网页搜索:
网易科技讯 5月15日消息,由计算机世界传媒集团主办,《CSO&信息安全》月刊承办的第六届中国CSO俱乐部大会暨2008中国信息安全年会在北京召开,网易(
企业库 论坛)科技频道做为独家门户直播网站在现场做了直播报道。
以下为思科系统(中国)网络技术有限公司高级经理倪殿做主题为题目是“安全互联,网络无忧”的演讲。
主持人:感谢联想(企业库 论坛)网御的马虔先生。刚才提到了在政府和我们国家的企业当中,要尽量使用民族的品牌,其实我们的联想网御等等都是抗起了民族大气的先行着或者是民族品牌,在这个呼吁的背后,对于他们的压力也是非常大的。但是,作为媒体,我们希望可以做一个简单地调查,像汽车行业,德系车、法系车、日系车,还有我们国产的奇瑞、中华,大家可以试想一下,当奇瑞或者是中华,真正发展到足够强大的时候,我们无可厚非地会去选择它们。我想作为每一个中国人,无论是是在中国的企业工作还是在外资企业工作,他们的目标都是让中国的民族产业更强大。
下面,有请思科系统(中国)网络技术有限公司高级经理倪殿令先生为我们做主题发言,他发言的题目是“安全互联,网络无忧”。
倪殿令:感谢主持人,感谢大会的要求,代表我们思科公司出席“坚持技术创新,推进安全服务”的大会。
我姓倪,倪殿令,是在网络安全部。我提一些自己的看法,我们其实生活在一个全球化的国家当中,其实沟通并没有国界。我们要看这个公司是不是在这个国家有没有深入的投入,而不是这个公司的总部在哪里。
我们思科公司的总裁两次访华,承诺在未来的5年之么,对于中国的市场投资160亿美元。虽然我们是美国的公司,但是我们的生产、制造、研发有很大的程度都是在中国发生的,我们每年大概有超过100亿的产品是中国生产的,我们在上海和杭州有2000人的研发中心。所以,我们如何利用创新、体验、分享这6个字,把我们中国的安全信息产业,希望我们所有的公司,都能够为我们的企业做更的安全的产品和服务。我们也希望帮助任何中国的公司本土化走向国际化,可能目前时间的点我们注重本地,未来我们也希望中国的公司可以国际化。
我今天主要是跟大家共享一下互联网安全在新的形势下,企业的安全架构应该怎么样去思考和构建。
我想,这一张图里面有几个点,主要是描述在互联网的安全形势下,我们在2008年里面,我们会看到安全的隐患在哪里。在这样的时代下,我们企业与企业之间、人与人之间,需要更紧密合作的时代。我们也看到了,在整个的互联网各种应用有各种各样安全的威胁,首先是社交网站和Web2.0网站成为了黑客攻击的目标,因为这样的网站影响力很大,每天登录的人很多。第二点,僵尸网络将继续繁殖。我们怎么理解僵尸网络,是在网络上有怀着各种各样目的的黑客,无论是爱好或者是经济利益,他设计了一些小软件,如果你的机器没有安全防护,就会被他所控制,你的机器就会被他利用,对另外的互联网上的用户进行攻击,这就是我们讲的怎么样方式DOS的应用。还有人与人之间的Web2.0的攻击软件进行攻击。
那么,这里面安全威胁不断升级的原因,是因为分布在各地的人具备这样的想法。初学者可能觉得我是初学者,我怎么样学着做一些黑客,一不小心可能触犯了国家的法律。第二点,我中期的安全威胁,可能是有内部的软件对于企业网络进行攻击。还有我怀着一些利益的目的,对企业的信息进行窃取。
我们在这样的网络架构下,我们今天的市场上,或者是互联网上,发生各种的可能性在哪里,我们才可能控制。比如说我通过电子邮件、恶意URL、端口、Web等等其他的途径,对你进行攻击。
那么,站在一个网络的架构下,我们如何构建更安全的系统,这里面涉及到了不断升级的安全威胁分布在各个角落,其实除了今天的威胁之外,还有更上层的、更深层的,我们可以看到在这个领域里面有很多应用的东西,都是不安全的。那么,作为企业如何站在安全的角度去设置,而不是头痛医头,脚痛医脚。某种程度上,我们应该看发生的情况,从更深的层次找到问题的所在。
我们从这张图上看一下,这是一座城池,不知道大家是不是看过《墨攻》,在这样的时代,凉城受到了公益,向墨家军求救,代价是送给他们一个城池。这样的角度上我们看,这有一个护城河,平时没有任何安全攻击的时候,有守城的士兵牵着狗在关注过往的人群,看他们是不是有攻击。当攻击发生以后,城墙里面有一些部队迅速把这个攻击打掉。所以,在影片里面就是攻城的部队利用地下挖通道进来之后,城内的士兵也做了一些应急的控制的措施和手段。
在城的上面,我们还有最高的统帅,就是从墨家军请来的,他一个人统治和控制了城的安全的统一架构。所以,完美的防御应该包括了哪几个方面,给我们企业的防御构架带来了什么提示?就是我们严重意义上应该有一个完美的边界的防护,这就像我们的护城河一样。还有强大的内控与反击,就像守城的士兵牵着狗一样。如果真的攻击发生以后,城池里面有强大的可以抵御这种攻击的力量。更重要的一点是如何实现统一灵活的指挥,这个是更重要的,在应急的事件发生之后,有一个强有力的指挥,统一的指挥是非常重要的。而不是头痛医头,脚痛医脚。而是可以更好地形成一个防护的范围。
所以,在传统的网络架构下面,我们的企业、用户会买一些网络的设备,然后在外围购买了其他的、分散的、每一片的、基于安全的一些组件。这样的组件会让很多的网络管理者,让真正我们关注网络安全、企业安全的CSO们感到非常头痛。最后没有办法实现多厂家的统一管理,我如何实现统一架构的管理,我想这一点是每一个企业用户、CSO最关心的问题。最重要的是,我能不能在构建网络的时候,能够把这些想法都统一地设计好,这样才能体现出我们在行业里面所有做网络安全的朋友和网络安全的厂商,能够更好地把安全的服务带给我们真正的用户。
那么真正的想法是说,在真正全面网络构架下面把这个服务体现出来。这里面,我跟大家分享一下我们对于网络架构所有安全架构相关的体系和想法。我想,做一个系统的网络安全,我们分成几个部分,在行业里面我们有很多的厂家正在从事网络安全方面的研究、市场推广的工作。我想,真正实现信息安全系统的办法,我们要考虑到终端的安全、网络的安全、内容的安全、应用的安全,这是几大块不可割裂的部分。那么,作为企业的CSO来讲,他没有足够的时间和足够的精力去分析每一个系统里面可能存在的问题,还有出现问题以后怎么样更好地去解决这个问题,因为这需要很多的团队配合他们做。
那么,他需要的是系统的管理,身份认证等等有一个统一的策略。我想,如何建立一个信息安全的系统方法这是他们需要思考的问题。我们思科提出了一个自防御网络SDN3.0的技术出来。我们希望通过自防御网络这样的概念,可以跟网络统一联在一起,使其简单易用。
那么,我讲一下四科的SDN自防御网络架构技术是怎么样的架构,我们可能发现已经发生的攻击,发生攻击的效果和产生恶劣的效果是怎么样的,那么如何实现防范并且消除这个威胁?希望通过网络自动发现,而不是需要我们很多人在发生事件之后,再去做相应地工作,这个时候某种意义上已经来不及了。
那么,我想我们的目标,是组织有害行为与攻击,而不是说用谁家的产品,我们需要真正地帮助企业用户,自动地、准确地组织有害的行为和攻击。
这里面我们有三个需求,首先是要透明,第二个要准确,第三点是系统。当一个攻击发生之后,在所有的网络里面都应该准确地定义所出现攻击的类型和特点,怎么样采取系统性的自防御体系把它给消灭掉。另外一点我讲自防御,其实我们人本身有很多免疫的能力,在出现某些病痛的时候,我们需要吃药和看医生。产生了免疫力之后,我们预警之后我们体内的免疫性建立了免疫能力之后,我们就可以防御新的一些同等类型的病种,这就是人体的机能。如果站在网络的角度,首先需要所有的网源集成起来彼此协作,就像我们人与人之间的协作一样,彼此之间是不可分割的。第三就是自适应,就像人体一样,网络有自动地病毒发现和免疫能力。
当一个企业的网络联到互联网之后,我们首先要考虑很多的东西,比如说我需要在互联网上交易,把企业的产品进行推广,那么你就要考虑,我如何防御外部的人与人之间的机器和产生的其他的目的,那么你想绝对安全,你就要把自己封闭在家里,跟谁都不要打交道,那是最安全的。那么,除此以外人与人之间的交流,就是带来了我如何构建这样的体系,让所有人的沟通、交流更加和谐,更加促进我们企业、国家经济的繁荣发展。
那么,网络服务器里面有相应地安全检测的机制,能够抵御基本的从互联网上来的威胁。另外一点,就是我有一个远程的办公室和分支机构在另外一个城市里面,我们需要实现互联网,这个时候我们需要相应地VPN的技术,把远程的节点里面的应用、IP电话的系统、网络终端的系统等等,要联到我的总部来。使大家可以实现,是同一个大中心的状态。这就像因为我们今天实现了数据大集中,所以我们每一个提款机都可以取钱。
因为我们有防火墙,所以我们对于机构的资产和所有部门的机器进行保护,还有一点我要针对我所有的终端的端点进行保护。我们大家知道,我们今天在很多的制造业的客户里面,或者是银行的客户里面,每一台机器要在同一个时间被不同的人所使用,所以设备的识别并不能产生真正意义上的安全,所以要对人进行定义,而人随着登录不同,进入到网络中取得的资源也不相同,所以我们有这样的功能。我们可以自动刷新防御病毒的补丁等等。另外,我们通过不同的接入方式,如何实现有线、无线一体化,这也是我们需要考虑的问题。还有,我们如何实现策略的控制,当用户登录到网上来之后,可以根据他的身份,取得不同的资源。像我们民航、制造等等大型的企业,都需要做这样的管理,我如何通过身份的不同,可以控制有些人可以使用移动的U盘,有些人不可以从我机器靠拷取东西,这都是需要考虑的。另外,我们跟广域网相联,我们还需要有安全区域的设定,还需要有强大的防火墙的能力。还有,我们要针对我们的内容、邮件、Web的信息,如果我们企业在上班期间,有其他的可灵活性定义的时间,我们需要针对邮件、Web等等其他应用的形势,进行设备的制定。还有更重要的一点,就是网络的入境检测。还有最最重要的一点,就是我们需要像墨家军、刘德华那样的一个人。他在指挥我们全网,就是像CSO利用什么样的手段,来使采购的各种设备统一在一起。我们每天看到的希望是安全事件,我们不希望看到成千上万的事件的统计,而我们希望归类,有可能在未来发生什么事情,采用方式把它进行管理。所以,我们需要有一个统一的管理的控制,这个设备我们今天也带来了,希望大家到门口看一下。
我也大家讲一下自适应的案例,当我一个员工利用VPN访问到网络里面去,由于某种原因,这个网络可能感染了某些病毒,有可能通过网络传播到跟他协作的企业电脑里面去,图中是一个病毒通过一台电脑传到了另外一个电脑里面,如果没有被我们的端点防护的软件所防护,它会受到相应地威胁。那么,带来的后果是什么?随着这个端点的重要性,大家可以知道,这在我们每天的生活中都会发生的。那么除了端点的服务器需要防护之外,我在网络里面可以很清楚地发现,这个攻击是从哪里来的。所以,所有的网源,包括思科的路由器、服务器、网源和所有思科的网络设备,都可以向我们右上角的监控、分析、相应的一套安全管理系统汇报。那么,这个安全管理系统会清楚地画出这个攻击从哪里来,这是从哪一个端点过来的,到另外一个端点当中去。那么,自动地这个系统会产生一个通知,通知左下角的交换机。我用户攻击的端点,他有可能对于我内部的网络进行攻击,那么我可以同个这个交换机通过自动地响应过滤到内网,他所产生的恶劣的影响,并不会传播到其他的网络里面去。那么,这个时候我可以通过右上角的图,我也知道这个源点从哪里来,而采取下一步的防护手段。那么,这里面是告诉大家如何实现自适应,这是典型的应用的例子。
那么还有一点,刚才很多的专家提到了,互联网上分布的DDOS的攻击非常地猛烈,我们在建网的时候发现同一个端口上可以产生达到实际流量的攻击。如果大家真的知道,在互联网上面,运营商的主干网和银行的网络所面临的威胁的时候,大家就知道我们这样的威胁的能力其实是很强的。我们甚至发现了很多的僵尸网络的攻击,超过了12G,达到了16个G,从单一的IP地址产生了这样容量的攻击。那么,怎么样在运营商的骨干网络,或者是在我们企业的大中心里面,实现这样好的安全的防护,怎么来实现这种拒绝服务,防止恶意的攻击。那么,这里面给大家举一个例子。
下面有几个服务器的区域,我拿这样一个E-Commerce的应用来做一个例子。比如说我在这个应用里面放一个安全检测,当我发现网络里面有异常流量的时候,它是分布在互联网很多很多的地方,在同一点受到了某一个僵尸网络的控制者发来的攻击的时候,我需要把这样的流量在网络端进行清洗,从而保证正常的流量可以正常地到达这个E-Commerce的服务器。
比如说我在正常的网络发生非正常的流量,这个自动保护会自动启动,通过这个这个系统,会从旁边生出一条路由,告诉这个主干网的路由,把所有的告诉我,所以我可以告诉这个BGP Peer路由器,所以它对于所有的DDOS的攻击清洗掉以后,再把正常的流量清洗以后重新注回到互联网里面。所以,这是对于客户来讲,他们的流量并没有受到影响。
那么,这是通过跟网络的结合,实现了所有的网络安全。如果我们看中了单一端点的安全,如果我们前面的主干网络对于所有的DDOS攻击应接不暇,你所有的流量根本支持不过来。有句话说,这是皮跟毛之间的关系,如果皮已经不存在了,毛不可能存在。所以,这是安全系统之间的关系,不可以把它割裂开来。
下面,我想总结一下思科自防御网络的几个部分。大家可以看到,我们这里面包括了端点的安全、网络层面的安全、内容安全还有监控安全的问题,这是4个大的主要的组成部分。这4个组成部分是一个统一的集成,彼此协作,从而实现自适应这样的功效。我的演讲到此结束,谢谢大家!
最后还有一句话,昨天晚上我看电视,在我们每个人为灾区尽微薄之力的同时,更要关注在灾后每个人对于在人民心理上的救助。我想,我们每个人是不是通过心理上的手段帮助他们,在未来的几年和几十年之内,帮助他们解决失去亲人的痛苦。谢谢大家!
