宋斌:尊敬的各位领导、各位来宾上午好!今天很高兴站在这里为大家报告网御神州的安全理念和解决方案,我今天报告的主题是“环环相扣,安全可控”。
首先我们来回顾一下2007年安全态势,可以看出各种网络安全实践与06年相比,有显著增加。我们可以看出07年的安全事件总量是06安全事件总量的将近4倍。那么我们不禁要问了,经过近两年安全网络研究,为什么没有取得多大成效呢?我们首先看一下,网络犯罪的守丹、规模不断提升,黑客往往利用仿网站、伪造邮件、盗号木马、后门病毒等,盗取大量用户数据;第二个特点,僵尸木马成为了我国遭受攻击的主要威胁,07年发现有超过350万台主机被僵尸程序所控制,僵尸网络控制员主要来源于美国和台湾。
回到我们刚才的问题,我们可以看到这些网络攻击的特点都隐藏在正常的网络访问行为中,而我们现在的安全产品是各司其职,造成了在安全产品之间缺乏相互的协调、互动,攻击正是利用这样的弱点来使安全系统丧失了它应起的作用,造成了攻击大规模的泛滥。
那么我们需要一个什么样的安全环境呢?怎样才能避免安全威胁带来的后果?那么我们需要的是有实效的安全、可驾驭的安全、可持续发展的安全。简单用一句话来概括,就是需要一个可控的安全。
那么接下来我将介绍网御神州可控安全的理念。我们将用户的安全系统归纳为这样一个模型,主要分为业务系统服务区、网络系统、内部用户区、分支机构以及远程个人接入,我们如何做到可控的系统安全呢?
这是城市边缘地区的一个用户去银行取钱的过程,那么城镇相当于业务边界,银行相当于业务系统核心,警察会保证到你安全的取到钱。从这个过程来看,用户需要取钱就要进城,进来之后有人去逛街,有人去取钱,而有人去抢银行,那么对于银行来说这就是风险,对于所有的警察来说他要了解到所有的状态和监控所有的信息,这就需要掌握所有业务流程的状态。我们分为了行为、接入、状态、风险,网御神州就是要实现从这4个方面做到系统安全的保障。
什么是安全可控呢?安全可控是根据组织的安全目标和安全计划,对实际安全工作进行动态调整,简单的讲就是对可疑问题进行纠正、调整。安全可控分为三个阶段。第一个阶段是发现目标;第二个是过程的可控,对可控目标进行监控和管控;第三,是结果的检查。从安全事件的角度来看,我们就要做到事前、事中、事后的安全可控,事前尽量避免安全事件的发生,事中及时响应和消除安全事件可能带来的危害;第三,事后,对安全事件进行解决,之后进行总结,避免这类事件再次发生。
我们讲了我们的安全理念,那么我们运用什么样的产品和什么样的方案来实现对安全的可控,来保证用户业务系统的安全性呢?网御神州的整个产品研发策略都是紧紧的围绕着安全可控的理念进行的。网御神州的产品分为两大类,第一大类是硬件产品,覆盖了防病毒、安全网管、防火墙、入侵检测产品等等。网御神州另外一大产品是安全管理产品,包括网络行为的审计、终端服务器补丁系统、事件关联分析系统、网络设备情况检测系统等等。那么我们的安管系统不仅仅是只能进行安全状态管理的工具,它还是可以进行对行为监控的工具。这样就可以说,虽然各司其职,但却又环环相扣,来保证用户业务系统的安全。
下面介绍一下我们的新一代防火墙,通过细粒度的内容可控,实现对威胁、弱点和行为的检测和管控能力,这是针对用户的网络行为、针对协议的网络行为,针对数据流量离散特征的网络行为,用户的网络行为特征模型是通过访问目的地、频度、位置、时间、深度、偏好建立的一套完整的异常行为识别体系,通过这个技术可以准确的甄别出恶意访问行为。
我们的防火墙主要是要对用户行为访问进行可控,同时它也收集用户的行为数据,对这些行为数据进行处理,另外对安管设备以及应用进行关联的分析,从中识别出异常的行为。
那么我们的安管产品主要包括三大部分。一个是我们的安全信息管理系统;第二个是安全网络监控系统;第三个是安全行为审计系统。安全信息管理系统是我们这套安管系统的核心,可以做到我们可控安全。
基于时间的我在这里举一个简单的例子,来演示一下我们的可控安全的实现过程。一个恶意攻击的用户,他通过一个正常的网络,把它的攻击隐藏在一个正常的网络访问中,访问到了防火墙的核心数据,这时候核心业务服务器把访问安全的行为给了安管系统,安管系统通过状态监控、状态分析、行为审计、风险评估,再加上用户的行为模型识别出这些恶意攻击,同时防火墙会实时阻断这些攻击,同时告警给公司安管人员。
实现可控安全主要分为三个步骤。包括单点可控、局部可控,全面可控。点可控要具有网络边界的风险控制能力,安全域划分及防护,重点业务应用边界防护最后全面可控要实现强化行为可控措施,建立统一的安全管理平台,强化事件关联分析能力,完善以保障业务为目标的可控体系。
我的汇报就到这里,谢谢大家。 | 
