浪潮“151计划”：白帽子如何保护主机安全

随着网络安全内涵不断扩展，信息安全对抗已经进入新的阶段，既有国家层面的网络安全空间对抗，也有组织间的APT（高级持续威胁）攻击与反APT攻击之间的对抗。而作为攻防对抗的主体，“黑帽子”与“白帽子”之间的较量从没有停止。

平凡的白帽子和数据中心的夜

深夜，还是在数据中心机房，唐楠熟练地运用WVS、NetSparker等各种漏洞检测工具扫描着每台服务器主机。6个小时过去了，最终他发现了238个安全漏洞。其中，高危漏洞100个，中危漏洞23个，低危漏洞73个，而其他的敏感信息还有42条。那么，拿到这些漏洞之后，唐楠准备干什么？

“如果黑帽子拿到这些漏洞就麻烦了，它们会立即利用网络、主机、应用系统中的漏洞缺陷展开攻击，篡改网页、注入木马、盗取信息，或是长期潜伏下来，展开‘横向移动（APT攻击中的重要阶段）’，最终盗取用户的核心机密。” 唐楠对发现的数百个漏洞并没有任何喜悦之情，却是十分担心。

曾作为核心技术成员，唐楠参与了中美黑客大战、中日黑客大战这些有影响力的黑客大战。他还是国内第一批通过CCSP（思科认证网络安全专家认证），拥有VPN专家证书、IDS入侵检测专家证书、防火墙专家证书、信息安全专家证书、IOS专家证书的信息安全专家。随着国内信息安全产业的快速崛起， 唐楠带着这顶“白帽子”，选择加入了浪潮。

而我们之前看到的漏洞扫描，正是浪潮“151计划”的一部分。浪潮的“151计划”涵盖工程师培训、主机安全知识普及和客户免费体验几个方面，将面向100个重点城市培训并认证培训500名 ISCE（浪潮主机安全）认证工程师，并为1000名用户的数据中心提供免费漏扫及测试，出具专业报告，协助用户落实信息安全等级保护工作。唐楠扫描到这些漏洞信息会被整理为用户“看得懂”的检测报告，并帮助用户最终化解潜在危险。

浪潮151，一次有组织的白帽行动？

在黑客的世界中，黑帽子和白帽子的称呼分别代表两种对立的角色——以网络信息牟利的恶棍和保护网络安全的英雄。他们看不见对方，只能在一次次过招时才能感受到对方的存在。那么，浪潮主推的151计划，是一次有组织的白帽行动吗？

“从形式上看，在漏洞扫描这一部分很相似，漏洞是双方攻防的焦点。但从整体流程和最终实现的效果上看，浪潮‘151计划’不限于提交漏洞信息这样简单。告知用户漏洞的存在只是第一步，最终目的是从实质上解决信安问题。” 唐楠指出了“151计划”和“白帽行动”的不同之处，还介绍了用户看到“238个安全漏洞”之后的故事。

238个安全漏洞，黑客真的进得来吗？

浪潮“151”计划覆盖的1000名重点客户中，很多都是政府行业的用户。而这次用户所涉及的系统有社保系统、户籍查询系统等，涉及了百姓民生。如果这些漏洞被“黑帽子”利用，极有可能发生个人身份证信息、社保参保信息、房屋产权信息、个人联系方式泄露的情况。而这些信息将沦为地下黑市明码标价的商品。

第二天，唐楠和信息安全事业部的工程师提前40分钟赶到了用户的大会议室，但是里面已经坐满了人，不仅有技术人员、主管领导，连“一把手”也来了。由此可以看出用户对漏洞细节的重视程度，但如果设身处地的分析用户所处的行业背景，以及曾经遭遇黑客攻击的情况，就不难理解客户‘为何上心’了。“当我在大屏幕上展开这份漏洞扫描报告时，238这个数字确实让用户大吃一惊。台下开始有人开始窃窃私语，嘈杂声随着领导的一声咳嗽停止了。但由于不太可能将所有漏洞都展开说，我重点对风险级别达到3级，黑客可以直接获取主机控制权的高危漏洞进行了说明。”唐楠详细介绍了第二天的情况。

接下来，为了让用户可以感受到这些漏洞的危害，同时也是“一把手”的要求，“我利用高危漏洞中的Cross site scripting（跨站脚本漏洞），全面展示了黑客可以收集数据的情况。这个漏洞可以将JavaScript、VBScript、ActiveX、HTML或Flash脆弱的应用程序来欺骗用户，攻击者可以窃取Cookie会话接管账户、模拟用户的细节。最后，我在用户的Web服务器主页上修改了个‘逗号’！”

这个操作很吓人，不过被修改的“逗号”却展现了一名白帽子基本技能，验证黑客“进得来”可能性。但这些都不是关键。

“防得住”才是浪潮“151计划”的最终目的

唐楠前面介绍过，浪潮151计划与普通白帽子行为的区别在“防得住”。“在现场，我和同事一起给客户提出了差异性的安全解决方案，包括：Web服务器的安全部署、虚拟化应用分层部署、数据库主机访问权限控制和漏洞修补、应用程序进行监控保护，以及利用浪潮SSR访问控制的“三权分立”技术对关键文件及数据进行分权管理。”

漏洞扫描、模拟入侵、现场解决，这三部曲下来，用户充分肯定了浪潮151计划的意义，并对唐楠 高深莫测的网络安全技术高度认可。在后期，用户不仅试用了相关安全产品，同时还在唐楠的带领下，针对WVS、NetSparker等各种漏洞检测工具和主机安全管理流程进行了培训和考核。

“处于防御姿态的白帽子黑客在与黑帽子黑客的较量中，赢一次不能算赢，输一次就永远输了。但是，由于151计划中的任务还很多，我们不可能长期驻守在一个用户的机房里，因此，把这些‘防得住’的意识、方法、手段、经验、工具留给他们，最终起到效果。而这就是我的工作。” 这是唐楠在采访最后谈到的，而他正是参加过黑客大战、在浪潮扎根的一名最普通的白帽子。