WannaCry勒索病毒事件的回顾和思考
在测一个大型的,像阿里、腾讯、华为这些公有云平台上用户时发现,阿里云或腾讯云这些云平台厂商本身已经做了很多安全服务,但对租户做测评时,发现他们什么都不知道,说这项安全不是我做的,云平台已经提供给我这个功能了,我不需要做更多的事情。就是因为一件件这样的事件发生,我们作为一个第三方测评机构就在想,是不是可以给云上用户或云平台做些什么事情,这就是我们这个议题的主要内容,云上用户安全指引,告诉云上用户怎么样做他的安全,怎么样选怎么样配置他的安全按钮或开关。
农业互联网方面的在安全业务方面肯心路历程
分为Web和shell,Web相当于对外开放的Web服务,Shell是用户与操作系统之间的一个接口,操作过程中更多的是脚本语言,Webshell某种情况下是网站密码。它更多的是对网站高危操作,具备高危操作权限。支持的脚本是ASP、PHP、ASP.NET、JSP等。什么情况下Webshell需要呢?一般是我们对网站进行渗透测试后期时,发现这个网站没有更高权限了,但我们希望它提权,二是长期供应,这时候Webshell就会想到它。
首先,谈到安全离不开有关政策或国家大的趋势,最早1999年,政府就开始建设中央信息化安全领导小组,那时候从国家层面上还只是国家总理级别来挂这个帅,去组织这个小组。小组在后面基本没有做太多在信息安全方面的事情,当然,我们也有等保以及各种各样安全手段在出,但没有提高到国家安全战略角度。
国家信息中心还有一块牌子是政务云应用与集成国家工程实验室,关于政务云的建设,我们联合了阿里、华三、华为等国内主流的云计算厂商写了一个标准,关于政务云安全技术标准,这个标准我们已经正式发了,但不对社会,在我们电子政务外网门户网站已经发出去了,今天能给大家介绍一下。
首先简单一下2016年中国互联网网络安全的态势,2016年网络发展比较态势,网络安全态势总体平稳,法制化进程迈出了实际的步伐,面临的网络安全形势依然十分严峻。我国2016年互联网的安全态势总体平稳,没有出现重大的网络安全的事件,我们也可以看出来,网络形势不容乐观。一方面2016年是“十三五”的开局之年,网络空间的发展大幅发展,另外一方面,也存在着很多网络安全方面的问题,信息技术的创新和发展,伴随着新型的网络安全的威胁,同时网络与互联网传统行业的深度融合,也使得原来相对封闭的传统行业暴露在互联网的空间之内,面临很多互联网安全的问题,所以导致攻击事件的层出不穷。
互联网已经经过从PC到移动端,再走向了现在的产业互联网,也就是万物互联的时代,我们其实已经进入到了一个数字化全球。数字化全球的时代下,数字化的生存如何做好安全的对接?
微软在新的时代也在进行大量的转型,传统上大家比较熟悉的是Windows、Office等等,今天我们已经变成了一个云计算、物联网、大数据、人工智能的公司,我们也想借此机会为大家分享一下我们转型过程中对网络安全的体会。
叶超分享的主题是决战企业网络之端,这个标题有两个重点,一个是决战,一个是端。什么是端?我们可以认为端是一个个人PC,是一个服务器,甚至我们的网络安全设备,还有我们的硬件防火墙。这些都是组成我们企业网络的一个端点。就是当我们的边界无法防御威胁的时候,很多威胁会到达我们的端。如果我们的安全措施在端上面都没有感知到威胁和防守住威胁,可以说我们的防御就是已经失败了。