360谭晓生:构建企业安全防护体系的1234

  12月8日消息,由BT传媒与CSDN联合主办的“2014 技术商业500人论坛”上周末在北京举行,360副总裁谭晓生在大会上作了题为“安全攻防实践?安全技术体系”的主题演讲,他分别从安全理念、防护体系、安全团队三方面讲述了360的信息安全防御体系是怎么建立的,他认为现在流行的安全体系已经从过去靠城墙防御变成塔防游戏和立体防御。

  谭晓生称,随着现代企业互联网化的加速,安全问题日益凸显,最近美国索尼电影公司内部系统被黑客入侵以后整个公司不得不断网处理,完全回到纸笔办公时代,互联网化之后企业网络一旦被被黑客入侵或者控制,后果不堪设想。因此企业需要构建安全防护体系来保护公司网络和信息系统的安全。

  全球范围内新的防御思想是建立立体防护体系,需要从安全理念、防护体系、安全团队三方面协同努力。360作为全球领先的安全公司,通过内部安全防御体系的建设和实践,不断提升安全服务能力,建立起了基于“一个中心、两个原则、三个阵地和四个假设”安全理念下的安全防御体系。以下是谭晓生演讲内容节选:

  一个中心:总体防御。要的是办公网、数据中心、VPN网络,如果没有VPN,你非常危险,如果邮件服务器直接放公网上,邮件系统被搞定的可能性非常大。对360来说,在外网上公司内部任何系统,都是需要经过VPN的,有双因子认证才能上VPN,经过很多不同的访问控制。我们有10多个办公室,80多个数据中心,涉及到国外的数据中心,VPN要求员工出差时随时能够接入,收发邮件必须通过VPN。

  两个原则:攻防平衡,自主可控。第一攻防平衡,安全做起来是有代价的,甚至花再多钱都不能做到百分之百安全,要平衡要保护的商业目标的价值是多大、盈利能力是什么情况,花这么多钱的情况下,做到尽可能好的防御。第二,自主可控,我们也买过别人家的安全产品,最近走到了自主可控、自主开发这条路上,自己首先要明白该怎么防,别人家的东西都是防的组件。

  三个阵地:第一道防线:中国边境线,边境线是什么?第一,你的产品,我们有客户端产品,产品在用户机器里运行时本身有漏洞,就会带来非常大的问题,你的手机或者你的手环或者家用路由器和汽车控制的东西,这些是是你的产品,这些产品如果有漏洞同样很要命;第二,对外提供的服务,指Online服务,特指WebService,我们网站是给大家提供服务的,我们每天消耗100G带宽,有非常多的外部服务,在今天我们面临的时代,VPN越来越外部化,漏洞非常多;第三,员工,你的员工可能拿手机收邮件,他出差时,他可能在咖啡厅接入了不安全的网络,你的网络可能受威胁,边境线到你的员工级别,你的员工是不是间谍?或者你的员工是不是在别人挟持之下做一些攻击内部网络的事情。第二道防线:保卫大城市,包括重要的基础设施、重要的服务器、重要的业务系统、重要的数据。第三道防线:反潜伏,假设你被搞定了,没人敢吹牛说自己没被搞定。反潜伏,假设我被搞定了,有机器被别人控制了,有员工的机器被木马植入,我怎么尽早发现?像反间谍一样,手段无外乎监控、审计、大数据分析等等。

  在企业里,现在做到安全,基本有四个假设:第一个假设,你的系统一定有未被发现的漏洞,这几年投入的资金越多,挖出来的洞越多,今年估计过一万没啥悬念,去年7800多,而且CVE仅仅是一部分洞,外面Web软件的洞多少呢?我们花三百万块钱收39000多个洞,不是某一个网站有那个洞,建站工具就有39000多个洞,一个洞能影响几十万个网站,到处都是洞,我们生活在到处都是窟窿的IT世界里。第二个假设,你的系统可能有洞,这个洞已经有了补丁,由于各种原因,你不能修补,如果你是生产型企业,人家告诉你工业控制的上位机用的是XP,现在发现一个新的漏洞,出了一个补丁,你敢补吗?补了之后,工业控制系统可能真的不能工作了。第三个假设,你的系统今天已经被渗透了,别人已经潜伏在里面了。第四个假设,员工不可靠,甚至做安全的员工可能都不靠谱,很多攻击都来自内部,我们其实是在沙滩上建筑防御攻势。

  一个企业要建立防护体系需要有攻防理念,要想攻击者所想,还要有合理的安全团队配置。

  我们的防线无外乎这么几个,网络访问的统一管理平台,第一步首先是准入,员工个人的电脑带到公司里是不能用的,不是说通过管理手段不能用,而是通过技术手段不能用,我们员工的电脑首先必须是公司签发的电脑;二是必须装了安全软件才能上网,否则访问任何东西都给一个提示,说对不起,你的电脑不能上网。

  我们在网络边界上布了群流量监听,我们差不多是100来G带宽,全部抓包抓下来,长期存储,反复运算,用概率找小概率事件,每天大量发生的事是正常的,攻击是小概率事件,然后建模,试图找出来网络威胁。

  无线入侵检测,在公司里,无线局域网是非常常见的,无线局域网是非常危险的。在公司里要检测有没有人起来非法App,Web安全扫描系统、Webshell白盒扫描系统,两套扫描器交叉扫描,经验数据是两套扫描器重叠扫描概率的90%,有90%洞两个都能发现,还有10%个洞各自发现。

  内部使用工具上,我们要求做安全防范的同事像产品经理一样,360产品比较讲究用户体验,我们做安全产品时也是这样的,哪怕内部工具,也要求做的好用。在公司内部,我们本身能得到安全主线的支持,即使这样,我们还是建了完整的团队。就像前面李大学讲的,做技术支持,其实和商业结合很重要,和商业的关系怎么处很重要。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:新形势下“山姆大叔”对信息安全的看法