龐大的網(wǎng)絡(luò)體系靠什么保證安全？

　　近年來互聯(lián)網(wǎng)安全形勢嚴(yán)峻，針對終端的木馬、病毒等越來越智能化，針對服務(wù)器和網(wǎng)絡(luò)的惡意DDoS攻擊也越來越頻繁。與此同時(shí)，隨著網(wǎng)絡(luò)帶寬的提升和移動互聯(lián)網(wǎng)的發(fā)展，2020年前后全球?qū)⑦_(dá)到1000億連接，如此龐大的網(wǎng)絡(luò)體系，究竟靠什么來保證安全?

　　華為劉立柱認(rèn)為，借助先進(jìn)的大數(shù)據(jù)分析工具和高度智能化的檢測技術(shù)發(fā)現(xiàn)、控制威脅，同時(shí)全球網(wǎng)絡(luò)運(yùn)營商、IDC等機(jī)構(gòu)加強(qiáng)合作，可共同應(yīng)對網(wǎng)絡(luò)安全問題。

　　“未來連接會越來越密集，因此安全問題也將無處不在，我們需要讓網(wǎng)絡(luò)更加穩(wěn)定，預(yù)警更靈敏，安全威脅的消除更徹底?！比A為交換機(jī)與企業(yè)通信產(chǎn)品線副總裁、安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱說。

　　多種手段應(yīng)對APT

　　APT即高級持續(xù)性威脅，是指利用先進(jìn)的攻擊手段進(jìn)行長期的、持續(xù)性的網(wǎng)絡(luò)攻擊。這種攻擊在發(fā)動之前往往會潛伏下來收集、分析目標(biāo)的信息，發(fā)現(xiàn)漏洞并利用漏洞進(jìn)行攻擊。對于大型企業(yè)或機(jī)構(gòu)的網(wǎng)絡(luò)、IT系統(tǒng)和應(yīng)用來說，APT是一個(gè)亟待解決的難題。

　　針對APT安全問題，華為提出的對策是通過深度的機(jī)器學(xué)習(xí)來發(fā)現(xiàn)各種APT攻擊造成的網(wǎng)絡(luò)流量上的變化特征，根據(jù)這些特征進(jìn)行相關(guān)的聯(lián)動分析?！霸庥鯝PT攻擊時(shí)，攻擊方會嘗試獲得更高的控制權(quán)限，最終竊取核心系統(tǒng)的信息或者使正常業(yè)務(wù)中斷?！眲⒘⒅f，“這與正常的流量有差異，華為的APT大數(shù)據(jù)安全方案就是基于這樣的設(shè)計(jì)理念發(fā)展起來的?！?/p>

　　華為近年來發(fā)展了先進(jìn)的FireHunter系列安全沙箱、CIS網(wǎng)絡(luò)安全智能系統(tǒng)和USG6000V系列軟件防火墻等重量級的產(chǎn)品，幫助業(yè)界構(gòu)筑面向APT和深度高級惡意威脅的安全防護(hù)體系。其中FireHunter安全沙箱使用了信譽(yù)系統(tǒng)和多層檢測技術(shù)，擁有業(yè)界最快的文件檢測速度，每天能檢測超過18萬個(gè)文件，是業(yè)界同類產(chǎn)品的1.5倍。FireHunter安全沙箱還支持Web頁面0day漏洞檢測，這是國內(nèi)同類產(chǎn)品中唯一能做到這一點(diǎn)的。這些技術(shù)使FireHunter發(fā)現(xiàn)未知威脅的效率大大增加。據(jù)劉立柱介紹，在一家金融業(yè)客戶部署華為FireHunter安全沙箱后短短兩個(gè)月，就檢測出了230多種未知APT威脅，其中72個(gè)是首次被發(fā)現(xiàn)的。

　　由于APT攻擊隱蔽性很強(qiáng)，華為專門推出了CIS網(wǎng)絡(luò)安全智能系統(tǒng)，用于預(yù)警和清除對企業(yè)網(wǎng)絡(luò)的APT攻擊。CIS以大數(shù)據(jù)平臺為基礎(chǔ)，對關(guān)鍵流量、日志、上下文以及外部信息進(jìn)行大數(shù)據(jù)關(guān)聯(lián)性分析，及時(shí)發(fā)現(xiàn)可疑行為、預(yù)警被感染對象，繼而實(shí)施阻斷、溯源和清理。目前華為CIS可以檢測出350多種可疑行為，遠(yuǎn)超業(yè)界一般水平。

　　為了強(qiáng)化全網(wǎng)設(shè)備的安全防護(hù)能力，華為還推出了可在敏捷交換機(jī)、敏捷路由器上彈性部署的USG6000V系列軟件防火墻。該防火墻方案中采用了Intel最新的“DPDK+SR-IOV”技術(shù)及Hyperscan軟件模式匹配引擎，通過性能是業(yè)界平均水平的5倍多，最高可達(dá)40Gbps。

　　劉立柱介紹說，今后華為還將不斷加大樣本采集范圍，提高運(yùn)算效率，積累可疑行為模式，幫助業(yè)界有效應(yīng)對APT威脅。

  云清聯(lián)盟對抗DDoS攻擊

　　隨著寬帶網(wǎng)絡(luò)、移動互聯(lián)網(wǎng)的發(fā)展，云計(jì)算、物聯(lián)網(wǎng)大行其道，同時(shí)DDoS攻擊的增長速度也越來越快，規(guī)模越來越大，傳統(tǒng)的防御手段漸漸力不能及。

　　“隨著云計(jì)算的發(fā)展，大量公有云成了僵尸主機(jī)的資源池，這使得DDoS攻擊的成本越來越低，危害性卻越來越大?！眲⒘⒅f，“與此同時(shí)，DDoS攻擊還會造成大量垃圾流量擠占網(wǎng)絡(luò)帶寬?！?/p>

　　自掃門前雪已經(jīng)不能解決問題了，業(yè)界需要聯(lián)合起來共同防范、消除DDoS攻擊。因此華為倡議成立了云清聯(lián)盟，希望通過調(diào)度全球網(wǎng)絡(luò)和IT資源，實(shí)現(xiàn)快速定位和近源清洗。這樣不僅可以節(jié)省各個(gè)受攻擊企業(yè)的開支，也可以大大提升防護(hù)效果。

　　劉立柱舉例說，如果一家企業(yè)網(wǎng)絡(luò)受到了來自美國、歐洲的DDoS攻擊，云清聯(lián)盟就可以通過在美國、歐洲的合作伙伴清洗掉這些攻擊，從根本上解決問題。對于這家企業(yè)來說，無需自行購買防御DDoS攻擊的設(shè)備，從而節(jié)省成本;對于加入云清聯(lián)盟的合作伙伴來說，則意味著獲得了很多商業(yè)機(jī)會。

　　“所以說，云清聯(lián)盟是具有內(nèi)生的商業(yè)驅(qū)動機(jī)制的安全聯(lián)盟，能夠?yàn)樗邢嚓P(guān)者都帶來效益，同時(shí)讓各行各業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)更加順暢、安全?！眲⒘⒅f。

　　物聯(lián)網(wǎng)安全問題多多

　　未來全球互聯(lián)網(wǎng)會越來越發(fā)達(dá)，人們的生活、工作也會變得越來越方便，但安全影響和危害也會越來越大。在劉立柱看來，目前發(fā)展迅猛的物聯(lián)網(wǎng)就存在很多安全防護(hù)問題。

　　如今從國家到市場，都對物聯(lián)網(wǎng)有非常高的期望，國內(nèi)外有大量廠商在開發(fā)物聯(lián)網(wǎng)設(shè)備和應(yīng)用系統(tǒng)。劉立柱粗略估計(jì)，有70%以上的物聯(lián)網(wǎng)終端都有漏洞。華為自身為了確保設(shè)備沒有漏洞，專門建立了一個(gè)很龐大的安全管理規(guī)范，每個(gè)產(chǎn)品出廠時(shí)都要通過安全漏洞檢查。

　　“無論是操作系統(tǒng)還是芯片，或者應(yīng)用產(chǎn)品，都要從設(shè)計(jì)之初就充分考慮可能存在的漏洞，因?yàn)檫@些漏洞都有可能成為攻擊的入口?！眲⒘⒅f。不過涉足物聯(lián)網(wǎng)的企業(yè)很多，很難制定統(tǒng)一的標(biāo)準(zhǔn)，因此劉立柱建議各個(gè)廠商在設(shè)備上使用LiteOS。LiteOS是華為推出的開源的超輕量級物聯(lián)網(wǎng)操作系統(tǒng)，該系統(tǒng)考慮了很多安全方面的問題，有助于改善物聯(lián)網(wǎng)設(shè)備的安全性能。

　　此外，物聯(lián)網(wǎng)設(shè)備都要通過管道連到云端才能起作用，從管道到云端，華為都可以提供優(yōu)勢的安全解決方案。據(jù)劉立柱介紹，物聯(lián)網(wǎng)傳遞的數(shù)據(jù)信息比較固定，雖然數(shù)量很多、流量很大，但檢測起來并不麻煩，華為的下一代防火墻就可以承擔(dān)這些任務(wù)。

　　業(yè)務(wù)發(fā)展趨勢向好

　　2014年以來，華為在安全領(lǐng)域取得了非常好的成績，2014年銷售收入增幅在30%以上，達(dá)到了1.7億美元。劉立柱預(yù)計(jì)，2015年華為安全業(yè)務(wù)收入將提升到2億美元以上。

　　在金融行業(yè)，工商銀行的互聯(lián)網(wǎng)網(wǎng)銀大量采用了華為的DDoS防護(hù)和防護(hù)墻;在政府領(lǐng)域，華為的高端防火墻被廣東省電子政務(wù)云用于做政務(wù)外網(wǎng)的防護(hù);在教育行業(yè)，國內(nèi)有很多高校將華為高端防火墻應(yīng)用于校園網(wǎng)出口及安全、NAT網(wǎng)關(guān)、鏈路負(fù)載均衡、NAT日志溯源等。

　　在中小企業(yè)客戶市場，華為一直持開放的態(tài)度。劉立柱表示，安全領(lǐng)域的企業(yè)各有各的優(yōu)勢，華為的傳統(tǒng)優(yōu)勢在IP領(lǐng)域，將來會主攻網(wǎng)絡(luò)安全市場，在此基礎(chǔ)上愿意與國內(nèi)外合作伙伴共同開拓市場?！半S著合作伙伴業(yè)務(wù)的發(fā)展，華為在中小企業(yè)安全業(yè)務(wù)市場也取得了很大的收獲?！眲⒘⒅f，“中國區(qū)差不多一半以上的銷售業(yè)務(wù)來自于合作伙伴?！?/p>

　　云清聯(lián)盟是另一個(gè)合作共贏的模式。電信運(yùn)營商有帶寬，對于流量攻擊有天然的防護(hù)優(yōu)勢;專業(yè)安全服務(wù)提供商有很好的運(yùn)營能力，有精細(xì)化的調(diào)度和良好的客戶化服務(wù)能力;華為則在網(wǎng)絡(luò)技術(shù)、DDoS攻擊防御等領(lǐng)域有突出的優(yōu)勢?！霸魄迓?lián)盟把這一切匯聚在一起，可以為市場提供更好、更及時(shí)的服務(wù)?！眲⒘⒅f。

　　據(jù)劉立柱介紹，云清聯(lián)盟在發(fā)展海外合作伙伴方面已經(jīng)取得了進(jìn)展，一些國際領(lǐng)先運(yùn)營商和安全服務(wù)提供商已經(jīng)同意加入聯(lián)盟。華為計(jì)劃與合作伙伴一起，在全球四大洲建立超過10個(gè)清洗中心，接入云清聯(lián)盟中頂級的安全管理平臺(SOC)，從而實(shí)現(xiàn)全球的安全防護(hù)資源調(diào)度和近源清洗。目前云清聯(lián)盟將致力于爭取網(wǎng)絡(luò)帶寬需求較大且對網(wǎng)絡(luò)攻擊比較敏感的客戶，隨后向大型企業(yè)市場發(fā)展。