8月13日~15日,2013中国互联网大会在北京国际会议中心举行,本届大会主题为“共建良好生态环境,服务美好网络生活”,话题涵盖移动互联网、电子商务、互联网金融、大数据、云计算、物联网、IPv6、创新创业等多个领域。
会议期间,360网站安全部门总监赵武表示,国内的网站安全器,政府和高校的得分情况是最低。2012年360通过防护类的服务做的一个全网的监控,在这里DDOS流量攻击的次数可以把超过5G的流量性供给算做一次,每个月以百分之十几的比例增长。“不知道大家最近有没有关注一个词叫“棱镜计划”,说的是美国针对中国的一个攻击,我们当时开玩笑说,美国根本不需要‘棱镜计划’。”
以下为演讲实录:
赵武:首先感谢组委会给我这个机会让我跟台下这么多高富帅交流一下关于网站安全的内容,感谢组委会先感谢一下台下的创业者、创新者和创造者。我本身之前也是一个创业出身的人。今天的分享主要讲三个故事,第一个故事就是前一段时间我一个朋友做了一个网站,他天天盯着网站的流量数据,突然有一天流量激增他很高兴,他一个的运营人员说是不是做了某一个市场活动,发现市场人并没有做任何的市场活动。完全他一个安全的朋友就说,你们傻啊,这是黑客在托库,就是他的数据库正在被下载,在下载的过程中导致流量激增,这是一个真实的故事,前一段时间有一个漏洞,叫Stucts框架执行命令漏洞。百度、华为、淘宝,几个运营商,所有的大企业运营商和互联网公司都被黑客入侵。所以,很多人认为这是一个特例,说不太可能出现。
后面我们就觉得,就套用一句话,我觉得有很多创业同胞就是“too young,too simple”,互联网创业跟传统创业一样,计划的时候特别美好,但是直到有一天流氓地皮出现了,在互联网也有这种情况。黑客就对应传统的地皮流氓,我们开一个网站,你赚钱了,很多黑客就会上来对你做攻击。我们其实基于对互联网搭建了一套网站的服务体系,这里有三部分。
第一部分我们对互联网做了一个安全性的监控,就类似于有80万的网站会提供一个监控服务,看看有没有篡改,有没有漏洞。第二、针对这部分没有能力解决这些问题的网站,我们提供了一个网站卫士的服务,不用改代码就可以做。第三、我们付费对黑客进行奖励购买他手上的漏洞。我们在2011年360开始做网络安全,我们做了几个部分的工作,比如对团购做了一个报道,2012年我们做统计的时候发现互联网80%的网站存在高危漏洞。到2013年我们在高考的期间做了一个中国高校网站的检测报告,其实也证明超过95%的高校网站曾经被篡改过。
这是我要讲的第二部分,国内的网站安全器,政府和高校的得分情况是最低的,为什么?我们后面可以给大家看一些直接的数据。这是2012年我们通过防护类的服务做的一个全网的监控,在这里DDOS流量攻击的次数可以把超过5G的流量性供给算做一次,每个月以百分之十几的比例增长。这也是我们的挂马情况,确实在中国互联网的挂马情况极具下跌,今年的数据基本上已经可以忽略不及了,因为它确实遏制的比较明显。在这里我们对漏洞做了一个总结,我不知道大家最近有没有关注一个词叫“棱镜计划”,说的是美国针对中国就是国家层面的一个攻击,我们当时开玩笑说,美国根本不需要“棱镜计划”。
实际上有两种网站,一种网站知道自己被黑了,还有一种是没被黑。他们知道自己的网站有一个木马,他想删者好,还是拦着好。这是我们对高校做的一个统计,50%的高校是网站被篡改,放一些非法博彩。这里是我们在前两个星期做的一个统计,这个数据有点吓人,我们针对使用360网站安全服务的网站做了一个统计分析,当时做了一个检测,中国超过30个网站存在后门,而后门存活期曾经有一个达到五年,按照比例来说,中国现在有300万个网站,至少百万个网站是存在后门的。
第三个故事,我们认为对付黑社会,就是网络黑社会,这种黑客,一个是有效的打击,比如报案抓人,另一方面我觉得是一个疏通和引导,在我们3月份做了一个活动,叫“库赖计划”(音译),做一个有赖于互联网网站安全的事情,我们大概花一两万收,到目前这是国内第一家。到目前确认的Oday超过500个,这是中国互联网的一个现状。接着我们就发现一个问题,这些黑客其实很多,如何去引导?我讲的第三个故事就是其中我们的库赖计划平台有这么一个黑客,他是一个初中生,他只是有这个爱好,他在没有人引导的情况下,利用漏洞做一些攻击行为,卖一些钱,然后知道这个库赖计划,他们家穷,想买一个笔记本。然后让他去找漏洞,这个初中生一个月拿到的钱已经能买三台笔记本了,避免了他误入歧途。
这个过程中有几个现象大家值得注意,第一、黑客关注的永远是最流行的,如果我们想保证互联网安全,应该有一些厂商负责任去披露,有些厂商我希望是负责任去修复。有一个厂商是目前最不负责任的,我们当时做了一个万元户的活动,只要你提供一个修报,我就直接给你一万块钱。所以,在这边做一个简单的吐槽,第一个是黑客越来越产业化,黑客已经抱团了,他们是高度智能化的犯罪。第二、在座的很多中小企业,在做业务的过程中首先考虑的当然是赚钱,发展业务,所以安全通常放到后面。所以,导致没有精力应付日益复杂的网络安全问题。第三、企业掩耳盗铃,眼不见为净,还有往死里整,买产品,建团队,如果你想喝牛奶,你没必要自己养一头奶牛。所以,我觉得企业尤其是在座的和初创企业,为了满足精益创意的理念,更好应该利用互联网现有的资源,我刚才提到两个产品,第一个是做一个检测,看看你有没有问题,第二个做一个反馈,看看你是否有黑客轨迹。
我们最终的目标是希望通过免费的产品和服务提升中国互联网的网络安全现状,因为终端的安全已经打的差不多了,网站方面是黑客攻击的重点,这是我们目前的目标。另外,我们想通过安全的防护、跟踪、监控来保障企业的网络安全,让企业或者是单位专心发展自己的业务,这是我们的目标,谢谢大家!