爱因斯坦说过,我从不去想未来,因为它来的已经够快了。随着移动互联网、云计算、大数据等IT发展新技术的深化应用和交叉融合,企业不仅需要更迅速的响应业务需求,也需要加大控制安全风险。特别是移动互联网的爆发式增长,给企业的IT安全体系提出了严峻考验。2015年12月18日,华三通信在第二届世界互联网大会上发布了最新的天机系统。下午,华三通信公司安全产品部部长李彦宾和华三通信技术有限公司副总裁孙德和就新环境下的网络安全挑战、华三通信的“大安全”战略以及最新发布的天机系统进行了介绍与解读。
图1 发布会现场
迎接“互联网+”,移动与互联带来信息安全挑战
今年两会期间,李克强总理在政府工作报告中提出并制定了“互联网+”行动计划,推动移动互联网、云计算、大数据、物联网等与现代制造业结合。诚然,“互联网+”开启了一个风起“云”涌的新时代,以云计算为基础设施的应用已经渗透于各个领域,帮助人们在成本更低的环境下创造产品+服务的同时,也同样在信息安全领域掀起了一场革命。在华三通信公司安全产品部部长李彦宾看来,现如今我们常常可以听到企业宣称:“我们在做‘互联网+XX’,推出移动APP,通过匹配用户信息,掌握用户消费习惯从而提供定制化的服务”,这种看似美好的商业模式,却无形中将个人信息泄露从概率到规模都无数倍放大。在2015年(截至2015年11月18日)补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能泄露的个人信息量(简称可能泄露信息量)高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄漏了8条以上的个人信息。另据中国互联网协会发布的《中国网民权益保护调查报告》显示,近一年来,网民因个人信息泄露、垃圾信息、诈骗信息等现象,导致总体损失约805亿元。
与此同时,万物互联也为企业带来了更加多样化的安全风险。2015年我国物联网市场规模将突破7500亿元,从已经出台的《中国制造2025》以及《国务院关于积极推进“互联网+”行动的指导意见》等战略规划来看,已经涉及物联网产业的诸多方面。毫无疑问物联网设备市场将会不断扩大,然而对于攻击者而言,万物互联同样意味着可攻击的目标增多,攻击面在迅速扩大,相对应的信息安全防御链条则越来越长,防御思想也需要不断进化,信息安全防御面临很大的创新压力。
不可否认的是,无论防病毒还是防攻击,无论是已知威胁检测还是未知威胁检测,安全似乎一直处于单兵作战的局面。所以,在面对复杂、未知、定向攻击等高等级安全威胁时,传统安全的防护方式往往漏洞百出。李彦宾认为企业的网络安全安全水平取决于最薄弱的环节,相对于传统独立的威胁检测方式,新的网络安全应该是基于整个网络平台一体化进行分析。这是因为,攻击者会采取不同的攻击方式、不同的工具、不同的木马变种,特别是一些高等级的攻击者会针对特定环节,让攻击过程变得更加隐蔽,难以察觉。然而,任何一个网络攻击都会具有扫描、植入、传输等相对固定的攻击行为。
图2 华三通信安全产品部部长李彦宾发表演讲
华三“大安全”,资源池化打造动态安全防御体系
回顾华三通信发展史,从2003年华三通信发布F100/F1000千兆系列防火墙正式进入安全领域,到后期的VPN、IPS、UTM、NGFW以及去年最高端的M9000分布式综合安全网关,华三的发展史可说是随同中国网络安全的发展一路风雨同舟,共同成长。而本次最新的发布的“天机”系统也正是响应市场新环境下推出的动态安全防护体系。作为华三通信“大安全”理念在解决方案上的创新呈现,“华三天机”基于软件定义安全及安全大数据的整体框架,创新性地构建了一个安全资源池化的动态安全防御体系,将安全作为一种能力和资源并以“安全即服务”的形式一体化交付给用户企业,以“安全管理单元”、“安全检测单元”和“安全业务单元”为企业提供包括整体安全态势监控、业务安全、运行综合监控、安全业务快速部署、安全监控、审计、预警、响应、报告等在内的综合服务,真正实现了“一框即安全”。
图3 华三通信安全产品线发展里程碑
在李彦宾看来,“华三天机”可以比作一个云安全交付系统,主要分为三个单元:
第一为安全业务单元,包含了所有的安全元素如防火墙、IPS、安全网关等,用于打造安全防护的资源池,其应用特征类似于SoC。在性能参数上防火墙最大吞吐能力1920Gbps,应用交付最大吞吐720Gbps,入侵防御最大吞吐400Gbps,整机最多支持192个10GE端口并支持100GE/40GE端口的扩展,具体配置则由企业用户的业务流程和渠道所决定。在兼容性上,华三通信非常强调自身开放的能力,配备标准的SIT接口,用户还可自行添加市场上任意的安全防护工具。
第二为安全的管理单元,在构成上述强大的安全资源池后,安全管理单元会对其中的安全元素进行集中管控,通过可视化手段帮助用户发现各种安全风险。在虚拟化技术的支撑下,天机系统将防火墙、入侵防御等功能分别划分为独立自适应的安全服务节点,数据报文按照需求与策略,需分别经过这些节点,从而帮助IT运维人员对用户习惯进行分析,对未知风险进行追根溯源。
第三为安全检测单元,通过华三通信多年以来的实践经验,在天机系统中配备了完整的大数据模型,企业用户可以根据设定好的安全防护能力对系统进行评估,例如满足企业对等级保护的要求等。值得一提的是,这其中不仅包括网络设备配置、安全设备配置等配置核查内容,还包括了资产风险、安全域风险等风险评估工作以及全方位的安全预警内容。
图4 华三天机架构图
通过在安全业务管理和策略管理在系统上的集成,天机系统使得整个网络能够与终端、网络设备及防火墙、IPS等各类安全设备协同联动。作为一款一体化产品,高性能以及对外的开放性,使得“华三天机”系统可以构建出一个庞大的信息安全资源池,为数据的流动提供了必要基础。“华三天机”的问世意味着华三通信“大安全”战略的成功推进,作为“大安全”战略的目标所指即是在可编排、开放/可信、可视化、可管控、可度量的原则之下,构建新一代的安全技术框架,实现由物理支撑层、安全资源层、业务调度层、安全管理层和安全应用层构成的大安全生态,而“华三天机”正是这种思路之下的创新结晶。据华三通信技术有限公司副总裁孙德和介绍,从2014年开始,华三通信在业界率先提出“大安全”战略,并与大互联、大数据和云计算一起成为华三通信“新IT”理念的四大支柱与技术方向。
图5 华三天机产品图
策略“弹性化”,典型应用场景下的纵深防御
作为传统企业而言一般会为每个业务建设一张独立的物理网络,但是在新一代的场景活动应用种类越来越多,传统的网络建设模式会使得网络运维管理非常复杂,也不利于网络资源的有效利用。随着目前移动终端种类和数量越来越多,任何一个终端设备都有可能成为入侵整个网络的跳板。而华三通信通过打造动态安全防御体系,对各行业的安全防护需求实现广泛覆盖,无论是如同第二届互联网大会这种多终端BYOD的活动现场还是园区的内网安全防护以及新一代云数据中心,华三通信都可以充分利用丰富的计算服务器资源并快速协助用户部署安全业务。企业用户只需要关注对应用场景下的计算资源的分配,剩下的安全业务的安装及各种安全策略的部署完全由自己掌控,安全策略的调整可以实时进行。
例如针对园区网而言,华三通信以“流量路径”为核心构筑层层递进的纵深安全防御体系。首先通过合理划分安全区域确定安全防御边界,包括互联网接入区、广域网接入区、用户接入区、服务器接入区等安全区域,然后根据流量路径上的每一道区域边界进行安全防护部署。依据“纵深防御“原则,流量路径的边界防护应具备网络层、应用层等多层次的防御能力,在流量路径上通过防火墙、入侵防御、Web应用防火墙等产品的策略组合形成有力的防御体系。
而新一代云数据中心安全解决方案是一种综合防护理念的呈现。在现有无边界网络的情况下,再造安全边界,实现数据中心分层分区的防护,同时将安全业务由复杂变得简单,安全策略调整可以更加灵活,各种安全业务或服务都可以由软件进行灵活的自定义和编排,安全资源可以更加多样,不再单纯依赖物理硬件设备,能够更加充分的利用现有的计算资源快速扩张业务能力,从而实现软件定义安全。
图6 华三大安全防御体系全景图
最后,针对本次第二届世界互联网大会,为了让大会的无线网络“无懈可击”,华三通信以近3000台新一代企业级无线终端AP、多台vBRAS无感知智能识别与分流网关、高性能无线控制器、高端M9000天机动态安全系统、100G平台核心交换机、上百台接入交换机以及配套的智能管理软件与数据分析软件,为大会搭建起了一张高密度、无感知、高可靠的有线无线一体化网络,成功应对了现场高负荷流量、频繁业务变更、外部入侵威胁等压力,充分展现出中国企业在全球网络技术领域的领先风采。
当然,华三天机系统的应用场景并不仅限此。未来随着日益复杂多样的网络安全攻击,企业对这种虚拟池化的安全一体化平台接纳度也将进一步提升。一方面,华三通信通过动态安全防御体系正在重新定义网络安全市场;另一方面,李彦宾表示华三通信也将持续扎根行业应用,从细分市场出发提供针对网络安全的服务,帮助客户应对信息技术云化、移动化和互联网化对企业信息安全带来的全新挑战。
