Benjurry訪談

By Benjurry & Ph4nt0m


一、現在的安全事件跟以前有很大轉變，釣魚、欺詐逐漸興起，對于這種轉變，信息安全的
未來在哪里？

    我認為現在的安全事件和以前最大的區別是利益化，通過或高深、或簡單的技術來達到
獲取利益的目的。
    
    安全從最早的單純追求技術突破到后來的技術嘗試和炫耀到現在的追求利益，一路不斷
發展而來，是多種因素綜合的結果。

    現在的安全事件包括以下幾類：
    
    1、傳統的黑客入侵，目的是入侵后獲取重要數據，比如信用卡信息、用戶資料、源代
碼、重要文件。因為是以利益為目標，這類安全事件做的很隱秘，不像以前有人會涂改網站
或者友好提示管理員被入侵了。很多安全事件發生的幾年時間內，被入侵的企業或者單位都
沒有發現，偶爾被發現的安全事件考慮到企業自身的名譽也很少會被爆出來。因此這類事件
看起來少了，實際上可能比以前更多，只是做的很隱秘。

    2、大規模的DDOS，目的是打擊競爭對手或者收取保護費，這在游戲行業中特別常見。動
輒通過幾十G乃至上百G的流量來DDOS 一些游戲服務商，導致游戲不能正常運營。由于這種行
為不容易追溯，攻擊控制性好，時攻時停，變成常態化，也不是特別多的被宣傳，所以看起
來這類事件少了，但實際上還是很多的，規模也在不斷擴大。

    3、盜號行為猖獗，盜號、刷號、洗號、養號、轉移資產等行為還是非常猖獗，并且形成
了巨大的產業鏈。還發現了用A網站的帳號密碼去嘗試B網站的帳號密碼等社會工程學的方法。

    4、釣魚、欺詐日益泛濫。這類安全事件的特點是技術門檻低，成本低，易規模化，廣泛
散網，我們可以看到幾十個中小學生在網吧里面發送釣魚、詐騙信息，每天獲取30元左右的
報酬。因此在最近的幾年里日益泛濫。也正是這個原因，所以相對于其他安全事件來說，感
覺這類事件會特別特別的多。

    隨著互聯網、移動互聯網、物聯網的不斷發展，我想信息安全事件的種類還會不斷發展、
形式也會不斷變化，特別是互聯網產業的快速發展，產值快速增加，對于加入這個行業進行
逐利的吸引力也會快速增加，因此對信息安全人員的挑戰也會越來越大。

    *第三方支付機構中有大量資金的用戶、海量流動的資金會是一個巨大的吸引力；
    *移動互聯網中海量的用戶，快捷整合的支付渠道，會成為流氓軟件和詐騙者關注的重點；
    *云計算中低成本、快速可擴展、快速可遷移的計算資源為惡意用戶提供了較好的技術支
持；
    *開放平臺不斷深入人心，使得帳號、支付不再成為瓶頸，在方便普通用戶的同時，也會
使安全更不可控；
    *SNS、微博的發展使得關系鏈更為明朗化，為詐騙提供了更多的信息；

    這一切都會使信息安全變的更有挑戰。

    我認為安全問題是會永遠存在的，安全永遠都只能是一種動態的平衡。作為一個理性的
人，我們會考慮幾個問題：

    1、這個事情我能不能做，門檻和成本有多高；
    2、做這個事情有沒有風險，風險有多大；
    3、有沒有其他更好的其他安全的獲利途徑？
    
    我們安全人員的對手也是這么考慮的。

    因此我們可以做的包括以下幾個方面：
    
    1、在安全體系建設上，我們要提高對方的成本和門檻，使得對方的收益變小，但這里需
要平衡正常用戶的使用方便性。因此如何快速發現，如何識別惡意行為，如何不影響正常用
戶的灰度對抗，如何外部聯動將會是重點；
    2、通過不斷健全、完善法律法規，提高惡意行為的風險，形成一種威懾力，但這里也
需要平衡惡意用戶的違法行為和普通用戶正常行為；
    3、通過驅動社會發展，創造更多能發揮人們能力的就業崗位，使得人們有更多合法的
獲利途徑。這樣，他們就不用違背道德、甚至違反法律去做一些不當的行為了。比如淘寶創
造了無數的就業崗位，盛大創造了無數的作家，能讓很多人有正常的、合法的渠道進行賺錢。


二、近幾年火爆的云計算平臺，在安全方面相對以前相對獨立的私有服務器模式，會有哪些
新的挑戰？

    隨著Google、Amazon、saleforce 的快速擴展，云計算成為近幾年很活的名詞，不斷出
現在各種報刊雜志，電視媒體。云計算的安全相對于用戶和相對于運營商來說是不一樣的。

    從運營商角度看，安全挑戰可能會包括：
    
    1、如何確保多租戶下用戶數據的安全；
    2、如何防止多租戶下，惡意用戶盜取其他用戶信息；
    3、如何確保用戶的程序不是惡意的，不會影響其他用戶；
    4、在PAAS中，如何確保運營商不發生惡意扣費等損害用戶行為；
    5、如何限制用戶濫用資源；
    6、如何確保用戶的程序、數據是符合法律法規的；
    7、如何來建立用戶的信用體系；


三、智能手機的興起，移動互聯網時代到來，包括盛大也推出了閱讀工具。在這一塊，安全
的有哪些新的挑戰？

    Iphone、Android手機的快速發展，3G技術的不斷普及，碎片化的時間都為移動互聯網
的發展提供了很好的機會，Foursquare、切客等基于LBS的業務在國內外發展迅速。

    從利益角度分析，我覺得有以下幾個風險：
    
    1、智能手機功能不斷擴展，軟件復雜度日益加大，手機系統的漏洞將會不斷增加，利
用手機漏洞入侵系統獲取個人數據的可能性增加；
    2、智能手機上病毒、木馬將會越來越多，流氓軟件惡意扣費、盜打的情況也會增加；
    3、智能手機上的詐騙、釣魚的欺騙性會更大，更不容易區分。


四、國家在打擊網絡犯罪方面有什么新舉措？

    正如上面我所說的，安全需要安全防范體系，法律法規，以及更多的社會工作機會。
    
    近幾年的網絡安全形式變得越來越嚴峻，各種病毒木馬呈現出爆發式的增長，網民銀行
帳號、游戲帳號被盜的事件層出不窮，造成了巨大的損失。網絡上病毒木馬的泛濫不僅給網
民帶來了巨大的損害，還影響了我國互聯網絡的健康發展。正是基于這樣的現狀，國家相關
部門為保障互聯網的快速有序發展，大力推動互聯網法律法規的建設，特別是2009年2月份
通過刑法修正案七，對于懲治網絡“黑客”的違法犯罪行為，刑法加重了相關量刑條款。新
的刑法對入侵、盜號、竊取信息等違法行為加大了打擊范圍和力度。

    從實際情況來看，也確實起到了比較好的效果。接下來應該相關政府部門應該會根據刑
法修正案和實際情況，出臺相關的司法解釋，使得各司法機關在處理網絡犯罪方面更好操作，
以更好的保護互聯網的健康發展。


五、從事安全行業的人員越來越多，作為業內前輩，對未來有志于從事這個行業的年輕人有
什么建議么？在信息安全職業規劃這一方面，能否給出一些參考？

    雖然我從事安全工作時間比較長，但在行業中有很多各方面都非常優秀的人才以及越來
越多的后起之秀，我也特別希望能和行業內的朋友一起討論，一起分享。最近幾年，互聯網
的快速發展，互聯網安全的挑戰不斷增加，給我們從事安全工作的人員帶來了更多的機會，
使得我們自身的成長會更加快速。因此我們應該抓住這樣的機會，在專業知識，通用素質和
情商方面不斷提高自身水平。我的建議是要明確自己的目標，定期Review自身的狀態，做到
“三省吾身”，發現不足及時改進，這也是互聯網產品運營發展的理念。


六、為什么會考慮去盛大發展?

    我在騰訊安全工作了5年，在很多朋友和同事的幫助和支持下，建立了騰訊的安全團隊
和安全體系，同時一直也在想如何能做的更好，讓自身有更大的突破。

    因此我想可以從幾個方面考慮：

    1、我在騰訊安全的主要工作包括自身安全體系的建設和法律法規的推動，但一直沒有
一個機會能創造一個共贏的生態環境，讓更多人有機會去創造社會價值，而不是去做一些非
法的事情。
    2、騰訊的安全是封閉的安全體系，封閉的體系安全相對好做一些，如果能有一個開放
的平臺，對我來說會更有挑戰。

    正是基于這樣的想法，我加入了盛大，希望能在盛大建立一個開放的云計算平臺，讓更
大有技術能力或者其他專業能力的人能夠在我們盛大開放的云計算平臺上創造他們的價值，
讓有技術的人更有尊嚴的生活。希望通過這個平臺，原先寫病毒的人能寫軟件為別人解決問
題、編寫娛樂應用滿足人們的娛樂需求來創造收益；原先詐騙者可以發揮他們的聰明才智，
寫小說或者策劃游戲賺取資金。我覺得這是我的夢想，希望能在盛大這樣一個開放的環境中
實現。

    同時由于這是一個開放的平臺，遭遇的安全問題會更多，對我來說也很具有安全挑戰。

    “開放會帶來安全問題，但不開放是最大的不安全”。
    
-EOF-