2016年6月24日-25日，由51CTO舉辦的WOT2016企業安全技術峰會將在北京JW萬豪酒店召開。會前，51CTO記者采訪了峰會特邀講師、華為安全業務TMG主任錢曉斌，就企業安全風險管理，企業安全威脅中常見的DDoS攻擊防護兩方面的內容進行了深入交流。

與安全圈的很多人一樣，錢老師也是非計算機專業出身，大學時主修經濟學。在機關工作了幾年后，轉學計算機。隨后一直從事安全工作，至今已有15年。工作初期主要從事國內第一代自主知識產權的防火墻與UTM產品開發，逐步從BSD做到Linux，從配置管理做到內核協議棧，從黑白名單做到引擎特征庫，從產品架構做到技術規劃。目前在華為負責安全產品線的安全能力構建、技術規劃與生態建設工作。

企業風險管理需充分重視的五大安全挑戰

目前，傳統企業正在加速信息化進程，加速網絡架構與應用的云化，加強業務邏輯中的數據驅動能力。企業所面臨的安全威脅隨之變得更加復雜多變。而且，因為每個企業發展階段與業務性質的不同，對各個層面安全性的敏感度與耐受度呈現出極大的差異。

而互聯網企業的業務先天就構建在網絡與數據之上，安全是其立身之本，稍有不慎，就會造成重大的業務損失。

錢老師表示，總體上說，企業應充分重視以下五大方面的安全挑戰：

1、企業安全威脅感知能力的挑戰。

2、新興的攻擊手段和安全漏洞給安全產品安全技術帶來新的挑戰。

3、企業所處的安全環境、生態、安全協作機制方面存在的挑戰。

4、企業安全體系生命周期管理能力的挑戰。

5、人員安全意識和安全能力的挑戰。

對此，錢老師建議，企業需在真正理解自身安全和風險的情況下，進行安全方面的規劃和投資。同時避免安全體系的碎片化、片段化，逐步實現真正的安全。站在企業整體安全視角來看，企業需不斷提升安全體系生命周期的管理能力，從而建立起完善的安全管理流程與制度，實現安全保障目標。而且，面對新興攻擊和新式攻擊手段，企業要在加強自身安全體系建設時，也需要向專業安全廠商進行咨詢，根據實際情況進行安全檢測，部署合適的產品，例如部署類似APT沙箱、大數據安全分析平臺等下一代安全產品。回顧很多安全事件，我們會發現有很多來自于企業內部人員造成的泄露事件，所以提升企業員工安全意識，是每個企業要重視且必須要做的事情。

此外，他認為，安全問題的存在與解決都不是一個局部的問題，我們也無法讓一個企業獨自面對所有的安全問題。國家在網絡安全方面的立法趨于嚴格，行業對于企業的監督也在加強。企業在提升安全風險管控能力的同時，也迫切需要我們這個社會改善企業所處的安全環境、安全生態與安全協作機制。

DDoS攻擊：經久不衰的網絡攻擊

在企業所面臨的眾多的安全威脅中，DDoS攻擊可謂經久不衰。這么多年DDoS攻擊發生了哪些變化?下面我們一起來聽聽錢老師怎么說。他表示，從DDoS出現到發展的這幾十年來看，僵尸網絡呈現出大規模、全球化的特點。尤其是近幾年來，隨著互聯網和物聯網的發展，DDoS單次攻擊高達500Gbps以上，僵尸網絡不再僅僅存在于用戶的終端，而大量存在于數據中心的虛擬機上。我們現在看到的物聯終端也可能成為僵尸網絡的宿主載體，雖然運營商和企業用戶在本地大多已經在本地部署了清洗設備，但上行鏈路遭受攻擊時已經擁堵了網絡出口。這也是為什么90%以上的運營商在尋找云端的流量清潔方案。

談到DDoS攻擊的防御，錢老師認為：“針對DDoS攻擊全球化規模化的特點，要有效地防御DDOS攻擊，必須建立一個全球性的立體防御體系，必須要聯合業界眾合作伙伴的智慧和力量。”

那么，企業該如何加強DDoS攻擊防護?錢老師建議，有條件的企業將業務托管到具有較強抗DDoS能力的云服務上。對于企業自行部署的系統，應該在前端安裝DDoS防護能力較強的安全過濾產品。對于需要大容量AntiDDoS服務的云廠商與具備AntiDDoS能力的安全廠商，可以通過加入“云清聯盟”的方式，加強協作，提升自己，服務客戶。

華為首倡“云清聯盟”的概念，并努力付諸實踐。“云清”的含義是基于云端的流量清洗方案，聯盟的含義是旨在將全球MSSP服務提供商和IDC服務提供商的資源進行整合，共建攻擊流量的 “泄洪池”，構成一個云端的“DDoS防御生態系統”，“一方有難，八方支援”，在上游更加徹底解決大流量DDoS攻擊問題。這個聯盟設計的初衷，就是通過近源云清洗實現全球大流量DDoS防御，具體而言包括：云端防護、IGW層防護、Backbone層防護和DC邊界防護。

除了面向全球的“云清聯盟”DDoS防御體系，華為安全業務覆蓋網絡安全、終端安全、云安全、應用安全、安全管理和安全服務等多個領域。產品包括高中低端下一代防火墻、入侵防御系統、DDoS攻擊防御系統、虛擬綜合業務網關、沙箱、大數據安全分析系統等產品，以及相應的針對傳統威脅及未知威脅的解決方案。

錢老師表示，未來華為將繼續發揮其在云管端的深厚積累與綜合優勢，在云安全、高級威脅檢測、大數據安全分析等技術領域取得快速發展，并努力與同道一起，構建威脅情報共享平臺，優化安全產業生態環境，為用戶提供可信賴的安全服務。

最后，錢老師表示，近期他一直在圍繞“安全以人為本”思考安全的多個層面。因此，在本屆WOT企業安全技術峰會上，他準備與大家分享對安全系統中“人”的位置與作用的思考。

【編輯推薦】