“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
吕华:首先非常荣幸能够参加第八届中国信息安全大会,并且能够在安全网络&绿色上网分论坛发言。那么每年我们信息大会都会有一个新的主题,而且每年都会有安全的专家和厂商为我们带来新的技术评价和产品。那么今天我们为大家带来的CP Secure安全产品系列,看一下能为各位带来什么新的理念。
为什么CP Secure要进驻中国,因为当时有一些参展的用户说这个公司没有听说过,因为这个公司是02年成立的,也是在美国成立了,而且去年8月份在中国成立了分公司,所以感觉这个公司很新。为什么要进驻中国呢?大家也看到了,这几年的安全技术的发展,确实像一个多元化的方向发展,但是防病毒的安全网关像防病毒的市场不是很清晰。很多的用户没有意识到安全网关对他的重要性,所以当时我们也是通过讨论的模式,感觉作为专业性的安全网关的厂商,今后会有所发展。那么也是今天的概要。
首先是公司的简介,公司是成立于2002年,由前趋势执行副总裁David和研发总监季爽。当然了,如果大家以后遇到考虑我们产品的时候,可以不用考虑趋势和专利上的冲突。
那么我们公司在欧洲、台湾都有分支机构,研发的组织是在南京,有一个60人的研发团队,可以对我们国内的用户进行本土化的支持。那么CP的串流扫描技术和预苗技术以后会提到,即插即用扫描技术是插说够可以使的。那么串流扫描技术可以做到传统的扫描技术的1倍以上的速度。
那么CP一种是安全网关一种是防蠕虫的,他们也获得了很多的奖项和荣誉证书。包括目前国内我们获得中计报的编辑选择奖。
那么我们的客户,刚开始创立公司的时候我们见到客户都比较头疼,因为都是国外的公司。现在也有国内的客户了。那么国外的客户比较有名的一个是位于德国的欧盟总部,他们用的我们的高端的设备,还有美国的读者文摘,还有一些像化工业的巨头,还有飞利浦电器和福特汽车等等。
那么从去年8月份到现在不到一年的时间,我们在国内已经有这些客户购买了我们的设备,而且反映都是比较好的。政府像湖北省建设厅,还有教育、企业等等。
那么我们的合作伙伴也是来自于全球各安全组织,或者是厂商或者是测试商,包括卡巴斯基都确立了合作伙伴关系。
以前我们跟客户沟通的时候,他说我部署了防火墙和防毒软件为什么我还要购买你们的产品?防火墙不防病毒大家都知道,但是我有防毒软件还要做边界的防护,为什么?03年有一个属于蠕虫邮件,他进到内网之后他会对邮件进行大量的冲击,即使邮件服务器部署的扫描病毒软件之后,他会不停地扫描病毒邮件,这样会占用服务器的资源,最终导致了服务器当机。那么当时部署的目的已经没有了,网络已经瘫掉了,而且我的网络资源被耗得非常厉害了。当时去一个大的政府单位,他跟我说能不能帮我看一下是不是在发蠕虫啊?我的思科交换机占有量达到了50%,因为我们正常的CPU占用率是10%左右。所以我这几天机器的网线拔掉之后网络就好多了。
为什么需要防护边界的恶意代码?他等于是把贼放进来我抓你,但是这样会有什么缺陷?第一是无法组织恶意代码进入企业的内部网络,第二是防护有效性完全依赖于主流于主机的防护软件的有效性,一点失效,全盘皆输。
我们99%以上的病毒都来自互联网,大家可能会说U盘或者是光盘又或者是网络拷贝,其实来自互联网的病毒占最大的比例。
讲到如何应对,我们不会隐瞒我们这个设备,我们还是建议用户部署多层的立体式的防病毒的系统。当然了,网关的安全防护是重中之重。如何在边界进行防护?其实就是在边界部署一个安全的设备,将病毒阻挡在内网之外,不让它进入到内网。这样,可以让它应用到正常的工作当中,而不会耗大量的工作去产生一些病毒。
CSG是内容安全网关,我们一般建议部署在边界网关处,用来防护双向的流量。一般部署在内网和互联网之间,或者是BIZ区等等,用它进行病毒的防护等等。我们现在的产品线基本上涵盖了从SOHO那种小企业到电信这种大企业,不同的规模我们都有相应的产品来支持。大家可以发现1000家以上可以有液晶面板,还有光兆口,这样可以实现多通道。现在从CSGS到CSG-2500,2500还没有卖出去,国外已经卖了。
那么串流扫描技术,传统的扫描技术我们叫做印发,因为是对这个文件进行包扫描,然后把干净的文件进行扫描输出。而我们的串流扫描技术可以输出和扫描同时进行。一个火车站同样都是进一列火车进行扫描,传统的技术是等这一列火车完全进到站里面之后再检查,我们的技术是当火车头开始进展的时候我们就开始检查,当火车最后一节进站的时候我们已经完成了扫描了。当速度很小的时候,我们的差异是检验不出来的,因为传统的技术没有办法扫描这么多的火车,所以把车厢分到中转站里面,然后再调出来扫描,我们是100列火车同时扫描,这样可以节省很多的时间。
那么强大的防毒能力,目前来说病毒侦测能力应该是比较强的,它支持HTTP、HTTPS、FTP等等的扫描,通过邮件和网页传播病毒的比例还是最大的。那么防垃圾邮件我们是提供4大一块,黑白名单、黑名单、其他组。那么黑名单给大家简单介绍一下,是如何来实现的呢?当启用黑名单技术的时候,所有的邮件都会被CSG拦截下面,同时会发送一个错误代码,那么一个正常邮件的服务器,他接受这个错误代码之后他会重发这个邮件,而垃圾邮件是不会重发的。所以在我们很多客户的测试中,这个效果是非常明显的,往往黑名单过滤垃圾邮件就占据了垃圾邮件的70%以上。而对于这个系统没有什么影响。
那么高端的产品都支持非OPEN的功能,比如说我设备的电源被踢掉之后,会进行一个跑路,这个跟国外产品的理念是不一样的。国外的产品是我设备出现问题会自动把网路断掉。那么国内一般是希望这个设备坏了以后不要影响我上网,所以我们是设备坏了以后还可以上网。
那么多通道的扫描,有一些用户他们两个网都想进行防护,而不想内网进行访问,如果口不够多,可能买两台设备。我们所有的设备都采用HTTS的截面,可以在网络上对我们的设备进行管理和配置。而且我们的远程管理通道,这是其他厂家没有的功能。有的时候我们的用户出现问题,你派工程师一个是耗精力一个是耗时间。我们南京的研发可以通过一个通道检查什么问题,这样可以大大节省时间。
大家可以看一下,这是我们全线产品的性能参数,左边硬件的配置并不是很高,不像有些产品硬件配置非常高,但是大家可以看一下右边的参数,参数这一块的性能,目前还没有第二家系数比他高。有的时候有人问我,你这个跟芯片共建是不是速度会慢?我说到,这个是加快扫描的速度,但是总体的时间是从11秒变成的10.1秒,这样对于用户来说基本没有什么太大的变化。
那么这是一个部署的建议方案,对于中、低端的产品只有三个口,所以还是一边一台。对于高端的设备来说,大家可以看一下,一台就可以至少防护两个,网格网络也可以防护,而且三个网络之间都是物理隔离的。
下面给大家简单介绍一下防蠕虫的设备。刚才提到了我们的标语是内外兼修,实现保护。我们蠕虫的威胁是来自于内网的。蠕虫增长趋势图,大家在很多的场合都看到过,03年冲击波和04年的震荡波大家都遇到过,当时03年我去一个企业,他说我们的网络有防火墙、VPN等等,为什么还是被蠕虫攻击了?比如说我们买房子买了很好的防盗门,但是我们门旁边有一个大洞,可以钻进一个人,这个小偷还撬门吗?他从旁边就进来了,所以你要保证你网络里面100%打齐这些补丁,你就可以不用装这些措施。但是任何企业的网管都不认为我的企业的机器100%没有问题,所以我们这个产品是防范这种问题的蠕虫。
当时在介绍这个产品的时候,用户会问我,这个蠕虫是如何判别的,我说基于病毒码,他说现在很多是厂家来没有来得及更新病毒码,怎么办?我们说还有一个异常行为扫描,他可以根据你的行为看你是不是一个合法的数据包,因为合法的数据包是不会对于底层的东西进行攻击的。我们这个设备也是基于HTTPS五的Web界面,它有管理口,端口的速度都可以自定义,而且也有液晶屏,而且它支持Fail Open,就是这个时间内我发现了多少蠕虫包都有一个冲击。
那么部署位置,首先它是以串联的方式,比如说我们可以串联在网关,比如说放在CSG的下面。这样可以达到互补。那么因为他的网口比较多,可以做多通道的网络,所以它可以部署在不同的TTN,而且一些政府单位也一些远程的机构,他是通过VPN来访问我们的机构。往往这些企业的总部措施做得非常到位,而分支机构他反而是没有注意。那么往往是分支机构把蠕虫带进来之后,他直接上升到总部。那么这个是我们WS500的部署建议图。其实,任何一个重要的网络都可以部署我们这样的设备,关键是看用户的成本的接受。
那么端口组合,我们有7个口,当他做Port Grouping模式的时候,他可以成立三个网桥,而且这三个之间是可以互相通信的。
我们在我们的展位上有这种设备,如果有技术上的讨论大家可以找我咨询,我今天的演讲到这里,谢谢各位! | 
