阿里云服务器密码忘了中国IDC产业年度大典知道创宇云安全谈DDoS

linux云服务器界面

1月5-7日，第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。继之前成功举办过九届后，本届大会规模更上一层楼，三天会议参会人数超过8000人次，影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。连续三天的会议上，工信部相关领导、IDC企业、电信运营商、互联网企业、设备厂商等各行业精英齐聚一堂，煮酒论道，探讨互联网+时代下，IDC产业未来的发展方向。知道创宇高级安全顾问王利伟参与了安全新形势、新挑战与解决方案的对话，大谈云计算安全与DDoS防护。

主持人首先提问：现在是云计算时代，云计算时代对企业来讲会面临新的挑战，各位觉得这个新的挑战主要在哪里，大家有没有好的建议来应对这些挑战?

王利伟答道：在安全领域上，云计算技术的普及给我们做安全的带来了很大的好处。拿我们知道创宇来说，做安全防护就是基于云计算的，大数据的处理能力、海量的计算资源都给我们做安全防护带来了很大的优势。但是就云计算本身的安全，也就是传统的安全问题依然会存在，如反病毒、防火墙这些东西都是需要的，只不过由于云计算自身环境的特殊，我们传统环境问题依托的基础不一样了，并不代表它不存在，云环境中有针对云的防病毒和防火墙的方案等。云计算的安全现在还算业内考虑比较成熟的，只是实施方面没有特别好的体现。

拿合规来说，用了云计算的环境后传统的合规性的要求，比如PCI-DSS、ISO27001这些，在云安全联盟提供的标准里面都有非常详细对应的要求、控制手段和做法，还有在起草中的ISO27017，专门针对云计算安全而设计的标准。一般企业往云上迁移的第一点考虑就是安全问题，但是对于一般的业务不是特别敏感的，云计算还是非常不错的选择。从大家的选择以及目前企业市场对云计算的认可度也可以看出来，越来越多的企业开始尝试云计算，因为它的的确确能带来一些好处。当然在云计算的时候也要考虑云提供商的安全问题，目前在国外想买一家云安全的产品需要非常全面的安全评估，比如机房的物理安全怎么搞，灾备怎么搞，提供商自身的安全管理制度规范等等。咱们国内不太一样，国内云计算的环境属于几家独大，客户属于被绑架的状态，所提供的用户协议只能选同意，比如知名的大型云计算服务提供商，你想买他的存储或主机，同意协议你只能同意，不同意你买不了，这时候容易被大厂商强奸。而用户也往往通过品牌知名度来选择提供商。

阿里云服务器 被黑

云计算必然是有好处的，但是选择云计算提供商的时候不要觉得大的一定是好的，要选对的。现在市场上涌现了一批中型企业，他们体量可能不是特别大，但是在某一个方面也许做的会更好，更贴合你业务的需求。同时云安全这块得到了蓬勃发展，比如知道创宇云安全，这种平台交付的安全服务也非常便捷，我们称之为SECaaS。安全有时候是非常复杂的工作，比如你说DDoS和防黑问题，非专业人士，给你一台专业的DDoS设备或WAF你都不会调试，并且自己维护设备这种在很多中小型企业中的成本是非常高的，比如人工成本、培训成本、维修成本、替换成本、设计成本等，最主要的是如果你已经采用了云服务，传统的设备都没法部署了，所以这时候SECaaS的各方面优势就提现出来了。

主持人继续提问：作为安全行业的从业者，最近几年觉得安全行业有什么样的变化?未来怎么看这几年的安全市场。

王利伟回答道：今天能有这么多人坐在这儿聊企业安全已经说明了一切。上台前我们大家都还在聊，老牌的安全厂商，当初都是靠着政府、银行、能源、运营商等等这些行业盈利，不做这些，安全厂商早死了，不可能活到现在，因为这些单位有着强烈的合规需求，有预算来做安全这件事。但现在看到一个变化就是，老牌的安全厂商还健在的基本都有了互联网安全部门，负责企业客户、互联网公司、P2P、电商，这样的一个转型，直接可以看出来当今的发展方向，因为这些客户需要做安全，可以从他们那儿接单子，这些公司越来越重视安全了。至于为什么得到重视?由于我们把越来越多的生产系统放到了网上，企业自发性的、刚性的安全需求越来越明显。

虽然我国互联网普及是很早的，最早我们在互联网上得到的信息更多的是1.0时代的Web，2.0时代聊个天、看个新闻，门户网站威武的时候无非是靠流量赚点钱，现在互联网上提供了更多的服务，如支付，交易，医疗等，普通网民对于选择服务商的安全提出了更高的要求，因为有太多敏感的信息在他那儿，反过来这些公司做得越来越大之后，以BAT为第一方阵，他们有了钱之后会认识到企业核心价值是用户数据，有必要投入很大的精力把安全做到。当然还有很多企业没有足够重视安全问题，有的把安全挂在嘴上没有落到实处，任何行业都是一样，慢慢来，我相信安全市场肯定会越来越好，因为安全是业务发展的基石。

主持人：说到安全，我也真是蛮有感触的。未来几年安全市场非常好，原因是这样的，中国的产业都在互联网化，也就是所谓的产业互联网化进程，线下的产业普遍会跟线上相结合，互联网会影响会渗透到很多产业里，在线业务的基本属性就是安全，过去几年很多企业对安全没有意识。过去你会告诉一家企业安全很重要，现在我们遇到客户都不用说安全很重要，他只是关注要花多少钱能解决这个问题，意识上的改变对产业有很大的影响。

英特尔云服务器

第二，国家层面的影响。说白了安全其实是一家企业必须履行的社会责任，现在遇到诈骗等各种各样的问题，信息泄露都是个人行为导致的，大部分是填个申请单，那家企业没有保护好数据导致信息泄露，导致诈骗产生，我认为将来国家一定会强制企业去履行他应尽的社会责任，既然你的用户把这些数据都交给你了，他信任你，你就有义务保管好。未来企业的安全市场会越来越好。

我想问知道创宇的王总，知道创宇是我挺敬仰的公司，遇到DDoS攻击有没有好的方式防御?

王利伟：DDoS攻击防护的成本比较高，尤其北京的成本很贵，包括带宽和机房。知道创宇在防御DDoS方面做的比较早，以安全CDN起家的加速乐就首先关注这个问题，后来专门把DDoS这个项目切出来做，叫抗D保。这个基础架构跟CDN类似，最主要的区别就是跟传统CDN部署节点不一样，传统CDN需要非常多的节点，一多的话单个节点就不会太大，黑客DDoS攻击只要把一个节点搞掉了，这一个市一个省就上不去了。我们的节点相对来说比较大，从而保证有足够的资源处理海量DDoS攻击。

由于中国大的互联网环境，比如没有anycast，这样就先天性地决定了不如国外做得好且廉价。目前多数DDoS防护提供商是靠DNS进行调度，随着技术的积累和打磨，现在防护的技术还选不错。很多企业在选产品的时候会问到‘你们能不能扛400、500G的攻击‘，这种问题其实很多时候没有意义了，因为一旦发生400、500G的攻击，他们也是花不起这个钱的，可以说是天价。对于中小型企业来说，他们的DDoS解决方案应该是能够快速响应中小型攻击就够了。最主要的是要确定你总受的攻击量大小是对的，太多提供商提供虚假数据，特别是二三线的小厂，也不乏某些大厂，明明只有10G攻击，告诉你有100G，以此坐地起价。当然这不是说知道创宇云安全抵御不了大攻击，目前我们综合储备有2T带宽，足以应对历史上最大规模的攻击。主要是提醒大家，选购抗D方案时，选合适的，而不是最贵的，当然也不要贪图便宜。

现在竞争比较激烈，打出来的黑流量带宽是很不稳定的，他不敢保证这次就能打100G下次就打80G，所以存活周期有的是很短的。DDoS现在不是特别大的难事，以SaaS形式来交付的DDoS提供商越来越多，这个行业相对成熟，因为DDoS出来很多年了，防御技术比较OK，只不过是看什么样的方式来交付，看稳定性如何，看价格如何。不过有一个难点，就是现在对于CC攻击是比较头疼的，CC是模拟的真实用户，它是正常的链接，CC是完完整整的正常请求，它就是机器人，点一下搜索，跟正常浏览器没有任何区别，再加上慢速的，十万个IP每十秒点你一次，这个时候，性能不够的话直接被搞死了，带宽倒是没占用多少，倒是把CPU内存搞死了，这种是最难防的东西，而且在黑市上这种攻击现在卖得最火，比DDoS贵多了。因为大家都知道中国的CDN发展速度是很快的，越来越多的企业都用CDN，这种会把原站的IP隐藏，但CC可以直接搞瘫服务器，所以比较难防。

对于防CC，知道创宇还是有一些心得的。去年基于海量日志以及行为特征分析的CC防御系统已经申请了专利，有几个技术特征跟大家说一下，一个是上下文关联综合分析，传统的安全设备大家都听过，日志学习、基于行为的学习，但是你的数据量有多少，如果就你自己网站你有什么可学的。我们这里确是有几十万网站每天TB级的数据供分析学习。目前我们有一个超级防御模式，可以做到99.99%的CC攻击被干掉，大家感兴趣的话可以试试。除此外，还有专家分析系统以及7X24小时的专家支持，确保可以及时应对任何规模以及种类的攻击。

在嘉宾提问环节，有嘉宾向王利伟提问道：我想问关于知道创宇的DDOS防护平台使用的问题，因为我们现在有在IDC托管，如果有一些攻击来的时候会耗流量，但我们已经在托管，我们怎么样使用你们的服务呢?

王利伟：很简单，SaaS零部署零维护，接入方式就是改下域名到我们防护平台就好，中国做清洗DNS来调度，就好像在前端加了一个反向代理，所有的流量会先通过我们的防护平台，防护平台会把恶意流量帮你清掉，再把洁净的流量传给你，就可以了。所以它无所谓你的机房是在IDC托管还是用的云主机，不需要装任何软硬件，几分钟就可以完成接入。

圆桌讨论环节结束，王利伟在接受记者采访时说道：知道创宇旗下有4大核心产品—抗D保、创宇盾、加速乐、品牌宝，今年年初，我们就对其进行了全新的整合，推出了‘知道创宇云安全’。这是知道创宇应运‘安全的互联网+’全力打造的一套覆盖Web业务的保值、增值解决方案，企业以后不需要太多的部署和使用的成本，就能适配到环境中，为你的企业生成更好的安全策略和运营方案。有兴趣的话，可以到我们官网看看。

阿里云服务器代码修改