如何保障网站安全——汝州金农网站长培训班

  随着我们互联网领域的拓展,我们的生活会发生很大德变化,那我们又发现,这样一个互联网产生,会带来很多的数据。这样一个数据每天都在呈几倍的 增长,这样的数据变换带来多方位传播方式的改变,比如说文字、图片、视频、音频,这样的手段有什么IT幕后的活动支撑?这也是我们经常会想到的问题,会不 会影响前端的表现?接下来有请我们SUN公司首席执行师介文清先生给我们做一个解答。

介文清:大家下午好,很高兴参加今天这个盛会。从 SUN的角度看一下市场的,像刚才主持人介绍的,有关IT技术怎么来支撑我们的一些做法和看法。刚才好几位老总谈到3G的问题。有一个JAVA的出现,实 际上JAVA已经做了十年的历史,有一个比较振奋人心的消息,JVAV为什么受到这么多的重视,因为是为INTER设计的。在网是无所不在,大家都在使用 网络,每个人使用网络有不同的做法,所以安全是最重要的。JAVA也是INTER首要的考虑,因为安全方面会了解比较深入。

现在这个世界 可以说以前早几年讲到一个货币新时代,现在手机远远超过PC的使用量,在美国他们认为,使用PC量跟使用手机量比出一个有意义的比例,事实上在美国以外的 国家,可能手机的成长比个人拥有一个昂贵的PC更为普遍。以前INTER都是一些传统的管理,现在大家不只可以从网络上获取很重要的咨询,更重要是能参 与。我们的世界因为INTER而方便,google,上网就可以找到想要的东西,上网的人和非上网人对很多事情的理解,不管从质量上,数据上慢慢会很快把 这个世界分成上网人类和不上网的人类。在整个地球的发展来讲,希望在发展当中就注意到的问题,而不要等到问题造成很严重的时候,才觉得这是一个很重要的问 题。

我们现在强调说,JAVA本也是一个很大的社区。JAVA能够提供一个很可靠的传递,虽然现在网上发展JAVA是很重要的,但是在开 发上都有很多很好的用户群,JAVA本身的用户群还是很多的。JAVA本身因为是一个语言,变成大家使用不仅是语言,而是开发的努力。现在有一个叫 JAVA.NET。目标是,大家都可以好使用网络,这是们的目标。 JAVA为什么发展得这么快,有一个叫JCP的过程。JAVA是大家的,不是上市公司自己的。使用JAVA的过程中,不管是在手机还是各行各业,你发现功 能成为一个社区的,大家把这个标准定下来,又大家统一这些内容。有些内容决定之后,变成JAVA的一部分,使手机各方面变成非常非常有用的工具,而不仅是 一个语言而已。所以我们现在所谓的JSCP是1050个人,JAVA进入十年有一个吉祥物。

JAVA的成长非常快,非常茁壮,在手机里面 也是使用非常多,各行各业。讲一些比较实际的例子。现在JAVA的开发有很好的工具,即使手机现在设置无线传说用得范围相当广泛。JAVA本身是开元,现 在上升到JAVA层次的应用,也是可以下载的一些软件,因为不仅在前端和应用层和后面的数据层联系,对我们很好的支持的软件环境。比如说有一个RFID的 应用,有一些移动的手机,都可以跟后端的应用,回到网页内。整个的架构是JAVA为什么受欢迎的原因,而且这些东西进入的门槛,它的成本应该是0。因为对 于一个开发者来讲,还没有开发出来之前,除了投入的利益,应该给开发者提供最的大方便,就是使用JAVA有关的软件,原则上可以是以0的成本进入,可以降 低开发的成本。

另外,JAVA现在进入了Web2.0,传统在手机上的开发,因为手机的硬件有限,要进入二维的图形,说实在相当困难,但 是因为刚才几位提到Web2.0的应用,在图形建立上可以拿到手机上,这也是JAVA的一个标准。JSR现在是符合Web2.0的标准。JAVA比较小的 叫JAVA ME可以用在PPA和手机上面。本身现在跟Web技术做了很紧密的结合,等于算业绩的标准,而不是说大家必须花额外的功夫自己去设计。

Web2.0 这方面,公司早期就认为在若干年大家提出,大家不是很理解什么意思,现在都理会很深。如果PC机不可以上网,现在是以Web做一个平台,是把很多的不同意 集中在一起应用。尤其现在网页上的一些所谓的娱乐界充分发挥的一个效果。本身的资料是非常多,都是共享的。举一个例子,像有一个书店,利用JAVA的技 术,通过传统的REST的技术,传到手机上。以上是我对Web2.0JAVA的一些介绍。

主持人:谢谢介先生,刚才说的是非常专业,听得不太懂。但是接下来的论坛可以就这个问题做深入的交流,接下来把话筒交给熊平先生。

熊 平:谢谢美丽的主持人。今天会议开的现在,在座的咱们的听众也是挺不容易的,坚持到现在。实际上我想,咱们到现在,我感觉前面的论坛大家有很多CEO交流 的非常好,我这里有一个体会,我们的CEO有很多机会来介绍自己的企业,最后一个环节,我们讨论互联网企业,互联网网站本身的安全,可能这个论坛更多还是 技术范畴和业务范畴的一些问题。刚才我们几位嘉宾已经介绍了,我就不多介绍了,因为时间的关系,我们就直接进入话题。最后论坛的主题是网站的安全,如何建 设一个安全稳定的网站,这是每一个网站CTO都想考虑的问题,要解决的问题。网站一个是海量的数据,高度大量的人群的访问,以及如何保障网站7×24小时 安全、稳定、持续不断地进行。我想第一个跟各位嘉宾交流的问题是,我们在建设安全网站的问题上,我们怎么建设网站的综合安全的体系?在解决问题之前,怎么 防御问题的发生?

江涛:这个会议之前,刘峰曾经跟我简单探讨过要讨论的话题。网络安全这个概念有时候容易混淆,因为一般说到安全大家更多 的考虑防黑客这些,但是也包括数据这些。我们这儿讨论应该更多是怎么来保证,应该是数据的安全可能更多一点,我不知道我理解的准确不准确 互联网公司也一个特点,一个是访问量比较大。第二,数据量比较大。第三,服务必须是7×24小时的。不像很多企业,到了晚上业务量就下去了,互联网往往有 时候晚上访问量反而增加了。我们一般做的,从几个方面,第一从网站的架构,包括第一网站有很好的可扩展性,网站突然增加,有什么活动?我们的架构能够承受 得住。第二,有可能会出现软件、硬件问题,如果出问题,应该必须响应用户。而且应该有机制发现,有人值班。包括我们的网站升级,也不应该影响到用户,使用 不会有任何影响,软件就可以自动升级。包括这些方面。当然还有,包括传统的网络安全的措施,那是专门的一个话题。

冯月进:我讲一下我的感 受,其实这个题目比较大,说安全实际上是一个挺大的范畴。第一,整体架构。如果作为一个网站需要24小时服务,而且有突发流量的情况。从整体架构来讲,设 计整体架构的时候,是按照分布来设计的,比如说流量是正常的流量,比如说你有什么活动,还有异常流量,有黑客,我们就可以很好地达到用户的容量。另外按照 这块,我们做了分层设计,对外提供服务这块,只有用户看到。再往后可能是我的应用层面,再后面才是我的数据库,这一块很少有人能碰到。网站稍微名气做得大 一点,就会有黑客,但是还没有进入到我们的应用数据库这级。我们要把层级设计好。

第二,真个安全实际上是一个长期的工作,不是说某一次突 击一下所能解决的问题,如果要做好安全。有些时候你可以去解决问题,但是更多时候怎么想,它想攻击你都没有机会,所以我们花了很多的时间做工作,这一点是 非常重要的。机会就会小很多,甚至有一些苗头我们就发现了。第三,内部管理的问题。有一个体会,安全这块可能你防内部比防外部更重要。不是说防内部就是家 里有贼的概念,内部是什么概念?我们很多时候认为内部是安全的,所以我们在做这些事情的时候,给内部人员开了很多的通道,认为他如果维护这个程序,或者做 很多的事情,就开通道,你给内部人员开的通道,实际上就是给我们的黑客,外部人员留下隐患。这种情况是我们往往松于管理,也许你内部人员计算机被其它人攻 破,很容易拿到网站的途径。所以我们在这方面也做了很多严格的管理,所以也是非常重要的一方面。我们主要是这三个方面做的工作。

介文清: 安全是无所不在的,安全对每个网站是非常重要的,我们所谓在业界的名声,名声就是三种,一种是没有名声,每人知道,一种是好的名声,一种是坏的名声。但是 假如没有名声,它是一张白纸,名声会变化,这都是有可能的。但是名声要变好,要投入很多,名声从好到变坏很容易。但是从坏变没有名声也很难。尤其是安全, 安全开始要考虑,不要等发生问题的时候再考虑。我想每个网站运营方面考虑是非常多,从内到外每个层次,包括人员的管理。从我的观点,采取了一些技术,也是 一个先决条件。刚才我提JAVA为什么在网上那么为大家所使用,它本身考虑到网络安全性的问题,现在网络上使用的THB比较多,因为它开发周期快,在网络 上很多业务是实验性比较强,所以它是很快开发出来,然后再网上试一试效果好就开发,效果不好就停。这是它得好处。但是还有一些安全上的问题。JAVA开发 周期较长,但是程序的安全性相对较高,这是从软件开发的路。

用户管理方面。有时候软件对用户管理有一些疏忽,其实软件管理是非常完整的管理方案,也是相当可靠的,但在互联网的欢迎下面是大量的用户,作为用户这方面没有安全可以做到更多的保证。

熊 平:三位嘉宾就综合安全体系这个话题,阐述了各个层面的一些观念和认识,这个也是一个挺大的方面。包括制度方面规范方面的认识,包括方面的环节,也包括数 据方面的问题。江涛江总说,我们应该考虑到数据安全这块。刚才冯总也谈到网站尽量会遇到黑客攻击方面的状态,实际上我们看到,在网站的CTO在实际的工作 过程中经常遇到很多的问题要处理,我自己有自己的朋友,做网站的,有点问题,第一,遇到黑客攻击,忽然上不去了,我估计也是一个很常见的现象。还有一个, 硬盘受到局部损害,这时候该怎么办?我想问网站的CTO,你们在工作当中有没有遇到类似或者相关的问题,你们觉得这样的问题有些什么好的处理办法?可以跟 我们大家分享。

冯月进:这个问题整个网站架构的时候就应该考虑到这个问题,网站的规模不一样,成本考虑也不一样,像慧聪网在其它专业网里 面容量还是相当高的。我们分两个方面来做,第一,我们的架构采用分布式的架构,我们做前端经营服务都是很多台的,不同服务有很多台,一台出现问题的话,根 本就没有关系,可以马上不工作,其它就可以去工作。我就可以很长时间去准备,一台两台不会对我们的系统造成影响。向前面提到的,我们也是有富裕的,我可以 花时间再去增加服务器,可扩展性这样一个设计,这是第一个。

第二,对于安全这块,像硬盘坏了的情况,实际上对我来讲没有特别大的影响,我 们还有一种方式,中国的特殊欢迎决定了,原来整个网络只有中国电信,现在还有铁通,因为他们之间互通的接口非常小,假如我不知道有没有这样的体会,如果你 的南方访问北方的网,会感觉到非常慢,有时候感觉比访问国外的网站还要慢。所以我们铁通和电信都分别架构了服务器,两个服务器是一模一样的,实行的是同 步。一方面,我们通过技术,如果是电信的客户,自动进入到电信的服务器上去。如果是网通,就直接进入的网通,一方面保证使用的速度,另外一方面两套系统使 用数据交换,一方面有问题,可以使用另外一套。存储系统出问题的机率很小,但是也会有,有问题,有的硬盘会坏,你也得工作,这时候对你的系统有可能有一些 灾害性的影响,这时候我们就会让这个系统不工作,让另外一个系统工作,从这方面解决了这样一个问题。

江涛:和讯有一些业务特点,个人化, 以个人为中心来组织数据。还有设备化,就是人和人之间,大家共享。而且数据大家看过,比较火的网站、食品,包括一些音乐,数据量非常非常大,说实话。我们 一直也面临比较头疼的问题,一方面大家现在都是免费在给所有的用户提供存储视频文件,音频文件,包括数码相机的照片等等,另一方面,我们也要考虑成本问 题。大家看到,几乎大部分视频网站都是不限制空间的,大家竞争比较激烈,而对于这些用户来说,这些数据上不上来,某种意义上来讲,他认为是自己的,所以一 定要保护好,不能因为有黑客攻击就忽视,这是一个非常大的挑战,我们现在每天增加的数据量都是非常大,至少是可能几十个G,都是这种数量级。怎么保证这些 数据,首先要防止由于黑客攻击,或者是软件系统出现故障的问题。我们整个架构和其它大的网差不多,都是分级的,最前面是四层交换机。我们实际上在每一层都 做了,这样可以保护任何一个点,如果出状况,用户基本上感受不到出问题,我们专门有人去修理。在后面存储,对存储这块,硬件这块就是比较传统的做法,比较 重要的数据要做BOFER。主要的思路就是这样的。

熊平:非常好,两位CEO从实际的运作中给我们提供了很多可以应用的经验。每天面临新的压力和新的形势下,新的方式下带来一些新的状况,那我这里有一个问题想跟三个老总沟通,我们作为企业网站的方案提供商,我们会提出什么思想可以跟我们交流?

介 文清:一个是存储空间大量扩展在机房使用,还有用电量,这都是显而易见的问题。上市公司基本上针对已经解决问题由我们来进行,未来可能会发生的问题,就从 硬件的设计各方面提出一个相对的方案。现在上述一个比较四个U的一个盒子里面可以放48块硬盘,还带一个主机的头,上面有一些ESP的存储管理的方式,因 为以后的量大量增长之后,在传统的网站是从DES的角度,用户有不同的需求,对我们要求比较高,可能会有一些商机,一般是单机,用DNS的方式比较多。现 在磁盘也比较可靠,密度很高,耗量也不大。这是存储方面可以提出的解决方案。另外是程序,国外都是基于开发自己的关键系统,因为UMS是很传统的长期适用 的文件系统,怎么提高笑纹间的高效率,还是要上一些平行的、跨网络的系统,有很多的瓶颈。用户的满意度会受到一些影响,这些属于低层的技术,我们都提出了 高速成,大产量,用低电量的方式处理。服务器方面我们可以有一个U的设计。用SVP很多,但是往往占的空间多,用电量方面,比如说8个可以变成3个 SVP。这都是发展的趋势。另外我们最近提出,除了空间不够,我还要高速成长,变成数据不够,现在有集装箱有很好的体系系统,可以用很高密度,高容量的一 个架构,能够很快包括网络全部这样。这就是我们公司为网络未来发展的一些新的方向,做的一些介绍。

熊平:我们发现几个专家讨论的问题越来 越技术化,我刚才在台下看到一个材料,是这样一个材料,写的是操作系统,设计最先进的操作系统,请我们几个专家解答一个疑问,有很多大型网站在做技术库的 时候,使用到不同的系统,对不同系统的安全性,有没有自己的感受,他们之间的安全性有什么差别,或者对我们网站使用有什么好的建议?

冯月 进:从安全的角度来讲,我们感觉Unix的系统比较安全一些,另外一个方面,Windows的系统差一些,一开始还是有很多的,原因主要是有很多比如说业 外人找到工程师去维护它,一开始这是构成很重要的原因。但是这个网站越发展,越壮大的时候,我们很多人会考虑选择它。另外我觉得这是CEO可能会考虑的得 更多一些,如果说所有的都有,这也是一笔不小的开支,但是从我们实际操作的角度来讲,Unix更加安全,但是人员成本不安全更加高一些。

江 涛:我自己感觉,刚才冯总说得很对,包括Windows的特点,就安全角度讲,可能更多是一种相对的安全,比如说Windows,因为用得非常普遍,所以 琢磨它的人估计是最多的,上面的漏洞被发现的机率也会特别多。linux可能找到更容易,但是琢磨的人远远少,但是我没有统计,不知道上市公司也没有一些 比较权威的数据。一般来说,一套系统安装起来,Windos的系统比较差,可能是跟系统的理念有关系,它是面临中小企业,很容易上手。像linux更多是 作为后台的server来跑,很多防火墙的功能,DEFO都起动了。如果单纯这么来看,Windows的安全性稍微差一些。我个人感觉,更多是配置,一个 系统不要装上来马上就去跑,一定要做很多的工作,把该关的统统关掉,这样一般安全性几个系统下来应该还是可以比较。这是我自己的感觉。

介 文清:linux使用,一般网站都希望自己修改内核,或者开发自己喜欢的一些档案系统。Unix上的也是相当长的时间,而且在大型企业讲究安全,对安全性 的要求本来就比较高。现在上OPENS,开元主要是希望符合网站的需求,因为要直接去开发一些它要的东西。在这方面,linux和server比较,有一 些东西可以利用,在开发档案系统的时候,可以要看到下面的低层的磁盘的状况,随时要知道。往往在linux开发很困难。比较完整的一个架构,用起来开发比 较快,因为有时候是为了自己的应用而开发的,哪个好用用哪一个。目前看来,server比较符合国外大网站的需求,像网站的龙头google,就用 server开发自己的东西。

熊平:我觉得咱们介绍了非常好的经验和感受,给我们分享了自己的一些知识。我自己这次论坛,我的一个感受,以前我参加论坛的时候也想坐半截是不是应该逃出去,但是今天还是有很多的人坐在这里,由于时间的关系咱们论坛就到这里,再一次感谢论坛的嘉宾,谢谢。
 

合作伙伴