张琦:企业信息安全实例分析

      张琦:企业信息安全实例分析无评论
  • 在第四届中国CIO年会下午的信息安全分论坛中,IT培训中心首席信息官信息安全专家张琦给我们带来企业信息安全实例分析的精彩演讲:我主要讲这么几部分内容,更多威胁与挑战,联动与矛盾,应用层的威胁与防护,最后说一下,因为咱们说云计算,需要跟云有关,虚拟化作为云的一个基础架构,所以说一说虚拟化的防范。

    张琦:企业信息安全实例分析

    我是做运维的,经常跟做开发的打架,我们由于知识不对称,前几年我遇到一个非常好的工作,那个开发密码终于不用英文来记了,后来发现云计算出来以后,我们所提的服务模式的改变,基础架构随之服务模式的改变,跟开发商打了这么多的架,因为之前所有安全工作已经变性了,涉及到更模糊的一种状态。如果在很早以前发现单位的笔记本上经常贴的黄的便利贴,你仔细发现会在里面找到密码,就是一定要细,有的那种隔开的,在它的墙角那部分也会发现密码,因为我没事干的时候,经常喜欢在各个地方闲溜达,我经常发现这些密码。后来他们把这个密码记手机里了,我也能看到。

    我们遇到了很多问题,刚才前面讲到打补丁,从第一个补丁开始,到后面各种系统的中毒开始,到我们所说的云计算、云安全,这里有很多东西需要进行诠释,在这么短时间内跟各位介绍不完,咱们就略过,把这些问题摘几个重要的说说。

    说说防御,怎么防御呢?先得知道对手怎么去做,我也属于07年被封过的一批人之一,被教育很好的一批人,不干坏事了,就是炫耀自己编写一个病毒,千古留名这么一种想法,后来我们这个圈子里面微博互发一下。05年的时候,跟咱们祖国另外一个地方就是台湾地区是进行了一次内部的演练,为了银子而来的攻击,他们想到什么,想拿到的是数据。他们是通过什么途径进来的?主要是通过网络,他们为何能进来?就是因为一些漏洞,他们能拿走数据吗?复制是可以的,有一定的方法可以防止复制。

    咱们说DOSS和APT的商业行为,DOSS现在我想攻击一家网站,让这家网站无法访问,我去苦学一门编程的脚本,然后编一个木马,然后给他散播出去,我再组织一个固定时间去攻击他,这太可笑了,很累。为什么呢?如果你过几年那个公司倒闭了,你再学这些东西也没有必要。现在你打一个电话,就可以花很少的时间让一个网站的访问量很大,因为这个时代是收钱服务,我们拿了钱就为你办事。

发表评论