龐大的網(wǎng)絡(luò )體系靠什么保證安全？

　　近年來(lái)互聯(lián)網(wǎng)安全形勢嚴峻，針對終端的木馬、病毒等越來(lái)越智能化，針對服務(wù)器和網(wǎng)絡(luò )的惡意DDoS攻擊也越來(lái)越頻繁。與此同時(shí)，隨著(zhù)網(wǎng)絡(luò )帶寬的提升和移動(dòng)互聯(lián)網(wǎng)的發(fā)展，2020年前后全球將達到1000億連接，如此龐大的網(wǎng)絡(luò )體系，究竟靠什么來(lái)保證安全?

　　華為劉立柱認為，借助先進(jìn)的大數據分析工具和高度智能化的檢測技術(shù)發(fā)現、控制威脅，同時(shí)全球網(wǎng)絡(luò )運營(yíng)商、IDC等機構加強合作，可共同應對網(wǎng)絡(luò )安全問(wèn)題。

　　“未來(lái)連接會(huì )越來(lái)越密集，因此安全問(wèn)題也將無(wú)處不在，我們需要讓網(wǎng)絡(luò )更加穩定，預警更靈敏，安全威脅的消除更徹底?！比A為交換機與企業(yè)通信產(chǎn)品線(xiàn)副總裁、安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱說(shuō)。

　　多種手段應對APT

　　APT即高級持續性威脅，是指利用先進(jìn)的攻擊手段進(jìn)行長(cháng)期的、持續性的網(wǎng)絡(luò )攻擊。這種攻擊在發(fā)動(dòng)之前往往會(huì )潛伏下來(lái)收集、分析目標的信息，發(fā)現漏洞并利用漏洞進(jìn)行攻擊。對于大型企業(yè)或機構的網(wǎng)絡(luò )、IT系統和應用來(lái)說(shuō)，APT是一個(gè)亟待解決的難題。

　　針對APT安全問(wèn)題，華為提出的對策是通過(guò)深度的機器學(xué)習來(lái)發(fā)現各種APT攻擊造成的網(wǎng)絡(luò )流量上的變化特征，根據這些特征進(jìn)行相關(guān)的聯(lián)動(dòng)分析?！霸庥鯝PT攻擊時(shí)，攻擊方會(huì )嘗試獲得更高的控制權限，最終竊取核心系統的信息或者使正常業(yè)務(wù)中斷?！眲⒘⒅f(shuō)，“這與正常的流量有差異，華為的APT大數據安全方案就是基于這樣的設計理念發(fā)展起來(lái)的?！?/p>

　　華為近年來(lái)發(fā)展了先進(jìn)的FireHunter系列安全沙箱、CIS網(wǎng)絡(luò )安全智能系統和USG6000V系列軟件防火墻等重量級的產(chǎn)品，幫助業(yè)界構筑面向APT和深度高級惡意威脅的安全防護體系。其中FireHunter安全沙箱使用了信譽(yù)系統和多層檢測技術(shù)，擁有業(yè)界最快的文件檢測速度，每天能檢測超過(guò)18萬(wàn)個(gè)文件，是業(yè)界同類(lèi)產(chǎn)品的1.5倍。FireHunter安全沙箱還支持Web頁(yè)面0day漏洞檢測，這是國內同類(lèi)產(chǎn)品中唯一能做到這一點(diǎn)的。這些技術(shù)使FireHunter發(fā)現未知威脅的效率大大增加。據劉立柱介紹，在一家金融業(yè)客戶(hù)部署華為FireHunter安全沙箱后短短兩個(gè)月，就檢測出了230多種未知APT威脅，其中72個(gè)是首次被發(fā)現的。

　　由于A(yíng)PT攻擊隱蔽性很強，華為專(zhuān)門(mén)推出了CIS網(wǎng)絡(luò )安全智能系統，用于預警和清除對企業(yè)網(wǎng)絡(luò )的APT攻擊。CIS以大數據平臺為基礎，對關(guān)鍵流量、日志、上下文以及外部信息進(jìn)行大數據關(guān)聯(lián)性分析，及時(shí)發(fā)現可疑行為、預警被感染對象，繼而實(shí)施阻斷、溯源和清理。目前華為CIS可以檢測出350多種可疑行為，遠超業(yè)界一般水平。

　　為了強化全網(wǎng)設備的安全防護能力，華為還推出了可在敏捷交換機、敏捷路由器上彈性部署的USG6000V系列軟件防火墻。該防火墻方案中采用了Intel最新的“DPDK+SR-IOV”技術(shù)及Hyperscan軟件模式匹配引擎，通過(guò)性能是業(yè)界平均水平的5倍多，最高可達40Gbps。

　　劉立柱介紹說(shuō)，今后華為還將不斷加大樣本采集范圍，提高運算效率，積累可疑行為模式，幫助業(yè)界有效應對APT威脅。

  云清聯(lián)盟對抗DDoS攻擊

　　隨著(zhù)寬帶網(wǎng)絡(luò )、移動(dòng)互聯(lián)網(wǎng)的發(fā)展，云計算、物聯(lián)網(wǎng)大行其道，同時(shí)DDoS攻擊的增長(cháng)速度也越來(lái)越快，規模越來(lái)越大，傳統的防御手段漸漸力不能及。

　　“隨著(zhù)云計算的發(fā)展，大量公有云成了僵尸主機的資源池，這使得DDoS攻擊的成本越來(lái)越低，危害性卻越來(lái)越大?！眲⒘⒅f(shuō)，“與此同時(shí)，DDoS攻擊還會(huì )造成大量垃圾流量擠占網(wǎng)絡(luò )帶寬?！?/p>

　　自?huà)唛T(mén)前雪已經(jīng)不能解決問(wèn)題了，業(yè)界需要聯(lián)合起來(lái)共同防范、消除DDoS攻擊。因此華為倡議成立了云清聯(lián)盟，希望通過(guò)調度全球網(wǎng)絡(luò )和IT資源，實(shí)現快速定位和近源清洗。這樣不僅可以節省各個(gè)受攻擊企業(yè)的開(kāi)支，也可以大大提升防護效果。

　　劉立柱舉例說(shuō)，如果一家企業(yè)網(wǎng)絡(luò )受到了來(lái)自美國、歐洲的DDoS攻擊，云清聯(lián)盟就可以通過(guò)在美國、歐洲的合作伙伴清洗掉這些攻擊，從根本上解決問(wèn)題。對于這家企業(yè)來(lái)說(shuō)，無(wú)需自行購買(mǎi)防御DDoS攻擊的設備，從而節省成本;對于加入云清聯(lián)盟的合作伙伴來(lái)說(shuō)，則意味著(zhù)獲得了很多商業(yè)機會(huì )。

　　“所以說(shuō)，云清聯(lián)盟是具有內生的商業(yè)驅動(dòng)機制的安全聯(lián)盟，能夠為所有相關(guān)者都帶來(lái)效益，同時(shí)讓各行各業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)更加順暢、安全?！眲⒘⒅f(shuō)。

　　物聯(lián)網(wǎng)安全問(wèn)題多多

　　未來(lái)全球互聯(lián)網(wǎng)會(huì )越來(lái)越發(fā)達，人們的生活、工作也會(huì )變得越來(lái)越方便，但安全影響和危害也會(huì )越來(lái)越大。在劉立柱看來(lái)，目前發(fā)展迅猛的物聯(lián)網(wǎng)就存在很多安全防護問(wèn)題。

　　如今從國家到市場(chǎng)，都對物聯(lián)網(wǎng)有非常高的期望，國內外有大量廠(chǎng)商在開(kāi)發(fā)物聯(lián)網(wǎng)設備和應用系統。劉立柱粗略估計，有70%以上的物聯(lián)網(wǎng)終端都有漏洞。華為自身為了確保設備沒(méi)有漏洞，專(zhuān)門(mén)建立了一個(gè)很龐大的安全管理規范，每個(gè)產(chǎn)品出廠(chǎng)時(shí)都要通過(guò)安全漏洞檢查。

　　“無(wú)論是操作系統還是芯片，或者應用產(chǎn)品，都要從設計之初就充分考慮可能存在的漏洞，因為這些漏洞都有可能成為攻擊的入口?！眲⒘⒅f(shuō)。不過(guò)涉足物聯(lián)網(wǎng)的企業(yè)很多，很難制定統一的標準，因此劉立柱建議各個(gè)廠(chǎng)商在設備上使用LiteOS。LiteOS是華為推出的開(kāi)源的超輕量級物聯(lián)網(wǎng)操作系統，該系統考慮了很多安全方面的問(wèn)題，有助于改善物聯(lián)網(wǎng)設備的安全性能。

　　此外，物聯(lián)網(wǎng)設備都要通過(guò)管道連到云端才能起作用，從管道到云端，華為都可以提供優(yōu)勢的安全解決方案。據劉立柱介紹，物聯(lián)網(wǎng)傳遞的數據信息比較固定，雖然數量很多、流量很大，但檢測起來(lái)并不麻煩，華為的下一代防火墻就可以承擔這些任務(wù)。

　　業(yè)務(wù)發(fā)展趨勢向好

　　2014年以來(lái)，華為在安全領(lǐng)域取得了非常好的成績(jì)，2014年銷(xiāo)售收入增幅在30%以上，達到了1.7億美元。劉立柱預計，2015年華為安全業(yè)務(wù)收入將提升到2億美元以上。

　　在金融行業(yè)，工商銀行的互聯(lián)網(wǎng)網(wǎng)銀大量采用了華為的DDoS防護和防護墻;在政府領(lǐng)域，華為的高端防火墻被廣東省電子政務(wù)云用于做政務(wù)外網(wǎng)的防護;在教育行業(yè)，國內有很多高校將華為高端防火墻應用于校園網(wǎng)出口及安全、NAT網(wǎng)關(guān)、鏈路負載均衡、NAT日志溯源等。

　　在中小企業(yè)客戶(hù)市場(chǎng)，華為一直持開(kāi)放的態(tài)度。劉立柱表示，安全領(lǐng)域的企業(yè)各有各的優(yōu)勢，華為的傳統優(yōu)勢在IP領(lǐng)域，將來(lái)會(huì )主攻網(wǎng)絡(luò )安全市場(chǎng)，在此基礎上愿意與國內外合作伙伴共同開(kāi)拓市場(chǎng)?！半S著(zhù)合作伙伴業(yè)務(wù)的發(fā)展，華為在中小企業(yè)安全業(yè)務(wù)市場(chǎng)也取得了很大的收獲?！眲⒘⒅f(shuō)，“中國區差不多一半以上的銷(xiāo)售業(yè)務(wù)來(lái)自于合作伙伴?！?/p>

　　云清聯(lián)盟是另一個(gè)合作共贏(yíng)的模式。電信運營(yíng)商有帶寬，對于流量攻擊有天然的防護優(yōu)勢;專(zhuān)業(yè)安全服務(wù)提供商有很好的運營(yíng)能力，有精細化的調度和良好的客戶(hù)化服務(wù)能力;華為則在網(wǎng)絡(luò )技術(shù)、DDoS攻擊防御等領(lǐng)域有突出的優(yōu)勢?！霸魄迓?lián)盟把這一切匯聚在一起，可以為市場(chǎng)提供更好、更及時(shí)的服務(wù)?！眲⒘⒅f(shuō)。

　　據劉立柱介紹，云清聯(lián)盟在發(fā)展海外合作伙伴方面已經(jīng)取得了進(jìn)展，一些國際領(lǐng)先運營(yíng)商和安全服務(wù)提供商已經(jīng)同意加入聯(lián)盟。華為計劃與合作伙伴一起，在全球四大洲建立超過(guò)10個(gè)清洗中心，接入云清聯(lián)盟中頂級的安全管理平臺(SOC)，從而實(shí)現全球的安全防護資源調度和近源清洗。目前云清聯(lián)盟將致力于爭取網(wǎng)絡(luò )帶寬需求較大且對網(wǎng)絡(luò )攻擊比較敏感的客戶(hù)，隨后向大型企業(yè)市場(chǎng)發(fā)展。