6月19日消息ICT技術(shù)的飛速發(fā)展在給企業(yè)帶來巨大便利的同時,也產(chǎn)生了很多潛在的安全威脅。隨著高級持續(xù)威脅(APT)、分布式拒絕服務(wù)(DDoS)等攻擊的愈演愈烈,企業(yè)在信息安全方面正面臨前所未有的巨大威脅和挑戰(zhàn)。
對此,華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線副總裁、企業(yè)網(wǎng)絡(luò)防火墻領(lǐng)域總經(jīng)理劉立柱在接受C114采訪時表示,華為希望在未來能夠更加重視安全發(fā)揮的作用和形態(tài),能夠基于云、基于華為大數(shù)據(jù)的威脅感知和分析平臺,真正有效地感知用戶在安全上的狀態(tài)。華為也會跟合作伙伴一起,基于全網(wǎng)安全態(tài)勢感知平臺而帶來的安全管理服務(wù)進行合作,為客戶提供最有效的實時防護。從運營商管道到企業(yè)管道甚至到每一個用戶終端上,實現(xiàn)全體系防御,這是華為安全業(yè)務(wù)的發(fā)展路徑和目標(biāo)。
企業(yè)信息安全面臨嚴(yán)峻挑戰(zhàn)
當(dāng)前,企業(yè)的信息安全形勢十分嚴(yán)峻。隨著移動通信技術(shù)、移動互聯(lián)網(wǎng)的飛速發(fā)展以及BYOD趨勢的到來,企業(yè)IT環(huán)境也在不斷發(fā)展變化。在企業(yè)安全方面,原來傳統(tǒng)安全邊界已經(jīng)逐漸消失;而隨著私有云、公有云的發(fā)展,信息的交互方式也從傳統(tǒng)有邊界的數(shù)據(jù)中心,轉(zhuǎn)變?yōu)檫吔绮惶逦男螒B(tài)。
因此,劉立柱認為,“企業(yè)安全在2014年最大的挑戰(zhàn),在于如何應(yīng)對原有技術(shù)架構(gòu)下的信息安全威脅。例如,APT和DDoS攻擊仍是目前企業(yè)面臨的最大安全威脅之一。”
華為安全業(yè)務(wù)發(fā)展目標(biāo):實現(xiàn)云管端“全體系防御”
華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線副總裁、企業(yè)網(wǎng)絡(luò)防火墻領(lǐng)域總經(jīng)理 劉立柱
與此同時,信息安全已經(jīng)從防止內(nèi)部泄密轉(zhuǎn)向APT攻擊的防御。尤其是對于金融、政府、軍隊以及很多高科技大型企業(yè),信息安全的重要性越來越凸顯。對于有組織、有預(yù)謀的APT攻擊如何有效地防御已是熱點問題。如果不能有效檢測出威脅,并且進行相應(yīng)的防御、革新信息防泄漏的方案,APT攻擊的威脅會越來越嚴(yán)重。
此外,隨著互聯(lián)網(wǎng)業(yè)務(wù)迅猛發(fā)展,基于互聯(lián)網(wǎng)業(yè)務(wù)的電商平臺、互聯(lián)網(wǎng)金融等業(yè)務(wù)對安全的要求也會越來越高,如何去保障這些業(yè)務(wù)的安全使用、防御網(wǎng)絡(luò)上攻擊的流量,包括洪水般的大流量DDos的沖擊以及應(yīng)用層的DDoS攻擊,是擺在安全廠商和基礎(chǔ)通信網(wǎng)絡(luò)服務(wù)商面前的極其迫切的重要課題。
應(yīng)對DDoS和APT攻擊:全管道領(lǐng)域防護+全網(wǎng)安全協(xié)防
針對云管端各個領(lǐng)域基礎(chǔ)設(shè)施的防護,華為都已經(jīng)有了相應(yīng)的安全產(chǎn)品。“隨著BYOD趨勢的到來,在終端領(lǐng)域華為也可以提供基于終端的數(shù)據(jù)安全。”劉立柱表示,華為希望在未來能通過全系列網(wǎng)絡(luò)安全產(chǎn)品,為用戶提供全管道領(lǐng)域的防護,既能提供基于網(wǎng)絡(luò)的專用安全設(shè)備,也能夠根據(jù)客戶需求提供基于通用化平臺軟件的安全防御模式。
在應(yīng)對APT攻擊方面,劉立柱認為,我們不僅僅需要研究如何檢測和防御APT攻擊,更重要的是從基礎(chǔ)的網(wǎng)絡(luò)安全層面來考慮如何防御,包括從身份認證到內(nèi)容的檢測分析,到基于大數(shù)據(jù)的惡意檢測軟件,以及基于身份、內(nèi)容,從互聯(lián)網(wǎng)的出口去防御泄密,融合一體實現(xiàn)企業(yè)信息安全解決方案。
例如,華為在敏捷網(wǎng)絡(luò)中提出了“全網(wǎng)安全協(xié)防”的概念,其中APT防護解決方案是“全網(wǎng)安全協(xié)防”重要的組成部分。據(jù)劉立柱介紹,華為基于“全網(wǎng)安全協(xié)防”中的大數(shù)據(jù)分析,針對安全隱患特別是滲透性的、帶有長期潛伏的隱患進行持續(xù)性跟蹤;建立起基于大數(shù)據(jù)分析的“全網(wǎng)安全協(xié)防”,獲悉其所涉及到的和感染到的一些惡意攻擊的特征,從而能夠進行監(jiān)控和分析,進而在信息防泄密上,做出準(zhǔn)確的識別。
在應(yīng)對DDoS攻擊方面,華為推出了下一代Anti-DDoS解決方案。該方案基于高性能硬件平臺開發(fā),引入先進的檢測機制,提供了獨創(chuàng)的信譽安全體系,可實現(xiàn)超百種DDoS攻擊防護,2秒內(nèi)就可以完成攻擊流量清洗。華為AntiDDoS8000是業(yè)界唯一單機可提供超100G DDoS防御能力的產(chǎn)品,為運營商、企業(yè)及數(shù)據(jù)中心提供了全面精準(zhǔn)的防御新型DDoS攻擊的利器。而隨著互聯(lián)網(wǎng)帶寬的不斷增加,DDoS攻擊流量峰值將會不斷刷新,對此華為將在2014年底發(fā)布支持單端口100G,單臺設(shè)備1T防護性能的產(chǎn)品,這將是華為在DDoS防護領(lǐng)域的又一大突破。
此外,去年華為還聯(lián)合創(chuàng)新工場旗下的國內(nèi)云計算安全服務(wù)廠商安全寶,并攜手互聯(lián)網(wǎng)云主機廠商中云融信和互聯(lián)網(wǎng)集成計算機解決方案供應(yīng)商中網(wǎng)志騰,共同成立了“抗D聯(lián)盟“,以協(xié)助中小企業(yè)應(yīng)對日益嚴(yán)重的DDoS攻擊問題。
拓展運營商安全運營服務(wù)模式
目前,華為在抗DDoS攻擊方面已經(jīng)有了許多成功的合作案例。據(jù)劉立柱介紹,“在國內(nèi),DDoS防御已經(jīng)成為華為非常重要的安全業(yè)務(wù)之一。同時,華為DDoS防御方案也同樣拓展到了海外市場,一類是做基礎(chǔ)網(wǎng)絡(luò)防護,為海外一些當(dāng)?shù)剡\營商部署DDoS防御解決方案;此外,還有很多運營商希望能夠為其企業(yè)客戶提供DDoS防御服務(wù),而這也是華為所認同的安全運營服務(wù)模式。”
“尤其是在國內(nèi)運營商市場,采用華為DDoS防御方案的客戶非常多。目前,國內(nèi)運營商針對DDoS防御方案的運營模式有兩種:一種是保證基礎(chǔ)網(wǎng)絡(luò)可用,另一種是向自己的最終用戶提供DDoS清洗的服務(wù)。其中,在采用基礎(chǔ)防護方面所有運營商都在建設(shè),而向最終用戶提供DDoS清洗服務(wù)也正在成為國內(nèi)運營商非常重要的業(yè)務(wù)。”
以上海聯(lián)通為例,在上海聯(lián)通遭遇的DDoS攻擊中,最大的攻擊流量已經(jīng)超過了20G;2013年共探測到DDoS攻擊11萬余次,累計清洗流量超過了10萬G,并且每年的攻擊規(guī)模和次數(shù)還呈增長趨勢,這對上海聯(lián)通而言挑戰(zhàn)非常巨大。
據(jù)上海聯(lián)通城域網(wǎng)資深架構(gòu)師陳強介紹,參照國外運營商的先進經(jīng)驗,上海聯(lián)通在幾年前開始發(fā)展安全運營業(yè)務(wù),2008年引入了DDoS防御系統(tǒng),逐漸完善成為互聯(lián)網(wǎng)流量安全運營解決方案,包括DDoS防護運營方案和流量經(jīng)營運營方案。
“在上海聯(lián)通安全運營系統(tǒng)的整體架構(gòu)方面,華為SIG產(chǎn)品做城域網(wǎng)用戶行為分析,可實現(xiàn)基于用戶的精準(zhǔn)識別和管控、熱點分析和精準(zhǔn)營銷。華為AntiDDoS8000做DDoS異常流量清洗,可精確防御應(yīng)用型攻擊,且清洗響應(yīng)速度快。并在城域網(wǎng)內(nèi)通過Netflow進行全網(wǎng)流量分析,ATIC管理系統(tǒng)能夠同Netflow、SIG實現(xiàn)統(tǒng)一的調(diào)度和管理。”陳強說。
不斷升級防御方案 應(yīng)對DDoS大流量攻擊
另據(jù)了解,上海聯(lián)通DDoS安全運營服務(wù)還面向VIP用戶、IDC用戶和金牌/銀牌用戶提供安全增值服務(wù),提供了五大DDoS安全運營服務(wù)內(nèi)容,包括實時檢測/實時防護、短信/郵件告警、用戶自助平臺、抓包與攻擊取證/追蹤與溯源、攻防演練服務(wù)。陳強表示,在用戶側(cè),上海聯(lián)通DDoS安全服務(wù)也獲得了較高的評價。2013年上海聯(lián)通曾為某VIP銀行客戶提供DDoS攻防演練服務(wù),客戶在測試過程中采用2G流量中混雜有2M攻擊流量,華為的Anti-DDoS方案成功且精準(zhǔn)地清洗掉了這些攻擊流量。
目前,上海聯(lián)通的DDoS系統(tǒng)已經(jīng)具備70G的防護能力。“在攻擊流量日益增長的趨勢下,2014年上海聯(lián)通計劃把DDoS系統(tǒng)防護能力提升一倍,年內(nèi)提升至140G到150G,并且考慮VIP用戶的高價值,將優(yōu)化其獨享清洗服務(wù),與公共清洗空間進行分離。”陳強介紹說。
在應(yīng)對DDoS的大流量攻擊方面,華為也在不斷升級其DDoS防御方案。一是從本身的硬件設(shè)備上不斷提升防御處理能力;二是在解決方案上逐漸轉(zhuǎn)向SDN感知的方式,在攻擊源頭上實現(xiàn)動態(tài)分布式的DDoS防御。此外,華為還與運營商探討合作,將實現(xiàn)基于客戶私有云的DDoS防御方式.