“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
高华:各位朋友大家下午好!很高兴今天下午有机会在这里跟大家互相交流一下,就是深信服科技对于构建安全高效的边界网络的看法。也很高兴曲老师刚才对于构建安全网络做了一个纲领性的总结。刚才曲老师大部分提到的还是网络层面的,以及整体综合层面的安全。那么我要说的是我们深信服科技是怎么样在应用层面、内容层面对这个网络安全做了一个整体的架构。
首先介绍一下我们深信服科技。我们公司成立于2000年底,到现在为止,我们不断推出符合市场需求,符合真正用户想要的东西的产品创新,公司发展也是比较快。到目前为止,我们有几个产品线,主要包括IPSec、SSLVPN、上网行为管理产品,网间加速产品等等。我们连续两年入选了中国高科技企业50强。
现在谈一下我们对于边界网络的看法。什么叫做边界网络呢?边界网络就是指,除了我们一个单位或者是一个企业,或者是政府、学校,我们这个网络中间肯定有一个核心层,那么在局域网的交互之间,我们称边界的网络架构我们称之为边界网络。我们日常用这样的边界网络做什么样的事情呢?基本上综合来说可以集中到两个方面上,一个是实现机构互联和移动接入。比如说我有很多的分公司或者是我是政府部门,我有37个省级的、局级的单位,我需要有一个很好的措施,把这样一个不同的分公司和不同的下属机构、分支机构联接在一起,我们需要边界网络来连通。还有一个是移动接入,比如说我们用网上图书馆等等的时候就需要移动接入,因为我们需要保护政府的机密,所以这是边界网络做的第一件事情。
第二件事情就是获取外界的各种信息,简单点说就是上网。我们看一下边界网络的发展趋势,在整个的边界网络的发展趋势存在三个步骤,首先我们把所有需要连接的地方都进行连通,这一定是所有网络架构的基础。那么连通完了之后,我们对已经连通的网络进行全面的管理,最后就是做整体的优化。我们看一下为什么说我们也是不断地提出符合用户需求的产品,获得成长。那么我们也是看一下怎么在这三个步骤满足用户需求的,比如说我们的VPN产品满足了用户专线互联的方式。在第一个步骤满足了用户连通的需求,那么在管理方面我们推出了上网行为管理产品,这很好地解决了用户怎么样用边界网络进行网络访问、浏览、外发信息的审计、带宽管理等等。
最后,我们也是今年推出的网间加速产品,优化了网跟网之间的速度需求。我们把业务之间传输的速度得到了大幅度的提升。那么接下来就具体讲一下我们的一些做法。
其实我重点介绍两个方面,跟今天的主题还是非常贴近的。比如说安全高效的移动接入,就是构建我们安全的网络。安全高效的互联网应用就是讲安全上网的概念。
那么首先提到的VPN的解决方案,这很明显,近年来业内兴起这样一个概念,就是怎么样解决我们不同的移动人员,不管是领导出差还是外面的第三方接入人员,我们怎么样把他们和总部的局域网连接起来,这需要用专线,但是费用非常高。移动办公是没有办法解决的,我们没办法拉条线到处跑。所以不管是国内还是国外,日渐成为了人们接受的移动办公的解决方案。但是之前,比如说前几年大部分我们的各行各业移动办公的解决方案还是IPSec的解决方案,这需要客户端做很全面的设置,还需要对网络端口做很大的改动。由于这个客户端需要安装软件或者是做配置,所以我们的人员会遇到很大的麻烦。因为广大的用户IT知识不是很健全,做相应的配置的时候遇到很大的麻烦,所以带来了后期的维护量是非常大的。
那么业内这两年也新提出一个IPS VPN这样的概念,其实经过了十几年的发展,它已经成为取代了IPSec这样的概念,它就是成为了移动办公的首选。
它的提醒第一个实现了随时随地的移动办公,比如说我现在在酒店,我可能手头没有笔记本,但是我突然想收发邮件或者是想察看客户系统,我可以随便找我的朋友借台笔记本,打开浏览器,我拿出我认证的系统,比如说我短信认证等等的方式,通过这些认真的方式,我可以经过总部的授权,很安全地进入到内网,就实现了随时随地的办公。
那么这样的一个接入是满足各种各样的应用的,不管是内网还是什么样的系统,不但解决的是我们业内BS架构的应用系统,但是随着十几年来VPN技术的发展,大部分的VPN可以跑大部分的应用。不管是原先带客户端的应用,还是BS应用都可以满足。但是,我们发现有些用户还是无法接受移动办公的解决方案,为什么像这种移动办公在我们中国推广起来还是遇到了一些阻力,我们看一下遇到了什么阻力。第一个是预算,由于IPS VPN是国外提供的,国产的性价比较低,所以费用很高。那么把一大批有办公需求的组织挡在门槛之外。
除了这个原因,用户最担心什么?您的企业、单位、组织想要采取移动办公的解决方案,最重要的还是安全。我们看一下采取移动接入的解决方案,会导致哪些隐患?第一个就是说我们从远程接进来的终端可能是远在千里之外,我的网管把内网建设得非常全面,各个城市的安全都做得很好,但是我没有办法控制我远程接进来的机器,我怎么知道千里之外使用终端的人是不是我公司的人呢?有可能这台笔记本,或者是这个帐号被人盗用,接吸收是我不愿意看到的,那么我怎么样防范这种危险呢?
第二个是所有的内网做得非常好,但是可能远程接入的计算机系统版本非常低,就可能有各种各样的风险和漏洞,很多的病毒和木马可能通过这条VPN的电路直接到我们公司的内网,我们应该怎么办?
第三个就算你所有的案例都非常好,但是你的终端可能成为了某个黑客的跳板,通过你的终端,通过我这条VPN的电路进入到我的内网,这样也是不允许的。
最后一个是当所有的用户都接入这个内网的时候,是不是我整个内网的权限都面向你做同等权限的开放呢?如果是这样的话,那是十分危险的,我一个市场部的人员,我可以看到所有财务的信息,财务的人员可以看到所有研发的信息,显然折算是不允许的。
那么这里面我们就打了一个比方,就是如何保障刚才所说到的刚才几个环节的漏洞。我们提出了4大金刚。这分别就是传输、认证、单点、权限。传输指的是远程终端之间的传输安全,传输指的是我怎么样判断我接进来的人是我可认证的人,单点是我怎么判断你远程的终端机器是安全的,最后一个权限就是怎么样分配相应的权限。
传输是业内的公认的工业安全标准,这本身是存在着一些安全上面的漏洞的。第二个是认证上面的安全,那么这个怎么做?分三个方面,首先就好象一个户口簿一样,我首先要把当地所有的居民必须要记录在册,第二个是动态身份识别功能,这是什么呢?就好象是我给你发身份证,但是这个身份证代表你这个人,你这个身份证不能给别人用,因为上面有你的照片,你一旦给别人用了,你是用不了,因为照片长得不像。第三个是怎么样防范你的密码被别人破解。
那么认证的安全是跟传统融合,基于PTI的认证体系。
那么第二个是动态身份识别功能,就好象一个USB Key,我们上学的时候学生证为什么上面盖一个钢印?就是不会产生隔离以及跑动,很明显只有把这样体现你个人特征的信息和你本人绑定在一起,才能捉当你接进来的时候我才能判断你是我所信任的。使用起来很简单,如果你进入我的内网,我只要输入这个网址,回车就出现左边这样一个界面,因为这个时候我已经输入我的用户名了,我的公司的中心端会给我发一条短信,这是动态的密码,我只有把我手机上的密码输入到对话框,我才可以接入。这样的方式,我可以把手机和我这个人绑定在一起。除非我的手机被人盗用了,这个时候我们必须输入一个PIN码,就好像去银行取钱一样。
再一个是单点的安全,这是怎么样防止由于你单点被病毒所感染,或者是被黑客所侵入,那么我们首先启用的第一点是客户端的安全检查部门,这判断的是你远程的终端,是不是XP的SP2以上的,或者是2000以上的。我可以判断你这台机器是不是准了相应的杀毒软件和进程表。只有符合你所设定的安全标准,这样我才能够让你接到网来。
第二点是零痕迹访问,你退出之后我可以把你相应的痕迹都清楚掉,避免你被一些居心叵测的人所利用。
第三点VPN专线功能,一旦你接入之后,我可以把你跟互联网所有的连接都切掉,就是有一个黑客想通过你连接到内网是不可能的。
那么权限的安全就是如何设置不同的用户组,以及根据组做不同的配置。
我们同样考虑其他的人性化的考虑,比如说单点登陆,我们的组织和单位企业有不同的验证,我可以形成单点登陆。还有支持多种终端接入,比如说PDA等等都可以。第三种是为你做个性化的定植。
那么我们现在SSL VPN应用相当广泛,不管是政府部门还是教育部门都有很多的应用。
第二点是提到我们是怎么对上网行为做管理的。其实上网行为做管理也是现在一个很热门的趋势。我们看一下网络的威胁来自哪些方面,我们提得非常多的是来自外部的威胁,其实来自内部的威胁也非常多,不管是外发信息或者是病毒,或者是内部的一些不正当的言论等等,都是安全的隐患。
还有你的网络不加控制,可能导致你的单位或者是学校网络应用效率非常低,比如说一上班就打开QQ等等,这使我们当天的效率非常低。而且不但由于你不务正业的使用网络,可能导致你工作效率很低。另外你这种网络应用很可能挤炸大量的带宽,使重要业务的带宽没有办法很好应用。
更重要的是你内部的机密信息可能会通过这个网络做一个泄露,我们之前接了国内一个大型的集团,这个集团遇到什么问题呢?第一个是内部很重要的配方,那家是化工企业,他是被人通过电子邮件传到竞争对手那里去了,他的竞争对手比他还早推出了新产品,这个老总很气愤。还有一个是公司老总被人传绯闻,老总找到我们解决这个问题。
所以内部的网络传播可以给我们的单位、组织带来很大的麻烦,我们怎么防范呢?
这个是我们有一个日志审计的功能,有一个单位做了一周的工作报告,我们发现跟工作有关的只占10%,其他的都是跟工作无关的。
我们对于内网安全我们需要做什么?这个就是我们上网管理设备,它的部署方式是多种多样的,比如说串联等等都可以。我们看一下它第一个功能就是可以规范我们的上网行为。我们300万条的URL库,这本身是有分类的,比如说像新闻类、游戏类、非法网站类。那么我们可以根据不同的类别,设定我们内部的人员可以上什么网站,不可以上什么网站,以及你什么时间段上什么网是允许的,什么时间段上什么网上不允许的。
另外我们有一个专利技术,就是对于钓鱼网站,钓鱼网站就是给你发一个邮件,里面有一个链结,就是招商银行在做什么登陆,你登陆之后就进入一个貌似招行银行的网站,你输入你的用户密码,这个时候就传到不知道是谁的手中了,他就可以做坏事,我们就可以针对这样的加密的钓鱼网站的页面做验证,看一下这网站是否是正常的网上银行的叶面。如果不是,可以对它进行一个分组。
另外我们可以对各种各样的应用做一个全面的管理,这种应用包括即时通讯软件,像QQ、MSN、SKYPE等等,比如说像P2P软件、网络游戏、炒股软件等等一些在线的娱乐方式。那么各种各样的互联网应用软件有什么特点呢?通常我们以前网络管理人员怎么分组他们?就是采取分端口的方式,但是我发现很多的通讯软件,你光靠分端口是分不住的,它的端口是会变的,你把他正常的分住之后,他又跑801口了。所以我们可以分析你不同协议的内部数据包,他做一个提取或者是验证,比如说我判断出你是QQ的数据包,我就可以对你做一个分类。我们通过内容的检测,可以准备地分组。
另外我们可以通过深度内容的检测,分辨出你PC机的大小,还可以知道你是不是在做P2P的下载。哪怕这个特征码我并不知道,大家我可以很好地把互联网的软件做一个分布。
下一个是对于外发信息做一个审计,包括你对外发送的各种各样的信息,比如说电子邮件、发布的内容、BBS、博客、网站访问记录。那么对所有的这些东西,我们都可以做全部的记载、审计、统计,可以把所有的危险防患于未然之中。
我们还有一个邮件审计,有的邮件好像发送成功的,但是实际这个邮件已经传输到我们的设备当中做一个存储,这个时候我们的管理人员对这个邮件做一个审查,如果他觉得这个邮件是安全的,我们就可以把这个邮件发到公司的网络上。
最后一个是我们可以对整个网络流量做一个统一的管理。我们不但可以做一个QH的设置,对不同的服务进行优先级的设置,也可以对用户本身做一个相应的流量。你下班之后,你QQ、BT和电驴的流量可以允许到50%以上,上班的时候每个组只有5K的下载流量。
其次我们的设备支持这种智能选入以及带宽叠加等等,什么叫做智能选入呢?就是我们中国有跨域商的现象,我北方的用户想要访问南方的网站速度会很慢,我可以在我的设备加两条线路,一条是网通的线路,一条是电信的线路,这个时候我可以知道你走的哪个是最快的,就可以自动叠加。那么我在上网的时候我从这两条路同时走,就起到了带宽的作用。
最后一个是可以对内网做一个安全的防护。这里面要提到的是一个准入规则技术,那么这个技术和刚才提到的客户端检查有点类似,同样的在所有的内网机制,在上网之前,我可以对内网的每台设备的安全机制做一个判断,你的比例是不是打全了,如果我发现你的注册表有些异常我不允许你上网,这样我可以保证你某台内网地址被黑客或者是病毒作为切入点。
同时我们的设备支持很强大的统计报名,包括对于内网的访问的流量、记录做一个全面的存储和相应地统计,出各种各样的报表。同样,我们还支持第三分的服务器,我们可以在相应的PC机或者是服务器上安装我们的日志软件,这个时候我们形成一个数据中心,可以把数据全面到处,比如说我可以让他一个礼拜导入一次,也可以把PC的硬盘做一个备份。公安部从前年开始所有的用户上网都要把记录保持90天以上,所以我们要很好地保证这一点。
最后我们提一下网间加速的产品。在坐的各位可能很头疼的一点就是网络速度非常慢。问题是不是我们只要掏钱把带宽增加够可以解决这个问题呢?带宽的代价是很大的,而且效率是低下的。我每次传输和延迟损失是很大的,如果每次是0.1秒,那1000次是很多的。而且我们看到这条曲线,在延伸很大的情况下,我的带宽利用率是很低的,我0.1秒只能用到其中200K的速度。
还有一个是数据流Cache,这是什么意思呢?比如说我在福建的女朋友,情人节到了,我要送他鲜花怎么办呢?我要买一束花,然后快递给他,然后从北京快递给他,是需要好几天的,如果我打电话给深圳的公司,说我要10朵玫瑰,当地的公司可以把花组装起来送到他的手指上面,只需要一个小时。所以Cache,它表示的是数字的标签,传输量是非常小的。
那么其他的像TCP协议等等。那么目前为止我们的加速设备支持各种各样的应用,比如说像文件共享、FTP等等数据库,我们都支持加速。我们对效果对Web可以达到20以上,对于其他的数据库可以达到10倍以上。
我们提供用户用更少的成本,更高的收益,更高的效益,更低的风险,架构用户需要的边界网络。 | 
