被重视，就是包括企业也好，政府也好，还有IT界人士也好，跟我们的重视程度不成比例。我们跟客户打交道的时候，客户就说，病毒不重要，不是我的当务之急，我当务之急可能是上网行为的一些管理这些管理性的东西，但是实际上已经非常严重了。50%，第二名15%，你看这个差多远。

　　第二个数据也是卡巴斯基的数据。这个挂网上的电脑攻击别人，从你这儿发出攻击的，它监测到的，这个更严重。我们国内有1800多万台的电脑挂码攻击别人的电脑，我们占78%，第二名美国，占6.8%。这些说明我们国家对这个病毒不重视。像之后的这些国家，对这个比较重视，说明它的网络比较好，它的网络里面比较干净。

　　现在，以我们的观点来看，现在的恶意软件赢得了胜利。怎么这么说，大家看这个图，这个图下面的蓝色必须是我们这些解决方案能够防范的恶意代码的数量，上面这个红色的图是恶意代码增加的趋势。大家能够看到的这个距离越来越大，就我们现有的手段能防住的恶意代码是这么多，但是恶意代码的增长比例比你高呀，所以这个差距是越来越大，那么这个差距越来越大，像我们终端的CPU和你的硬盘，现在越做越大，现在你像2个G，3个G，4个G，以后如果还用WINDOWS7里面的，以后里面的CPU还得用更大的。就是这么大的资源的投资，这个恶意代码的增长还是快过你。为什么说现在有这么多的解决方案，但是还有这么多的病毒在网络里面流窜，它是防不住，恶意代码之类的，还有很多没防住的。这个就是我们2.0时代的很多严峻的问题。

　　那么它的发展趋势是怎么样的?我们认为，2.0时代的发展趋势分几个。一个是内容安全，归根到底，是在这个网络中传输的内容的安全。那么内容安全的一个最大的问题在哪?是在这个性能和这个检测的深度。我下面为什么给了这个三峡大坝的图片?就是说，我们在网络里面流的这个水就像三峡大坝长江的水，我现在有一个大坝，有一个闸门在挡着，但是这些闸门，有很多网络里面没有这个闸门。有些网络里面有了这个闸门，防火墙，APS等等的网关产品。现在用的UTM，统一微循环管理。这些起到一些作用，但是起的作用有多大?就跟这个三峡大坝很类似。哪些方面类似呢?就是说，当我要泄洪的时候，我没办法的时候，网络流量太大，病毒数量太多的时候，我是要打开这个闸门让它跑的，这个水就下去了，下去的时候是泥沙俱下，都出去了，这是现在的一个现状。还有一种，我检测的，就是我这个闸门在检测的时候，我检测不到，让整个这个坝给垮掉，那就发大洪水了。不能是哪种情况都说明，我们现在这个解决方案，对于这个闸的性能是亟待提高的。它的性能包括两个方面，一个是我过滤的精度。我过滤下去的水是能喝的还是黄的，如果是能喝的，这个精度达到要求了。你过去的水还是黄的，还是达不到我们真正要清洁的网络的要求。所以，我们认为内容安全，它的关键问题在于你怎么达到这个性能和精度。

　　第二个是云安全。云安全的话，是指我们现在进入这个网络，就是这种2.0的时代以后，整个的这个环境在改变，云计算已经是不可逆转的趋势，这是很多数据也好，计算也好，它都是云端。大家可以看到左边，我列了一些参考数据。这些公司，它都是靠服务器在支撑它的业务，这些公司的服务器都达到几万台，它这么几万台的服务器，现在很多都是没有保护的，或者是保护的时候，用了很高的成本。它说我一万台服务器里面，可能有将近三分之一的资源是用在安全方面，用了很多资源。

　　这个图是给大家一个概念，就是说，现在美国的很多的IDC都是百万的，包括一些虚拟服务器，都是百万服务器数量级的，像这么庞大的服务器群在那里，我们怎么防护它。现在的防护手段是什么呢?基本上有的没有，还有就是在服务器上装软件的这种防护方案。那你想，它管理的难度有多大。如果是几十万台服务器的话，你要装多少的软件系统，然后你需要多大的管理的费用呢，这个也是我们提出的一个挑战。

　　另外一个就是移动，现在就是移动上网。我这儿给大家，我这个是坐飞机的时候，看到两个信息都是坐飞机的时候看到的。我也是喜欢琢磨，我就在想这个问题。第一个信息就是说，有一个澳大利亚汤恩斯发明了第一款针对IPHONE的病毒，就是把IPHONE改一改墙纸，但是很快把它这个改一改之后，就出来了IPHONE的病毒，是偷它的数据了。现在手机上都有病毒了。当时也有厂家研究对付手机病毒的软件程序。我是持保留态度，因为这个手机本身资源很有限，CPU也好，内存也好，很有限。你在手机上面装终端软件，去杀毒，是不是一个可行的方案。这是一个。

　　另外一个就是说，像戴尔公司，刚刚发布的OPHONE智能手机，这个巨头，它的PC的利润下降了54%，它进到这个2000亿美元产值的智能手机领域，智能手机是2000亿产值，那大家就可以想象到，将来我们下一步计算机的发展是什么?都会往智能终端上跑。但是你跑到这么小的终端上面，你还有可能在终端做方案吗?

　　所以，我的思考就是说，当我们在用智能手机。因为我经常在机场收邮件、发邮件，当我用这个智能手机上网的时候，哪一天我就会发现我的手机是在裸奔的，所谓裸奔就是没有任何防护的，你在使用。解决方案在哪呢?我们现在有很多种安全解决方案，这些安全解决方案都在一定程度上有效的，都得要去考虑。这些解决方案，我们在使用的时候，尤其咱们作为客户，作为企业，或者作为组织、单位去考虑这个的事情，会不会眼花缭乱呢?我觉得有点眼花缭乱，我也是花很长时间对这些东西做一些梳理。我这边有一些心得分享给大家。

　　摘要：咱们先看看安全2.0是怎么提出来的。首先，互联网从WEB1.0到2.0以后，它引入了很多的互动，以前我们的1.0大部分是静态的网页，那么现在动态的B2B的、B2C的，这种动态的交互功能进来以后，是一个特点，就是说同样带来了很多安全和威胁的新的挑战。

　　推荐白皮书：

　　严测深信服广域网加速设备报告

　　网络世界评测实验室采用领先测试方法严格测试深信服广域网加速设备M5100-Q，它会有什么惊人的表现呢？

　　对于这些解决方案，我们要针对主要的安全威胁，就是对你单位，对你企业来讲，哪一种安全威胁是最迫切的，然后最严重的，然后你去选相应的专用设备。通用设备不是说不好，通用设备，它有它的作用，尤其对一些小的这种单位来讲，比如我就5个人、10个人的，我不可能买一大堆机器，或者设备，或者一大堆的解决方案，我可能用通用的，然后我的威胁是比较平均的。但是对于企业级的话，我们是建议用专用的设备。另外就是多种威胁需要多层次的防护，你一种设备或者一种解决方案，它本身做到最好，但是是对某一种威胁进行防护，防火墙、APS、IPS，VPN，还有口令系统，它都有不同的目的。如果把这些东西糅合在一起，我有一个通用的，那你就得想想，可能对于你每一个功能来讲，只能做到一定的程度。还有一个就是功能多不一定是最合适的，效能和信能是最合适的，你要是很多功能的话，每一个功能可能都不起作用，这个是现在的现状。很多企业，我们去调查的时候，说我这个有，那个有，全有，我刚才列的东西它都有。但是我企业还是有很多安全的威胁，比如说这种恶意代码还是在流窜，但是问题在哪呢?就是说，你现在这么多功能，实际上没有发挥作用。有的是网管不会用，东西太多了。有的是东西不多，装在一个盒子里面，作为用户来讲，还想便宜，几千块千，里面就几十项功能，那个功能能保护你吗?还有就是同质的产品不如异构的好。所以综合来讲，应该是说，多层次综合的解决方案是有效的解决方案。

　　基于这么多威胁，我们的观点是认为，深度内容扫描是现在一个重要要突破的领域，如果我们能对网络里面深度的内容进行扫描，还能够识别里面的威胁的话，这是最有效的方法。能够解决现在我们所面临的比较棘手的，像恶意软件，还有恶意代码，对一些页面的控制，这我们现在要解决的情况，这些都会通过内容的处理，扫描处理来解决。所以在这一点上，稳捷作为这方面的专业厂商的话，是投入很大的精力来做这个事，我们的技术，叫SUBSONIC一个解决方案，当我用大量带宽的时候，你的用户可以用，但是你的网络直接就慢下来了，就是刚才杜总说的。比如说，你这个奥运会的网络，为什么会慢下来，跟用户数量大有关系，也跟这么多人来，设备受不了，就慢下来了。

　　那么服务器保护，刚才我已经提到了云安全的问题。叫多层防护，内容的多层防护的问题。这个给大家一个实例，怎么实现多层防护。比如我这个是互联网，这个是云，我们要进到我的内网里面来，那么进到内网里面，现在的解决方案有很多种，最典型的话，我要装一个防火墙，然后我还要装一个IDS、IPS，包括其他的各种手段。那么，装了以后，发现这个水还是浑浊的，病毒还会进来，恶意威胁还会进来。那么我们应该在这个后面有专用的设备，这是我们的建议。有这个专用设备以后，我们把这个水滤清了，把它过滤清楚了，过滤澄清了，然后形成一个多层次的立体防护系统。你终端可能还有终端的杀毒软件，这些都可以用。

　　有几个实例给大家过一遍。这个是一个在线的B2C的一个全球最大的多媒体共享服务平台，这个是GETTY IMAGES，它当时也遇到了很大的困扰，就是传输的文件里面带有很多的病毒，最后，它在国外有一个安全审计师给它审计，审计以后，推荐了我们一个商用的解决方案，它现在业务在上面运行非常的安全。这是一个。

　　还有一个就是SAAS，服务提供商。EVOCO是财富500强的企业SAAS的服务提供商，后来用了我们的设备以后，碰到一个很有典型意义的事件，就是在今年年中的时候，它所在的IPC还是Q9的，遭到恶意代码，反正就是威胁的攻击，其他的很多的服务器都中招了，就它没中招，所以写感谢信给我们，多谢买了备份的两台设备保护了，所以它的机器没有断网。

　　这个比较有意思，这个是国有的一个大型企业的数据中心，大家可以看一下这个数据，它这个企业在我们跟它测的时候，发现在一个月之内有14000次的攻击对它的门户网站进行攻击，平均每天有400多次，471次。你想，如果没有这个保护的话，它的网站471次，没准哪一次就被攻陷了，后来用了我们的网关以后，这是它们的系统管理员的周报，监测到的这个威胁的话，很多都是被挡住了，所以，这也是一个有效的案例。

　　最后，我介绍一下稳捷网络，稳捷网络，我们定位是在高性能的专用设备这一块，目前是想给运营商级的。那么现在还是有些大型企业可以用，那么将来我们会用在运营商、SP、IDC这些层级的一种网络深层的处理的技术，因为我们有大概十几项专利在这块。公司是02年成立，成立以后一直在研发这项技术，总部是在加拿大的卡尔加力，今年我们进到国内以后，我们跟国内的公司合作，北京是咱们的业务中心，无锡是我们的研发中心。我们的产品包括WEB安全网关产品，还有一个是给网络加速的，叫BEFAST。