日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

2016年即將過(guò)去，回顧今年的網(wǎng)絡(luò)安全領(lǐng)域比較新的技術(shù)詞，筆者首先想到了自適應(yīng)安全。一直以來(lái)，筆者對(duì)自適應(yīng)安全一知半解，總想弄個(gè)明白。目前，我國(guó)在自適應(yīng)安全方面才剛剛起步，筆者了解到現(xiàn)在專注自適應(yīng)安全的廠商主要有青藤云安全、OneASP、睿石網(wǎng)絡(luò)等網(wǎng)絡(luò)安全廠商。于是，近日筆者采訪了OneASP首席安全顧問(wèn)何迪生。

創(chuàng)新互聯(lián)基于成都重慶香港及美國(guó)等地區(qū)分布式IDC機(jī)房數(shù)據(jù)中心構(gòu)建的電信大帶寬，聯(lián)通大帶寬，移動(dòng)大帶寬，多線BGP大帶寬租用,是為眾多客戶提供專業(yè)多線服務(wù)器托管報(bào)價(jià)，主機(jī)托管價(jià)格性價(jià)比高，為金融證券行業(yè)服務(wù)器托管，ai人工智能服務(wù)器托管提供bgp線路100M獨(dú)享，G口帶寬及機(jī)柜租用的專業(yè)成都idc公司。

OneASP首席安全顧問(wèn)何迪生

采訪地點(diǎn)約到了OneASP公司會(huì)議室，會(huì)議室的整體布局桌椅擺放很像一個(gè)課堂。特別是當(dāng)采訪正式開(kāi)始之后，筆者的這種感覺(jué)更為強(qiáng)烈。在會(huì)議室等了幾分鐘后，我見(jiàn)到了何迪生。與我所猜想的不同，他并沒(méi)有我想象中的那種嚴(yán)肅，很是和藹可親?；Q名片自我介紹之后，我們自然而然的就聊了起來(lái)。

何迪生是誰(shuí)?

何迪生畢業(yè)于加拿大滑鐵盧大學(xué)，擁有統(tǒng)計(jì)學(xué)/計(jì)算機(jī)科學(xué)學(xué)士以及精算學(xué)碩士學(xué)位。畢業(yè)后的十幾年，他基本都在北美洲工作。后因家庭原因回到國(guó)內(nèi)發(fā)展，先后擔(dān)任香港警署“防犯罪技術(shù)部”安全咨詢顧問(wèn)，信息系統(tǒng)安全協(xié)會(huì)(ISSA)香港分會(huì)總裁，國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)北京事務(wù)委員會(huì)主席，WTO第六次部長(zhǎng)會(huì)議的首席安全咨詢師。并于2008年，擔(dān)任北京奧運(yùn)會(huì)奧運(yùn)城市運(yùn)行指揮平臺(tái)的安全顧問(wèn)，也正是這次機(jī)遇讓他和北京結(jié)下了不解之緣。

何迪生說(shuō)自己的事業(yè)一直沒(méi)有離開(kāi)安全，OneASP是他的另外一個(gè)起點(diǎn)。曾經(jīng)他思考過(guò)在未來(lái)的十年，二十年后自己會(huì)在哪里，答案是中國(guó)。在希望將自己的知識(shí)和能力服務(wù)于中國(guó)的網(wǎng)際安全，為中國(guó)的本地安全體系建設(shè)貢獻(xiàn)自己的一份力量。

之所以選擇進(jìn)入OneASP，源于好友OneAPM副總裁林元宏的邀請(qǐng)。通過(guò)與OneAPM董事長(zhǎng)何曉陽(yáng)的接觸，以及后期的對(duì)公司的深入了解。對(duì)于未來(lái)應(yīng)用層安全未來(lái)防御體系建設(shè)的看法，何迪生心中的想法與OneASP的發(fā)展規(guī)劃高度一致。

他是這樣介紹為建立下一代安全體系所做的事情的

聊到為建立下一代安全體系所做的事情，專注的那些安全技術(shù)。何迪生走向?qū)懽职澹_(kāi)始從自適應(yīng)安全，到OneASP選擇做應(yīng)用層安全防護(hù)的初衷，再到產(chǎn)品技術(shù)細(xì)節(jié)，耐心地為我講解起來(lái)。

首先，對(duì)于自適應(yīng)安全這個(gè)概念，他解釋到，自適應(yīng)安全 (Adaptive Security) 是Gartner于2014年提出的面向下一代的安全體系，其最突出的特點(diǎn)就是“智能、自動(dòng)化”，該理念認(rèn)為云時(shí)代的安全服務(wù)應(yīng)以持續(xù)監(jiān)控和行為識(shí)別為核心引擎，覆蓋預(yù)測(cè)、防御、監(jiān)控、回溯四個(gè)周期，可自適應(yīng)于不同基礎(chǔ)架構(gòu)和業(yè)務(wù)變化并形成統(tǒng)一安全策略，從而應(yīng)對(duì)未來(lái)更隱秘、專業(yè)的高級(jí)攻擊。自適應(yīng)安全在國(guó)內(nèi)還是一個(gè)比較新的概念,需要業(yè)界共同努力才能達(dá)到”安全自適應(yīng)”應(yīng)該達(dá)到的標(biāo)準(zhǔn).

其次，他指出，一方面，棱鏡門(mén)事件之后，我國(guó)信息安全已經(jīng)上升至國(guó)家戰(zhàn)略高度。然而政府在信息安全方面的投入主要集中在網(wǎng)絡(luò)層和主機(jī)層的防護(hù)上，諸如：防火墻、IDS/IPS、AV、主機(jī)加固及補(bǔ)丁管理等。然而，與網(wǎng)絡(luò)層和主機(jī)層安全相比，如今更多的入侵者選擇應(yīng)用層為突破口，攻擊手段隱秘且防不勝防。SQL注入、跨站腳本攻擊 (XSS)、跨站請(qǐng)求偽造(Cross-site request forgery )都是攻擊者常采用的攻擊方式，他們通過(guò)SQL注入盜取用戶數(shù)據(jù)，通過(guò)“HTML注入”篡改網(wǎng)頁(yè)、插入惡意的腳本控制用戶瀏覽器……

另一方面，目前傳統(tǒng)的處理應(yīng)用層的安全問(wèn)題的產(chǎn)品和方案都是以WAF(Web Application Firewall)為主，但是WAF對(duì)于管理人員的技術(shù)水平要求較高。而我國(guó)甚至全球的安全人才極為稀缺。有關(guān)調(diào)查顯示，我國(guó)每年對(duì)于安全人才的需求達(dá)到100萬(wàn)，但實(shí)際人才輸出僅有2萬(wàn)，有高達(dá)98% 的缺口。因此，由于策略配置的不妥當(dāng)帶來(lái)的誤殺誤報(bào)現(xiàn)象也就十分嚴(yán)重。

據(jù)Gartner 報(bào)告顯示，超過(guò)80%的網(wǎng)絡(luò)攻擊都發(fā)生在應(yīng)用層。然而國(guó)內(nèi)現(xiàn)有的安全防護(hù)方案，大多是基于數(shù)據(jù)流做防護(hù)，無(wú)法深入應(yīng)用內(nèi)部，由此帶來(lái)的誤殺誤報(bào)率很高。

所以，OneASP選擇了RASP(RuntimeApplication Self-Protection，實(shí)時(shí)應(yīng)用自我保護(hù))這個(gè)細(xì)分領(lǐng)域探索。OneASP也是國(guó)內(nèi)第一家做RASP的創(chuàng)業(yè)公司。

緊接著，他解釋說(shuō)，RASP是由Gartner 分析師Feiman在2014年9月提出的一種全新概念，它能夠與應(yīng)用一起運(yùn)行，結(jié)合應(yīng)用的邏輯和數(shù)據(jù)流，在運(yùn)行時(shí)對(duì)訪問(wèn)應(yīng)用的代碼進(jìn)行檢測(cè);對(duì)于已知漏洞打虛擬補(bǔ)丁，起到補(bǔ)償控制的作用。該技術(shù)已成為目前業(yè)界已知的對(duì)SQL注入防護(hù)最高的一種手段，國(guó)外的廠商有Prevoty, Waratek等。例如：針對(duì)XSS攻擊，RASP定制了針對(duì)XSS攻擊的規(guī)則集和防護(hù)類，然后采用Java字節(jié)碼技術(shù)，在被保護(hù)的類被加載進(jìn)虛擬機(jī)之前，根據(jù)規(guī)則對(duì)被保護(hù)的類進(jìn)行修改，將防護(hù)類織入到被保護(hù)的類中，從而有效地抵御 XSS 這種攻擊。

最后，他介紹說(shuō)，基于RASP的OneASP安全平臺(tái)集成了預(yù)測(cè)、預(yù)防、檢測(cè)和響應(yīng)的能力為用戶提供精準(zhǔn)、持續(xù)、可視化的安全防護(hù)。目前，OneASP 能夠提供 SaaS 模式和本地化部署模式，客戶主要集中在電商、金融、互聯(lián)網(wǎng)金融等領(lǐng)域。OneRASP的優(yōu)勢(shì)主要體現(xiàn)在：一是，傳統(tǒng)的安全產(chǎn)品無(wú)法進(jìn)入應(yīng)用內(nèi)部及時(shí)發(fā)現(xiàn)并阻止攻擊，誤殺誤報(bào)率高，而RASP 探針像一劑疫苗注入到應(yīng)用中，以虛擬補(bǔ)丁的形式存在，賦予其自身免疫能力，在應(yīng)用被完全修復(fù)前降低應(yīng)用被攻擊的可能。二是，OneRASP操作簡(jiǎn)單，降低了對(duì)運(yùn)維管理人員的技術(shù)水平要求。相對(duì)于傳統(tǒng)的安全解決方案，還可幫助用戶節(jié)省其在安全層面的費(fèi)用支出。

那么，未來(lái)RASP是否會(huì)替代WAF呢?他表示，RASP技術(shù)并不會(huì)完全取代WAF。并提議，在應(yīng)用層采用 Defense-In-Depth (DID)安全縱深防御體系這個(gè)概念，即應(yīng)用層安全縱深防御體系 (AppSec DID)，分成應(yīng)用層周邊與內(nèi)部?jī)蓚€(gè)部分，周邊用WAF，內(nèi)部用RASP，將兩者結(jié)合集成起來(lái)將會(huì)把監(jiān)控與防御做得更好。

采訪結(jié)束，筆者問(wèn)及2017年OneAsp的發(fā)展目標(biāo)與規(guī)劃。

何迪生回答說(shuō)：“2017年，我們不僅會(huì)把RASP技術(shù)運(yùn)用好，還計(jì)劃針對(duì)應(yīng)用層做一個(gè)輕量級(jí)自動(dòng)化的整體防護(hù)架構(gòu)，力求幫助用戶更好的把控應(yīng)用層的不同安全風(fēng)險(xiǎn)。最主要的是，我們會(huì)以服務(wù)的態(tài)度幫助客戶解決安全問(wèn)題，獲取客戶認(rèn)同是我們的發(fā)展動(dòng)力。我們也一直在用踏實(shí)的行動(dòng)，努力打造一家‘絕對(duì)可信賴’的安全服務(wù)企業(yè)形象，以提供易用可靠的安全服務(wù)為主的企業(yè)，而不是只賣安全產(chǎn)品的公司?！?/p>

附：OneASP與OneAPM的關(guān)系

OneAPM，即北京藍(lán)海訊通科技股份有限公司，是中國(guó)基礎(chǔ)軟件領(lǐng)域的新興領(lǐng)軍企業(yè)。專注于提供新一代 ITOM(IT 運(yùn)維管理)軟件和服務(wù)。2016年8月15日，正式掛牌新三板(股票代碼 838699)。OneAPM 是全球首家可以同時(shí)從系統(tǒng)服務(wù)層、應(yīng)用層、用戶體驗(yàn)層、業(yè)務(wù)交易層提供性能管理服務(wù)的公司。經(jīng)過(guò)8年的技術(shù)與產(chǎn)品積累與沉淀，已經(jīng)能夠提供本地化部署和 SaaS 部署模式，支持所有主流的編程語(yǔ)言和框架。

OneASP 是北京藍(lán)海訊通科技股份有限公司旗下的獨(dú)立公司。OneRASP屬于OneASP應(yīng)用安全的一個(gè)產(chǎn)品線。

【原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為.com】

當(dāng)前文章：專訪OneASP何迪生：通過(guò)RASP+WAF，構(gòu)建應(yīng)用層安全縱深防御體系
本文地址：http://www.5511xx.com/article/ccescii.html