6月19日消息ICT技術的飛速發展在給企業帶來巨大便利的同時,也產生了很多潛在的安全威脅。隨著高級持續威脅(APT)、分布式拒絕服務(DDoS)等攻擊的愈演愈烈,企業在信息安全方面正面臨前所未有的巨大威脅和挑戰。
對此,華為企業網絡產品線副總裁、企業網絡防火墻領域總經理劉立柱在接受C114采訪時表示,華為希望在未來能夠更加重視安全發揮的作用和形態,能夠基于云、基于華為大數據的威脅感知和分析平臺,真正有效地感知用戶在安全上的狀態。華為也會跟合作伙伴一起,基于全網安全態勢感知平臺而帶來的安全管理服務進行合作,為客戶提供最有效的實時防護。從運營商管道到企業管道甚至到每一個用戶終端上,實現全體系防御,這是華為安全業務的發展路徑和目標。
企業信息安全面臨嚴峻挑戰
當前,企業的信息安全形勢十分嚴峻。隨著移動通信技術、移動互聯網的飛速發展以及BYOD趨勢的到來,企業IT環境也在不斷發展變化。在企業安全方面,原來傳統安全邊界已經逐漸消失;而隨著私有云、公有云的發展,信息的交互方式也從傳統有邊界的數據中心,轉變為邊界不太清晰的形態。
因此,劉立柱認為,“企業安全在2014年最大的挑戰,在于如何應對原有技術架構下的信息安全威脅。例如,APT和DDoS攻擊仍是目前企業面臨的最大安全威脅之一。”
華為安全業務發展目標:實現云管端“全體系防御”
華為企業網絡產品線副總裁、企業網絡防火墻領域總經理 劉立柱
與此同時,信息安全已經從防止內部泄密轉向APT攻擊的防御。尤其是對于金融、政府、軍隊以及很多高科技大型企業,信息安全的重要性越來越凸顯。對于有組織、有預謀的APT攻擊如何有效地防御已是熱點問題。如果不能有效檢測出威脅,并且進行相應的防御、革新信息防泄漏的方案,APT攻擊的威脅會越來越嚴重。
此外,隨著互聯網業務迅猛發展,基于互聯網業務的電商平臺、互聯網金融等業務對安全的要求也會越來越高,如何去保障這些業務的安全使用、防御網絡上攻擊的流量,包括洪水般的大流量DDos的沖擊以及應用層的DDoS攻擊,是擺在安全廠商和基礎通信網絡服務商面前的極其迫切的重要課題。
應對DDoS和APT攻擊:全管道領域防護+全網安全協防
針對云管端各個領域基礎設施的防護,華為都已經有了相應的安全產品。“隨著BYOD趨勢的到來,在終端領域華為也可以提供基于終端的數據安全。”劉立柱表示,華為希望在未來能通過全系列網絡安全產品,為用戶提供全管道領域的防護,既能提供基于網絡的專用安全設備,也能夠根據客戶需求提供基于通用化平臺軟件的安全防御模式。
在應對APT攻擊方面,劉立柱認為,我們不僅僅需要研究如何檢測和防御APT攻擊,更重要的是從基礎的網絡安全層面來考慮如何防御,包括從身份認證到內容的檢測分析,到基于大數據的惡意檢測軟件,以及基于身份、內容,從互聯網的出口去防御泄密,融合一體實現企業信息安全解決方案。
例如,華為在敏捷網絡中提出了“全網安全協防”的概念,其中APT防護解決方案是“全網安全協防”重要的組成部分。據劉立柱介紹,華為基于“全網安全協防”中的大數據分析,針對安全隱患特別是滲透性的、帶有長期潛伏的隱患進行持續性跟蹤;建立起基于大數據分析的“全網安全協防”,獲悉其所涉及到的和感染到的一些惡意攻擊的特征,從而能夠進行監控和分析,進而在信息防泄密上,做出準確的識別。
在應對DDoS攻擊方面,華為推出了下一代Anti-DDoS解決方案。該方案基于高性能硬件平臺開發,引入先進的檢測機制,提供了獨創的信譽安全體系,可實現超百種DDoS攻擊防護,2秒內就可以完成攻擊流量清洗。華為AntiDDoS8000是業界唯一單機可提供超100G DDoS防御能力的產品,為運營商、企業及數據中心提供了全面精準的防御新型DDoS攻擊的利器。而隨著互聯網帶寬的不斷增加,DDoS攻擊流量峰值將會不斷刷新,對此華為將在2014年底發布支持單端口100G,單臺設備1T防護性能的產品,這將是華為在DDoS防護領域的又一大突破。
此外,去年華為還聯合創新工場旗下的國內云計算安全服務廠商安全寶,并攜手互聯網云主機廠商中云融信和互聯網集成計算機解決方案供應商中網志騰,共同成立了“抗D聯盟“,以協助中小企業應對日益嚴重的DDoS攻擊問題。
拓展運營商安全運營服務模式
目前,華為在抗DDoS攻擊方面已經有了許多成功的合作案例。據劉立柱介紹,“在國內,DDoS防御已經成為華為非常重要的安全業務之一。同時,華為DDoS防御方案也同樣拓展到了海外市場,一類是做基礎網絡防護,為海外一些當地運營商部署DDoS防御解決方案;此外,還有很多運營商希望能夠為其企業客戶提供DDoS防御服務,而這也是華為所認同的安全運營服務模式。”
“尤其是在國內運營商市場,采用華為DDoS防御方案的客戶非常多。目前,國內運營商針對DDoS防御方案的運營模式有兩種:一種是保證基礎網絡可用,另一種是向自己的最終用戶提供DDoS清洗的服務。其中,在采用基礎防護方面所有運營商都在建設,而向最終用戶提供DDoS清洗服務也正在成為國內運營商非常重要的業務。”
以上海聯通為例,在上海聯通遭遇的DDoS攻擊中,最大的攻擊流量已經超過了20G;2013年共探測到DDoS攻擊11萬余次,累計清洗流量超過了10萬G,并且每年的攻擊規模和次數還呈增長趨勢,這對上海聯通而言挑戰非常巨大。
據上海聯通城域網資深架構師陳強介紹,參照國外運營商的先進經驗,上海聯通在幾年前開始發展安全運營業務,2008年引入了DDoS防御系統,逐漸完善成為互聯網流量安全運營解決方案,包括DDoS防護運營方案和流量經營運營方案。
“在上海聯通安全運營系統的整體架構方面,華為SIG產品做城域網用戶行為分析,可實現基于用戶的精準識別和管控、熱點分析和精準營銷。華為AntiDDoS8000做DDoS異常流量清洗,可精確防御應用型攻擊,且清洗響應速度快。并在城域網內通過Netflow進行全網流量分析,ATIC管理系統能夠同Netflow、SIG實現統一的調度和管理。”陳強說。
不斷升級防御方案 應對DDoS大流量攻擊
另據了解,上海聯通DDoS安全運營服務還面向VIP用戶、IDC用戶和金牌/銀牌用戶提供安全增值服務,提供了五大DDoS安全運營服務內容,包括實時檢測/實時防護、短信/郵件告警、用戶自助平臺、抓包與攻擊取證/追蹤與溯源、攻防演練服務。陳強表示,在用戶側,上海聯通DDoS安全服務也獲得了較高的評價。2013年上海聯通曾為某VIP銀行客戶提供DDoS攻防演練服務,客戶在測試過程中采用2G流量中混雜有2M攻擊流量,華為的Anti-DDoS方案成功且精準地清洗掉了這些攻擊流量。
目前,上海聯通的DDoS系統已經具備70G的防護能力。“在攻擊流量日益增長的趨勢下,2014年上海聯通計劃把DDoS系統防護能力提升一倍,年內提升至140G到150G,并且考慮VIP用戶的高價值,將優化其獨享清洗服務,與公共清洗空間進行分離。”陳強介紹說。
在應對DDoS的大流量攻擊方面,華為也在不斷升級其DDoS防御方案。一是從本身的硬件設備上不斷提升防御處理能力;二是在解決方案上逐漸轉向SDN感知的方式,在攻擊源頭上實現動態分布式的DDoS防御。此外,華為還與運營商探討合作,將實現基于客戶私有云的DDoS防御方式.