姚伟栋：技术创新助力企业安全建设

姚伟栋：各位来宾上午好！我是东软公司的工程师姚伟栋，借今天的这次会议我给大家介绍一下东软公司的一些新的认识和技术上的一些新的思路。一个是我们东软在网络安全这个平台上我们所走过的一些路程，另外当前我们究竟应该通过一种什么样的技术来解决我们当前依然遗留下来的那么多的问题。

东软公司实际上从本质上来说是一个校办企业，但是校办企业到目前为止已经在市场上运作了近20年，东北大学是我们东软成长起来的一个重要的基石，目前为止我们的注册资本和员工总数已经为全世界500强里面提供一些服务。包括我们的全国，包括台湾，包括在亚洲，在欧美都有东软公司的战略机构。

东软公司是一个习惯于做第一的企业，包括我们的第一台OpenBASE的数据库，我们东软也是第一个通过了CMMI的认证。对于信息安全关系比较密切的事件来说，东软作为中国的软件企业我们首先承接了很大的课题。在去年奥运会前夕，东软公司又为中国的整个英特耐特构建了一张覆盖了全国英特耐特的流量分析师，迄今为止依然在为我们提供服务。

东软公司我们采取的质量管理体系目前为止依然是在建最完善的一个，我们在安全方案里面提供非常重要的安全管理方面的指导。目前我们的解决方案应用中心已经累计完成了投资额9000万元，我们可以把客户的需求得到一个完整的复制，并且会把我们所草拟的安全方案在这儿得到一个认证，客户可以通过这个验证中心看到他所能够拿到的以及他所采购的产品究竟可以为他实现什么，只有客户认可了以后才可以在项目中实施。

至于到产品，目前为止NetEye产品是分为三大类，有管理类的，控制类的和检查类的。很多网络安全的建设都要从防火墙开始，但是我们也不能忽视一点，就是防火墙和IPS是不是能够完全解决我们的安全问题，我们可以看到两个问题，一个是问题的表象，一个是问题的根源，表象和根源在某一些程度上可以相互的转换。比如说我们的防火墙，我们可以把防火墙放在一个边界位置上，会对所有的他认为是攻击的流量进行阻截，一个攻击或者是一个疑似攻击的流量是不是会对我们构成威胁，这个不一定。如果我们企图把所有的攻击都阻截的话，对我们的信息安全也许没有任何的意义，一次攻击发生了不一定真正能够达到的目标，不一定能够真正的奏效。如果我们把这么昂贵的设备投入到一些毫无意义的攻击阻力上，我们的投资收益会非常的低。

我们针对这个问题推出了一个新的产品思路，我们称之为网络监测系统，这套产品从另外一个方面针对我们当前的所遗留的问题做了一些解决，总体来说就是想通过表象来看问题，通过表象来解决问题。下面我给各位介绍一下是怎么来运作的。

我们的网络，我们的信息资产，我们投资了1000万，究竟有多少可以被我们所真正的利用，我们的网络资产和我们所看到的冰山是一样的，只有十分之一被我们利用，那十分之九是被毫无疑问的运动所消耗，一千万我们只能用到里面的十万或者是一百万。在这90里面的比例构成是多少？我们都无从得知，这个比例只能取决于这个网络的真正的适用者。使用者会决定在这个网络是如何被利用，网络里面的流量是什么，我们目前都很关注D6S，在2006年单次的峰值只有2.5个G，2008年可以达到40G的规模，40G对我们的企业用户来说是灭顶之灾，对于一个运营商的一个地市级的出口也到不了40G，这样可以造成运营商的网络瘫痪掉。

Bcthnet的运用我们关注了很长的时间。说到我们网络里面的流量都有什么，我们习惯于通过一个端口来看，一个TC的80我们说是一个WBE，但是实际上不是，这里究竟有多少个WEB，这个谁也说不清楚，因为80里面有WEB，也有一些不是的，这里面有一些好的流量，也有不好的流量，所以我们必须通过表象上的特征来分析出这个80里面是不是正常运用，这个正常运用里面是不是一些合法的请求。我们所认为正常的流量哪种状态是我们欢迎的，对于不欢迎的或者是不正常的流量我们如何剔除提取，是通过防火墙吗？我们用防火墙可以解决这个问题，但是对于10G的我们应该用什么样的防火墙，对于40G的我们又该用什么样的防火墙，这都是很大的挑战。

我们刚才说过网络资产有90%都在被浪费，当前已经金融危机了，如果花钱购买新的资产，还不如在浪费的90里面去寻找新的机会。我们从这90里面每当我们节省出10%都相当于我们这个资产整体上的翻番，100万的设备90万被浪费，如果从90万里面又挤出10万投入使用就相当于翻了一倍，这是一个更好的保护我们网络资产的一个途径。

DDoS，无论是平和的US还是较大规模的US都可以覆盖掉两个档次里面的所有的可溶性，在DDos之外，我们的视频之有一个区别，我们的网络当时建设的时候是给我们的业务系统所使用的，第二目标才是为了整个桌面系统上网来使用的，但是现在来看绝大多数的网络资源都是被我们的消遣类的资源所占据，比如说聊天、下载，这些利用会大幅度的挤占或者是降低带宽资源，这些不会产生任何业务的产出，但是消耗了我们主要的网络投入。

通过这个数据可以看出，我们随便在运营商的一张大网上采集的数据，从这个数据里面我们可以看到里面的视频和BT占据了32%，如果我们把这32%的视频和BT排除掉的话，相当于我们资产的利用率将会提高32个百分点。对于这些流量我们该如何去清除它？这些策略可能相对于防火墙会变得更加复杂。我们首先看控制范围，以前我们用防火墙的时候，用带宽管理器的时候会选择一个网络的出口和电路，但是就现在来看异常的流量或者是我们不欢迎的流量无处不在，光在出口这一个位置上来控制是毫无效果的，怎么在这个位置上解决并且保证上游节点和下游节点都可以解决这个问题，一定要把控制的范围放大。

另外控制的对象，无论是DDos也好，还是一些合法的流量，但是是一些无节制的合法流量都应该进行约束。控制的力度我们都不应该像防火墙那样看到了一个流量说要不过，要不就继续，这是太粗暴了。我们的控制力度应该能够根据这个流量之外的其他的一些流量，他们的表现来决定对这个流量该如何处理。跟网友进行视频对话，午夜12点的时候网络空闲，这个时候控制是毫无意义的。如果早上八点再进行网络聊天就非常的不适宜，所以对这个人的控制的策略我们至少应该考虑两个方面，一个是业务系统现在所需要的服务质量，它的满足程度是什么样的，第二，整个网络带宽占据了多少，我们至少应该考虑这两个因素。

控制的性能我们刚才说过了，千兆环境下什么都好说，用什么都可以，但是我们刚才说过了，我们的控制范围是整个网络，整个网络有多大我们的控制范围就有多大，哪怕都是千兆线路，你要都覆盖进来的话级别可能是几十个G，也可能是上百个G，这是对企业用户来说，这是性能的问题，我们不可能说在一个企业网里面放上几十台的带宽管理器，这个是毫无价值的。为了一个100万的元投入几百万的资源是本末倒置的，我们要在能够承受的价格的基础上提高性能。

我们通俗一些来说，我们希望我们的网络体系是一个能够自动调整的，甚至说是一个可以呼吸的系统，能够根据他所承载的不同优先级别的应用和不同的需求来动态的调解究竟该对哪些主体提供服务，对哪些次要的主体提供不太重要的服务。

有一些非关键业务，当非关键业务激战了关键业务的资源的时候我们的系统应该发现这个问题，告诉网络把非关键性的业务先放一放，并不是完全拒绝，是先放一放。我们的目标定位很明确，第一个我们要分层检测，要保证性能，我们首先要对全网所有的流量进行低级的监测，这个效率是非常高的，但是力度比较大。在这次检测以后我们会发现里面有一些可疑的流量，可以送到第二次监测的园区，再一个是分级的防御，网络层的拒绝，应用层的净化，还有管理等四级，每一级都一次的进行，多元的监控，网络流量我们要知道去了哪儿，里面包含了什么，我们都需要记录下来。

转发这个流量的电路、设备的状态是什么样子的，我们同样要进行监控，因为一次网络异常很有可能是某个设备配置错了，或者是状态瘫痪了。假设某一部分流量出现了一个错误的位置或者是突然消失了，这是一个什么原因，我们要关注是不是走的太快，是不是有错误的路径进来，我们的系统都会进行监控，我们会通过我们的SA进行调度，你的检测放层了，防御也分层了，他们之间可能会有冲突的运行，所有这些会由SA自己来调度，这是我们的一个核心技术。

这套解决方案我们会针对运营商，针对我们的高校，企业网都有不同的经济方案，包括对立场进行定位，在网络末端进行隔离，所有的这些动作都由我们的方案自动的完成，这是整套方案的技术框架，我们可以看到里面是怎么实现分析检测和分析防御的。第一次检测会筛选出哪些是DDos，剩余的流量可能是正常的，会进入到第二个体系中来，最终所有的流量净化完了以后要经过我们的QOS的监测，我们要提高效能，所以我们采用这么一个架构。

在DFI的支持下，相当于性能放大了十倍，假如说100个G的流量里面不可能全部都是异常，可能只有10G是异常，我们可以用DFI来提供100G的处理，让DPI提供实际的处理，从而能够保证对整个面上100个G的完整覆盖，在深度上可以对这100个G提供DPI的检测，但是价格只有原来的十分之一。

在我们的方案构成里面我们会采用三个固定模块，有完成总控的，主要是完成策略的收入和结果的导出，我们会用两款模块来分别完成流量的检测和净化，我们的方案是完全游离在原有的系统之外，你不会改变原来网络的任何的架构和配置，我们的监控分析体系是在你的网络之上的，对你原有的网络没有任何的介入，不用修改。NTARS是完成对异常流的发现，NTPG是完全进一步的识别，它的性能将对NTARS放大十倍以上。所有的这套方案都会通过一些网络单元的这么一个概念来认识网络，比如说什么是本地网络，什么是英特耐特，有哪些重要的业务系统，我们的系统能够通过这些概念来理解咱们的网络是怎么来构建的，怎么来被使用的，关注点是在哪些地方。

在此基础之上，系统就可以针对这些定义好的这些网络单元来生成他们彼此之间是怎么工作的，相互传了哪些数据，而且所有的数据都不是一个数字，而是一个随着时间曲线而变化的一个曲线图。作为一套安全设备，所有的异常在这套系统里面都会有所表现，如果说咱们要对100个G或者是几百个G的流量完成配置的话要有一些新的技术，到时候我们要分级检测，会把我们以前用到的一些异常的特征分别用到不同的层次上去，要一层一层的缩小范围。目前对这些异常我们分成六个异常大类，这都会在里面有一个特定的约束。

这里面有异常特征，这个特征是不够用的，我们的网络千差万别，每一个网络里面的应用也有一些区别，对于这些区别系统会自动的学习，会自动的建立起你这套系统的哪一种状态是正常的，当检测系统偏离的时候会认为是异常的发生，会进行报警。所有的这些技术包括一些动态的包括特征库来进行建议。一个协议在流量里面占据的百分比可以通过二次检测很简单的实现，我们在ICA里面所进行的一些工作可以对多个事件进行表达或者是匹配，但是虽然说是很简单，但是能够完成很多更复杂的逻辑。包括对一些异常流量的自动干预能够实时发现并且牵引出来，并且完成进一步的净化，流量的数据可以通过各种报表，包括告诉你有哪些异常的发生，在控制的时候我们能够控制你的带宽，你的优先级，而且我们刚才说过了方案本身是完全游离于网络之外，不需要对网络进行任何的修改。

这是我们系统所用的一些产品模块，在我们的产品里面就我们的低端设备来说也可以轻松挖成100G的流量的检测的要求。在我们的设计的场景里面我们分别给了电信运用上的电信承载网，我们的校园网或者是企业网，或者是数据资源集中区域分别有我们的解决方案，在这几年中我们得到了一个很好的锻炼和验证。以上就是我给各位做的一个简要的汇报，谢谢各位。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。