尹东梅:互联网+时代的网络安全挑战及应对策略

尹东梅:大家好,我是来自Entrust Datacard的尹东梅,我昨天晚上为了赶这个PPT,凌晨三四点才睡,所以,你们一定要打起精神来,如果你们困了我在这儿也跟着睡过去了。

7   尹东梅

今天要跟大家分享的一个话题就是在互联网+时代的网络安全所面临的一些挑战,以及我们的应对策略。

首先,我们来看一张图,这个图是今年5月份互联网应急中心发布的2015年的网络安全的事件,显示出网络安全事件在整个2015年期间超过了12万起。其中比例占的最大的一个就是我们的网页仿冒事件,占比第二的将近占到20%左右的是我们的一个漏洞事件,占比第三的就是我们的网络篡改事件。所以,我们可以看到从这三个大的方向来讲,我们所面临的主要的网络安全事件主要分布在这三个方向。一个是我们假的一些网站,以及防钓鱼的一些网站。另外,利用我们的一些漏洞进行的相关攻击。还有我们网页的一些篡改,其他的安全事件整体占比才到10%左右。所以,在这个地方为了不让大家那么困,我也准备了一个小小的video,这个video是去年夏天的时候央视新闻频道所发布的一条。

(video)

尹东梅:从这个片子中我们可以得到几条信息。网站被仿冒了,仿造的网站把中间的点去掉了,可能没有经验的人不会特别的关注这小小的一点,正是因为这一点所以才导致我们的一些信息忽略,导致我们到了一个假的网站上。这个网站他要做的事情仅仅是卖一个假证,因为他把相关的证件卖出去以后,他希望买了这个证书的人可以查询到,相信这个证书是真的,他的层面来讲可能性质还不是超级恶劣。如果我们这样的一个网站是我们其他政府的门户或者在这个网站上会涉及到相关的资金的交易,如果在这种情况下,我们的经济损失是非常非常大的。

另外一个情况,除了伪网站事件,刚才的报告里有显示将近20%的网站都是基于漏洞的攻击。刚开始的嘉宾提到HTTP的由来,他的历史,也讲到SSL的发展历史,其实SSL现在从最开始的1.0版本发展到3.0版本,包括现在的TLS协议从最开始的1.0已经到1.3版本,我们在SSL3.0版本的时候已经发现了有这样的一些漏洞,而且这些漏洞就是针对于SSL3.0的一个漏洞进行一些相关的中间人的攻击,我想大家都有听说过相关漏洞攻击的方式,如果大家非常感兴趣的话,这个东西是如何进行的攻击,欢迎会下我们可以进行详细的探讨。

现在网络安全所处的环境,从这张图片我们可以看到有很多网站现在还是HTTP的,还不是基于SSL的,将近有77.9%的网站仍然没有采取相关的任何的保护措施,有一些甚至是有了SSL证书,但是可能它的证书列在安装的时候并不完整,也会导致我们网站的安全级别达不到一定的要求。还有一些是针对我们各种漏洞进行的攻击。

这张图上可以看到一个很醒目的数字,右上方写了我们的网络协议有42.3%的还是仍然在用非常老旧的SSL3.0版本,信息安全并不是一个人就能够把它作为的一个事情,信息安全我们所提到从端到端的安全,可能我们会有文档的安全保护,我们会有逻辑的安全,物理的安全,网络的安全,公安部也按照这个级别进行了等级保护的一些相关的设计。对每一块都有相关的安全的策略的要求。

从信息安全本身来讲,我们作为厂商或者用户来讲,我们每一个人都有这样的义务去,如果厂商分析了漏洞我们用户首先应该在第一时间把相应的漏洞给进行一个更新,以防黑客利用此漏洞进行攻击行为。从公司不同的角色可能对安全的考量也是不一样的,我们有一些从事技术层面的同事更关心现今技术层面的最新发布,如果他从事财务方面他可能更关心是否财政部有相关的规定对数据的安全有一些新的规章制度出来,我们的法务,以及我们的市场部可能更为关心的是如果我们的信息泄露了,给我们的公司所带来的各种各样的一些损失。所以,我们可以看出不同的关心点,每个人所关心的事情都是为了给我们的用户,以及给我们的内外部的用户提供一个更好更安全的上网行为的环境。

之前也有嘉宾提到Google、百度也有相关的发布,Google去年承担了一项修补活动,当你在上网的时候,如果您的网站没有采取任何措施的话,可能它会有一个提醒,说您是否相信这个网站是真实的,或者您是否继续去访问,如果中间的证书链有问题的情况下,可能会出现一个叹号。如果其他的问题,它可能会在HTTPS直接打一个叉。下面的图我们可以看到大概是这样一个显示,很多时候我们都遇到过这样的一些情况,但是我们通常情况是怎么做的呢?可能没有人去详细的读这一段字到底表述的是什么,我们直接就点了“是”了。如果我们直接点“是”的情况下,浏览器厂商就认为你已经可以承担你未来所要做的事情的风险,因为他所要做的事情已经做到了,因为他已经提醒你了,但是你还是要继续访问这个网站。因此,之后所发生的任何的安全事件跟他就没有任何的关系了。

我们的行业里我们也有相关的规定,大家都知道作为一个全球的第三方的可信的CA机构,我们每年都要收到一些相关的审计工作,在我们机构当中我们就要求提出对于OV的组织机构型的有效验证,它的最长的一个有效期从2015年4月份开始是不允许超过39个月,这也就是说可能之前您申请一张证书它的有效期可以达到5年,但是现在我们新的规则改变了,最长的是不能超过39个月,这是为什么?我想可能大家都知道任何的一个安全它并不能绝对的安全,都是相对性的,而且基于算法的一个安全的保证,从原理上、逻辑上来讲是有可能会被攻克的。尤其是今天上午有一个大师提到现在在做一个量子计算,如果量子计算真的成立的那一天,我想可能我们的算法分分钟钟就被破译了,因为量子计算还没出来,我们为了把我们安全的等级做的更高,不给黑客相关的那么多的时间准备。因此,我们需要我们自己主动一些,我们把我们相关的年限降低一些。

同时,十来年之前我们中国清华大学有一位非常有名的博士,他当时发现一个脆弱定,并且他利用这个脆弱点已经可以把它攻破。所以,现在SHA-1已经不那么安全了。刚才邱总也提到SHA-1升级到SHA-2,不是厂商给用户增加难度,给大家提供一些非常困难的应用环境,而是我们想帮助大家把网络安全环境做的更好。所以,我们要把安全的堡垒码的更高一些。从SHA-1到SHA-2的升级也可以看到从2012年到2021年过渡的过程中,有些也是利用相关的漏洞和行为,我们必须要把这个事情很严肃的进行一个对待。因此,基于上述的一些现状,这么多的网站的仿造事件,以及这么多的漏洞,以及这么多的大家所要考量的信息安全的一个思考的出发点,我们应该选择一些什么样的解决方案呢?我们Entrust Datacard提出通过SSL的解决方案来最好的保护您的网站的安全。我们针对于OV型我们有相关验证,同时会提供给客户相关的流氓软件扫描,以及一些相关的工具来帮助客户管理他的证书。

下面我们详细的看一下这个SSL到底能用于一些什么样的应用场景帮助客户做一些什么样的事情呢?比较普通的可能就是我们在用的一些在线交易平台,要求我们输入一些比较敏感的信息数据,还有我们在登陆各种网站的时候,以及我们在邮箱登陆的时候,以及我们连VPN的时候,这种场景都可以用到我们SSL证书来帮助您提高您企业的安全等级,以及提升您企业的品牌的信誉。

讲了这么多,SSL到底是什么呢?有一些与会者是知道的,SSL其实就是一个叫安全的套阶层,目前来看,他是一个很标准,运用领域非常广泛的一个技术,特是在浏览器与服务器之间给服务器提供身份认证,以及提供加密的数据传输服务。我们这张图上可以看到经过SSL加密以后,我们大概有三个方面可以察看这样的网站是否是通过SSL进行一个保护。最明显的一个就是大家看到中间的HTTPS后面的S,这个S如果您有SSL的话,就代表它是利用S进行保护,如果你看到SRL前面显示的就是HTTP,这个时候你一定要小心一点,因为这个网站是没有用相关加密的数据进行保护的。同时,可以看到URL地址栏上面变成了绿色,同时它有提示这个网站这个域名到底是由哪家公司所拥有的,它会在上面显示出他的名称。同时,大家可以看到还有一把小锁,这个小锁的意义所在就是它会告诉你当你的浏览器跟访问者之间已经建立起了一条安全的通信的通道。

SSL证书主要有两大作用,一个是提供数据加密。另外一个是提供身份认证。在我们传统的行业里,我们大致分为三类,一类就是我们的DV,DV是基于运营有效性的验证,从名字上大家可以得到一个概念,基于域名是不是它就只针对域名做验证呢?答案是肯定的。右边黄色的线有标明如果是DV型的,只要您拥有一个域名您就可以来申请一个SSL证书。

还有比DV级别会更高一些的我们叫OV,OV基于申请证书的一个组织机构我们会对它的有效性进行一个验证。黄色的线大家也可以看到OV会在DV的基础上,除了验证域名,还要验证组织机构相关的续存的状态。

目前级别最高的EV,增强型或者扩展型的验证。它的验证是会比OV更高,它的验证的条件就会对申请证书的雇员,以及这企业在哪个工商局注册的所有信息都会进行更高级别的验证。同时,如果他申请的是一张EV的证书,在地址栏里会显示这个网站是由哪一家公司所拥有的,会显示它的名称,同时它会有绿色的栏一下子就能给客户一个很好的提醒,知道你正在使用的是一个安全的网站。

我们看一下它是怎样工作的?当一个访问者访问一个网站的时候,现在我去访问百度,我会发起一个请求,我在URL中输入百度,这是第一步。第二步,百度就会到网站那边把我的信息反馈过去。同时,第三步,IE浏览器,网站这边会到我,这张证书是由Entrust Datacard签发的,它会跑到Entrust DatacardCA中进行一个OCSP的校验,这个数字证书是否有效或者有没有被吊销。同时,如果成功的情况下,我们CA会给网站返回一个值。

同时,如果返回值是“是”的话,这个时候整个过程就完成了,它就给你建立起一个安全的通道。整个这样一个环节来讲的话,我们只需要80毫秒。所以,实际上是非常非常快的,而且之前的演讲嘉宾也提到,使用了以后也不会导致我们网站速度的下降,反而会有提高,因为我们会进行有效的流量劫持的保护工作。

这张图是目前市场上针对反馈查询速度的反馈,目前Entrust Datacard70多毫秒的时间在全球应该是排名第二的。

Entrust Datacard基于上述的应用场景,我们刚才讲的SSL,除了SSL以外,企业还有其他的需求,我们的数字证书SSL是从架构与PKI的环境当中,是他的一个大的相当于生产线,是由我们的公共密钥基础设施所生产出来的。这个证书除了提供身份认证以外,还可以提供相关的电子签名。中国也有自己的电子签名法。我们的证书做电子签名的时候可能有不同的应用场景,有可能我们需要在各种APP上进行一个签名,来保护我们的证书,保护我们的APP的完整有效。以及我们可能需要在各种文档上,比如我们的PDF,我们的Office上进行电子的签名来保证数据的完整性,同时在这上面会显示是某某签的,用抗抵赖性。

现在还有一些企业会对数据保护非常的严格,我可能给张三发一个邮件我不希望发给他是明文的,这个时候会有安全邮件。我们现在都讲BYOD,无线办公,BYOD的过程中如果我们连公司的Wifi我们如何确定你就是我公司的雇员,针对这样的应用场景我们有我们的设备证书。

文档签名证书会有一个展示,这是我们基于PDF的文档签名,签完名以后,它会在PDF最上面显示这张证书是哪个CA机构颁发给他的。同时因为我们根内置在PDF当中,所以,你只需要点击右键它就可以进行文件的有效性的校验,是不需要您再安装任何的签名验签的软件的。因此,非常方便。

代码签名证书比如我现在开发了一个软件,我要把我的软件放到互联网上供大家下载,谁能确保我放到互联网上以后没有被别的黑客所更改?因此,我们也是用我们的代码签名对代码进行一个数据完整性的保护。

安全邮件证书,我可能想要发给我的非常隐私的一个客户,我的这个数据等级是非常高的,可能在这个安全级别中我是第五类的,或者在这个涉密里来讲是最高级别的。所以,我这些东西都需要进行一个加密的处理。移动设备证书就是为了我们登陆一个公共Wifi或者企业Wifi额的时候用我们自带的移动办公设备可以安全有效的连接到我们的Wifi。

除了上述的产品以外,我们Entrust Datacard还提供相关的增值的工具给到我们的用户,像我们这款Discovery可以帮助客户管理所有的证书,他会进行比如证书快要到期了会有相关的提醒,让你重新发,都是非常之方便。同时,我们还提供TURBO的软件,SSL会有一对公司密钥,会有一个私钥,在创建过程中,如果没有相关的IT经验可能对它来进这是非常困难的。因此,我们把门槛提高了,用户说这个东西太难了,我干脆不要了可不可以?因此,我们做出一个类似于一键部署的傻瓜式的工具,因此需要把TURBO的软件安装在未来即将要安装数字证书的服务器上它就可以帮你创建。

同时我们还提供相关的网站安全附加服务,当您购买我们证书的时候我们会赠送给您一个附加的流氓软件扫描,这样一个流氓软件扫描可以扫描到是否有相关的不好的一些软件挂在您的网站上。因此,可以对您进行一些提醒,您也可以一键根除。

刚才我们有提到作为我们厂商来进我们有义务把我们各种产品做的很强大。作为客户来讲,作为企业来讲,我觉得也是有义务把厂商做出来的各种产品更新打相应的补丁进行相应的提醒。所以,我们每个人都有相关的义务。

今天非常荣幸有这样的机会来到这里跟大家一起分享,同时我也想Entrust Datacard介绍给大家,Entrust Datacard成立于1969年,是一家美国企业,年收益全球6亿美金,我们在全球34个国家雇员超过两千个,我们现在全球的合作伙伴大概有2500多家。我们主要为消费领域、居民、企业,还有我们的政府提供基于电子支付,以及信息安全的一个解决方案。

我们的整体产品线,Entrust Datacard最开始做一个PKI,我们延伸出另外两条产品线,一个是身份管理类的,另外一个是云端类的产品,云端类的就是刚才给大家所提到的。Entrust Datacard的核心价值我们是一个第三方的可信的根CA机构。同时我们提供OV和EV型的证书,今天有友商也在这里发布了加密无处不在的解决方案,所以,DV型我们Entrust Datacard也在研发,有可能在不久的将来也会推出。同时,第三个层面我们还提供相应的云平台,这个云平台里有相关的工具给到大家使用。

Entrust Datacard是全球众多客户的一些共同的选择,从上面我们看到全球大概有二十来家商业企业,银行,以及电信行业目前都采取了安全解决方案。希望在不久的将来,Entrust Datacard有这样一个机会在中国带给大家一些更好的安全服务。

最后,要给大家讲一个小小的故事,诺亚方舟的故事,上帝在创世纪的时候,诺亚一家非常的诚恳。首先,我要说明一下,我没有任何信仰,也不是在这里宣教,在耶和华创造这个人物的时候他过了很久发现人类人性可能得到了一些自我膨胀,好的坏的都出来了。所以,这个时候他决定让人类重新毁灭一次,让他们再生。但是这个时候他想如果我真的让他们全部都死掉,未来怎么传承呢?所以,他需要挑选一个人。这个人非常的好,非常的nice,也没有很多邪恶的想法,他选来选去选了诺亚一家,于是他让诺亚在什么时间节点内用什么材料建造一个大的船,你要把你的鸡鸭牛羊和老婆孩子一起带到船上。当他们登陆这个船以后上帝就开始发怒了,洪水就降临了,把所有的生物都灭绝了,唯独在诺亚方舟上的生物后来保存下来,得以延续。这就是圣经上的故事。借这个故事和主办方的一句话,没有网络安全就没有国家安全,没有信息化就没有现代化。所以,网络安全对我们来讲,我们是人人有责的,让我们一起共同努力,来建筑信息安全的诺亚方舟,让我们续航百年企业。谢谢大家。

上一篇:万达林鹏:我的电商安全观

下一篇:对话腾讯马斌 解读互联网+安全战略