5月12日至14日，作為石油石化行業(yè)數(shù)字化、智能化領(lǐng)域，覆蓋全產(chǎn)業(yè)鏈兩化深度融合最權(quán)威、最具影響力、最高品質(zhì)的交流合作平臺，“2021年中國石油石化企業(yè)信息技術(shù)交流大會暨油氣產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型高峰論壇”在北京盛大開幕!

　　作為油氣行業(yè)數(shù)字化技術(shù)的年度盛筵，本次大會匯聚了來自中國石油天然氣集團有限公司數(shù)字和信息化管理部、中國石油化工集團有限公司信息和數(shù)字化管理部、中國海洋石油集團有限公司科技信息部、國家石油天然氣管網(wǎng)集團有限公司科技數(shù)字本部、國家能源投資集團有限責(zé)任公司信息化管理部、中國中化集團有限公司信息技術(shù)中心、陜西延長石油(集團)有限責(zé)任公司科技與信息化管理部、中國石油學(xué)會等領(lǐng)域的頂級專家和行業(yè)代表，超過4000位嘉賓齊聚一堂，圍繞石油石化企業(yè)數(shù)字化轉(zhuǎn)型、智能化發(fā)展需求，結(jié)合信息技術(shù)發(fā)展趨勢和“十四五”信息化戰(zhàn)略規(guī)劃，共同探討新一代數(shù)字化技術(shù)與石油石化行業(yè)融合創(chuàng)新的解決方案，分享數(shù)字化應(yīng)用的先進(jìn)經(jīng)驗。

　　在會上，瑞數(shù)信息技術(shù)高級安全顧問張凡發(fā)表了題為“從人防到技防 從已知到未知”的演講，介紹了油氣行業(yè)面臨的web安全新挑戰(zhàn)，并展示如何通過瑞數(shù)信息“動態(tài)安全技術(shù)”，助力油氣企業(yè)構(gòu)建真正的主動防護體系。

　　一、網(wǎng)絡(luò)攻擊手段升級 油氣行業(yè)面臨三大挑戰(zhàn)

　　隨著全球數(shù)字化、智能化程度的日益提高，石油石化等能源類企業(yè)的網(wǎng)絡(luò)安全問題已到了無法回避的關(guān)頭。據(jù)德勤發(fā)布的報告稱，能源行業(yè)已成為全球第二大易受網(wǎng)絡(luò)犯罪攻擊的行業(yè)，且其中近半數(shù)企業(yè)在2016年年內(nèi)至少普遍遭遇過一次重大網(wǎng)絡(luò)事故。

　　由于石油石化企業(yè)關(guān)系到國計民生，一旦被黑客攻破重要基礎(chǔ)設(shè)施，將導(dǎo)致意想不到的嚴(yán)重后果，甚至?xí)绊憞野踩＝陙?，很多石油石化企業(yè)已經(jīng)開始增強網(wǎng)絡(luò)風(fēng)險防范意識，將網(wǎng)絡(luò)安全提高到集團戰(zhàn)略高度。

　　但對于石油石化企業(yè)內(nèi)部的安全運營人員而言，面對日益升級的網(wǎng)絡(luò)攻擊，依然會有一種“攻易守難、亡羊補牢、疲于奔命”的感受。在瑞數(shù)信息技術(shù)高級安全顧問張凡看來，主要來自三個方面的挑戰(zhàn)：

　　一是，網(wǎng)絡(luò)攻擊手段日益升級，攻擊效率大幅提升。目前，網(wǎng)絡(luò)攻擊中有90%為自動化攻擊，自動化的黑客工具不僅攻擊成本低，且攻擊效率遠(yuǎn)超過手動攻擊，堪稱“網(wǎng)絡(luò)攻擊的工業(yè)化革命”。在自動化工具快速傳播的情況下，零日漏洞攻擊成為常態(tài)，幾乎所有漏洞利用會在1天內(nèi)就被廣泛傳播利用，企業(yè)很難進(jìn)行及時有效的防御。

　　二是，高級定制化工具泛濫，傳統(tǒng)防護手段失效。此前，哥斯拉、冰蝎等高級定制化工具的出現(xiàn)，震驚了整個安全圈。這些Webshell采用動態(tài)加密方式，碾壓市面上所有基于簽名和規(guī)則匹配的傳統(tǒng)WAF。同時，高級定制化工具還會集成多種0day/Nday漏洞利用工具，全家桶式打擊，掃描、利用一步完成。

　　而在傳統(tǒng)防護思路中，封IP是最主要的防護手段之一。當(dāng)封IP地址達(dá)到上限時，企業(yè)會出現(xiàn)業(yè)務(wù)無法正常運行的情況。不僅如此，自動化攻擊還會通過多源低頻的方式，繞過封IP、限頻等傳統(tǒng)防護手段，讓傳統(tǒng)防護工具徹底失效。

　　三是，安全運維成本與日俱增，安全人員緊缺。面對網(wǎng)絡(luò)攻擊在數(shù)量和效率上的成倍增長，企業(yè)安全運維成本也在相應(yīng)增長，而企業(yè)安全人員僅憑有限的人力和傳統(tǒng)安全防護工具，很難維持常態(tài)化的安全防護。

　　二、從人防到技防 瑞數(shù)信息“動態(tài)安全”構(gòu)建主動防護體系

　　日益猖獗的新型網(wǎng)絡(luò)攻擊，使得沿用傳統(tǒng)WAF防護的企業(yè)普遍響應(yīng)滯后。那么，企業(yè)應(yīng)該如何應(yīng)對新的網(wǎng)絡(luò)安全挑戰(zhàn)?

　　對此，瑞數(shù)信息技術(shù)高級安全顧問張凡認(rèn)為，網(wǎng)絡(luò)攻防雙方的對抗是永不停歇的，新的技術(shù)、規(guī)則、漏洞會層出不窮，如果一直采用圍繞對手的傳統(tǒng)視角，通過“挖掘漏洞、匹配特征、設(shè)置規(guī)則”進(jìn)行防護，永遠(yuǎn)會被黑客牽著鼻子走。

　　“攻防雙方對抗的本質(zhì)，其實是成本的對抗，用自己最低的成本，增加黑客最高的成本”，張凡表示，企業(yè)在安全防護中應(yīng)采用創(chuàng)新視角，徹底改變“游戲規(guī)則”，即圍繞自身，通過“隱藏漏洞、變換自身、驗證真?zhèn)?rdquo;等方式提高黑客的攻擊成本，倒逼黑客放棄攻擊，從而降低企業(yè)管理負(fù)擔(dān)，加快防護響應(yīng)速度。

　　正是基于這種創(chuàng)新的主動防護理念，瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護的思路，推出了一項顛覆性技術(shù) – 動態(tài)安全技術(shù)，即不再依靠攻擊特征庫、異常特征庫的匹配來進(jìn)行攻擊的識別，同時也無需依賴攻擊頻度和工具類別來識別，實現(xiàn)更加主動和有效的主動防護。

　　據(jù)悉，瑞數(shù)信息的動態(tài)安全架構(gòu)由四大核心技術(shù)構(gòu)成：

• 動態(tài)封裝，對網(wǎng)頁底層代碼做動態(tài)封裝，隱藏攻擊入口，升攻擊難度;
• 動態(tài)驗證，運行環(huán)境驗證，有效甄別“人”還是“自動化”攻擊，打擊自動化攻擊的有效工具;
• 動態(tài)混淆，對客戶端敏感數(shù)據(jù)進(jìn)行混淆，保護數(shù)據(jù)傳輸安全，保護終端請求內(nèi)容及交易內(nèi)容;
• 動態(tài)令牌，一次性動態(tài)令牌，確保執(zhí)行正確的業(yè)務(wù)邏輯，保障業(yè)務(wù)安全運行。

　　例如，瑞數(shù)信息的動態(tài)封裝技術(shù)，采取將網(wǎng)頁原始代碼動態(tài)變形的技術(shù)，增加目標(biāo)系統(tǒng)行為的“不可預(yù)測性”，使黑客無法找到入侵網(wǎng)頁的入口與漏洞。由于攻擊者無法預(yù)知目標(biāo)系統(tǒng)行為，必須通過大量人工分析找尋被保護目標(biāo)系統(tǒng)可能的突破口，但即使找到突破口，最多也只能使用一次，因此大幅提升攻擊難度與成本，從而迫使攻擊者放棄攻擊，將攻擊抑制在源頭。

　　在企業(yè)頗為頭疼的零日漏洞防護方面，通過瑞數(shù)信息獨有的動態(tài)驗證、封裝、混淆、令牌四大動態(tài)安全技術(shù)，從0day漏洞利用工具請求的固有屬性出發(fā)，只要識別到是工具行為，就可以直接對0day攻擊進(jìn)行阻斷，從而實現(xiàn)對業(yè)務(wù)的動態(tài)保護。

　　除了零日漏洞，瑞數(shù)信息動態(tài)安全技術(shù)能夠有效應(yīng)對各類自動化攻擊，如：漏洞掃描、撞庫、爬蟲、應(yīng)用DDOS、高級定制工具、多源低頻等等，直擊黑產(chǎn)最底層，讓自動化工具無法使用。

　　隨著對抗的升級，基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護效率將越來越低。對于人工攻擊，不妨換個思路，從干擾攻擊行為的角度出發(fā)進(jìn)行防護。作為動態(tài)安全技術(shù)的代表廠商，瑞數(shù)信息擁有多種動態(tài)干擾功能：web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等，能夠不基于任何特征、規(guī)則的方式進(jìn)行有效防護。

　　總體而言，瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護的思路，通過獨特的動態(tài)安全技術(shù)，以多維度“分級分層”的對抗策略，讓攻擊者無法輕易發(fā)現(xiàn)攻擊入口，大幅提升攻擊難度與成本。同時，通過對終端環(huán)境和設(shè)備指紋的多維度畫像，可以有效識別各類惡意訪問行為，并能實時追蹤通過大量跳板隱藏攻擊來源的惡意終端。

　　據(jù)張凡介紹，作為國內(nèi)前沿的互聯(lián)網(wǎng)應(yīng)用安全防護企業(yè)，瑞數(shù)信息首創(chuàng)的“動態(tài)安全”主動防護技術(shù)，已保護了上萬億企業(yè)客戶資產(chǎn)和5億多賬戶，為企業(yè)客戶阻擋了99%的自動化攻擊，將安全運營效率提升了81%，節(jié)省了54%的系統(tǒng)資源。

　　自成立以來，瑞數(shù)信息獲得了政府相關(guān)主管機構(gòu)、大型企業(yè)、媒體及社會團體的廣泛認(rèn)可，無論是中國的三大運營商、排名前五位的大型銀行、最頂級的十大電商以及中國前三大在線支付公司中都可以找到瑞數(shù)信息的客戶身影。經(jīng)過多年在國內(nèi)各行業(yè)標(biāo)桿用戶中的持續(xù)應(yīng)用和推廣，瑞數(shù)信息的動態(tài)安全技術(shù)正逐漸成為網(wǎng)站/APP/H5等應(yīng)用安全建設(shè)的標(biāo)配。

　　對于石油石化企業(yè)而言，基于瑞數(shù)信息的動態(tài)安全技術(shù)，能夠有效抵御各類自動化攻擊，實現(xiàn)防護能力升級、運維成本降級、防御更主動、對抗更智慧、追蹤溯源的更精準(zhǔn)，真正做到從“人防”到“技防”，構(gòu)建真正意義上的主動防護體系。