通信世界网(CWW)4月6日消息 由人民邮电出版社主办的“2012(第四届)通信网络与信息安全高层论坛”在北京鸿翔大酒店举行,本次论坛以“深化防护 携手共筑安全新时代”为主题,会议针对通信网络与信息安全领域的重点和难点问题进行深入探讨,包括移动互联网安全、智能终端安全、云计算安全、增值电信企业网络安全、Web安全等,欢迎产业链合作伙伴积极参与此次盛会,携手共筑安全新时代。
北京国舜科技有限公司副总裁 汤志刚
汤志刚:首先耽误大家一分钟时间,我把国舜公司介绍一下,因为我非常喜欢这家公司。我们国舜公司是一家源于清华,专注于Web安全领域研究公司,我们主要做Web安全。今天我站在这里讲网络应用安全新趋势心里非常坦然,确实是我们整个安全短板,先提供一个古老数据,据Gantner调查显示,超过75%攻击来自应用层,从整体安全来说,网络层相对完善,防火墙部署以及相应制度,阻断绝大多数外部主动连接,网络安全成为主要突破口。
目前,我们国舜在整个渗透服务中85%以上有效渗透都是以网站作为突破口。在某运营商组织安全检查中找到几十条从互联网到内网包括计费,网关,OA的途径,80%以上以网站作为突破口。这些事实都证明,事实上我们网站需要大家关心,成为整个网络安全的短板。但是我们政府部门也已经认识到这个问题,像十八大保障重点网站就是其中一个,另外很多部门不断通报网络安全问题中,其实绝大部分都是网站的安全。
我们网站安全有什么新趋势呢?第一个就是咱们现在是以数据泄露为代表的窃取性攻击成为主流。以前网络攻击都是大家篡改网站,张扬一下自己的风格,我把你的网站改了挺牛的,你挺难过,损失不是很大。现在我过来把你用户数据全丢走了,你还挺高兴,因为你不知道,可能过了几年才知道了,可能就会成为CSDN了。
还有刚才很多专家讲到高级持续性攻击APT,也经常是以网站作为突破口进行攻击的。这里有几个例子,这是CSDN的数据泄露事件,前面专家也已经提到了,这就是一个APT以WEB来突破的例子,这些就不细讲了。
那么,部分实际状况网络安全是可靠的,怎么来构造一个WEB应用安全防护体系。以前,我们尽量找到更多漏洞我们来修一修,补一补,这种方式是不是可行,我们国舜公司在这方面也做了很多探讨。其实,我们这个传统安全防护领域大家看一下,这只比较可爱的乌龟,我们就是以拦截,加固作为主要核心手段和理念,一个比较理想的结果,就是成为一个乌龟,他是一个很好的防护。但是,因为我们这个网站的出现,而且网站承载的经济价值和政治影响在不断扩展,带来什么变化呢?因为我们网站必须要允许客户访问的,而且我们网站现在又特别强调交互性,希望在客户和咱们之间有个反复交互。
那么,就意味着对于这个乌龟来说,是承担一个必须伸着头的乌龟,不能把头缩回去,整个安全体系是能够把头缩回去,用龟壳防护的,现在说头不能缩回去,整个防护体系就比较麻烦了。所以,我们现在为什么咱们黑客喜欢从“龟头”进行突破,最后威胁到整个网络安全。
如果我们是这样来理解这个安全问题的话,怎么去解决呢?因为我们的解决方案不去讲太多理论,因为我们最大理论,就是道德经上说的“人法地,地法天,天法道,道法自然”,我们要去自然界去寻找答案,自然界有很多不需要缩头的动物也需要很安全的回头,我们有一个经典的保护动物就是刺猬。刺猬的防御特征是什么?第一很敏感,稍微有一个刺激马上就进入防御状况。第二刺猬是来保护安全,以刺带甲,不是靠尖锐的甲而是靠尖锐的刺,刺猬代表的就是主动防御。
