绿盟科技技术总监陈珂在“第十一届中国网络媒体论坛”技术分论坛发言。人民网记者于凯 摄
人民网武汉11月21日电(记者 李岩)以“推动网络媒体新跨越 促进网络文化大繁荣”为主题的第十一届中国网络媒体论坛今日在武汉隆重开幕。本届论坛下设四个分论坛,其中第二分论坛——“借力技术手段 提升影响力传播力”邀请八位嘉宾进行主题演讲,绿盟科技技术总监陈珂以“云时代下的安全实践”为题进行了主题演讲。
以下是绿盟科技技术总监陈珂演讲实录:陈珂:首先,我要讲一下我的主题“云时代下的安全实践”。大家知道云计算是这两年非常热的概念,云计算里面带来的安全问题和安全的机会主要从两个方面展现,一是云计算环境下,我们的内部编辑消失了,虚拟技术的实现让传统的安全设备没有部署的点,这是挑战之一。二是云计算环境下,不同客户之间的数据存储会产生交叉,数据的访问能否得到有效的授权和控制,这是我们客户最关注的一点。还有第三个方面,云计算环境下对于一些新型的攻击形态,以前从来没有防护的经验。
今天,我这个话题并不从纯安全角度谈云计算环境下如何进行安全的建设,我会从另外一个维度谈作为一个安全的厂商、服务商,我们如何利用云计算的机遇,改善我们为客户提供服务模式,为更多的客户提供更多更好的服务。
对于我们最终客户来说,安全部门、IT部门是支撑性的部门,领导真正关注的是业务是否持续、稳定的运行,关注客户需求发生了什么变化,业务能不能创新跟上客户的需求。在发生安全事件之前,领导们一般来说不太可能把注意力放在安全方面。在资源投入方面,也会出现很大的问题。在座的可能都是各个单位IT方面的负责人和领导,我们这两年采用很多安全设备,每一个客户都可以举出很多安全设备的种类,比如入侵检测、防火墙、入侵保护、安全审计和扫描等等。
但是这些设备目前的安全状态如何,是否起到了应该起到的作用,经过我们的调查,其实绝大多数的安全设备在部署到线网环境运行一年以后,安全作用在逐步的降低,因为没有人定期对它的规则进行优化和维护。
另外,安全问题随时可能发生,我们又没有足够的资源进行随时的监控和调整,很多单位机房都有值班人员,我们是不是能够做到7×24小时监控。目前,客户更关注的是业务层面的安全,而不是网络层面的安全,客户自己的安全运营团队希望把精力放在业务层面,而不是把精力分在无休止的打补丁和更新安全维护工作。这些就是目前安全维护现实和我们理想当中的差距。
我们拥有专业化安全服务,拥有很多安全设备,很多安全的软件,但是作为客户来说,我们希望享受到的就是自己的人员能够专注于业务层面安全,我们可以通过一个模式帮助我们7×24小时监控,最好我们可以从威胁者的角度进行入侵行为的分析、取证,所以归根到底我们需要的不是软件、硬件,不是一些简单的服务,我们需要的是客户能不能在别人的帮助下具备一种能力,一种面对安全事件的时候快速响应解决问题的能力。
有三个例子,因为时间关系我不详细讲了,三个例子分别从三个角度谈了安全问题现状。
第一,我们给国家有关部门部署安全产品,叫密网系统,国家有关部门有技术和人,部署上去以后可以很好的应用。我们尝试把这些产品提供给普通的客户服务,但是客户反映效果不好,因为他们可能从人员的数量到专业程度来说,都达不到使用这个产品所需要的一个基准性。
第二,刚才有同事讲到,国内的运营商提供流量清洗设备,包括很多单位都采用了流量清洗服务,他们也开展了一些相关的扩展服务。但是碰到一些突发性、不太明显的新型攻击来说,他们的应对速度会明显的变慢,他们是有人的,但是他们的运维人员要维护主机、维护网络,对于安全的设备、对于新型的攻击分析来说,他们并不是最专业的,他们需要找到厂商去提供相关的帮助,我们需要派安维研究人员进行抓包和分析,进行规则的调优,这都需要时间,这个时间客户一直被处于被攻击的状态。
第三,最普通的企业级客户。这些企业级客户在安全运营方面的特点,一是人很少,二是安全专业的人就更少了,这种客户没有精力维护大量的安全设备。比如今天是网络媒体的大会,我们都有网站,我们都会有运维人员进行相关的维护和监控,一旦发现安全问题,我们如何应对,为了减少这种发生的概率,我们要定期进行安全检查,比如每个月,甚至每两周进行一次检查,但是检查的间隔会不会发生问题,有这种可能性,有没有人可以做到7×24,甚至5×8的监控也很困难。我们在两年前尝试利用云计算的技术推出了一种网站监测的服务,目前取得了不错的效果,这也是通过服务模式的变化,让更多的客户能够改善安全运维的现状。
通过刚才的讲解可以看到,安全运维可以用金字塔的模型进行比对,从塔尖到塔基是一个正向的,最基层的工作是很日常做的帐号管理、事件响应、漏洞扫描、评估、数据分析等等,这是运维人员日常工作当中大量投入精力做的。往上做是深入理解业务、保证安全和业务应和。安全核心能力的发展,供应商管理等等。但是运维人员精力被大量日常工作消耗,我们希望把我们的运维人员解放出来,关注到最关键业务安全层面。
在云计算下面,我们提出安全的服务模式,我们希望有三个目标帮助客户实现。一是让客户购买的安全设备真正发挥作用。二是在现有人力非常紧张的情况下,不怎么客户的人力成本,可以达到更好的效果。三是能够让客户的精力和关注点从日常的安全运维转到业务的运营。
真正达到这三个目标,我们客户需要建立的是冰山下90%的体系,这是一个什么体系,我们把它叫做冰山下的安全能力体系,我们希望通过新型的模式协助客户达到以上循环。首先,能够做到有效地预警,可以感知目前的安全趋势和威胁,能够进行日常的监测,可以随时进行流量的监测,进行数据的采集和特征分析。当发现有问题的时候,能够进行最快速的策略部署、调优进行保护。当确实发生了安全事件的时候,能够小时级、分钟级进行响应,协助客户进行事件的处理。
这种目标,依靠目前的产品、人力服务的方式非常难达到,我们绿盟科技提出一个新的模型、一个模式,就是云时代下的安全实践。目前在全国分公司各个机房建立大量的服务器群,我们尝试建立一个监控的平台,这个监控的平台就是未来我们要实现的目标,我向各位嘉宾和领导简单汇一下。
这个平台后面有一个安全智能库,我们全国部署的设备会形成我们自己的探侦进行日常的数据的收集,对于互联网的威胁分析,我们也会和国家的部门进行紧密的合作,进行数据的收集,我们有安全团队进行漏洞的挖掘和分析,跟第三方厂商及时进行数据的交互,他们都会融入到后台的智能库里。
很多绿盟科技自身有的产品和服务,都会打包成服务模块,包括刚才下面我和海量公司在聊,将来我们可以在服务领域当中去合作,因为他们的服务模式完全可以融入到平台,可以为客户提供深度检测分析服务。最后向客户开放一个服务平台,来为客户提供策略的调优建议,当然不一定所有的客户都可以接受。
我们把未来的客户分成以下不同群体:
非常敏感的客户不愿意通过网络的方式,向我们发送数据,也不愿意接收我们提供的数据分析结果和调优建议,可能传统的模式完全由客户负责日常的运维管理,需要大量的人和这些人在安全方面非常专业,才能保证安全运维的结果。中间的客户可能是未来大量客户群体,他愿意有限制的把它内部的一些安全数据和日志发送给我们,由后台的云分析中心进行安全运维分析,同时把分析结果通过调优策略建议向他传递。如果合作比较久以后,客户充分信任我们,我们完全可以在客户的网络中部署一个展示和控制中心,这个中心是负责收集客户网络中所有产生的日志和告领信息,传到后台进行分析,分析结果在客户的授权下他的策略进行及时的调优和及时有效防护。
我们相信通过云计算环境建立的服务平台,通过客户有限的运维人员以及绿盟团队强大的支持下,客户可以达到一个更好的安全运维结果,我相信这个结果是各位领导最关注、最想要的。谢谢大家。