【北大CIO班十周年】欧怀谷:金融互联网安全的新挑战及应对策略

2015-12-07 13:22:27  来源:CIO时代网

摘要:2015年11月28-29日,备受关注的“北大CIO班十周年年会暨首届中国行业互联网大会”在北京大学与宽沟会议中心隆重举行。网宿科技首席安全官欧怀谷就演讲:“金融互联网安全的新挑战及应对策略“发表演讲。
关键词: 北大CIO班
  2015年11月28-29日,备受关注的“北大CIO班十周年年会暨首届中国行业互联网大会”在北京大学与宽沟会议中心隆重举行。29日,互联网+金融分论坛在宽沟会议中心也如期召开,来自金融行业的资深专家、企业代表和CIO优秀学员们出席了此次论坛,人才济济,共聚一堂。就金融行业在互联网大背景和新时代信息技术的影响下,进行了最新的技术交锋和很有价值的业内经验交流。网宿科技首席安全官欧怀谷就演讲:“金融互联网安全的新挑战及应对策略“发表演讲,以下为演讲实录:
\
  各位老总,今天非常高兴能有机会来在我们这个论坛上面跟大家分享一下,金融互联网安全的新挑战以及我们的应对的一些策略。其实刚才唐总也讲到,随着我们金融行业以银行为代表的金融行业与互联网的关系越来越紧密。因此我觉得我今天讲的这个切入点,可能会更加贴近于安全。我也做个自我介绍,我叫欧怀谷,前十年我一直从事网络安全相关的工作,那么去年的时候,我加入网宿科技。可以看到网宿科技把我这个安全官,这个也是代表了网宿科技在未来我们一些新的投资方向上发生一些变化。最后我也会讲到这一点可能。
 
  大家可以看到,我今天讲的话题大概分为两个,一个是说新的挑战,一个是我们的一些策略。讲到安全,传统来讲,我们安全都是讲CIA。事实上我们今天,我今天想主要想讲主要还是以A和C为主,完整性这一块,我想我们这个行业其实并不太涉及。刚才谈到随着我们金融行业与互联网越来越配合的越来越紧密。那么互联网天生的就是一个聚集海量用户对公众服务的这个平台。因此安全问题会是我们这样一个很重要的一个环节。
 
  随着我们内部环境的变化,也就是我们互联网金融行业本身的互联网化,实际上在外部环境来看,我们认为在整个互联网上,发生的攻击的态势或者互联网的安全的态势,是愈演愈烈。
 
  特别是我们从可用性的角度来看,我们从攻击的频率,攻击的规模,攻击的类型,事实上很多研究机构都表明,随着时间的变化,随着我们带宽的发展,随着我们越来越多的用户的使用互联网,实际上呈愈演愈烈的态势。实际上在十几年前,我们在做攻击防护的时候,通常都是千兆,那个时候网络还停留在千兆的水平。实际上我记得我在06年参加工行西三旗的项目的时候,那个时候我们采购的是一个千兆的设备,我那个时候还非常有幸参加了这个项目。像现在基本上都是几百个G,可以说这就是这次股灾往下走,确实这个东西如果我们的股市像我们的现在的这个指数一直往上涨多好啊。
 
  现在我们可以看到,2014年Gartner,美国的这样一个很着名的咨询机构发表了一个研究报告表明。在2014年我们攻击的平均水平,已经达到了400个G,400个G是什么概念呢?如果我们算一下,每一个G十万块钱的成本,我们要扛住这400G的攻击的话得多少钱。实际上我们在去年包括前年,我们都会看到,像阿里,腾讯,包括像海外的一些互联网厂商,他们报告的攻击的规模和水平,也基本上在400G左右的水平。那从可用性角度上来看我们来看看关于我们的系统漏洞。
 
  从漏洞的角度看,或者从风险评估角度看,漏洞是产生带来外部威胁,外部风险很重要的因素。那么我们的研究表明,到2013年,我们中高端漏洞总数量一直在逐年的升高。这也是因为我们,当然也是因为我们有越来越多的安全的从业人员在帮助我们的系统来发掘这些漏洞,来发现这些问题。但是同时另外两个方面,也表明了,随着我们使用的IT的基础的设施,基础的系统越来越多,那么就像人会生病一样,我们的系统同样也会有自己的缺陷。因此,系统漏洞,这个数量也是在呈逐年上升的态势。
 
  因此这两个变化,我也是,我个人也认为跟我们的金融行业也是非常相关的。外部环境攻击越来越恶劣,那么我们的系统漏洞也越来越多。那从传统上来讲,金融行业一直对安全都非常重视。我想每一位老总在审批每年的安全预算的时候,也能感觉出来,特别随着国家的安全委员会成立,国家对网络安全越来越重视。这也是对我们的系统安全,或者说网络安全的投资引入越来越大。那么网宿科技实际上作为过去是作为一个传统的CBN的厂商出现的,今天我们也是想从安全视角来切入这个业务。能够帮助大家来解决更多的问题,那么从传统上来讲我们来谈安全防护的手段,通常都是说除去网络建设更重要的制度之外,总是要辅助一些防火墙,采购大量的带宽,包括我们要配备足够的安全相关的人员或者外包给一家公司来做相应的服务。
 
  那从可用性,从防护来讲,过去我刚好有幸也是,十年前我刚好做这个事。实际上到今天我也是做这个事,那么我可以看到过去的防D产品,我知道很多银行的案例。都是在自己的数据中心入口,在这个地方采购一些设备,那么它的线路带宽,过去也就大概是在千兆的规模。因此呢,我们可以看到就是说,实际上我曾经作为一个网络安全的硬件厂商的一个提供者,我们自己也知道自己的一些问题。比方说我们这个成本现在还是比较高的,我们做一单项目下来,不论时间成本还是硬件的成本还是我们维护成本,包括我们给大客户做服务的时候,我们也能感觉到周期也是相对比较长的。
 
  我最想讲的就是最后这一行。主要是我们认为在传统的,通过采购设备的方式来做是无法应对大规模的攻击。我刚才已经谈到,我们的攻击规模已经达到四百个G,那么实际上我们在作为网宿我们现在也在提供类似的产品给客户了。
 
  我们在9月份到10月份,包括阅兵期间,遭受的攻击大约在我们平台上是300G左右,我们还没到400G的规模。实际上我知道,忘了是03还是04年,央行曾经遭受过大规模的D攻击,当时包括360,包括像包括原来的一些传统的网络安全公司,也都参与了。实际上我们也确实是证明一点,就是说我们的金融行业也确实是在受到这样外部的威胁。
 
  那么这个大规模攻击我刚才讲300,400G,那么传统的网络安全产品他是没法做到的。总而言之我认为传统的网络防控手段,有成本高,运维管理复杂,无法应对大规模攻击,同时它的攻击样本非常有限,刚才谈到大数据,因为我们只有一个点上在使用这些产品,因此很多攻击样本从技术上讲是没有办法获取的。那么它的升级,维护,都比较难,而且设备可靠性也容易带来一些单点的故障,总而言之,我在这,今天在这也是想向大家传达一个观点就是说,传统的安全防护手段,已经过时了。因此,我们就提出一个新的安全防护的策略。那就是以云的方式来提供安全,或者说以服务的方式来提供安全。这个与传统的云,不是传统,与新兴的云计算相比,我们认为CDN本身就是一个飘在天空中的一朵云。在业界也这么甚为,CDN公司它本身就具备一些云的一些特性,现在比较流行的saas,实际上在网络安全领域,我们习惯说把安全作为一种服务,向大家提供。
 
  它的一些很明显的优势就在于,就在于左边这个可以无限的扩展。刚刚唐总讲到,我们扩展性是我们非常重视的一个环节。在面临大规模攻击的时候,一个外部的CDN,它具有很强的可扩展性,另外一个是基于大数据。那么这个大数据,我们可以做很多事情,比方说我们可以把IP的新用户建立起来,我们可以把攻击的指纹库建立起来,我们可以把攻击的手段能够识别出来。那么实际上在今年九月份的时候我们确实也实现了这一点。
 

第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。