■解東

CEO必須明白的三個安全問題

■解東

ICMP Flood、UDPFlood、TCP Flood、SYN Flood、ACK Flood、SQL注入、跨站漏洞XSS/CSRF……如果你覺得，要懂得這些專業(yè)攻擊術語才能搞好企業(yè)上云之后的安全問題，那就大錯特錯了。

就像拳擊手在真正比賽的時候招式千變萬化，但核心逃卻不出直拳、勾拳、擺拳這三招。想要搞掂云上的安全問題，事實上也只需要回答三個問題。

軟件漏洞能否迅速修補？

漏洞是黑客關注的，也是安全管理者關注的，這里是安全攻防的焦點，是雙方爭奪的戰(zhàn)略要地。

具體怎么入侵？最常見的方法就是通過尋找用戶在云服務器上部署的軟件的安全漏洞。存在漏洞的系統就像一間打開窗戶的房間，不管安裝了多么先進的門禁系統，也無法阻擋小偷的光臨。這幾年層出不窮的“脫褲”事件，絕大多數都是黑客通過安全漏洞入侵造成。

根據國外某安全機構的統計，在金融行業(yè)，漏洞平均修復時間長達176天。這個時間，已經足夠黑客將整個服務器翻個底朝天。與傳統IDC相比，云計算的優(yōu)勢是，有了阿里云安騎士這樣的產品，云服務器軟件上的漏洞能夠及時自動修復。據統計，安騎士每天會自動修復大約6000條高危漏洞，并及時提醒用戶注意。

推薦產品：

對安全有特殊需求的用戶，建議嘗試購買阿里云的滲透測試服務。該項服務中，阿里云安全團隊將會以黑客的視角，用黑客的攻擊方法進行測試，給出安全評估報告，幫助客戶及早發(fā)現業(yè)務環(huán)境中可能被利用的漏洞。

誰能幫你抵御DDoS？

DDoS攻擊，是公認最難防御的攻擊之一。據不完全統計，境內80％的網站都遭受過DDoS攻擊，有些甚至還被惡意勒索?！禔kamai2015年全球DDoS攻擊趨勢報告》顯示，今年第一季度DDoS最大攻擊達到170Gbps，ddos攻擊中最難防御的應用層攻擊進一步呈上升趨勢，而中國成為最大的攻擊受害國。

DDoS攻防對抗不僅僅是技術的對抗，更是資源的對抗。知乎熱帖《互聯網創(chuàng)業(yè)公司如何防御DDoS攻擊》中就有網友談到，DDoS防御的關鍵是帶寬、流量清洗、CDN服務。去年圣誕期間，阿里云曾為云上一家游戲公司抵御了峰值流量達到每秒453.8G的攻擊，這個流量相當于10萬臺機器同時在盡全力攻擊同一個目標。像這樣，在極短的時間調動足夠的流量進行牽引和清洗，國內沒有幾家公司可以干。

目前，國內絕大多數企業(yè)帶寬先天受限。當黑客發(fā)動DDoS攻擊，問題不是你能做什么，而是機房決定了其實你什么都做不了。

安全建議：

采用阿里云安全品牌云盾旗下的產品DDoS高防IP和彈性安全網絡。

DDoS高防IP具備單節(jié)點防護300G流量攻擊，1000Qps CC攻擊的能力。彈性安全網絡產品ESN具備無限IP擴展能力，就像一個動態(tài)的安全CDN網絡，防御速度快到讓黑客無法跟蹤。

誰在對你發(fā)起攻擊？

根據Verizon發(fā)布的數據泄露調查報告，2014年全球共發(fā)生79790起安全事件和2122起已經確認的數據泄漏事件，其中500強企業(yè)超過半數。面對黑暗中的安全威脅，不少企業(yè)感慨，他們并不知道到底是誰在攻擊？黑客用了什么方法在攻擊？此刻攻擊停止了，什么時候還會再來？

連對手都搞不清楚，防御更是無從談起。隨著云計算的普及，海量的安全數據與云計算的強大計算能力讓安全威脅的過去、現在和未來第一次有可能清晰的呈現在所有人面前。

云計算的存儲來源可以基于整個體系，既有主機端數據，也有網絡數據；既有線上數據，也有線下數據。數據來源足夠豐富，足以覆蓋防護面上的漏洞和盲點。數據的處理不僅包括存儲，還有計算。誰攻擊過用戶，誰對用戶有威脅，這次威脅的手段比較像那個黑客團隊……這些現在也可以通過云平臺實時分析計算出來。

所以，DT時代，安全防御已經從研究“一片《子“過渡到可以觀察”整片森林“。誰能對整個森林的形勢更了解，誰就能掌握安全的主動權。