久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

隨著網(wǎng)絡(luò)安全內(nèi)涵不斷擴(kuò)展，信息安全對(duì)抗已經(jīng)進(jìn)入新的階段，既有國(guó)家層面的網(wǎng)絡(luò)安全空間對(duì)抗，也有組織間的APT(高級(jí)持續(xù)威脅)攻擊與反APT攻擊之間的對(duì)抗。而作為攻防對(duì)抗的主體，“黑帽子”與“白帽子”之間的較量從沒有停止。

平凡的白帽子和數(shù)據(jù)中心的夜

深夜，還是在數(shù)據(jù)中心機(jī)房，唐楠熟練地運(yùn)用WVS、NetSparker等各種漏洞檢測(cè)工具掃描著每臺(tái)服務(wù)器主機(jī)。6個(gè)小時(shí)過去了，最終他發(fā)現(xiàn)了238個(gè)安全漏洞。其中，高危漏洞100個(gè)，中危漏洞23個(gè)，低危漏洞73個(gè)，而其他的敏感信息還有42條。那么，拿到這些漏洞之后，唐楠準(zhǔn)備干什么?

“如果黑帽子拿到這些漏洞就麻煩了，它們會(huì)立即利用網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)中的漏洞缺陷展開攻擊，篡改網(wǎng)頁、注入木馬、盜取信息，或是長(zhǎng)期潛伏下來，展開‘橫向移動(dòng)(APT攻擊中的重要階段)’，最終盜取用戶的核心機(jī)密。” 唐楠對(duì)發(fā)現(xiàn)的數(shù)百個(gè)漏洞并沒有任何喜悅之情，卻是十分擔(dān)心。

曾作為核心技術(shù)成員，唐楠參與了中美黑客大戰(zhàn)、中日黑客大戰(zhàn)這些有影響力的黑客大戰(zhàn)。他還是國(guó)內(nèi)第一批通過CCSP(思科認(rèn)證網(wǎng)絡(luò)安全專家認(rèn)證)，擁有VPN專家證書、IDS入侵檢測(cè)專家證書、防火墻專家證書、信息安全專家證書、IOS專家證書的信息安全專家。隨著國(guó)內(nèi)信息安全產(chǎn)業(yè)的快速崛起， 唐楠帶著這頂“白帽子”，選擇加入了浪潮。

而我們之前看到的漏洞掃描，正是浪潮“151計(jì)劃”的一部分。浪潮的“151計(jì)劃”涵蓋工程師培訓(xùn)、主機(jī)安全知識(shí)普及和客戶免費(fèi)體驗(yàn)幾個(gè)方面，將面向100個(gè)重點(diǎn)城市培訓(xùn)并認(rèn)證培訓(xùn)500名 ISCE(浪潮主機(jī)安全)認(rèn)證工程師，并為1000名用戶的數(shù)據(jù)中心提供免費(fèi)漏掃及測(cè)試，出具專業(yè)報(bào)告，協(xié)助用戶落實(shí)信息安全等級(jí)保護(hù)工作。唐楠掃描到這些漏洞信息會(huì)被整理為用戶“看得懂”的檢測(cè)報(bào)告，并幫助用戶最終化解潛在危險(xiǎn)。

浪潮151，一次有組織的白帽行動(dòng)嗎?

在黑客的世界中，黑帽子和白帽子的稱呼分別代表兩種對(duì)立的角色——以網(wǎng)絡(luò)信息牟利的惡棍和保護(hù)網(wǎng)絡(luò)安全的英雄。他們看不見對(duì)方，只能在一次次過招時(shí)才能感受到對(duì)方的存在。那么，浪潮主推的151計(jì)劃，是一次有組織的白帽行動(dòng)嗎?

“從形式上看，在漏洞掃描這一部分很相似，漏洞是雙方攻防的焦點(diǎn)。但從整體流程和最終實(shí)現(xiàn)的效果上看，浪潮‘151計(jì)劃’不限于提交漏洞信息這樣簡(jiǎn)單。告知用戶漏洞的存在只是第一步，最終目的是從實(shí)質(zhì)上解決信安問題。” 唐楠指出了“151計(jì)劃”和“白帽行動(dòng)”的不同之處，還介紹了用戶看到“238個(gè)安全漏洞”之后的故事。

238個(gè)安全漏洞，黑客真的進(jìn)得來嗎？

浪潮“151”計(jì)劃覆蓋的1000名重點(diǎn)客戶中，很多都是政府行業(yè)的用戶。而這次用戶所涉及的系統(tǒng)有社保系統(tǒng)、戶籍查詢系統(tǒng)等，涉及了百姓民生。如果這些漏洞被“黑帽子”利用，極有可能發(fā)生個(gè)人身份證信息、社保參保信息、房屋產(chǎn)權(quán)信息、個(gè)人聯(lián)系方式泄露的情況。而這些信息將淪為地下黑市明碼標(biāo)價(jià)的商品。

第二天，唐楠和信息安全事業(yè)部的工程師提前40分鐘趕到了用戶的大會(huì)議室，但是里面已經(jīng)坐滿了人，不僅有技術(shù)人員、主管領(lǐng)導(dǎo)，連“一把手”也來了。由此可以看出用戶對(duì)漏洞細(xì)節(jié)的重視程度，但如果設(shè)身處地的分析用戶所處的行業(yè)背景，以及曾經(jīng)遭遇黑客攻擊的情況，就不難理解客戶‘為何上心’了。“當(dāng)我在大屏幕上展開這份漏洞掃描報(bào)告時(shí)，238這個(gè)數(shù)字確實(shí)讓用戶大吃一驚。臺(tái)下開始有人開始竊竊私語，嘈雜聲隨著領(lǐng)導(dǎo)的一聲咳嗽停止了。但由于不太可能將所有漏洞都展開說，我重點(diǎn)對(duì)風(fēng)險(xiǎn)級(jí)別達(dá)到3級(jí)，黑客可以直接獲取主機(jī)控制權(quán)的高危漏洞進(jìn)行了說明。”唐楠詳細(xì)介紹了第二天的情況。

接下來，為了讓用戶可以感受到這些漏洞的危害，同時(shí)也是“一把手”的要求，“我利用高危漏洞中的Cross site scripting(跨站腳本漏洞)，全面展示了黑客可以收集數(shù)據(jù)的情況。這個(gè)漏洞可以將JavaScript、VBScript、ActiveX、HTML或Flash脆弱的應(yīng)用程序來欺騙用戶，攻擊者可以竊取Cookie會(huì)話接管賬戶、模擬用戶的細(xì)節(jié)。最后，我在用戶的Web服務(wù)器主頁上修改了個(gè)‘逗號(hào)’!”

這個(gè)操作很嚇人，不過被修改的“逗號(hào)”卻展現(xiàn)了一名白帽子基本技能，驗(yàn)證黑客“進(jìn)得來”可能性。但這些都不是關(guān)鍵。

“防得住”才是浪潮“151計(jì)劃”的最終目的

唐楠前面介紹過，浪潮151計(jì)劃與普通白帽子行為的區(qū)別在“防得住”。“在現(xiàn)場(chǎng)，我和同事一起給客戶提出了差異性的安全解決方案，包括：Web服務(wù)器的安全部署、虛擬化應(yīng)用分層部署、數(shù)據(jù)庫主機(jī)訪問權(quán)限控制和漏洞修補(bǔ)、應(yīng)用程序進(jìn)行監(jiān)控保護(hù)，以及利用浪潮SSR訪問控制的“三權(quán)分立”技術(shù)對(duì)關(guān)鍵文件及數(shù)據(jù)進(jìn)行分權(quán)管理。”

漏洞掃描、模擬入侵、現(xiàn)場(chǎng)解決，這三部曲下來，用戶充分肯定了浪潮151計(jì)劃的意義，并對(duì)唐楠 高深莫測(cè)的網(wǎng)絡(luò)安全技術(shù)高度認(rèn)可。在后期，用戶不僅試用了相關(guān)安全產(chǎn)品，同時(shí)還在唐楠的帶領(lǐng)下，針對(duì)WVS、NetSparker等各種漏洞檢測(cè)工具和主機(jī)安全管理流程進(jìn)行了培訓(xùn)和考核。

“處于防御姿態(tài)的白帽子黑客在與黑帽子黑客的較量中，贏一次不能算贏，輸一次就永遠(yuǎn)輸了。但是，由于151計(jì)劃中的任務(wù)還很多，我們不可能長(zhǎng)期駐守在一個(gè)用戶的機(jī)房里，因此，把這些‘防得住’的意識(shí)、方法、手段、經(jīng)驗(yàn)、工具留給他們，最終起到效果。而這就是我的工作。” 這是唐楠在采訪最后談到的，而他正是參加過黑客大戰(zhàn)、在浪潮扎根的一名最普通的白帽子。