动态化对抗统一平台攻击 应用的复杂化是当前安全面临的重要问题是。过去，简单的IT架构，从DNS、VPN、负载均衡到后端应用服务器，较容易梳理;随着智能终端类型的不断加入而趋向复杂化，后端应用服务器随之变得复杂，IT架构开始难以控制。 同时，基于互联网应用的攻击开始锁定智能终端。现在包括穿戴式手表、电视机、空调和冰箱都是智能版，在带来方便的同时也有隐患。 黑客操作分布式网络对某银行发起攻击时，除了电脑外，还有冰箱、电视。结集未来植入式操作系统将会很普遍。

据了解，最近一次攻击就是基于某个版本植入安卓系统的冰箱发起。冰箱和智能电视是一个版本。现在每个家庭都有如歌华有线的机顶盒。通过机顶盒侵入歌华内容服务已有完整的解决方案。每个机顶盒都是一个平台，如果黑客得到其控制权，就可基于它进行攻击转发。 当通过互联网技术，攻击冰箱，即可控制温度;如果可看到摄像头，基于视频做识别的话，人脸可模拟化追踪目标，这面临的威胁更大。 互联网上的应用除电脑、iPad、智能手机外，现在越来越多复杂内容被加入原本简单的架构中。在这种动态化IT架构下，黑客入侵将使系统运维更复杂从而导致力不从心。

代码量发生质的飞跃，常见的MySQL有千万行指令。安全高发根源正在于现在IT基础架构及所有软件体量之大，越出想象，绝不是简单的原代码审计就可弥补或者发现漏洞。审计代码的工作量，等同于制造这些代码工作量。 黑客是安全行业的发展引领者，并开始出现了新的特征。第一是有了统一的攻击平台。原本只是打造一个真正多层流量反击工具，涵盖七层网络加密。但是黑客整合攻击平台则进行多层次攻击产生流量，变换打击点;第二黑客攻击着眼点从原来的炫技变成利益驱动。 高感知应用防御撞库攻击 任何商业模式在互联网公布后，就会有人想法劫持这种商业模式。比如平安集团有好车网好房网。在好车网上线时有企业策略，如将某车辆信息登录到好车网就能得到10元代金券，用代金券可买到好车网上的商品或保险。于是，有人基于这种商业模式把交管局几十万条车辆信息登录至好车网获得巨额代金券，然后去购物。这种行为并不违法，是游戏规则代码。

这正是互联网要对抗的根源问题。如果用手机银行，通过第三方认证，进行查询界面的访问，将所持有用户名和密码登录查账户余额，看似不存在风险， 现有手机银行面临最大的问题就是撞库，撞库这种攻击模式的核心是很多人在不同应用系统使用一个用户名和密码口令。用已知用户名和密码口令登录手机网银，成功登录后就获得可进入查询界面的手机终端权限。

真实的案例是，用户名被撞成功后，用户所有信息暴露后，非法侵入者将通过联系方式打通用户电话告知其账面10万资金失窃;当用户登录账户查询时，当发现现金确实不存在，就慌了神，没时间仔细核对。其实这些资金可能被转为基金、纸黄金等，还在原账户某处。 随之，骗子第二次打来电话，“指导”用户，只要通过操作转账到另一账户，即可将资金追回。这时骗子指令该用户实行转账，当用户在执行转账行为时，等于是将10万的代金等价证券直接卖还给这个用户。 这是互联网每天都在发生的真实场景。所以密码口令太重了，必须避免在不同应用系统使用相同的用户名口令，只有做好基础的防范，骗子技术法就会失去作用。这类攻击就是符合对七层即业务层的攻击。这种攻击不会基于任何防御架构预警，不让防御体系阻断。

一体化安全

在中国，所有网银都遵循传统三层的基础网络防护架构，银监会将之作为政策性标准作为约束，不实行基础防护架构不允许网银上线。 三层架构只能保证合规性。但是合规和安全是两个层面的问题。所有得到有价值信息的攻击手段基本是通过源代码方式进行。最大优势在于可形成混合攻击流量，当混合攻击流量产生时，基本用策略防御。这种基于特征码比对进行阻断的方式，从最早的防病毒软件到防火墙从未改变。所有代码都可以通过变种、隐藏数据包轻松绕过，将这些清晰的限制策略过滤。

当一个真正的混和流量打来，首先分析它来自哪里，是网络层还是业务层。不同层面采用三层网络架构防御，人为地增加工作量。如果在防火墙放一层负载设备，给传统防火墙做均衡，其扛打能量极大。 传统负载均衡位置是在所有防御架构后，Web服务器前端。iRules可让防御机构根据攻击变化频率而变化，而F5负载均衡前面是传统防火墙，从技术角度可替代三层网络防护架构。但由于三层网络架构是帮客户做合规架构，所以不能省掉。 新的安全工具可解决从准入到防火墙和负载均衡的一体化安全架构问题。如F5，其关键价值在于TMOS传输管理操作系统。作为一家软件公司，F5如同微软，通过TMOS控制应用系统的数据流实现快速、安全、高可用。其软件硬件易于剥离，如果采用其硬件平台，最大速度可达到20.5T，F5的盒子就是为了让软件发挥最大性能的私有化平台。F5所有功能都是用iRules所写。针对现有的手机撞库、管理软件等都可用iRules写出脚本阻挡。F5在高感知应用状态下，第一次实现防御体系和防御对象之间的配合，以最小的技术投入增加攻击者成本，颠覆性降低用户防御成本。

全代理架构应对DDos攻击

以普通的DDos攻击方式为例。全世界一半以上的DDos发起方式来自中国，原因在于中国是全球84%的DDos目标。其资源防护太差，而商业模式足够丰富。 再看DDos目标行业占比。银行最大。银行是在未来信息安全对抗的最重要领域，因为银行必须提供无损服务，要保证每个客户的钱不能丢。互联网企业根源特性则是有损服务，只要保证80%用户上线支撑其商业模式，而不在乎那20%的死活。 比如大众点评就表示，当遭遇到大流量的DDos攻击压跨其数据时，由于其80%客户来自北上广和成都，如果受到攻击的话，他们就保留这几个。

实际上现在所有互联网金融架构支撑金融支付存在巨大风险，传统银行会比互联网金融更靠谱。无论服务器后端承载多有价值的商业模式，利用普通PC即可通过DDos工具打倒七层防御。只有F5可通过一个平台架构解决多层的DDos攻击。F5的AFM可提供62种网络层DDos攻击。 全代理架构相当于在服务器充分中间角色，把所有数据包折到七层，每层解决不同攻击。这种全代理架性能到底如何，可参考F5两个典型案例是淘宝和12306。铁道部尽管构建了双活系统，至今还是采用单点应用。 购买火车票要经历一个较为复杂的过程。比如从哈尔滨到广州，如果买了北京到上海这一段，就直接导致哈尔滨到上海的票少一张，北京到广州的票少一张。铁道部的数值是，买任何一张票平均检五百张票。在12306下单，铁道部检500张，如果撤单，铁道部又是500张，任何票在一个时间段是唯一商品，不可替代(包括查票改票在内，由此导致铁道部做了地球上最大的内存数据库)。铁道部所有投入对F5是两台低端设备，四个板卡插满，8个高片就解决所有问题。12306在2014年达到最高访问量峰值，一天84亿次，今年达到270亿次。 淘宝商品购买过程简单得多，一个请求发出订单传到厂商即可发布。淘宝采用开源分布式网络架构，非单点应用。当时淘宝将F5创始人请过去，给百人团队，上百台服务器才解决问题。开源是个美丽的神话，非拥有强悍IT资源能量的企业则玩不起。

七层攻击最大的属性是外部应用架构，如黄牛软件撞库攻击。这种模式如果防御架构可识别出，提交请求的终端是人控制的浏览器软件还是恶意软件，F5即可分析并有效防护。验证码对抗原理即要更改源代码，仅仅是修改校码码也是升级，运维人工成本很大。F5则将校验码交付从应用层转到F5，第一次把校验码从应用层剥离，通过动态设置来检测校验码输入内容，从而将使所有黄牛软件、撞库行为都被终结…… 安全防御架构的优劣直接决定客户在未来的胜算机率。F5最新的云防护架构，有2TB级的DDos遍布全球的4个数据中心，可提供足够资源的网络层的防御云端服务。最新的WAF，F5将防御和感知应用能力从数据中心挪到了云端，以更大量级的架构应对有限资源对于无限资源的对抗。

身份治理云社交移动应该 甲骨文中国首席技术顾问魏青刚在甲骨文已工作10年，原主要负责甲骨文整体安全解决方案。但近两年，中国安全问题如此敏感，令他较少在公共场合谈安全。现在，他开始发现IT出现好的现象是，国内很多IP安全厂商业务如火如荼展开，令他信心大增。 魏青刚认为，安全市场没有任何一家厂商能独立承担所有安全行为;尤其是互联网快速发展下，信息泄露问题频发，客户日益重视敏感信息如身份认证的安全问题。甲骨文面向云移动环境的企业身份治理解决方案正是基于此而生。

信息安全主要分为基础架构安全和应用安全两部分。甲骨文安全业务产生于数据库、中间件、ERP应用及所有应用等，其整体安全解决方案侧重于数据据和应用两个安全层面。 甲骨文的身份管理则针对ERP和具体开发的移动APP，包括企业合规要求做身份治理和风险合规分析。 现在，采用开源平台的开源数据库及大数据等的解决方案不断推出，而围绕数据库相关的安全解决方案涉及三方面，即事前防范、事后审计和全面管理。作为企业IT运维经理，面对上百个DBA，如何界定他们管理数据库达何种程度。拥有超级用户的权限管理的他们，如果去登录查询某用户的比如CEO工资、某人家电话等，显然并不合规。 对数据库进行选型时，不只要看是否开源，更要考虑性能，更重要在于是否安全。DBA的管理也必须有一定限制，数据库的敏感数据也要对他们进行加密屏蔽。

又比如运营商销售的充值卡，发生了卡在原封不动情况下却已被充值的安全事帮。到底是从网络层面还是从应用层面解决问题?其实只要在数据中心加台数据库防火墙，就可监控任何访问数据库的记录，查看数据库审计报告。 全面管理则包括对数据库从管理、运维、升级、监控到统一平台的管理。Oracle整体解决方尤其安全解决方案，针对Oracle的DB的加密和屏蔽方面，Oracle提供了纵深防御和安全备份。比如帮某客户开发财务系统，测试过程中不可能将生产系统上的敏感数据放到测试环境中，比如开放人员可看到每个人员的工资。将敏感数据信息转移时，访问控制针对DB权限控制，就可让DBA对整个数据库进行备份、管理启动，而不能看到业务表上的信息系统。 基于应用层安全日益受到企业重视。首先是身份认证管理。现在多数大型企业采系统是自动化信息管理。再就是云身份服务。 当前，云应用普及慢原因首先受限于安全。中国的云部署由于在IT监管、审计及法规等方面不太严格，信任机制缺失与安全管理使云应用受阻的主因。其次就是社交网络集成及移动应用的安全存在问题。只有结合客户业务流程，从网络安全到企业IT平台内部的身份认证管理等，整体后台IT所有应用和强认证管理策略相结合，才能切实保证云应用安全的落地。