游戏运维安全.PDFVIP

游戏运维安全 过去，现在和未来 ChCnhaw k 过去 辉煌的黑客年代，黑客精神狂热的年代， 技术至上 的年代。从97年绿色兵团成立， 到红客联盟，中美黑客大战。那个年代里 国内的安全攻防双方都像骑士一样对抗 。 过去 从那个黑客辉煌的年代，安全确是相当 的弱小，在这样恶劣的环境我们来看我们 的运维安全所面临的挑战。 过去 攻击方 防守方 z 优秀的技术实力 z 缺乏各方面的支持 z 可利用漏洞多 z 缺少专业的从业人员 z 攻击者了解防守方 z 安全总体还处于初级水平 过去 z 攻击方和防御方实力悬殊 z 安全各方面还处于初级阶段 z 安全不是运维中的重点 z 糟糕的游戏开发商支持 过去：安全还是初级阶段 z 系统漏洞广泛大量存在 z 网络设备和协议还存在很多漏洞 z 存在针对各种漏洞的可用攻击代码 z 应用安全几乎没有被重视 z 游戏运维安全缺少经验 过去：安全不是重点 z 更多时候是让程序快速运行起来而不是安全 z 赚钱比安全更重要 z 运维部门主要任务中没有安全 z 还处于游戏公司主导市场 过去：糟糕的开发商 z 开发商没有安全的概念 z 游戏设计中的缺陷让运维安全无比艰难 过去：安全还在成长 在过去几年的攻防双方矛盾较量中，盾不 如矛利，但是盾在较量中得到了高速的发展。 而且随着时间的发展也为防守方带来了人才和 技术的进步。相信只要有时间安全这个幼苗一 定会成为一棵参天大树。 现在 如果说过去几年黑客还是互联网中数量 是及其稀少。那么现在就是全民黑客的年 代，在全民黑客，高度利益化的年代里， 我们需要如何作好准备，如何改变思路， 才能迎接新时代的挑战？ 现在 攻击方 防守方 z 攻击技术和工具大面积普及 z 防御方实力大幅加强 z 攻击者数量大量增加 z 安全各方面开始完善 z 攻击目标从服务器端转移到了 z 安全设备和技术大幅进步 客户端 z 安全已经被各个游戏公司重视 z 攻击者开始以利益为目的 z 运维安全更加专业化 z 出现了很多较为严密，分工明 确的组织 z 出现了黑客产业链 现在 安全经历了几年的大发展，现在已经开 始占据优势，但是道高一尺魔高 一丈 ，攻 击者从一些以前被忽视的环境里找回自己 的优势。我们来看看现阶段我们运维安全 所面临的风险。 现在：面临的问题 z 人为因 素逐 渐成 为安全中的重要问题 z 针对应用的攻击逐渐取代了针对系统的攻击 z 海量的各种攻击让运维环境更加恶劣 z 攻击者的严密组织分工让修补漏洞时间更短暂 z 保护用户的安全也成为安全部门的重要部分 z 和公司相关的各种第三方业务安全也必须被关注 z 内部安全威胁也逐渐成为主要威胁 现在：解决人的因素 z 人为因素逐渐成为 安全中的重要问题 不遵守安全制度和各种人为的操作疏忽成为安全事故中的 主要部分。 强化安全规范管理和检查机制必须作为安全部的主要任务！ 笔者在曾对某公司的安全记录某个时间段中的22起安全事件进行统计， 其中6起为拒绝服务攻击，只有2起是因为系统漏洞被入侵，其他14起均为 人为操作失误或者不遵守安全规定导致被入侵。 现在：应用安全需要关注 z 应用安全威胁增大 传统的系统漏洞已经逐渐减少，而各种交互应用经常受到开发 任务紧，开发人员技术水平问题，导致容易出现安全问题。而 公司很多有价值的资产都可以通过这些应用漏洞获得。 运维安全部门必须加大对各种应用漏洞的研究力度，黑