2013年5月16日第十四屆中國信息安全大會在京召開，本屆大會的主題是“信息安全新機遇——大數據，BYOD，SDN，云安全”。WatchGuard中國區(qū)市場總監(jiān)萬熠先生在大會上做了題為“大音希聲 大象無形——大數據時代的網絡安全保障之道”的主題演講。

很榮幸在這里和全國的安全界的同仁們，以及做安全的前輩們進行交流，關于WatchGuard以及大數據的時代。

大數據、云計算、BYOD，我就看到了大音希聲、大象無形，為什么？這個和我們大數據時代是非常像的，大數據是非常大，但是我們的計算平臺是看不到的，其實BYOD在這種接入模式我們獲取資源的方式從原來的有線網絡、筆記本、PC機到現在看不見的終端，甚至是SAS，這種情況下我想大音希聲、大象無形這句話很好的體現了這個時代網絡的方式。

在這樣一個時代網絡信息安全如何去做，這是開這次會很重要的目的，今天很榮幸在這里介紹一下WatchGuard對大數據時代網絡一些熱點。

所有的事情都是在進化，人類從祖先進化到現在的現代人，從生物學上來說是不斷進化的，從社會來說從原始人類走到狩獵石器時代、到農業(yè)時代、工業(yè)時代，一直到現在的工業(yè)信息化時代。從深入的發(fā)展來看，人是從爬行走向了直立，從社會的進步來看從沒有社會、沒有文明走到現在的IT進化階段。

我們說從信息化的發(fā)展一直在遵循亙古不變的原理，這張圖很多人做信息化的人都明白是什么，是一個非常老的模型，叫諾藍模型，今天我們依然認為是非常有效，從中國的信息化，包括全球的信息化來看，實際上信息化建設依然從產生、發(fā)展、變革的階段，比如說存儲介質有磁鼓，慢慢信息化開始發(fā)展，被大家不斷的認知，這時候開始了很多辦公電腦、無紙化辦公，這時候開始出現了信息化，出現了個人電腦、PC、大型機。

隨著信息化建設不斷的認可，我們投資和建設規(guī)模也上去的，出現了大量的采購，比如說PC機、服務器等，這時候經歷了大規(guī)模的基礎設施的建設狀況，就像蓋房子一樣，我們買這些設備的目的不是為了看這些設備，其實沒什么好看買設備其實是為了做我們的業(yè)務、系統(tǒng)，這時候關注系統(tǒng)，這時候信息化進入了集成期。

實際上在業(yè)務里面最關鍵的顯然是數據和數據類應用，因為數據和數據類應用，不管是企業(yè)、事業(yè)、政府方方面面最重要的資產，這時候信息化的建設從原來的單純設備采購到現在的數據的關注、業(yè)務的關注，甚至是業(yè)務的發(fā)展，這時候我們進入了一個管理期。包括我們我們找到數據、應用這些數據的時候，現在開始探究數據的價值，開始做數據的挖掘、發(fā)掘，這時候我們可以看到，整個IT信息化已經進入了一個成熟期在這樣的成熟期，在今天的環(huán)境下來看，這就是我們所說的大數據，大數據最重要的就是做大量的數據挖掘、數據計算、關聯分析，以及數據價值的二次利用、再利用，為我們的業(yè)務、為我們的發(fā)展提供一個指導方向和發(fā)掘這個數據的下面的業(yè)務。

我們剛剛說到發(fā)展模型，IT技術的變革也經歷了這樣一個階段，我們從剛才說的大型機、PC機到互聯網的應用，到現在的云計算的應用，整個的發(fā)展我們可以看到云計算介質變化不斷的改變我們IT的交互方式，云計算的發(fā)展帶來的大數據，云計算帶來的BYOD的應用，云計算也帶來了很多的大數據情況下微小的條件，如何解決這些問題？

這張圖是很明顯的看到，新的環(huán)境下大數據的結構，有一句話說的非常形象，藍藍的天上白云飄，白云上面數據跑，包括說大數據、BYOD都說在一起的，云計算是在架構在云平臺上，對業(yè)務進行存儲、國旅、管理，達到數據價值的充分利用，通過數據來發(fā)現數據的價值，來創(chuàng)造商機。整個計算的載體是云計算平臺，當然大家都知道云計算平臺整個的核心技術是虛擬化，同樣我們這些數據如何去獲取，我們總說所有的事情要落地，云在天上飄著、數據在云跑著，我們依然可以通過服務器、企業(yè)的終端、電腦等等方面獲取，新的獲取方式同時也應運而生，就是BYOD，我們可以通過個人終端、可以通過甚至沒有終端的方式來獲取數據，來交互數據、來提供數據、下載數據。

實際上在這樣的情況下，整個的IT結構明顯有了不同的特征：

第一計算介質開始模糊化。

第二是數據動態(tài)化，不知道數據存在在哪里，數據開始碎片化。

第三同時碎片化的數據開始進行交互，數據泛社交化。

第四是多形態(tài)的接入及應用訪問。

在這樣的架構下安全熱點需要解決呢？很明顯傳統(tǒng)的依然不能丟，在這種傳統(tǒng)的網絡安全邊界必須要做，原來老的或者是既有的計算方式、網絡方式是必須要的問題。

第二是最外面網絡邊界，邊界內部的用戶對數據的訪問，如何去訪問它，設備接入的控制、設備訪問的控制，這些都是我們對于接入這個層面所要考慮的。

第三計算介質本身的安全在這種云的計算平臺下，大家都說云計算非常好，為什么？因為云計算很安全，為什么安全呢？因為云計算是分布式，不知道他的計算單元在哪里，不宜攻擊。第二是動態(tài)遷移的，他的負載太高的時候我可以給它分配更多的CPU資源，所以大家覺得我的云計算是安全的，這樣的情況下大家對會云被忽視，對云來說這些問題似乎都不存在，實際上也是存在的。

第三實際上我們的業(yè)務中心是數據，尤其現在是大數據結構下，數據越多我們的安全性越重要，安全關注的越多，所以要考慮數據的安全。

從整個大數據時代的結構下我們就可以看到從內到外、從外到內有很多安全工作要做，同時包括一些熱點問題，比如說通過社交網絡行為，通過云對天的攻擊，包括正常的社交方式，利用社會公職人員進行滲透，來獲取大數據的APT的攻擊方式，都是我們這個時代不得不面對的問題。

BYOD的解釋？

首先是BYOD的問題，今天上午我看到很多廠商也談什么是BYOD，BYOD有什么好處？有什么不好的地方？談了非常細，在這里我也不多說，不詳細闡述，因為我覺得其實這個概念提出來，每個廠商的理解基本上都是一樣的。

WatchGuard認為是BYOD是什么，bring your own device，BYOD是雙刃劍。背后有很多問題，比如我們在使用BYOD的時候，因為這些設備不是我們企業(yè)的設備，不是可管理的設備，沒有強制管理的設備，這個設備我們強制按照公司的要求、企業(yè)的要求、政府的要求去安裝一些強制軟件。

第二在現在的web2.0時代下，瀏覽器不僅僅是工具，更是存在超越了傳統(tǒng)操作系統(tǒng)的東西，瀏覽器現在是攻擊的主流，而瀏覽器的攻擊往往是大家所忽視的，我們做殺毒、防火墻、系統(tǒng)安全檢測、健康檢測往往會忽略瀏覽器自身的安全。

第三我們在使用BYOD的不知道誰進來了，會存在很多的不速之客，包括我們剛剛談到的BYOD有六不，BYOD我進來要接進來，接進來不能去訪問，這都是我們在應用的時候做的事情，因為這個設備不是企業(yè)獨立采購、政府批量采購的，實際上在很多安全策略沒有辦法強制執(zhí)行，這時候就帶來一個監(jiān)管的問題、強制執(zhí)行的問題，以及我們說BYOD會帶來公私不分，因為這個設備是自己的，我們在自己的設備上做自己事情理論上是天經地義的，但是我在自己設備上做自己工作的時間可能是工作時間，所以會有很多問題，比如說工作的問題、管理的問題，我想在今天上午其實有很多專家和廠商都講過BYOD的問題。

如何去解決這些問題？從以下幾個方面解決問題：

第一做好設備的接入控制，設備接入進來不僅僅是傳統(tǒng)的有線接入，現在的BYOD更多是基于WiFI無線的接入，實現有一個很重要的問題，無線接入的最后一筆往往是空白的，大家想一想現在做做APP接入，它是一個天線，是一個天線，接到系統(tǒng)是一個空白，從控制器可以繞過安全設備、策略設備進入我們的系統(tǒng)，實際上這就留下了一個空白。BYOD怎么解決它，實際是把這塊空白填上。

第二，應用控制，如何解決公私不分的問題、軟件的問題、非法應用的問題，這些都要基于應用控制來解決問題，包括安全立法問題，我們在BYOD接入以后并不代表著所有的設備都向你敞開的，如果去做首先我們需要對一些關鍵的硬件做加密訪問，最簡單的訪問因為我們的數據在空中飛，有可能被人家竊聽，或者是抓包，可以做VPN，或者是數據加密，我們可以做應用的代理，把一些應用從后臺做到前臺，讓用戶去訪問，但訪問的是代理。這就解決了公司不分的這些問題，通過這一整套來實現對網絡的BYOD環(huán)境可視化的管理。在這種情況下隨著云計算的發(fā)展，我們說接入的終端不僅僅是筆記本、手機，更多實際上可以做到用U盤就可以，因為U盤可以做虛擬桌面，我編輯一個文檔不再需要用筆記本電腦和手機，也可以通過APP store可以空手接進來，這就是WatchGuard對BYOD的概念，不僅僅是BYOD。

第三安全的數據訪問。

第四是數據防泄密。

第五是事件日志審計。

虛擬化技術為根本的云計算，說完邊界的安全、接入的安全，我們開始談計算本身的安全。在這樣一個大數據時代下，實際上云計算的根本就是虛擬化，我們對云計算實際上有好多誤區(qū)：這些誤區(qū)大家能認識到，但是在做建設的往往忽略掉，我們做建設的時候很多廠商會告訴你，會做防火墻、LS、日志分析等都做了，這些沒問題，但是做在哪兒？實際上是做了云計算的外圍，你把物理設備拖開，通過軟件的方式形成一張存在的計算網絡，而我們設備實際上是把這種物理設備相當于建一個機房，把安全設備放在機房之外當然是不安全的，這時候你會發(fā)現一個問題，所有人、所有設備都在一個安全域，所有的虛擬機實際上是一個安全域名顯然不安全。

第二虛擬環(huán)境通過物理設備進行隔離，不同的用戶之間有不同的訪問業(yè)務、有不同的功能、不同的授權，實際上我們的安全域是需要劃分多個。實際上舊的安全方案對新的計算模型完全束手無策。在這種情況下我們有很多物理設備和服務器做了安全策略，并進不來，在新的模型下在外圍做了安全，但是我這里新建一個虛擬機，或者是動態(tài)遷移一個虛擬機，這個虛擬機帶有病毒，就可以通過物理機內部的聯系在虛擬機之間進行傳播，如果說我們動態(tài)遷移策略做的比較靈活會在多個物理機之間進行傳播，很多物理就會感染。

WatchGuard做了一個你虛擬化的安全方案，XTM和XCS，這兩套產品可以基于虛擬化建設，在主流平臺上可以在每一個虛擬機都放到一個虛擬化的網關，實際上對于一個物理機來說是一個小型的局域網絡，就解決了虛擬機動態(tài)移動導致的病毒攻擊蔓延的問題。

第二對于應用層的服務來說，在虛擬化環(huán)境下，我們可以做應用型內容檢測，比如說郵件可以通過應用型的內容檢測來做數據的防泄密，如果不符合安全性的要求，這個數據是出不去，它只會停留在虛擬機的內部。

隨著虛擬化的建設從第一個機器轉移到第二個機器，或者是第三個機器，每個虛擬機不依賴整個物理環(huán)境，所以WatchGuard的物理環(huán)境是不存在的。包括現在的虛擬化，比如說談到虛擬桌面，依然會存在著傳統(tǒng)的問題，比如說上網訪問的問題，訪問非法網站的問題、非法獲取資源的問題，非法操作的問題，實際上這些都是問題，大家都會說這個沒問題，這個問題不用擔心，因為虛擬機用完就回收的，你拿不到，這個電腦不是你的，你用完這個機器就消失了，但是你的數據拿到的，我們虛擬機可以把USB控制住，不讓下載、不拷貝到U盤里，數據帶不走，但是人有腦子可以帶走。如何解決這個問題，虛擬環(huán)境依然要做數據訪問、DRP，我們可以通過虛擬的DRP、數據防泄密來做，這是WatchGuard虛擬化基于安全、網絡的解決方案。

我們的虛擬設備和物理設備通過同一管理軟件集中進行管理，虛擬的ITM和物理的ITM可以進行遷移，比如說需要把虛機變成物理設備怎么辦，就可以虛機牽出來，這就是WatchGuard對虛擬化的解決方案。

因為我們知道網絡里面有什么，才可以實現對于網絡安全的攻擊，比如說現在大家都說APT攻擊，APT攻擊是非常難防范，我們傳統(tǒng)的攻擊是用機器做的，有代碼做的，是一種非人類的方式，而APT攻擊是一種人類的攻擊方式，它利用社交網絡，利用人、利用人的心理跟你打交道，利用你不知道的工具來獲取你的資源，達到進入我們系統(tǒng)的目的。

在這個時候我們如何去做？

第一，要做深層次的訪問，像洋蔥一樣，這時候我想到一首歌《洋蔥歌》，包括我的接入層面有什么，誰接進來的。

第二，要做全方位的檢測，即使是正常人發(fā)過來的郵件都要進行檢測，從第一步杜絕了APT攻擊源的方式。

第三，做管理可視化，APT攻擊通過設備攻擊人的方式獲取代碼和獲取權限，最后達到獲取系統(tǒng)資源的目的，實際上在網內一步一步做痕跡了，我要做可視化管理。

第四，自進化的安全，APT攻擊里面最重要的，為什么他發(fā)過來的郵件明明有惡意代碼，我們防病毒軟件查不出來，為什么有攻擊行為我們查不出來，所以說對于我們的安全設備依然要比它進化的更快，要在攻擊發(fā)現的時候就有防御能力，最小化解決APT攻擊的能力。

這就是WatchGuard對APT攻擊的四個重要方面。大家說你怎么去進化呢？這個問題提的很好，數據、大數據時代，不是去談的，是用的，下面就分享WatchGuard在全球大數據自己的應用，如何應用大數據來反擊大數據的攻擊。

首先WatchGuard有自己的域名，我們叫WatchGuard RED，WatchGuard的標識都是紅色的，第二RED是安全信譽的縮寫。在WatchGuard RED安全云的情況下，我們在全球WatchGuard的產品在搜集我們的攻擊樣本，搜集完會上傳到全球的五個數據中心進行分析，分析完以后提取樣本和攻擊行為，然后做應用識別，形成全球的策略發(fā)布平臺，實時向全球的所有的WatchGuard用戶發(fā)布網絡安全的特征，來實現防范于未然、人類的攻擊。

這就形成一種正態(tài)的循環(huán)，這就是WatchGuard對于大數據的最佳安全實踐，我們有自己的云，我們在云做自己安全數據的分析、挖掘，之后我們會把云上的數據下發(fā)到我們終端上，實際上在這里面有一點我們沒寫到，WatchGuard里面安全設備是有BYOD，大家說為什么這么去做，其實WatchGuard，或者是管理軟件有一個功能，叫管理配置，原來我們保存配置放在U盤，或者是本機，現在什么都不需要，我們提供了一個云平臺空間，每個用戶有自己的空間，提供配置上傳到配置空間中，使用任何電腦通過安全策略，或者是VPN接入控制臺，把他的配置平臺下載到我們的空間，就導入了安全管理，這就是WatchGuard對大數據、BYOD一個實實在在的應用。

從終端的接入到網絡的保護，到計算介質、到網絡、終端接入WatchGuard可以提供全面的解決方案，包括像我們說的在網絡終端上可以做無線的安全，保護我們最后一面，做訪問策略、身份認證、VPN、BYOD，在網絡上可以防火墻、訪問安全，在結算機智可以做主機防病毒、虛擬化的安全、在業(yè)務上可以做負載均衡、應用加密、應用代理;在數據上可以做內容過慮、數據防遷移，外部應用安全、數據加密，這些都依賴于都可以通過WatchGuard整個安全產品來進行解決和提供。這些都是WatchGuard在全面的保障大數據時代能夠做的工作和產品解決方案所能提供的一些產品。

這里很巧合，剛剛網御星云劉總也談到，做設備小的問題，實際上我很贊同這一點，PPU這一點，實際上WatchGuard最高端的5520系，可以做實測全功能開啟防火墻安全性，在1U空間里面做10T的吞吐量，對于大音希聲、大象無形的強烈體現。