日日操夜夜操天天操,天天躁夜夜躁狠狠躁2021西西,午夜免费福利网站

在網(wǎng)絡(luò)安全圈子里，白帽子群體一直蒙著一層神秘的面紗。

他們既能夠通過高超的技術(shù)能力，挖掘出互聯(lián)網(wǎng)的安全漏洞，又能憑借“白帽子”的道德操守，與真正的黑客“黑帽子”時常上演針尖對麥芒的網(wǎng)絡(luò)對決。

作為一股不可忽視的，維護(hù)世界網(wǎng)絡(luò)、計算機(jī)安全的主要力量，白帽子不僅有固定的小圈子，也有他們喜歡的公開比試的賽事，這就是CTF。

12月7日，由長亭科技舉辦的2019 Real World CTF國際網(wǎng)絡(luò)安全大賽在北京正式拉開帷幕。本次大賽以“Hack the real”為主題，為期兩天的盛會囊括“國際網(wǎng)絡(luò)安全大賽”“阿里云安全挑戰(zhàn)賽”“安全訓(xùn)練營”“技術(shù)論壇”“Hack Valley”五大板塊。

阿里云的加入，似乎讓這場白帽子最看重的CTF比賽，多了一些不同的味道。

用實(shí)戰(zhàn)，重新定義CTF賽事標(biāo)準(zhǔn)

CTF（Capture The Flag），又叫信息安全領(lǐng)域的奪旗賽。它從1996年的美國拉斯維加斯發(fā)源而來，主要分為解題和攻防兩種形式，綜合考驗(yàn)白帽子戰(zhàn)隊(duì)的技術(shù)、策略和能力。

由于CTF非常接近現(xiàn)實(shí)中的網(wǎng)絡(luò)安全攻防，被國際安全圈普遍認(rèn)可是可以培養(yǎng)安全人才的重要手段，也頗為受到熱愛網(wǎng)絡(luò)安全技術(shù)的年輕人喜歡。這些年來，CTF賽場上從不缺少熱血、堅(jiān)持和突破自我的故事，也誕生一批又一批網(wǎng)絡(luò)安全的白帽子精英。

自身也是白帽子出身的，阿里云云平臺安全總監(jiān)，云產(chǎn)品安全負(fù)責(zé)人牛紀(jì)雷，花名東廠，對CTF賽事也并不陌生，“2014年加入阿里之后，首先接觸的就是人才培養(yǎng)和團(tuán)隊(duì)建設(shè)。當(dāng)時為了應(yīng)屆生的招聘，北京、成都、武漢、西安等這些城市都跑遍了，但是效率還是比較低，通常面試100個人僅有1-2個是適合的，然后再到實(shí)習(xí)階段，最后一半都留不到?！?/span>

其實(shí)，這種產(chǎn)學(xué)脫鉤的情況在行業(yè)內(nèi)早已凸顯了，學(xué)校的課程和專業(yè)，與用人企業(yè)的需求脫節(jié)。所以，在2015到2016年的時候，阿里云也跟隨著CTF賽事來招聘人才，招人的效率確實(shí)高了很多，但后來發(fā)現(xiàn)也有一定的缺陷。

因?yàn)椋嬲摹皉eal”其實(shí)并不來自于比賽本身，而是在真實(shí)的業(yè)務(wù)場景中。如東廠所說，“CTF通常是是純比賽型的，這些題目本身是有答案的，而阿里云的賽事加入之后，我們提供的都是真實(shí)的環(huán)境，場景更真實(shí)，反饋的能力也更接近實(shí)戰(zhàn)?！?/span>

為了此次比賽，阿里云首次開放真實(shí)的線上運(yùn)行環(huán)境，并挑選 ECS（云服務(wù)器）、RDS for MySQL（數(shù)據(jù)庫）、MaxCompute（大數(shù)據(jù)計算服務(wù)）三款云上核心產(chǎn)品接受選手挑戰(zhàn)?！拔覀兪橇?xí)慣了以內(nèi)部的視角看問題，而CTF這些參賽隊(duì)則是外部的視角看問題。盡管阿里云內(nèi)部，也有專門挖洞的藍(lán)軍，還會請業(yè)界頂級的團(tuán)隊(duì)來做攻擊。但我們還是希望CTF的精英能夠幫助我們反饋真實(shí)的問題?！?/span>

據(jù)了解，作為全球首個、也是唯一將公共云真實(shí)售賣級產(chǎn)品進(jìn)行賽題設(shè)計的賽事，本次挑戰(zhàn)賽不僅面向廣大白帽子開放阿里云相關(guān)產(chǎn)品，并讓這些頂級選手通過實(shí)戰(zhàn)驗(yàn)證阿里云產(chǎn)品的安全性和穩(wěn)定性。大賽還特別設(shè)置了高達(dá)500萬的總獎金池和最高60萬元的單項(xiàng)獎金，打破了過往獎金記錄。

雙11試煉，與阿里云技術(shù)相互印證

今年雙11，天貓以2684億的成交額創(chuàng)造了一個新的記錄。伴隨著新的交易記錄，阿里云所面對的各項(xiàng)峰值記錄也一個個被打破，每秒交易創(chuàng)建峰值54.4萬筆，實(shí)時計算消息處理峰值25.51億條/秒，消息系統(tǒng)峰值處理量15750萬條/秒，批處理計算數(shù)據(jù)量雙11當(dāng)天達(dá)到982PB等等。

如果說，每年的雙11都是阿里云技術(shù)的試煉場，安全自然也不例外。雙11經(jīng)歷的24小時，底是怎樣的一個24小時？

阿里云安全官方公布的數(shù)據(jù)顯示：雙11期間，云平臺自動識別并攔截來自184個國家的60億次攻擊；為天貓、淘寶等多個平臺應(yīng)用攔截來自17種不同方式的473萬次攻擊、2.9萬個惡意攻擊IP，成功防御1917次DDoS攻擊，云原生DDoS防護(hù)包商業(yè)化解決方案完美支持IPv4、IPv6雙棧流量；為國內(nèi)外100+雙11活動提供全面防護(hù)，分析處理2000萬次業(yè)務(wù)請求，并為云上客戶提供2億次風(fēng)險識別服務(wù)，保障客戶安全。

東廠表示，“雙11第一大挑戰(zhàn)是峰值壓力，既要滿足業(yè)務(wù)的需求，也要保證安全不能出問題。在平時，安全的策略在常規(guī)情況下沒問題，但是雙11的巨大流量會對云安全能力產(chǎn)生極大考驗(yàn)，支撐好業(yè)務(wù)的同時還要保障安全。”

的確，在流量洪峰時期很多常規(guī)的安全策略會趨于失效。以DDoS攻擊為例，日常的場景下，通過安全算法，流量攻擊很容易識別。但在雙11的高峰流量下，怎么把正常流量和攻擊流量區(qū)分出來，就是一個挑戰(zhàn)：既要保證任何一個正常、真實(shí)的流量不被誤殺，也要保證不放過任何一個安全威脅，安全算法和能力會得到終極驗(yàn)證。

事實(shí)上，即便是日常的安全策略，阿里云也做到了極致。東廠總結(jié)為：第一，怎么做預(yù)防護(hù)；第二，怎么去檢測威脅事件；第三，檢測出事件后怎么處理。

首先，在安全防護(hù)方面。阿里云在全球的服務(wù)器規(guī)模是百萬級的，最大的挑戰(zhàn)是資產(chǎn)上的，所以要利用云的手段來解決問題。東廠說，“我們的云產(chǎn)品有近300款，所以需要解決很多不同場景下的安全問題。當(dāng)然，我們還面臨很多新技術(shù)的挑戰(zhàn)，沒有現(xiàn)成的安全防護(hù)方案給我們參考，阿里云在中國業(yè)務(wù)跑的太快了，我們前面沒有可以學(xué)習(xí)的對象，需要自己去踩坑去探索?！?/span>

其次，在安全威脅檢測方面。阿里云每天的日志都是PB級別，還要從這些日志里找到異常，又要解決可能有誤報的情況。這么大的日志檢測量，和大批量日志的處理，其實(shí)得益于阿里云自研的飛天系統(tǒng)。通過云上的能力來處理，然后解決算法和規(guī)則，就顯得較為輕松了。

第三，在事件處理方面。阿里云給自己定的新目標(biāo)是：1分鐘日志進(jìn)來，5分鐘告警出來，10分鐘處置完。“目前我們?nèi)斯ぬ幚戆踩录臉O限是15分鐘，我們之所以敢突破自己的極限，設(shè)定更高的目標(biāo)，正是因?yàn)榭梢岳冒⒗镌频脑朴嬎隳芰?、大?shù)據(jù)能力、數(shù)據(jù)庫能力等等重要的技術(shù)優(yōu)勢。”

客觀的說，從安全防護(hù)到威脅檢測，再到事件處理，這一整套的運(yùn)行邏輯背后，也將阿里云整體的技術(shù)優(yōu)勢體現(xiàn)的淋漓盡致。

我們也發(fā)現(xiàn)，阿里云為客戶提供的云產(chǎn)品，會將安全的能力默認(rèn)植入到ECS、數(shù)據(jù)庫、RDS等云產(chǎn)品當(dāng)中，將安全做在事前，而不是事后應(yīng)急。用安全賦能業(yè)務(wù)，通過安全人的思維模式和理念來幫助產(chǎn)品解決業(yè)務(wù)問題。

不得不說的數(shù)據(jù)安全

其實(shí)，數(shù)據(jù)安全僅僅是阿里云當(dāng)中一個組成部分。但對公共云服務(wù)商來說，數(shù)據(jù)安全又是絕對的重中之重。

東廠告訴我，阿里云對數(shù)據(jù)安全，已經(jīng)形成了一個完整閉環(huán)。

第一，數(shù)據(jù)安全是紅線。阿里云有完善的數(shù)據(jù)安全保護(hù)體系，基于實(shí)踐，從技術(shù)角度，對數(shù)據(jù)進(jìn)行分類分級保護(hù)。而數(shù)據(jù)分類分級保護(hù)之后，任何人包括員工在內(nèi)都必須在嚴(yán)格的控制授權(quán)監(jiān)控下才能處理數(shù)據(jù)。“我們要求必須在合規(guī)的情況下處理數(shù)據(jù)，目前已經(jīng)形成了從云到管道，再到終端最全面的數(shù)據(jù)安全管理機(jī)制?！睎|廠說。

第二，阿里云設(shè)計了全鏈路的數(shù)據(jù)加密?？蛻艨梢詫?shù)據(jù)加密后放在阿里云上。密鑰仍然放在客戶手上，為客戶完全所有。這樣就可以讓客戶放心，只有客戶自己才能看到自己的數(shù)據(jù)。

什么是全鏈路加密？就是從網(wǎng)絡(luò)傳輸加密，到計算加密，存儲加密，數(shù)據(jù)庫加密，以及還有硬件級別的加密服務(wù)，形成云上數(shù)據(jù)的全鏈路加密。

第三，在合規(guī)性方面，阿里云已經(jīng)成為亞洲權(quán)威合規(guī)資質(zhì)最全的云服務(wù)商，除此之外，還開創(chuàng)性的推出了內(nèi)部操作透明化服務(wù)，所有內(nèi)部運(yùn)維相關(guān)操作，都會以日志形式記錄下來，透明化給客戶。

目前云廠商都在提供各種各樣的數(shù)據(jù)保護(hù)方案，但東廠說，“阿里云的系統(tǒng)是基于飛天，是自研系統(tǒng)，代碼可控。我們的云原生軟件是自己開發(fā)的，服務(wù)器自己定制的，所以我們可以做到更高等級的安全?！?br>

簡單總結(jié)，網(wǎng)絡(luò)安全的能力搭建從沒有捷徑，必須是建立在足夠的實(shí)踐經(jīng)驗(yàn)，和優(yōu)秀的攻防技術(shù)的基礎(chǔ)上的，而對阿里云安全來說，背靠阿里巴巴的整體技術(shù)體系，并通過雙11這樣的試煉場磨礪而出的寶劍必然是鋒芒畢露。

文/鄭凱

科技正能量，推動新科技

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報。

九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区