【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

360 谭晓生:保障云和大数据信息安全的组合拳

  • 2016-07-19
  • 本文字数:2434 字

    阅读完需:约 8 分钟

谈到互联网安全话题,你第一时间会联想到什么?公共 Wi-Fi 是否安全?银行资金为何被盗刷?用户密码无故被篡改?实际上,在这个云计算和大数据技术风行的智能互联时代,如何应对“信息安全”带来的机遇与挑战,捍卫用户数据安全,是一个值得所有人都关注的话题。

2016 年 8 月 15~18 日中国互联网安全大会( China Internet Security Conference,简称 ISC ),是在国家网信办、工信部、公安部指导下,由中国互联网协会和 360 互联网安全中心共同主办的国际型互联网安全会议。届时,奇虎 360 技术副总裁、首席安全官将参与到“云计算与大数据安全高峰论坛”的讨论,在此之前,我们有幸采访到了谭总。

InfoQ:请简单介绍一下您自己,以及您现在所从事的主要工作内容!

谭晓生:我目前是奇虎 360 技术副总裁、首席安全官。 CCF 常务理事、副秘书长,CCF YOCSEF 2015-2016 总部主席,中关村高端领军人物。先后工作于西安交通大学、北大方正,深圳现代、深圳豪信等公司,从程序员到技术副总裁,先后从事过 DOS 操作系统下反病毒系统研发、磁盘加密系统研发、汉字操作系统开发、大型管理信息系统开发。

2003 年进入互联网行业,先后工作于 3721、Yahoo!China、 MySpace China。2009 年加入奇虎 360,任技术副总裁、首席隐私官、首席安全官。兼任重庆邮电大学计算机学院兼职教授、校董,北京邮电大学企业导师。擅长的技术领域:网络安全技术、云计算平台技术、运维自动化技术、搜索引擎技术。

InfoQ:您现在兼任 360 首席安全官(CSO),可能很多人不太了解CSO具体是做什么的,您能简单说说您站在CSO这个位置上,需要从哪些视角来考虑问题?需要具备哪些洞察力?

谭晓生:首席隐私官是在 2000 年左右始于美国的一些公司设立的职位,是为确保企业的产品、服务不侵犯用户的隐私权而设立的职位,负责制定公司产品 / 服务的用户隐私权保护条款以及监督这些条款的最终执行,CSO 需要从法律、产品角度来思考用户隐私权保护问题,需要对法律、用户体验、技术、产品方向方面综合的知识与洞察力。

InfoQ:近期网上曝出一些热点漏洞,例如魔图漏洞攻防,Xen 破天漏洞等等,这些漏洞会对服务器 / 用户业务产生什么影响?对于这样的漏洞,360 一般有哪些监控 / 预防措施?

谭晓生:软件系统有安全漏洞、工作流程存在安全漏洞都是正常现象,魔图漏洞可以导致使用 ImageMagick 图像处理插件的网站控制权被攻击者拿下,Xen 破天漏洞使得攻击者可以实现采用 Xen 做虚拟化平台的云计算系统的虚拟机逃逸,控制 Xen Hypervisor、Domo 以及当前物理机器上运行的其他所有虚拟机。对于这样的漏洞,主动进行漏洞的挖掘并进行漏洞修复,监测安全机构 / 安全研究人员所发布的漏洞信息并及时进行修复、加固是有效提高系统安全性的方法。

InfoQ:自 2013 年棱镜门事件以来,全球都进入了安全戒备的状态。那么至此,360 在安全方面有哪些针对性的重大成就和前进?

谭晓生:360 在安全基础研究领域持续进行深入研究,在传统 Windows 系统安全、iOS/Android 系统安全研究的基础上,新开辟云计算环境下虚拟化安全、硬件及无线电安全、汽车与车联网安全、Anti-APT 等研究方向和研究团队,并且已经取得丰硕成果,在安全可视化分析方面也进入到国际领先水平。

InfoQ:如果说,3 年前,国内安全产业还处在“教育”阶段,企业没有形成向 bug 付费的习惯。那么现在看来,您觉得国内的安全产业已经有了哪些改进?

谭晓生:首先,政府和国家领导人已经开会重视网络安全,习近平主席提出“没有网络安全就没有国家安全”的理念,今年的 4.19 讲话更确定了政府和国家领导人对网络空间安全的重视,网络空间安全也已经成为一级学科,全国 29 所院校获批成立网络空间安全学院。

其次,企业开始形成向安全漏洞付费的习惯,入住 360 补天平台的企业越来越多,包括传统电器生产企业在内的智能家电生产厂商,也开始采购安全公司的安全评估服务,主动挖掘智能软硬件中的安全漏洞。

InfoQ:企业在享受云计算和大数据带来的便利同时,也感受到了这些技术带来的一系列的安全问题。那么如何给云数据做安全防护?如何保障云平台用户数据隐私与安全?

谭晓生:这其实是两个问题,一是如何做云计算的安全防护,主动挖掘系统漏洞以及主动进行安全加固,以及通过持续的监测来发现针对云计算系统的攻击并及时进行响应是解决问题的方法;二是云平台的用户数据隐私问题,核心问题是数据安全以及所对应的安全机制,云计算使用方、服务提供方、监管方的三权分立机制,是云计算、大数据的安全保障机制,所谓的“零信任”机制是避免其中任何一方作恶的有效机制。

InfoQ:云平台系统安全架构种类很多,例如虚拟化网络安全架构、云平台安全体系架构、云平台某一个子系统 / 大模块的安全架构等等,这些架构各具备哪些优势?

谭晓生:需要组合拳来保障云计算平台的安全,虚拟化网络安全架构、云平台安全体系架构、某一个模块的安全架构是解决云计算平台安全的不同层次,不同细粒度的方法,其实是不可偏废的,虚拟化情况下网络拓扑有很大变化,需要 NFV 等技术来解决虚拟化网络所带来的网络流量审计的困难,而云平台本身的脆弱性,需要通过从代码层面到体系结构层面的安全加强,其子系统、大模块也存在同样的问题。

InfoQ:虚拟化热补丁技术可能是用的比较多的漏洞修复方式,360 现在在确保系统安全上有哪些核心安全技术?

谭晓生:360 目前为了保障系统安全,采用了多种核心安全技术:

  • 系统漏洞扫描技术:360 拥有国内领先的系统漏洞指纹库,可做到实时扫描到最新公开的系统漏洞。
  • 热补丁技术:区别于传统的软件重新编译修复漏洞的方式,热补丁可做到无需关闭程序在内存进行漏洞修复。
  • 漏洞挖掘技术:比起被动的等待漏洞被各种渠道披露,主动发现系统漏洞是目前安全行业最顶尖的技术。360 有多个安全团队从事系统漏洞挖掘,累计公开 Windows,Linux 安全漏洞达百余个。
  • 攻击主动阻断技术:由于 360 安全团队积累了大量的漏洞 poc 库和恶意文件数据库,依赖于于这些数据,360 通过机器学习和大数据的方式,研发了如云加固这样的系统级防护产品。

公众号推荐:

2024 年 1 月,InfoQ 研究中心重磅发布《大语言模型综合能力测评报告 2024》,揭示了 10 个大模型在语义理解、文学创作、知识问答等领域的卓越表现。ChatGPT-4、文心一言等领先模型在编程、逻辑推理等方面展现出惊人的进步,预示着大模型将在 2024 年迎来更广泛的应用和创新。关注公众号「AI 前线」,回复「大模型报告」免费获取电子版研究报告。

AI 前线公众号
2016-07-19 00:432306
用户头像

发布了 152 篇内容, 共 66.8 次阅读, 收获喜欢 194 次。

关注

评论

发布
暂无评论
发现更多内容

测试开发【Mock 平台】09 开发:项目管理(五)搜索、删除和Table优化

MegaQi

测试平台开发教程 8月月更

为什么电商云产品需要 Assisted Service Module (ASM) 模块的支持

Jerry Wang

typescript 电商 SAP 8月月更 Storefront

为什么不做APP而要做小程序

源字节1号

小程序开发

开源 | WLock:高可用分布式锁设计实践

开源 分布式 分布式锁

用Rust编写的Linux内核GPU驱动程序,或将到来

非凸科技

Linux gpu rust 编程语言

聊聊客户档案模型的设计与管理

Java 架构 CRM CDP

SSM框架整合(Spring+SpringMVC+Mybatis)

开源 SSM框架 8月月更

如果让我设计一套,TPS百万级API网关!

小傅哥

Java 微服务 小傅哥 分布式架构 网关

干货!这份阿里P8大佬纯手打总结Kafka学习笔记,真是yyds

了不起的程序猿

Java kafka java程序员 消息中间件 Java 开发

STM32入门开发 制作红外线遥控器(智能居家-万能遥控器)

DS小龙哥

8月月更

人手一套的K8S命令集合,它来了!

wljslmz

云计算 Kubernetes 容器 8月月更

一对一直播系统源码——多人语音聊天室

开源直播系统源码

直播系统源码 语音直播系统 一对一直播视频源码 一对一语音直播

Kotlin协程解析系列(上):协程调度与挂起

vivo互联网技术

kotlin 协程

Java 泛型 T,E,K,V,,傻傻分不清?

TimeFriends

8月月更

DBPack 数据库限流熔断功能发布说明

峨嵋闲散人

分布式事务 云原生 分库分表 dbmesh Database Mesh

多原则等于无原则,微服务识别方法究竟该怎么选?

老坛架构

架构 微服务

《亲密关系》:如何保持良好的亲密关系?

郭明

读书笔记

最常见的 10种网络安全攻击类型

郑州埃文科技

网络安全 IP地址 网络攻击

寻找OpenHarmony「锦鲤」|万元豪礼+技术干货全是你的!

OpenHarmony开发者

OpenHarmony

一文详解特权访问管理(PAM)

SEAL安全

安全 访问权限 访问管理 特权访问

Groovy语境下的Map

FunTester

阿里大佬 推荐的 “ Spring Cloud Alibaba项目文档 ” 正式发布

冉然学Java

Java 微服务 Spring Cloud Alibaba

连流量染色都没有,你说要搞微服务?

得物技术

架构 微服务 云原生

RabbitMQ高可用架构总结

知识浅谈

RabbitMQ 8月月更

35岁程序员危机,有何破解之法?

博文视点Broadview

属实不赖!Alibaba开源GitHub星标114K微服务架构全彩进阶手册

冉然学Java

Java 阿里巴巴 开源 微服务 微服务架构

DAPP和APP有哪些区别?多链跨链NFT铸造挖矿dapp系统开发技术原理分析

开发微hkkf5566

增强分析在百度统计的实践

百度Geek说

数据库

以合规交易释放数据“红利”,合合信息旗下启信宝签约福建大数据交易所首批数商

合合技术团队

数据 峰会

SpringBoot 日志的各种使用姿势,你真的用对了吗?

程序知音

Java spring 程序员 springboot 后端技术

一文搞懂│mysql 中的备份恢复、分区分表、主从复制、读写分离

MySQL 高并发 经验分享 签约计划第三季 8月月更

360谭晓生:保障云和大数据信息安全的组合拳_大数据_Lucien_InfoQ精选文章