尹東梅:互聯網+時代的網絡安全挑戰及應對策略
責編:rhliu |2016-06-29 14:46:43尹東梅:大家好,我是來自Entrust Datacard的尹東梅,我昨天晚上為了趕這個PPT,凌晨三四點才睡,所以,你們一定要打起精神來,如果你們困了我在這兒也跟著睡過去了。
今天要跟大家分享的一個話題就是在互聯網+時代的網絡安全所面臨的一些挑戰,以及我們的應對策略。
首先,我們來看一張圖,這個圖是今年5月份互聯網應急中心發布的2015年的網絡安全的事件,顯示出網絡安全事件在整個2015年期間超過了12萬起。其中比例占的最大的一個就是我們的網頁仿冒事件,占比第二的將近占到20%左右的是我們的一個漏洞事件,占比第三的就是我們的網絡篡改事件。所以,我們可以看到從這三個大的方向來講,我們所面臨的主要的網絡安全事件主要分布在這三個方向。一個是我們假的一些網站,以及防釣魚的一些網站。另外,利用我們的一些漏洞進行的相關攻擊。還有我們網頁的一些篡改,其他的安全事件整體占比才到10%左右。所以,在這個地方為了不讓大家那么困,我也準備了一個小小的video,這個video是去年夏天的時候央視新聞頻道所發布的一條。
(video)
尹東梅:從這個片子中我們可以得到幾條信息。網站被仿冒了,仿造的網站把中間的點去掉了,可能沒有經驗的人不會特別的關注這小小的一點,正是因為這一點所以才導致我們的一些信息忽略,導致我們到了一個假的網站上。這個網站他要做的事情僅僅是賣一個假證,因為他把相關的證件賣出去以后,他希望買了這個證書的人可以查詢到,相信這個證書是真的,他的層面來講可能性質還不是超級惡劣。如果我們這樣的一個網站是我們其他政府的門戶或者在這個網站上會涉及到相關的資金的交易,如果在這種情況下,我們的經濟損失是非常非常大的。
另外一個情況,除了偽網站事件,剛才的報告里有顯示將近20%的網站都是基于漏洞的攻擊。剛開始的嘉賓提到HTTP的由來,他的歷史,也講到SSL的發展歷史,其實SSL現在從最開始的1.0版本發展到3.0版本,包括現在的TLS協議從最開始的1.0已經到1.3版本,我們在SSL3.0版本的時候已經發現了有這樣的一些漏洞,而且這些漏洞就是針對于SSL3.0的一個漏洞進行一些相關的中間人的攻擊,我想大家都有聽說過相關漏洞攻擊的方式,如果大家非常感興趣的話,這個東西是如何進行的攻擊,歡迎會下我們可以進行詳細的探討。
現在網絡安全所處的環境,從這張圖片我們可以看到有很多網站現在還是HTTP的,還不是基于SSL的,將近有77.9%的網站仍然沒有采取相關的任何的保護措施,有一些甚至是有了SSL證書,但是可能它的證書列在安裝的時候并不完整,也會導致我們網站的安全級別達不到一定的要求。還有一些是針對我們各種漏洞進行的攻擊。
這張圖上可以看到一個很醒目的數字,右上方寫了我們的網絡協議有42.3%的還是仍然在用非常老舊的SSL3.0版本,信息安全并不是一個人就能夠把它作為的一個事情,信息安全我們所提到從端到端的安全,可能我們會有文檔的安全保護,我們會有邏輯的安全,物理的安全,網絡的安全,公安部也按照這個級別進行了等級保護的一些相關的設計。對每一塊都有相關的安全的策略的要求。
從信息安全本身來講,我們作為廠商或者用戶來講,我們每一個人都有這樣的義務去,如果廠商分析了漏洞我們用戶首先應該在第一時間把相應的漏洞給進行一個更新,以防黑客利用此漏洞進行攻擊行為。從公司不同的角色可能對安全的考量也是不一樣的,我們有一些從事技術層面的同事更關心現今技術層面的最新發布,如果他從事財務方面他可能更關心是否財政部有相關的規定對數據的安全有一些新的規章制度出來,我們的法務,以及我們的市場部可能更為關心的是如果我們的信息泄露了,給我們的公司所帶來的各種各樣的一些損失。所以,我們可以看出不同的關心點,每個人所關心的事情都是為了給我們的用戶,以及給我們的內外部的用戶提供一個更好更安全的上網行為的環境。
之前也有嘉賓提到Google、百度也有相關的發布,Google去年承擔了一項修補活動,當你在上網的時候,如果您的網站沒有采取任何措施的話,可能它會有一個提醒,說您是否相信這個網站是真實的,或者您是否繼續去訪問,如果中間的證書鏈有問題的情況下,可能會出現一個嘆號。如果其他的問題,它可能會在HTTPS直接打一個叉。下面的圖我們可以看到大概是這樣一個顯示,很多時候我們都遇到過這樣的一些情況,但是我們通常情況是怎么做的呢?可能沒有人去詳細的讀這一段字到底表述的是什么,我們直接就點了“是”了。如果我們直接點“是”的情況下,瀏覽器廠商就認為你已經可以承擔你未來所要做的事情的風險,因為他所要做的事情已經做到了,因為他已經提醒你了,但是你還是要繼續訪問這個網站。因此,之后所發生的任何的安全事件跟他就沒有任何的關系了。
我們的行業里我們也有相關的規定,大家都知道作為一個全球的第三方的可信的CA機構,我們每年都要收到一些相關的審計工作,在我們機構當中我們就要求提出對于OV的組織機構型的有效驗證,它的最長的一個有效期從2015年4月份開始是不允許超過39個月,這也就是說可能之前您申請一張證書它的有效期可以達到5年,但是現在我們新的規則改變了,最長的是不能超過39個月,這是為什么?我想可能大家都知道任何的一個安全它并不能絕對的安全,都是相對性的,而且基于算法的一個安全的保證,從原理上、邏輯上來講是有可能會被攻克的。尤其是今天上午有一個大師提到現在在做一個量子計算,如果量子計算真的成立的那一天,我想可能我們的算法分分鐘鐘就被破譯了,因為量子計算還沒出來,我們為了把我們安全的等級做的更高,不給黑客相關的那么多的時間準備。因此,我們需要我們自己主動一些,我們把我們相關的年限降低一些。
同時,十來年之前我們中國清華大學有一位非常有名的博士,他當時發現一個脆弱定,并且他利用這個脆弱點已經可以把它攻破。所以,現在SHA-1已經不那么安全了。剛才邱總也提到SHA-1升級到SHA-2,不是廠商給用戶增加難度,給大家提供一些非常困難的應用環境,而是我們想幫助大家把網絡安全環境做的更好。所以,我們要把安全的堡壘碼的更高一些。從SHA-1到SHA-2的升級也可以看到從2012年到2021年過渡的過程中,有些也是利用相關的漏洞和行為,我們必須要把這個事情很嚴肅的進行一個對待。因此,基于上述的一些現狀,這么多的網站的仿造事件,以及這么多的漏洞,以及這么多的大家所要考量的信息安全的一個思考的出發點,我們應該選擇一些什么樣的解決方案呢?我們Entrust Datacard提出通過SSL的解決方案來最好的保護您的網站的安全。我們針對于OV型我們有相關驗證,同時會提供給客戶相關的流氓軟件掃描,以及一些相關的工具來幫助客戶管理他的證書。
下面我們詳細的看一下這個SSL到底能用于一些什么樣的應用場景幫助客戶做一些什么樣的事情呢?比較普通的可能就是我們在用的一些在線交易平臺,要求我們輸入一些比較敏感的信息數據,還有我們在登陸各種網站的時候,以及我們在郵箱登陸的時候,以及我們連VPN的時候,這種場景都可以用到我們SSL證書來幫助您提高您企業的安全等級,以及提升您企業的品牌的信譽。
講了這么多,SSL到底是什么呢?有一些與會者是知道的,SSL其實就是一個叫安全的套階層,目前來看,他是一個很標準,運用領域非常廣泛的一個技術,特是在瀏覽器與服務器之間給服務器提供身份認證,以及提供加密的數據傳輸服務。我們這張圖上可以看到經過SSL加密以后,我們大概有三個方面可以察看這樣的網站是否是通過SSL進行一個保護。最明顯的一個就是大家看到中間的HTTPS后面的S,這個S如果您有SSL的話,就代表它是利用S進行保護,如果你看到SRL前面顯示的就是HTTP,這個時候你一定要小心一點,因為這個網站是沒有用相關加密的數據進行保護的。同時,可以看到URL地址欄上面變成了綠色,同時它有提示這個網站這個域名到底是由哪家公司所擁有的,它會在上面顯示出他的名稱。同時,大家可以看到還有一把小鎖,這個小鎖的意義所在就是它會告訴你當你的瀏覽器跟訪問者之間已經建立起了一條安全的通信的通道。
SSL證書主要有兩大作用,一個是提供數據加密。另外一個是提供身份認證。在我們傳統的行業里,我們大致分為三類,一類就是我們的DV,DV是基于運營有效性的驗證,從名字上大家可以得到一個概念,基于域名是不是它就只針對域名做驗證呢?答案是肯定的。右邊黃色的線有標明如果是DV型的,只要您擁有一個域名您就可以來申請一個SSL證書。
還有比DV級別會更高一些的我們叫OV,OV基于申請證書的一個組織機構我們會對它的有效性進行一個驗證。黃色的線大家也可以看到OV會在DV的基礎上,除了驗證域名,還要驗證組織機構相關的續存的狀態。
目前級別最高的EV,增強型或者擴展型的驗證。它的驗證是會比OV更高,它的驗證的條件就會對申請證書的雇員,以及這企業在哪個工商局注冊的所有信息都會進行更高級別的驗證。同時,如果他申請的是一張EV的證書,在地址欄里會顯示這個網站是由哪一家公司所擁有的,會顯示它的名稱,同時它會有綠色的欄一下子就能給客戶一個很好的提醒,知道你正在使用的是一個安全的網站。
我們看一下它是怎樣工作的?當一個訪問者訪問一個網站的時候,現在我去訪問百度,我會發起一個請求,我在URL中輸入百度,這是第一步。第二步,百度就會到網站那邊把我的信息反饋過去。同時,第三步,IE瀏覽器,網站這邊會到我,這張證書是由Entrust Datacard簽發的,它會跑到Entrust DatacardCA中進行一個OCSP的校驗,這個數字證書是否有效或者有沒有被吊銷。同時,如果成功的情況下,我們CA會給網站返回一個值。
同時,如果返回值是“是”的話,這個時候整個過程就完成了,它就給你建立起一個安全的通道。整個這樣一個環節來講的話,我們只需要80毫秒。所以,實際上是非常非常快的,而且之前的演講嘉賓也提到,使用了以后也不會導致我們網站速度的下降,反而會有提高,因為我們會進行有效的流量劫持的保護工作。
這張圖是目前市場上針對反饋查詢速度的反饋,目前Entrust Datacard70多毫秒的時間在全球應該是排名第二的。
Entrust Datacard基于上述的應用場景,我們剛才講的SSL,除了SSL以外,企業還有其他的需求,我們的數字證書SSL是從架構與PKI的環境當中,是他的一個大的相當于生產線,是由我們的公共密鑰基礎設施所生產出來的。這個證書除了提供身份認證以外,還可以提供相關的電子簽名。中國也有自己的電子簽名法。我們的證書做電子簽名的時候可能有不同的應用場景,有可能我們需要在各種APP上進行一個簽名,來保護我們的證書,保護我們的APP的完整有效。以及我們可能需要在各種文檔上,比如我們的PDF,我們的Office上進行電子的簽名來保證數據的完整性,同時在這上面會顯示是某某簽的,用抗抵賴性。
現在還有一些企業會對數據保護非常的嚴格,我可能給張三發一個郵件我不希望發給他是明文的,這個時候會有安全郵件。我們現在都講BYOD,無線辦公,BYOD的過程中如果我們連公司的Wifi我們如何確定你就是我公司的雇員,針對這樣的應用場景我們有我們的設備證書。
文檔簽名證書會有一個展示,這是我們基于PDF的文檔簽名,簽完名以后,它會在PDF最上面顯示這張證書是哪個CA機構頒發給他的。同時因為我們根內置在PDF當中,所以,你只需要點擊右鍵它就可以進行文件的有效性的校驗,是不需要您再安裝任何的簽名驗簽的軟件的。因此,非常方便。
代碼簽名證書比如我現在開發了一個軟件,我要把我的軟件放到互聯網上供大家下載,誰能確保我放到互聯網上以后沒有被別的黑客所更改?因此,我們也是用我們的代碼簽名對代碼進行一個數據完整性的保護。
安全郵件證書,我可能想要發給我的非常隱私的一個客戶,我的這個數據等級是非常高的,可能在這個安全級別中我是第五類的,或者在這個涉密里來講是最高級別的。所以,我這些東西都需要進行一個加密的處理。移動設備證書就是為了我們登陸一個公共Wifi或者企業Wifi額的時候用我們自帶的移動辦公設備可以安全有效的連接到我們的Wifi。
除了上述的產品以外,我們Entrust Datacard還提供相關的增值的工具給到我們的用戶,像我們這款Discovery可以幫助客戶管理所有的證書,他會進行比如證書快要到期了會有相關的提醒,讓你重新發,都是非常之方便。同時,我們還提供TURBO的軟件,SSL會有一對公司密鑰,會有一個私鑰,在創建過程中,如果沒有相關的IT經驗可能對它來進這是非常困難的。因此,我們把門檻提高了,用戶說這個東西太難了,我干脆不要了可不可以?因此,我們做出一個類似于一鍵部署的傻瓜式的工具,因此需要把TURBO的軟件安裝在未來即將要安裝數字證書的服務器上它就可以幫你創建。
同時我們還提供相關的網站安全附加服務,當您購買我們證書的時候我們會贈送給您一個附加的流氓軟件掃描,這樣一個流氓軟件掃描可以掃描到是否有相關的不好的一些軟件掛在您的網站上。因此,可以對您進行一些提醒,您也可以一鍵根除。
剛才我們有提到作為我們廠商來進我們有義務把我們各種產品做的很強大。作為客戶來講,作為企業來講,我覺得也是有義務把廠商做出來的各種產品更新打相應的補丁進行相應的提醒。所以,我們每個人都有相關的義務。
今天非常榮幸有這樣的機會來到這里跟大家一起分享,同時我也想Entrust Datacard介紹給大家,Entrust Datacard成立于1969年,是一家美國企業,年收益全球6億美金,我們在全球34個國家雇員超過兩千個,我們現在全球的合作伙伴大概有2500多家。我們主要為消費領域、居民、企業,還有我們的政府提供基于電子支付,以及信息安全的一個解決方案。
我們的整體產品線,Entrust Datacard最開始做一個PKI,我們延伸出另外兩條產品線,一個是身份管理類的,另外一個是云端類的產品,云端類的就是剛才給大家所提到的。Entrust Datacard的核心價值我們是一個第三方的可信的根CA機構。同時我們提供OV和EV型的證書,今天有友商也在這里發布了加密無處不在的解決方案,所以,DV型我們Entrust Datacard也在研發,有可能在不久的將來也會推出。同時,第三個層面我們還提供相應的云平臺,這個云平臺里有相關的工具給到大家使用。
Entrust Datacard是全球眾多客戶的一些共同的選擇,從上面我們看到全球大概有二十來家商業企業,銀行,以及電信行業目前都采取了安全解決方案。希望在不久的將來,Entrust Datacard有這樣一個機會在中國帶給大家一些更好的安全服務。
最后,要給大家講一個小小的故事,諾亞方舟的故事,上帝在創世紀的時候,諾亞一家非常的誠懇。首先,我要說明一下,我沒有任何信仰,也不是在這里宣教,在耶和華創造這個人物的時候他過了很久發現人類人性可能得到了一些自我膨脹,好的壞的都出來了。所以,這個時候他決定讓人類重新毀滅一次,讓他們再生。但是這個時候他想如果我真的讓他們全部都死掉,未來怎么傳承呢?所以,他需要挑選一個人。這個人非常的好,非常的nice,也沒有很多邪惡的想法,他選來選去選了諾亞一家,于是他讓諾亞在什么時間節點內用什么材料建造一個大的船,你要把你的雞鴨牛羊和老婆孩子一起帶到船上。當他們登陸這個船以后上帝就開始發怒了,洪水就降臨了,把所有的生物都滅絕了,唯獨在諾亞方舟上的生物后來保存下來,得以延續。這就是圣經上的故事。借這個故事和主辦方的一句話,沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。所以,網絡安全對我們來講,我們是人人有責的,讓我們一起共同努力,來建筑信息安全的諾亞方舟,讓我們續航百年企業。謝謝大家。
上一篇:萬達林鵬:我的電商安全觀