2016年6月24日-25日，由51CTO舉辦的WOT2016企業(yè)安全技術(shù)峰會將在北京JW萬豪酒店召開。會前，51CTO記者采訪了峰會特邀講師、華為安全業(yè)務(wù)TMG主任錢曉斌，就企業(yè)安全風(fēng)險(xiǎn)管理，企業(yè)安全威脅中常見的DDoS攻擊防護(hù)兩方面的內(nèi)容進(jìn)行了深入交流。

與安全圈的很多人一樣，錢老師也是非計(jì)算機(jī)專業(yè)出身，大學(xué)時(shí)主修經(jīng)濟(jì)學(xué)。在機(jī)關(guān)工作了幾年后，轉(zhuǎn)學(xué)計(jì)算機(jī)。隨后一直從事安全工作，至今已有15年。工作初期主要從事國內(nèi)第一代自主知識產(chǎn)權(quán)的防火墻與UTM產(chǎn)品開發(fā)，逐步從BSD做到Linux，從配置管理做到內(nèi)核協(xié)議棧，從黑白名單做到引擎特征庫，從產(chǎn)品架構(gòu)做到技術(shù)規(guī)劃。目前在華為負(fù)責(zé)安全產(chǎn)品線的安全能力構(gòu)建、技術(shù)規(guī)劃與生態(tài)建設(shè)工作。

企業(yè)風(fēng)險(xiǎn)管理需充分重視的五大安全挑戰(zhàn)

目前，傳統(tǒng)企業(yè)正在加速信息化進(jìn)程，加速網(wǎng)絡(luò)架構(gòu)與應(yīng)用的云化，加強(qiáng)業(yè)務(wù)邏輯中的數(shù)據(jù)驅(qū)動能力。企業(yè)所面臨的安全威脅隨之變得更加復(fù)雜多變。而且，因?yàn)槊總€(gè)企業(yè)發(fā)展階段與業(yè)務(wù)性質(zhì)的不同，對各個(gè)層面安全性的敏感度與耐受度呈現(xiàn)出極大的差異。

而互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)先天就構(gòu)建在網(wǎng)絡(luò)與數(shù)據(jù)之上，安全是其立身之本，稍有不慎，就會造成重大的業(yè)務(wù)損失。

錢老師表示，總體上說，企業(yè)應(yīng)充分重視以下五大方面的安全挑戰(zhàn)：

1、企業(yè)安全威脅感知能力的挑戰(zhàn)。

2、新興的攻擊手段和安全漏洞給安全產(chǎn)品安全技術(shù)帶來新的挑戰(zhàn)。

3、企業(yè)所處的安全環(huán)境、生態(tài)、安全協(xié)作機(jī)制方面存在的挑戰(zhàn)。

4、企業(yè)安全體系生命周期管理能力的挑戰(zhàn)。

5、人員安全意識和安全能力的挑戰(zhàn)。

對此，錢老師建議，企業(yè)需在真正理解自身安全和風(fēng)險(xiǎn)的情況下，進(jìn)行安全方面的規(guī)劃和投資。同時(shí)避免安全體系的碎片化、片段化，逐步實(shí)現(xiàn)真正的安全。站在企業(yè)整體安全視角來看，企業(yè)需不斷提升安全體系生命周期的管理能力，從而建立起完善的安全管理流程與制度，實(shí)現(xiàn)安全保障目標(biāo)。而且，面對新興攻擊和新式攻擊手段，企業(yè)要在加強(qiáng)自身安全體系建設(shè)時(shí)，也需要向?qū)I(yè)安全廠商進(jìn)行咨詢，根據(jù)實(shí)際情況進(jìn)行安全檢測，部署合適的產(chǎn)品，例如部署類似APT沙箱、大數(shù)據(jù)安全分析平臺等下一代安全產(chǎn)品。回顧很多安全事件，我們會發(fā)現(xiàn)有很多來自于企業(yè)內(nèi)部人員造成的泄露事件，所以提升企業(yè)員工安全意識，是每個(gè)企業(yè)要重視且必須要做的事情。

此外，他認(rèn)為，安全問題的存在與解決都不是一個(gè)局部的問題，我們也無法讓一個(gè)企業(yè)獨(dú)自面對所有的安全問題。國家在網(wǎng)絡(luò)安全方面的立法趨于嚴(yán)格，行業(yè)對于企業(yè)的監(jiān)督也在加強(qiáng)。企業(yè)在提升安全風(fēng)險(xiǎn)管控能力的同時(shí)，也迫切需要我們這個(gè)社會改善企業(yè)所處的安全環(huán)境、安全生態(tài)與安全協(xié)作機(jī)制。

DDoS攻擊：經(jīng)久不衰的網(wǎng)絡(luò)攻擊

在企業(yè)所面臨的眾多的安全威脅中，DDoS攻擊可謂經(jīng)久不衰。這么多年DDoS攻擊發(fā)生了哪些變化?下面我們一起來聽聽錢老師怎么說。他表示，從DDoS出現(xiàn)到發(fā)展的這幾十年來看，僵尸網(wǎng)絡(luò)呈現(xiàn)出大規(guī)模、全球化的特點(diǎn)。尤其是近幾年來，隨著互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展，DDoS單次攻擊高達(dá)500Gbps以上，僵尸網(wǎng)絡(luò)不再僅僅存在于用戶的終端，而大量存在于數(shù)據(jù)中心的虛擬機(jī)上。我們現(xiàn)在看到的物聯(lián)終端也可能成為僵尸網(wǎng)絡(luò)的宿主載體，雖然運(yùn)營商和企業(yè)用戶在本地大多已經(jīng)在本地部署了清洗設(shè)備，但上行鏈路遭受攻擊時(shí)已經(jīng)擁堵了網(wǎng)絡(luò)出口。這也是為什么90%以上的運(yùn)營商在尋找云端的流量清潔方案。

談到DDoS攻擊的防御，錢老師認(rèn)為：“針對DDoS攻擊全球化規(guī)模化的特點(diǎn)，要有效地防御DDOS攻擊，必須建立一個(gè)全球性的立體防御體系，必須要聯(lián)合業(yè)界眾合作伙伴的智慧和力量。”

那么，企業(yè)該如何加強(qiáng)DDoS攻擊防護(hù)?錢老師建議，有條件的企業(yè)將業(yè)務(wù)托管到具有較強(qiáng)抗DDoS能力的云服務(wù)上。對于企業(yè)自行部署的系統(tǒng)，應(yīng)該在前端安裝DDoS防護(hù)能力較強(qiáng)的安全過濾產(chǎn)品。對于需要大容量AntiDDoS服務(wù)的云廠商與具備AntiDDoS能力的安全廠商，可以通過加入“云清聯(lián)盟”的方式，加強(qiáng)協(xié)作，提升自己，服務(wù)客戶。

華為首倡“云清聯(lián)盟”的概念，并努力付諸實(shí)踐。“云清”的含義是基于云端的流量清洗方案，聯(lián)盟的含義是旨在將全球MSSP服務(wù)提供商和IDC服務(wù)提供商的資源進(jìn)行整合，共建攻擊流量的 “泄洪池”，構(gòu)成一個(gè)云端的“DDoS防御生態(tài)系統(tǒng)”，“一方有難，八方支援”，在上游更加徹底解決大流量DDoS攻擊問題。這個(gè)聯(lián)盟設(shè)計(jì)的初衷，就是通過近源云清洗實(shí)現(xiàn)全球大流量DDoS防御，具體而言包括：云端防護(hù)、IGW層防護(hù)、Backbone層防護(hù)和DC邊界防護(hù)。

除了面向全球的“云清聯(lián)盟”DDoS防御體系，華為安全業(yè)務(wù)覆蓋網(wǎng)絡(luò)安全、終端安全、云安全、應(yīng)用安全、安全管理和安全服務(wù)等多個(gè)領(lǐng)域。產(chǎn)品包括高中低端下一代防火墻、入侵防御系統(tǒng)、DDoS攻擊防御系統(tǒng)、虛擬綜合業(yè)務(wù)網(wǎng)關(guān)、沙箱、大數(shù)據(jù)安全分析系統(tǒng)等產(chǎn)品，以及相應(yīng)的針對傳統(tǒng)威脅及未知威脅的解決方案。

錢老師表示，未來華為將繼續(xù)發(fā)揮其在云管端的深厚積累與綜合優(yōu)勢，在云安全、高級威脅檢測、大數(shù)據(jù)安全分析等技術(shù)領(lǐng)域取得快速發(fā)展，并努力與同道一起，構(gòu)建威脅情報(bào)共享平臺，優(yōu)化安全產(chǎn)業(yè)生態(tài)環(huán)境，為用戶提供可信賴的安全服務(wù)。

最后，錢老師表示，近期他一直在圍繞“安全以人為本”思考安全的多個(gè)層面。因此，在本屆WOT企業(yè)安全技術(shù)峰會上，他準(zhǔn)備與大家分享對安全系統(tǒng)中“人”的位置與作用的思考。