网络世界大会2013暨第十一届以太网世界大会速记

北京下午分会场二
2013-9-6

主持人:我是今天下午的主持人周圆,首先非常感谢在座的各位能够参加下午的分论坛。相信下午的主题演讲很快能让大家兴奋起来,马上开始会议。首先有请第一位演讲嘉宾谭杰先生,他是来自Fortinet五中国首席技术顾问,他将与我们一起探讨BYOD时代的安全技术演进。

谭杰:谢谢主持人,各位领导、各位来宾大家下午好,今天想跟大家分享的是BYOD时代的企业安全战略发展的技术,包括Fortinet公司在BYOD方面的一些解决方案。

首先讲到BYOD这个概念,这是近两年来在网络安全业界比较热的一个话题,也是企业或者政府机构的用户在部署网络安全的时候遇到的一个难题。BYOD什么意思?一个英文词组的缩写,使用自己的设备来办公。为什么会有这样的一个需求,实际上是跟现在的移动终端化和云计算,包括3G无线网络的大规模发展密切相关。

以前我们在建设网络安全体系的时候,为了确保一个安全的环境,为了规范内部人员使用网络的行为,我们通常会使用比如说像放火墙或者安全网关或者终端的一些软件,包括在硬件上做一些限制,来使这些上网用户不会去访问一些有害的网站,包括不会安装一些可能带来安全威胁或者法律风险的软件。常用的比如说有上网行为管理的网关,或者在PC上把光驱或者USB口禁用,让大家不能随意的应用软件。后来聪明的职员想到一种方法,公司给我配备的安全用机不够用,我干脆拿着自己的笔记本电脑来用好了,这是一个想法。另外,用自己的东西可能比较习惯,也省去了一些文件文档数据来回同步在不同电脑之间拷贝的麻烦。第三,随着现在3G网络的发展,公司的网络如果做了很多限制的话,我用自己的3G手机或者3G上网卡来上网,什么限制都没有了,使用起来也非常的舒服方便。于是这样的行为就越来越流行。

这样我讲的这些都是从使用者自身的角度来考虑这个问题的,从企业、单位的角度怎么看待这个问题,实际对企业对于雇主来说BYOD也有一定的好处,第一个好处就是降低了IT采购和维护的成本。大家都用自己的设备办公,公司的支出就大大的降低了,何乐而不为。有一些统计机构也统计过,大概有50%左右的企业是默许甚至欢迎鼓励BYOD的行为,而且实实在在的带来了一些采购管理成本上的降低。第二个好处,BYOD之后不知不觉工作时间就延长了,相当于不知不觉的加班了。比如我在路上拿着手机看了几封邮件回了一下,这也是雇主比较喜欢的一点。几个方面使得BYOD越来越流行,但是它也带来了很多安全的问题,不受控制,机器上想装什么软件就装什么软件,想上什么网站就上什么网站,木马、攻击都带到了企业内网当中来,形成了企业隐患。我们要想对它进行集中的管理很困难。因为BYOD设备有很多种得性,有用Windows为的笔记本,也有用iOS或者安卓的平板电脑、手机,所以采购的一些终端安全软件很有可能是不能够兼容所有的操作系统的,会导致在很多的BYOD设备上没法去装一个软件对它的行为进行限制。这就给我们造成了很多的困扰,接下来介绍的是我们怎么来面对这样的问题,有一些什么样的解决方案。

今天会议的主题以太网40年,我们知道网络技术的发展、IT技术的发展不断的在进步,过去的几十年当中也带来了生产力的推动。BYOD既省钱又让大家多干活,对于工作效率的提升也是有好处的,唯一的一点我们需要在安全上做一定的改进,去适应BYOD的环境,让它能够发挥出它的优势,同时又把它的负面影响降低到最低。所以怎么用好BYOD最重要的一点就是把它的安全管控好了。

有这么几种安全的思路。一种是在BYOD的设备上去装软件,另外一种是在网络的层面上对它进行控制。根据研究和用户的反馈,我们认为管好BYOD关键的核心点还是在网络上,因为我们知道不管是用手机也好,还是笔记本电脑也好,离开了网络这台设备的作用会大大的降低,几乎所有的工作都是通过网络来进行的。所以只要在网络这个节点说做好一个关键性的部署,来规范网络访问行为,过滤掉一些安全隐患的话,就能够达到对BYOD安全规范的目标。

Fortinet的BYOD解决方案是在这几个方面来考虑的。要保护BYOD三个W,第一个是who识别用户的身份,知道到底谁在用这个设备,他有没有权限,应不应该使用这个设备。第二个是Where,在什么位置,我们应该能够定位到它,它是在企业内网还是出差还是在家里还是远程的分支机构,我们会采取不同的安全保护措施赋予不同安全级别的保护策略。第三what,你要访问的内容是什么,你有没有权限访问这样的内容,你能够对这个内容做一个什么样的操作,你可以使用什么样的应用,哪些程序是你不能使用的等等。

接下来分别从这三个方面介绍一下Fortinet公司解决方案的思路。

Fortinet的解决方案能够告诉你BYOD的用户使用的是一台什么样的设备,他究竟是哪个人、哪个部门的、姓名是什么。要跟第三方的认证系统相结合,因为对于很多企业来说本身已经部署了现有的用户认证体系,如果新建一套效率非常的低,也没有必要。接下来实施一些强认证,包括单点登录,不管是内部用户也好,还是外部的合作伙伴、供应商、客户一些访客来到我们网内,他们使用这些系统如何保护,这样来解决用户身份设备类型定位的问题。

用到的是什么样的技术,第一个是对终端设备的有效识别和控制。Fortinet解决方案的核心还是我们部署在网络当中的一台网关设备,还是要在网络的层面着手,只有符合我的安全策略的流量我们允许它通过,其余的可疑的不合法的或者有安全威胁的把它阻拦掉。第一个层面就要识别一下终端类型,只有知道它是什么样的东西,才知道怎么控制它。比如对于一些比较严格的企业,它希望大家只能用公司配备的电脑用工,禁止一些BYOD的行为,如果有这样的需求我们可以这样来做。在Fortinet的网关上通过网络的流量就可以识别到你目前使用终端的类型,究竟是Windows还是安卓还是iOS等等,接下来管理员就可以基于设备类型做一些控制。比如我可以仅允许Windows操作系统的终端访问我的网络,其余的一律拒绝,这样在很大程度上杜绝了BYOD的使用。这是一种需求了。企业可能说我允许BYOD,但是对自有设备给出一些比较低的权限,核心的内容是不让他访问的,同样我们也可以做两类或更多类的策略。可以针对设备的map地址来控制,对于自有的BYOD设备我只允许他访问internet

对用户的识别,每个用户可能都有很多设备在手上,还有一种方法是针对用户,针对他所在的用户组赋予不同的安全策略。我们可以对不同的用户做一个跟现有安全体系的关联,比如现在企业已经用了一个Windows域的认证体系,都可以很好的跟我们的Fortinet安全网关做一个集成。用户第一次连入网络的时候,会要求输入用户名和密码,输入之后就可以识别到用户的名称以及所在的用户组,再根据管理员预先定义好的一些安全策略就可以允许他访问网络的某一个区域,禁止他访问网络的其他区域,而且还可以实现单点登录,比如我们使用Windos域的方式,登录到域之后我们的Fortinet网关就可以从域控制器了解到他的登录状态,再去上网或者访问其他资源的时候不需要再重复的输入用户名和口令了,也是降低了使用的难度,提高了友好性。

利用我们的一套统一认证体系还可以实现更强的认证。比如说静态的用户名和口令可能会被其他人盗用,每隔一段时间我们做一个修改,也是一种比较好的方法,比如要求一个月必须修改一次密码。另外一种最好的方法是使用双因子的,通过动态或者物理的认证方式加上一层保护。比如我可以用一个每分钟一变的动态口令或者要求用户在认证的时候需要出示他的用户证书,这样避免用户盗用的情况。

对于临时来到我们网络当中的访客,比如说供应商、合作伙伴或客户,Fortinet还提供了一种很好的访客管理系统。访客可以通过预定义提供访问权限,比如一天或者两个小时的有效期,当他来访的时候分配给他这样的权限,到期之后帐号会自动的关闭,不会长期留下后门脱离在我们的管理体系之外。

之前讲到的都是基于用户级和设备级的管控识别,在局域网和广域网端我们用不同的安全策略,让他享受到无论身在何处都有非常好的保护。第一部分在局域网当中,企业内部是怎么来保护的。现在我们企业内部用有线网,无线网的使用比例也是越来越大,范围也是越来越多。无论对于有线网还是无线网来说,Fortinet的安全设备都可以实施集中的安全管控,今天想介绍的是无线的集中管理和安全保护。我们通过瘦AP在企业内网,比如一个办公楼或者园区当中部署大量瘦AP无线接入网,通过Fortinet的安全网关,Fortinet解决方案不需要单独的控制气,而是集成在安全网关设备上,一来降低了采购成本,二来降低了管理难度。通过安全网关对所有的瘦AP进行集中的管理,所有的流量都可以到安全网关进行转发,所有的认证、授权都在这儿做一个统一的管理,所有的安全威胁比如说病毒、木马或者攻击,都会在安全网关上做一个过滤。所以无论是企业自有的设备还是BYOD的设备,通过有线网还是无线网的接入都可以经过统一的管理和安全过滤,这样在一个比较大的程度上就保障了安全。

既然能够识别到每一类设备甚至每一台设备以及每一组用户甚至于每一个用户我们就可以基于设备或者基于人实施不同的安全策略,这样的用户拥有更高的管理访问权限,另外一种用户一种设备只拥有访问Internet的访问权限,而且还可以实施不同的安全保护。比如针对邮件的需要做病毒的过滤和垃圾邮件的过滤,针对外部的访问也有病毒过滤的需求,同时还有内容过滤的需求,比如防止访问外部的不良网站或者向外界发送一些不良的信息。

现在用户移动办公的频率是非常高的,可能会在家办公,可能在路上办公,也可能出差的时候办公,所以在广域网端我们会有其他的解决方案,最主要的一个是VPN。无论你是身在何处想要访问到企业内网,Fortinet安全网关都给你提供了非常灵活的VPN的接入方式,有IPSec的VPN,还有SSL的VPN,还有PPTP和L2TP,可以根据不同的设备类型和操作系统支持VPN的类型是不一样的,没有关系,Fortinet安全网关对协议的支持非常的全面,不管你用什么设备都可以找到一种方式安全的、加密的接入到内网当中来。

保证了我们访问内部的一些服务或者应用的安全性,包括它的私密性、完整性都可以通过VPN来保护。这是从远程访问的角度来考虑的,另外还会考虑到一个问题,在企业的边界在网关处部署了一台非常先进的非常专业的安全网关的设备,上面有各种各样的安全功能,比如说有防病毒,有入侵防御,有内容过滤,有上网行为管理等等。但是如果我把笔记本或者平板电脑、手机拿出公司之外,到了酒店或者到了家里,在这个地方因为缺乏一个企业级的安全保护,所以它很有可能在家里或者酒店就中了病毒,回过头来回到公司可能就把病毒带到内网里来了,这是以往我们常见的安全风险。Fortinet为了解决这样的安全隐患,我们也做了一个改进,我们会在每一台终端上有一个安全保护的软件,叫做FortiGate,装在手机上。当这个用户在企业内网的时候,它会自动的寻找到企业内网部署的FortiGate软件,把安全保护策略,部分防火墙的、病毒防御的、内容过滤的、入侵防御的等等都自动的下载同步到我的PC软件上来,包括VPN的拨号的设置等等都可以自动下载下来。当我离开公司的时候,我的PC上这样的软件会去运行跟公司一样的一套安全策略,也就是说不管我是在公司内部也好还是离开公司也好,我所受到的安全保护的级别几乎是相同的,这就是所谓的终端全天候的安全保护,它可以很好的解决离线状态下安全隐患的问题。这一部分就是我们针对BYOD内网和外网不同场景下的安全保护。

第三点What,我们要访问的内容是什么,数据是私密的吗,是人人都可以访问的吗,数据是不是安全的,有没有被窃取的风险,恶意的软件会在网络访问和应用使用的过程中会传播吗?Fortinet是全球最大的销量最好的一个UTM多功能的安全网关的厂商,因此在上面我们已经天生的做好了准备。在Fortinet安全网关设备上提供了2到7层一系列大概有20多项不同的安全功能,可以从网络层到应用层提供一个最全面的保护。因此刚才我们提到的这几个问题在Fortinet也已经有的非常成熟的解决方案,比如说我们有DLP数据泄漏防护的功能,就可以很好的防止比如内部用户将一些企业机密的、敏感的或者说非法的有害的信息发送到外部去,在网关上可以过滤掉。应用控制功能可以来识别并且阻止各种各样的不良的或者有害的、有安全威胁的或者滥用网络造成大量的资源占用的一些应用,比如说P2P或者IM或者木马、僵尸网络等等。防恶意软件,无论你在内网还是外网一系列的僵尸、木马、蠕虫、病毒等等都可以过滤掉。垃圾邮件过滤很简单,无论你用PC还是手机,都保证你几乎不会收倒垃圾邮件。Web过滤,防止浏览非法的、有害的、色情的等等一些网站。流量控制,对于BYOD的用户来说,接入到网络里,你在使用网络的时候会受到流量上的管控,比如你在用P2P应用的时候不会影响到其他人对业务的正常访问。这里面我举了几个BYOD环境的安全应用场景的案例,有这样一个客户Emily在访问企业的时候,想用自己的iPad上到Skype打网络电话,语音流量也是可以消耗一定的网络资源的,同时他又是一个客户,我们还需要给他创造一个比较好的网络访问环境。我们起用了WiFi上的来宾管理,给他开了一个临时的2小时的访问权限,因为他就是今天上午来访问一下,同时给他做一个流量的控制,使得他的这种使用不会影响到员工的正常办公。

员工Bill自己的笔记本感染了病毒,带到公司办公,而且连入了网络。这个时候我们的解决方案当中有网络防病毒,可以防止它通过邮件或者Web或者聊天软件把病毒传给其他人,限制在他自己的这台PC上。

Jane去咖啡馆跟用户洽谈生意,用户问到了报价,他希望访问公司的总部获取一些资料。他可以利用SSL VPN以及双因子认证,以一个非常安全加密的形式连入公司的内网,获取他想要的信息。

Susan是市场部的员工,她需要在公司的Facebook主页上发布一些公开信息,但是她又不能在上面玩一些游戏。可以用应用控制限制的非常精确,你可以做这样的一件事情,但是你做不了另外一件。另外还可以用防数据泄漏,公开合法的信息可以向外发布,而私密的信息可以通过一系列的技术手段识别出来,在你尝试发布的时候就把它阻止掉了。

Joe使用平板电脑工作,顺便下载一部电影,这样回家的路上就可以看了。可以用应用控制来识别并且限制这样的行为,比如说上班时间,不可以用迅雷看看,不可以用优酷等等这样的一些与工作无关但是又大量的消耗资源、消耗网络带宽的应用。

Edwin用自己安卓手机上的私人Gmail邮箱,去给好友发了一个带有公司保密信息的PPT可以用防数据泄漏的功能把他的行为阻止掉。

在Who方面对于BYOD的权限控制,我们能够有效的识别终端的类型,每一个终端点以及用户、用户组,通过一个统一的接入控制和强认证的体系来确保接入网络的是经过我授权的终端以及经过我授权的用户。我还可以通过访客管理对于临时的访问行为做了一个有效的控制。Where作为全天候的访问控制,你在公司内网我有有线及无线的集中管理和安全过滤,如果你在公司外网可以通过VPN和远程AP的方式给你提供一个安全的快速友好的访问公司内部资源的通道。我会通过Forticlien终端软件对你的终端设备做全天候企业级的安全保护,无论你在公司还是在出差还是在家里。最后What我们提供全方位的从2层到7层,从网络层到应用层全面的安全保护,利用Fortinet最强大的UTM的保护功能,包括防病毒、入侵防御系统IPS、应用控制、防数据泄漏、内容过滤、反垃圾邮件、流量控制等等。给你的BYOD用户提供最全面的立体化的综合的防御体系,这就是我今天想要跟大家分享的所有的内容,谢谢大家!

主持人:下一个议题是关于下一代防火墙的,下一代防火墙一直是一个最热的话题,我们邀请到了网康产品经理熊英(音)先生,为我们介绍下一代防火墙的最新技术和产品。

熊英:自我介绍一下,我来自网康,目前在市场部,我叫熊英。大家可能都参加了上午的会议,我们都知道以太网这个技术走入我们的业界,来到我们每天使用的网络里面已经有了40年的历史,不过今天的话题是关于防火墙,关于下一代防火墙的。我想问一下在座各位有没有人知道防火墙面世到今天经历了多长的时间,昨天我在准备胶片的时候查的一些资料,从最早的防火墙开始,我们所认识的传统的防火墙,1995年推出的一款基于软件的防火墙,这是业界的第一款状态检测的防火墙,也就是我们之前所了解的防火墙。可以算一算,从1995年到现在2013年也有将近20年的历史,应该说在我本人先前工作的经历当中有幸看到了在后面大概半段时间防火墙演进的过程,我看到了传统的防火墙,也看到后来业界定义的集成化的方案,像UTM这种东西,现在也接触到了新鲜的名词下一代防火墙。我想很多人在接触下一代防火墙的时候都会和我最初一样,认为这是一个在炒作概念的东西,坦率的讲我对这个东西也有一个认识和了解的过程,不过今天我想讲的题目是网康下一代防火墙——网络安全新主张。

今天跟大家分享几个话题,首先是关于网康科技目前的进展。接下来围绕上一代和下一代展开论述。首先网康科技成立于2004年,总部在北京,研究有500名以上的员工。我们是一家技术型的公司,从2004年成立到今天,一直专注在网络应用层技术的研究上。可能有很多用户先前使用过我们的设备,可以说网康是中国上网行为管理理念的缔造者,截止到目前我们已经拥有100多项自主的知识产权和技术专利。在国内已经积累了12000家用户的群体。

从我们的技术理念上来看,我们希望做中国乃至全球范围内在网络应用层方面的专家,为什么会有这样的定位,因为我们认为在当今我们去谈安全也好,谈管控也罢,不能抛开三个话题三个最核心的要素,那就是人、应用和内容。因为我们去做安全的时候,去管理的时候,说到底是针对人的管理。管理的前提是我们一定要了解网络里面的流量,洞悉里面到底传输了什么东西,核心是看到流量里面的内容到底是合法的还是非法的。而这一切基于网络的模型来看,我们必须要基于应用层来实现。大家如果使用过我们的设备会发现我们其实关注的并不是传统的数据的传输,而是应用的通常,不是网络的吞吐而是用户的体验,不是网络里面的IP地址、协议、端口,而是人、应用和内容。围绕着人、应用和内容在安全、在管理、在优化方面,截止到目前为止我们已经规划出来六条优秀的产品线。六条产品线组合在一起可以形成一套比较完整的立体安全解决方案。

在正式的开始了解下一代防火墙之前,首先大家一定要搞明白一个问题,那就是上一代到底怎么了,我们所谓的传统的东西到底出现了什么问题。我们进行了一些总结,首先传统防火墙在今天已经不能够充分的理解当前网络里的流量。可以想一想,在先前我们是怎么样来理解网络里面的流量的,会简单的基于IP地址跟我的用户相挂钩,可以看网络里面的数据包跑什么端口判断它是什么样的应用。在今天应用大爆炸发展的时代,其实已经不适用了,IP地址不再等于用户,简单的去看协议的端口你没有办法判定出来到底是哪一种应用。更重要的是当传统的技术其实只过滤数据包的包头信息,不会过滤数据包里的内容。举个不恰当的例子,一个警察在甄别好人和坏人的时候,只是简单的看这个人穿什么颜色的衣服。如果他穿一件黑色的衣服,他认为这一定是坏人,穿红色的衣服一定是坏人。但是今天威胁不断的演进,坏人也学会了乔妆打扮,坏人穿上红色的衣服用传统的衣服就没有办法检测出来。

我给出一个成语盲人摸象。如果每个人都闭着眼睛去摸大象身上某一个部分,我们是得不出来真正的大象到底是什么样子。当前的威胁是什么样的,我们对发生在最近几年的威胁做了一些研究,尤其是最近,之前我去做一次攻击,去做一些渗透就完成了一次攻击,但是现在几乎所有的攻击都是123456分流成的非常精细的环节。黑客把一个完整的流程拆开分多个环节,这样有利于隐秘自己,而且每个环节都有各种各样的方法不断的尝试,直到渗透你的系统为止。我们之前是怎么做安全的?部署了各种各样的设备,有各种各样的安全功能,每当我们去溯源一个安全事件的时候,总是要到不同的设备去查日志,如果发生了攻击,要到防火墙日志里面去看一看。这些割裂的日志能带给你什么,你其实看到的只是123456当中的某一个环节。如果你不是一个既了解业务又精通技术的专家,作为普通的用户来讲,看到这些割裂的日志没有办法洞悉到整个威胁的全貌。也就是说,你不知道黑客到底要做什么,你也就很难预见到你自己的风险。

亡羊补牢和按图索骥,这跟我们传统做安全的理念有很大的关系。之前我们怎么样去防御一个危险,当一个威胁发生之后我们怎么样去防御它可以举一个很简单的例子,大家电脑上都安装了杀毒软件,正常工作的前提是你必须要及时的去更新病毒库。病毒库哪里来的,一定要寄希望于有人先中了这个病毒,他报告给安全厂商,安全厂商捕获这个病毒,分析特征,更新到数据库里,安全产品完成自身的更新,来形成一个相对比较完整的防护。这是传统做威胁防护的生命周期。看这个流程图发现什么问题,每次我们都是在工程设计威胁发生之后才开始研究,这其实就是在亡羊补牢。简单的基于代码的特征去做这种匹配往往忽视一个问题,当今的威胁已经都具备快速变种的能力,一旦威胁进行快速变种特征码会发生本质的变化。再基于简单的特征码进行比对,按图索骥其实是检查不出来威胁的。

各行各业都在做体验,做安全以前一直没有强调这个概念,但是今天我们必须要把体验拿出来。传统安全应用性很难达到平衡,之前我们要买一堆设备,每一个都具有自己不同的安全功能,你向把它组成在一起形成一套相对完整相对可以去协同工作的系统,本身就要求有非常高的技术门槛。在网络安全的业界里有一句老话叫三分靠技术七分靠管理,十年前这么讲,但是十年后的今天七分管理仍然没有百分之百的落到实处。之前我们使用传统的设备进行管理的时候,每天看到的都是单调的日志,IP地址、端口,并不知道它到底意味着什么。有一些安全设备可能会呈现一些报表,体现出来当前的网络里什么样的流量大什么样的流量小。在这样的情况下,这样的报表对你做安全策略上的调整又有多少直接的促进作用,可以说没有,我们看到的只是当前网络监控的状况,并不知道这样的状况意味着什么,有什么变化,会有什么异常存在,这些我们不清楚。

之前大家使用安全设备的时候,我想大家都会有体验,那就是安全跟性能其实也一直成反比。我们只希望它能达到一个平衡,但之前也没有达到平衡。我们无数次的看到对于一套安全系统或者一个安全设备,每开启一个安全功能性能都会下降一大截。当你把所有的安全功能全部开起来之后,你会发现设备的性能已经不足以支撑网络正常的转发。为什么?之前我跟大家一样都会认为是设备硬件的配置硬件的运算水平达不到这样的要求,倒过来想一想硬件的发展其实是在飞速变化的,硬件遵循摩尔定律每过18个月性能就要提升一倍,为什么设备的性能始终做不上去,其实我们忽略了处理机制上的问题。传统部署一套集中化的方案,只是把各个安全功能各个引擎简单的叠加在了一起。当数据包进入我这套系统的时候要一个引擎一个引擎逐个的去检查。首先一个数据包进入防火墙,防火墙认为没有问题去执行解包的动作,把它送到下一个引擎,下一个引擎认为没有问题,把包封起来进入下一个引擎。这样持续不断的封包解包,其实才是真正延时产生的原因。在这之前我们的设备无论性能做到多高,但是在软件上面从来没有改善过这样的机制,这还会带来一种很大的问题。比如说一个数据包,经过前三个引擎的时候认为都没有问题,但是最后一个引擎一个HPPT的访问,发现我的网址是不合法的是被过滤掉的,在前三个引擎的检查其实都是白做了,这说明它们之间没有一个很好的联动。

根据我拿到的一些数据,这几年中国每年投入在信息安全里面的预算只能占到整体IT预算的1%到2%,而美国是10%到11%。最后我给了一个答案,安全防御的是风险,根据信息安全管理的框架里面的标准定义,风险是威胁利用弱点、利用漏洞造成信息暴露的可能性。风险说到底只是一种可能性,既然是可能性,也就是说我们很难对一次信息暴露所带来的损失进行量化。这意味着我们在做安全的时候,到底防御了多少风险,风险有多大的价值,我们很难说清楚。有几点要求,第一点要求我们能够更加清晰的认识到当前的业务跟我们信息系统之间绑定的关系,要清楚的看到我们的风险。第二点,要求安全厂商能够做出来更经济的解决方案,不单单指设备在初次购买时的成本,更重要的是设备的日后管理成本。管理上要花多少钱,这其实是一个更大的投入。

如果我把传统的防火墙比作一块盾牌的话,我用了一块有了裂缝的盾牌,加上我刚才分析到的那些失效底性能、复杂昂贵,让原本已经有了裂痕的盾牌也已经不复存在了。这种情况下业界引出了下一代防火墙的概念。我首先必须澄清下一代防火墙不是网康提出来的,也不是业界任何一个厂商提出来的,2009年的时候由业界权威的咨询机构Gartnet定义出来的概念,这份报告我仔细的读过,我认为这当中最引起我注意的几点,其实也是下一代防火墙作为一个新鲜的产品形态所应该预备的一些标准和功能。

首先下一代防火墙要有基本的防火墙功能,之前做的那一套安全防护的东西不能丢掉。其次下一代防火墙一定基于应用层的防火墙。基于传统的技术没有办法去理解当今网络里面的流量,必须基于应用。第三要集成入侵检测的功能,我个人在理解这句话的时候,我喜欢做一个适当的修改,不太喜欢集成这个词,更愿意用融合。下一代防火墙需要是一个智能的防火墙,下一代防火墙它的智能体现在什么地方,防火墙部署在网络的边界处,它是一个执行者的角色,总是去看数据包,哪些数据包毛允许放过,哪些需要阻拦。我们要求下一代防火墙要足够的智能,让它成为一个具有执行能力的建议者。所有的这些加在一起必须还要实现高性能,我们再也不能出现先前的情况,要么安全功能开不起来,要么开起来性能不足以支撑网络运转。

网康对于下一代的防火墙也有自己的核心价值主张,针对刚才分析的问题下一代防火墙要做到更安全、更简单、更完整、更经济。所谓的更安全要求我们能够基于应用深入的洞悉到网络里面的流量,应对当今越来越普遍的应用层威胁。其次还有很多威胁是属于未知威胁,也就是说我在讲特征码生命周期的时候,可以告诉大家越来越多的威胁和攻击是针对企业的定制化攻击,采用的是零日志的漏洞的这个攻击发生之前没有在别的地方发生过,攻击你的时候是第一次用,也许攻击完之后也就不存在了。我们要做到更加主动的防御。

更简单的安全,要求我们的防火墙能够提供数据上的支撑,对数据要有统计和分析,告诉管理者网络当前发生什么样的变化,有什么样的趋势。

更完整的安全,其实是针对性能来讲的,要求我们把所有的性能同时开启,并且能够保证非常高的性能,支撑网络的运转。

更经济是把拥有成本和投入成本控制再一个比较合理的范围之内。网康其实就是基于我们自己对下一代安全的核心价值主张规划了自己的下一代防火墙产品。我们的设备有几个特点,首先我们是一个基本防火墙,意味着无论是下一代防火墙还是传统防火墙,只要先前使用的是传统防火墙,下一代防火墙都可以做到。不但基于应用做控制还可以看到网络里面发生了什么事情。下一代防火墙还要提供一体化的安全防护,我们关注到病毒的防护、漏洞、恶意软件等等。甚至我们注意到当前黑客在攻击你的时候核心目标是什么,越来越多的黑客直接把目标瞄准到企业里面的核心数据,因为这些能够带给他最暴利的经济上的获得。我们关注到了这一点,把数据防泄漏的功能也加入到下一代防火墙设备里面。为了应对越来越多的未知的威胁,我们集成了主动防御的功能。所有这些结合在一起,通过硬件的创新、软件架构的创新以及软件处理机制上的创新实现了更高的性能。

我们是如何来实现自己的价值主张的,首先更安全的安全。我反复的在讲下一代防火墙是一个完全基于应用层去构建安全的网络设备。因为基于应用层,意味着我能做到更多的事情,可以识别到网络里面的用户,也就是人。可以识别到他具体在做什么样的应用,抛开端口的概念。一个流量不管跑什么样的端口,也就是说一个人无论穿什么样的衣服都可以直接看到你的本质,在这个基础上去进行一些控制。当然我们也可以给一些应用分配资源,有带宽、会话、连接的资源。基于应用我们不会像传统那样只看包头信息不看数据背后的报文,我们可以看数据里面的内容,进而对内容进行精确的过滤。下一代防火墙基于硬件构建安全,我们可以比较完整的应对应用层的硬度防护。你说下一代防火墙可以去应对应用层威胁,像我们传统定义的设备,人家防御的也是病毒和木马,难道这些病毒和木马就不是应用层威胁吗?我想告诉大家,大家往往忽视一点,一个真正应用层威胁的应对需要一个固定的环节。第一步是什么,前提是你必须识别出来这是什么样的流量,首先识别出来应用再去识别应用层的威胁。因为几乎所有的应用层威胁,木马、病毒都具有自己特定的协议属性。

一个Windows电脑上的病毒,把这个病毒文件拷贝到Linux操作系统上,你会发现这个病毒根本运行不起来。在我们的设备里面,为了避免这种漏检或者无谓的检查,我们必须识别出它是什么应用,下一代防火墙完全基于应用层抛开端口的概念,对应用的识别度更好。

我们有了中国最大的应用识别库,包括了主流的三千多种互联网应用,同时我们也注意到了BYOD大量发展的趋势。在我们的特征库里甚至已经包括了超过700种的移动应用的支持。我们如何做到更好的识别威胁,在下一代防火墙里也有一些创新。网康是业界第一家把病毒云查杀技术用于防火墙设备的厂商,因为有了云计算的优势,带给我们在病毒查杀上面的提升也是非常明显的。云端上拥有最广泛的资源,你可以看到在云端上已经收录了超过2亿级病毒文件的数量,在传统安全这个数量受限于存储空间的大小不太可能做到很高,做到千万级已经很了不起了。

以前病毒查杀都在设备本地做,非常消耗性能,但是今天我把这个事情交给云端去做,它的性能可以得到一个很显著的提升。澄清一下并不是把所有的流量都定向到云上面,只是我对流量取一个摘要值,很短,云做出判断之后告诉我它是不是病毒就好了。效率是非常高的。

因为云端永远在第一时间更新,这比传统本地查杀的优势强很多。因为原来做本地查杀的时候设备一天会更新一次病毒库,为了尽量减小对资源的消耗,会定义在网上使用的闲时。假如今天早上6点钟新的漏洞暴露出来,安全厂商做了很快的响应,6点半更新到自己的特征服务器上。但是产品今天过了更新的时间,要等到第二天凌晨2点钟再去更新,一天的时间十几个小时,在今天可以发生很多事情。一个新的威胁暴露出来更新在云上,我们只需要几分钟的响应时间就可以查杀掉,所以我们的木马查杀率高达99%。

有了这些是不是高枕无忧了,不是,有越来越多的威胁是我们根本不知道的,云上也不可能收录,之前没有攻击过任何人。对这种未知威胁怎么做,下一代防火墙提出了主动防御的概念。刚才讲了很多技术上的东西,讲主动防御的时候我只想举一个很简单的例子。之前我们做一些安全防护的时候往往都是在做被动的检测,基于匹配,基于特征码匹配的技术。

假如今天我们开会的会场放了价值连城的珠宝做展览,为了防止有窃贼进来把珠宝偷走,一定是在大门口放上摄像头,每个人进来拍一张照片,和惯犯的照片做比对,但是不能排除一种情况,今天来的窃贼是第一次做案,在照片库里没有这个人的照片。我们需要在房间所有的角落装上摄像头,每个人进来我们要严格的看他的行为特征。如果窃贼进来要偷珠宝一定有一些行为特征,比如会有一些紧张,东张西望,这些都是行为上的异常。下一代防火墙的主动防御就是借用了这样的理念,下一代防火墙基于应用层构建这意味着我们可以对网络上的大事小情都可以做到充分的掌握,在此基础上我们对掌握的数据进行大数据的挖掘,挖掘出来之后你能得到一些异常流量的行为特征。我们可以分析这些东西到底异常在哪里,不断是不是威胁,最后主动调整策略把异常的连接、未知的威胁关闭掉。

基于这几种技术我们构建了更简单的安全。就是通过可视化的技术实现的,难道安全设备上的可视化是下一代防火墙的专利吗?其实不是,这是很早之前的事情。但是在今天下一代防火墙的可视化跟传统的可视化有一定的区别。登录设备可以看到当前网络里风险级别,通过四块面积大小、颜色判定网络里面高危流量的占比。我们也对数据做统计,最大的区别是我们会对这些统计进行分析比如说一个IP地址昨天流量是10兆,前天这个时间点是8兆,但是今天同一个时间点达到了40兆,这是异常的行为。流量看似是正常的,但行为是不正常的,我们可以基于这样的行为特征进一步点击期限上的点。今后你看到的不是单纯的IP地址会看到这个连接从哪里发过来发到哪里去所有的流量都是以应用作为第一维度的,不论跑什么端口都能看出来他在做什么事情。

之前只能看到一条一条的安全日志,但是下一代防火墙把所有的安全日志包含在所有页面里,可以很简单的看到一个完整的故事。之前只有技术上的专家才能通过人工的挖掘把所有零散的片段串成一个完整的故事。

还有一个案例,在我们的设备里怎么抓到一个僵尸主机。通过这个线看到当前流量很大,蓝色的色块占比超过95%,我们只需要在这个色块简单的点击一下,到了这个页面告诉你这个色块代表的流量是什么样的流量,当先有什么样的主机在使用这种协议传输流量。我们发现只有一个IP地址但是建立了百万级的连接,我认为很可疑,只需要在这个IP地址上再点击一下。到了这个页面,所连接的目的地址的连接全部列出来,如果你认为不够直观,继续的下拉页面。所有连接到的地区就都显示出来了,我们发现他一个人在向八个不同的国家和地区发链接,我们认为很有问题,继续点击了一下。到了这个页面所有的流量全都出来了,由此我们看到这一个IP访问不同IP的高危端口,发送的字节数都是一样的,这不是一个正常的网络行为。我们主动的调整了策略,最终流量的占比大小都趋于正常。这样的案例地你甚至没有动一下键盘,通过鼠标在单个页面上单次的点击就完成的僵尸主机的发现,传统的设备里是我们不敢想的事情。

我们的设备集成了一体化防护,关注所有的威胁,这跟传统集成化的设备有什么区别,下一代的设备一定是一个一体化的引擎。数据包进入我这套系统之后不会逐个系统通过,在这一个引擎里面包括了所有的威胁防御的技术。这样做的好处有两点,第一是检测效率有了非常大的提升,第二是一个引擎里面的多个功能是可以去联动的,它们之间可以更好的协同工作。我们对设备的性能也进行了研究,发现我们的设备开启所有的功能,衰减并不像传统设备那么强烈,还有一半多性能的余量。

我说我的产品和设备是更经济的解决方案,相信大家很能理解,因为我们是一体化的价值取向。意味着一个设备一个盒子价值是最高的,大大简化网络里面架构上的部署。以前我要请两个工程师管理四台设备,现在一个人花一般地时间管理一台设备就好了,管理成本也有大幅的降低,是更经济的方案。

通过一系列技术上的创新,尤其是安全理念的变革,给下一代防火墙带来了更安全、更简单、更完整、更经济的价值。网康一直讲一句话,叫上好网,用好网,这六个字是我们在做产品提供服务的时候一直以来在坚持不懈追求的目标。从下一代防火墙的角度来讲,我们有两个愿景,首先通过下一代防火墙能够让每一个IT管理者,你也许不具备太多的安全方面的知识背景,同样能够成为网络安全的专家。另外我们希望对社会整体的网络安全水平做出贡献,让每一个企业、每一个机构在不付出太多高昂成本的情况下,你就能拥有一个世界级的安全防护。最后用一句话结束今天的演讲,安全源于未雨绸缪,何不早日风雨同舟,谢谢大家。

主持人:第三位演讲来自新加坡电信的张先生,他是新加坡电信中国代表处的首席代表。演讲题目是为企业的未来发展提供动力。

张先生:女士们、先生们,下午好,我是新加坡电信大中华的总经理。

在探讨解决方案之前先看一下现在全球的一些大的趋势。联合国之前有一个调查报告,目前全世界人口大概是60亿,联合国的一个调查报告指出在2025年全世界的城市会有37个变成大都市,每一座城市将会超过一千万人,37个里有22个座落在亚洲。范围从500万到1000万的话,这样的城市更多,将近60个。全世界60亿的人口将近1/10的人口即将集中在都市里面生活。人口集中化、都市化带来更大的冲击是我们需要更大、更广、更好的基础建设,不仅仅是企业机构,包括政府机构。你个人在使用的这些设备可以连上互联网的,你有多少个设备可以连上互联网,平均来讲每个人基本上有一台PC可以联网,你的智能设备。在今天每个人正在使用的可上网的设备是2.5,在2015年这样的设备会从2.5提升到3.5。更恐怖的是在2020年个人可以联网的设备将从3.5台提升到6.6台,当然这是需要一点想象力的,可能现在没办法去了解为什么个人平均需要6.6台可以上网的设备。

这样的趋势代表着在未来网络上面会有很大的数据,不仅仅是设备数量增加了,而是设备上网的容量和速度也增加了。不管是GSB,随机的Mobile,网速大概是8兆到10兆,亚洲很多国家都已经用到了第四代的4G,高达250兆到500兆。速度变得更快,内容变得更多。这么大的数据量,未来这些企业和政府机构怎么去去截取,怎么样去收集和储存做分析。这些都代表着消费者的行为习惯和用户体验在改变,消费的行为模式在改变的时候,作为企业你的生产模式和你的销售模式也会跟着改变,你怎么样去做这样大数据的分析,这也是很重要的一个趋势和课题。

我们有一个小小的结论,未来企业的形态将是一个全新的形态,全新的一个潮流,我们称之为数位经济。我们今天所接触的人事物都已经被数位化了,我个人在电信产业服务了快14年,数位的潮流非常的波涛汹涌。以前看到很多的应用,比如从物理层来看它的一些本质或者内容,从数据、从语音和一些物理的特质来看这些应用,其实现在所有的应用都被数位化了。这样的趋势、潮流,企业会面临很大的压力,因为你的整个流程改变了,你怎么样面对你的客户,面对这些消费,你的平台IT的沟通平台是不是能够应对这样的潮流,完全的融入到数位经济的未来。

我们做了一些什么准备,这些准备有没有一些快速的或者比较直接的解决方案,能够满足到企业未来发展的重要的目的。除了刚刚讲的三个趋势之外还有五个科技也是会冲击到企业未来的发展。包括Mobility,Smart Machine,Social,它在改变客户的一些体验。这些科技日新月异,一直在成长,消费者的体验也在跟着技术更新和创新,你的体验也在跟着改变。iPhone上市以前你怎么样来用你的这些应用,到现在包括华为、中兴、HTC,越来越这些智能终端的上市,你的行为模式、你的消费模式都被左右在改变着。我们必须要把由这些新的科技产生的资料和大数据去做分析,更能了解你的客户,了解你的消费者。从这样的需求里你能够去做一个转型。企业都需要转型,现在的企业不是只是生产和销售,没有办法跟消费者连接在一起的企业一定会被淘汰掉。

现在传统的企业利用这样一个平台,传统的IT平台是一个比较繁琐的过程,而且是比较消耗时间的过程。比如你为了要构建这样一个沟通平台,你要买硬件、软件,要去招募IT人员。Everything as a Service,我们不仅在提供软体,还提供应用,只要是你能够想到的我们都必须要大大的运用云计算这样一个新的科技、新的平台完成这样的需求和目的。

我是比较技术的,如果你想从主题演讲里边听到一些太技术的东西,我先跟各位抱歉,我说的内容不会太与技术相关,但是我是想通过这样的演讲跟各位分享一下我们看到的未来的趋势,设身处地的从一个CIO,从一个IT的管理者或者是员工的角度来看,怎么样能够帮助企业提供未来需要的动力。

如果这是企业未来的蓝图,不敢你是做B2B的还是B2C的,你需要做很多垂直的整合,需要面对新的浪潮新的趋势。很直接的你会面临到的一个问题,这是外在的一个环境,这边是你内部的一个环境一个基础建设。我们已经准备了吗?你怎么样去面对这些新的更高的更广的数据的分析。您的企业、您的IT有没有这样平台,可以面对这样的时代的潮流、时代的需求。

我们从电信公司的角度提供了这样的看法,看看今天的整合方案,从企业的发展来看只有电信公司能够提供固网,只有电信公司能够提供行动通讯,现在大部分所谓的云计算中心也是由电信公司提供。我们提出了Fixed Mobile Cloud Convergence,可以提供端到端的一站式的解决方案,因为这些都需要你的基础建设,需要既有的平台的整合能力。我们认为FMCC针对这些探讨提供了综合的解决方案。

FMCC是什么样的构架,我们刚才探讨了很多,有大数据、有云计算。有了FMCC的整合能力,如果你今天要去勾勒和描绘,你希望是一个什么样的IT架构。这是外在环境,这是内部环境,怎么样让内部的环境能够快速的及时的融入到整个外在的生态中。没有太多的时间,甚至从成本上考量不可能在很短的时间之内给予这么高的预算成立所谓FMCC的平台,我们没有其他的一些选项。我们希望能够在最短的时间构架一个IT架构,可以完全扩容整合的一个单一的简单的平台。

CIO需要什么,最需要的就是简化的整合服务。其实现在的CIO统称为资讯长,传统的资讯长看的是你的IT环境,内部的环境,现在的CIO也是有更多的目标,甚至一些任务、一些使命。比如CIO应该顾及企业更多的利益,希望CIO能够带给企业更多的敏捷力,更高的生产力,当然要确保企业在这样的一个环境、在这样的一个构架之下能够持续的成长。怎么样创造更高的竞争力,如果你的成本降低了,当然代表你在市场上不管是你的产品还是服务都会有更大更高的竞争力。最重要的是革新。

我们希望CIO不仅仅是做内部环境的管理和监控,CIO也能够通过新的平台吸引更多的客户,吸引更多的生意。这样的客户和生意代表着企业能够永续的成长持续的成长。当然在他的策略里面可行方案里面能够顾及到成本的降低,最重要的是CIO做的这些事情可以达到企业的良性循环。你有更多的激荡和火花,你更了解客户的需求,你能够创造更多好的产品和服务,当然能够确保企业不断的成长和获利。CIO其实不再只是一个呼叫中心成本中心,甚至应该是一个能够创造更多利益的中心。

介绍一下新加坡电信。新加坡顾名思义来自于新加坡。新加坡应该算是亚洲的枢纽,一个小岛,人口只有500多万,国土面积非常小,大概只有800平方公里,宽40长20公里。新加坡电信已经有130年的历史,早在新加坡建国之前,在这个地理位置上就开始有国际的电信服务。所以新加坡电信不但是一个传统而且非常具有前瞻性的公司,我们除了提供固网网络的基础建设服务之外,在全球也有很多的行动用户。这就是我刚才说的FMCC,可以提供给客户一个ICT的策略和服务。

我们隶属于新加坡电信全球企业部门,在全球大概有超过一万三千名的员工,有超过四千个产业的认证。我们在22个国家有40个办公室,最主要的发展核心是中国大陆、香港、澳大利亚,这些服务都可以通过我们全球的网络运维中心提供给客户不间断的除了网络还有管理应用服务上的客户体验。

今天是以太网大会,这是亚太市场上以太网的VPN和E—VPN,20%代表我们是一个市场的领导者,比第二名之后的电信公司市占率高出2到3倍,一些企业用户也开始导入VPN和国际专线。在这些网络服务上我们的市场占有率都是第一名。

新加坡是一个小国,所有的收入都来自于海外的一些投资项目。在东南亚,在菲律宾、泰国、印尼、印度、非洲,都有我们的项目。因为这些投资我们现在是全世界第二大的Mobile Operator,第一大就是中国移动我了解大概有7亿的用户。除了这些我们在全球有将近100万的热点提供给大家WiFi的服务。在三年前70%的企业是禁止员工用其携带的BYOD到公司上到内部的网络,这是安全的考量,三年后刚好相反,70%的企业不但允许而且正在允许鼓励正在架构这样的平台,可以让这些员工利用自己的BYOD办公。你以前看到很多服务提供商可能都是一些书面和口头的资料跟你做产品的说明,但是讲到Mobile优势,随时可以到企业里面把最重要的这些资料库,新的数据,甚至一些服务马上呈现给客户,达到及时的效果。

企业客户为什么欢迎你们带手机去上班,其实他不用帮你买。你用你的BYOD通常是自己付钱买的,不是老板买的,这是一个很大的趋势。你可以用你的BYOD,但是我们要能够去管理你的设备,可以开通或者删除,都可以中央管控。哪些资料出去要经过防火墙,现在都已经有这样的管控可以做到这样的水平。

很多企业国际化之后,他们常常到国外去,一下子美国,一下子英国,一下子新加坡。我个人一直在出差,每到一个国家你的手机就变成国际电话费,包括你要上网。曾经有一位客户没有申请这样的服务,新加坡的客户到菲律宾,开了手机开始去收邮件,大概三天的时间,之后回到新加坡,看到帐单他的下巴差点没有到下来,不是几万块人民币,而是几万新币。我们可以跟很多供应商有合作,只做到单单的一个定价就可以。

我们并购了很多IT公司,在整个管理服务,从物理层到数据第三层的网络层,甚至到第七层的应用层我们都有解决方案。不管你需要建构的是大数据中心,还是第七层服务,我们都有自己的解决方案来做这样的服务。大家都在谈云,资料显示2011年到2016年整个云市场的年成长率将近18%,这是一个很大的市场。云虽然是一个创新的产品,但是在云的平台上面还是有一些传统的服务,比如说PaaS、SaaS、IaaS。SingTel的云在整个区域有很多云计算中心,我们可以提供Everything—as—a—Service,把公有云和私有云结合起来。我们的目标是提供企业客户转型最好的优化和最简化的服务环境。

介绍一下我们在全世界云计算中心,我们的Users有超过30万人,在2015年所有新加坡民众,所有新加坡人民所需要的政府云的服务将由SingTel来提供。我们有更多新的趋势的智能解决方案,比如数位的医疗系统、智能的教育系统、无缝的金融系统,还有政府联席系统。我们本来就是一个IT公司,本来就是一个电信发展商,除了FMCC,可以更进一步,如果客户有这样的需求,我们可以整合在一起,提供给客户最新的平台。

很骄傲的跟各位说,我们在很多的媒体,甚至产业评比公司,都获得最佳的数据中心提供商、网络服务的提供上。希望今天通过这样的交流让各位来宾跟新加坡电信有更多的认识,会后如果各位对我们公司有什么样的想法和问题也欢迎各位提出来。

我今天的演讲报告就到这里,谢谢!

主持人:谢谢张先生的精彩演讲。下面有请熊英先生和谭杰先生。还有主持人蒙克(音)女士。

主持人:大家好,今天很幸运有机会请到三位来跟我们做现场的交流。根据他们的演讲内容我自己有一个疑问,先每个人提一个问题,大家还有更多想问他们的直接可以和他们交流。第一个问题给谭杰先生,BYOD确实大家用的都很多了,需求也很紧迫,我不知道部署的复杂性和成本是怎么样的,和企业现有的企业融合是怎么样的。

谭杰:今天主题介绍的是BYOD,其他的解决方案因为时间的关系在之前的演讲没有过多的涉及。对于传统的安全解决方案,包括网康熊先生说的,传统防火墙也好,或者UTM也好,或者下一代防火墙也好,只要我们有网络的情况下或多或少的都会有所部署。F是在2002的时候率先提出综合网关的解决方案,2004年来当时IDC就把这样集防火墙、防病毒和IPS等于安全功能于一身的多功能网关命名为统一威胁管理,就是所谓的UTM。不管名称怎么称呼,总体来说它都是一种多功能的解决方案。

Fortinet BYOD的解决方案实际是在多网关的基础上增加的,是采取软件升级的方式。对于用户来说付出的成本会非常的低,对于我们来说可能是把操作系统涉及到最新的5.0版本就具有了这一系列BYOD防御的解决方案了。从部署的简便性的角度来看,因为它本身就是一个统一平台的,在一个界面下又可以从网络层到应用层,做一个网络管理,所以管理界面的友好程度也是非常的好。

主持人:对于原来不是部署咱们产品的用户来说呢?

谭杰:因为Fortinet综合安全网关本身部署非常的灵活,功能虽多,可以根据企业不同的网络或者应用场景的需求来做灵活的开启和关闭。跟绝大多数的网络环境和安全需求都可以形成非常好的互补,咱们的用户不管以前用的是不是Fortinet的解决方案,都可以以一个非常低的成本和代价来完成BYOD安全防御的部署。

主持人:第二个问题是给网康的熊英先生,现在企业应该都有了自己的安全系统,对于过渡到下一代安全系统给用户提供什么样的建议,他们需要注意什么。

熊英:我刚才在演讲里一直在讲上一代、下一代,讲传统跟下一代的区别,这里还是有很大的变化,包括上午的会议我也认真听了大家的演讲。整个的网络在变,我们的需求在变,威胁更在变,所以从传统过渡到下一代我认为这是一个趋势,并且会在最近几年有非常快的大家会看到的情况。最大的变化在于理念上的变化,在于防御手段做法上的变化。我刚才反复在讲之前我们就是看代码,可能今后大家在做安全的时候看的是行为,看他在做什么,有什么可疑的行为。我们现在叫灰度的流量,看起来是正常的,也许它真的是正常的,但会给我们带来很大的风险,所以我们要去分析他的行为。对于行为分析的智能程度和深入程度,我想这是安全厂商今后要去努力的方向。到明年可能有35%的用户把上一代传统的设备更新到下一代,还有60%以前没有用过防火墙的用户会直接采购下一代防火墙这种形态。

主持人:所以衡量的标准要有一些变化。

熊英:对,所以大家看到我今天演讲的题目是网络安全新主张。

主持人:张先生,在中国我们有非常强大的电信运营商,中国电信、中国联通、中国移动,作为新加坡电信来说,在中国你们定位的目标客户是什么样的,有什么独特的竞争优势争取到中国的用户。

张先生:在中国我们专注于国际化的一些客户。各位可能很难想象我们接受到的需求不仅仅是欧美,甚至到中东、非洲都需要通讯服务。大家的聚焦点不太相同,电信、联通、移动在国内他们的这些网络服务、移动服务,甚至云计算都已经做的很好,我们能说出自己的差异或者竞争能力在于我们全球的整合能力。不论何时何地,只要你能够连接到网络上的设备我们都可以提供服务,通过我们的全球平台传递给企业用户。

主持人:对于中国广大地区的用户来说怎么更非常容易的接触到你们的服务呢。

张先生:我们不是来跟电信、联通、移动竞争的,我一直在强调更未来的一些趋势,在这个趋势上面我们已经自己建构了整合了一些解决方案。不是说每一家企业客户都是我们的目标市场,不是说外来的和尚好念经,不仅仅是新加坡电信,相信也有很多国外的企业、国外的公司在中国大陆投资,或者在中国大陆这边开设服务机构、分支机构,相信他们都会有一些差异。

提问:我想问一下Fortinet的专家两个问题。第一,刚才在您的演讲里面您提到的集成,这块是怎么去做的?

谭杰:现在很多企业自身已经建了自己的认证体系,如果我去部署一个新的安全网关设备,还要大家把用户数据库不都重建一遍非常的不现实,企业的员工非常多,几万人全部重新一遍非常的麻烦。我们有两种方式,第一种当做用户认证的时候,我们的安全网关可以直接把这个认证请求转发到现在的认证服务器上去,来确定是不是认证成功。第二种方式可以把现有的数状统一到认证网关上来,把自己高级的安全特性附加上去。比如双因子认证附加上去,这样既无缝的接到了现在的体系当中,又增加了一些强认证的安全特性在里面。既简单又安全。

我们主要在安全边界上面做一些隔离认证,包括应用的控制、安全威胁的过滤。

提问:刚才您的一张片子提到了一些小的案例,在我的企业里面有一些用户他在不同的场景去使用您的一些功能。里面提到一个用户在用一个安卓的设备,要用自己私人的Gmail的邮箱去发一些企业私密的内容,这种情况下您可以通过相应的功能把这封邮件拦截掉。实现这个功能有没有什么前提条件,如果说我自己用自己的3G网络能实现吗?

谭杰:现在我们在网络上做相关的操作肯定有一个前提条件,数据流量要从我的安全体系中过。如果你是用的3G网络,就完全跟这一套体系是独立的,可能需要采取一些其他的技术手段。

提问:也就是说相应的MDM您目前还没有。

谭杰:暂时没有涉及这一部分。

提问:我想请问一下关于网络安全上的一些问题。第一,现在国内通用的对个人包括企业用的一些通用软件,像360、瑞星,等于在安全方面有多大的可靠性。第二,现在黑客不光是个人行为,还有其他的一些组织行为、国家行为,你们也讲到中国有1600万台机器被远程操控了。包括说今年年初曾经对清华的科研网的服务器全部进行攻击,而且对于中国一些电信通信的主干网也进行了攻击,在这样的情况下既有要偷小摸又有大盗,智能手机用网,银行用网,企业也用网,我们怎么办。

谭杰:终端用户或者说个人用户非常流行的使用的像360、瑞星这样的软件,定位主要是保护我们每一个终端设备或者智能手机上也有相关的安全软件。Fortinet所提供的解决方案主要是定位于在网络端的,在我们的网络通道上,在主干或者网络边界上做一个整体的过滤。所以这两部分我认为应该是一个结合跟互补的关系,虽然说我们现在90%以上的工作是在网络上进行的,但是不可避免的还会有一些脱离网络的工作,比如拿U盘互相拷一些数据或者拿光盘,仍然需要一些基于主机的保护。两者能够结合起来的话,应该说在各个层次上能够保护的更好一些。您提到棱镜计划,我们也一直在思考云计算发展的规模越来越大,数据集中也做的越来越多,对于我们这样的一些安全保护的发展来说有什么样的影响。有一个很明显的趋势,因为数据越来越集中了,黑客对它的攻击也会越来越集中,一旦造成了破坏它的危害也是会比以前要大很多,所以有一点很重要想给大家一个建议,对于安全防御专业化的重视程度应该越来越高了,因为现在黑客攻击的时候不是小打小闹的。以前那种大面积的做一个端口扫描,看看有没有漏洞,做一个简单的工具去尝试攻击,这种为越来越少,取而代之的叫APT高级持续性攻击,可能会花半年甚至一年的时间不断的潜伏渗透,不断的探测有用的数据,最终把一些最核心最关键的数据窃取或者破坏掉。所以我们要选择安全解决方案的时候一定要注重专业性,因为我们的信息比以前要值钱得多了。

熊英:刚才谭先生的回答其实已经比较全面了。对于第一个问题,业界一直在强调一个名词叫纵深防御。什么叫纵深防御,就是对待关键的资产,不仅仅是你家里的那第一道门,外面还要有防盗门,窗外面还要打上铁栅栏。信息安全是一个很大的范围,应该有一个完整的立体化的体系,牵扯到各个方面,只解决主机的安全问题或者只解决了网络的问题,并不是一个最全面的问题。我们认为今后的安全应该是各个领域,包括各个厂商之间的合作,所以我今天最后的结束也叫风雨同舟。只有把各种各样的技术运用在一起,因为防御防守永远都是被动的,很难做到百分之百完美,但是需要综合更多的力量去做。

对于第二个问题,我们更想说的是技术是一个方面,你去看一看最近几年发生的很严重的安全事件,对我们来讲更重要的是信息安全意识。国家的媒体也好,地方性媒体也好,天天都在讲安全意识,尤其在中国,个人用户急需要要提升的一个方面。