由中国通信企业协会增值服务专业委员会主办,C114中国通信网与中国IDC产业联盟网承办的2010中国数据中心网络与信息安全论坛”于7月29日在北京京都信苑饭店隆重召开。结合行业所面临的全新挑战和机遇,中国通信企业协会特此举办2101数据中心网络与信息安全论坛。希望能够汇集产业链的各方群策群力,进一步提高数据中心信息安全水平,使我国的信息安全提升到一个新的高度。C114中国通信网对本次会议作全程直播。
以下为中国电信集团系统集成有限公司高级技术经理黄鹏先生的演讲全文,主题为“基于互联网安全专家服务”主题演讲。
中国电信集团系统集成有限公司高级技术经理 黄鹏
黄鹏:各位领导、各位专家大家好!做一下自我介绍,中国电信集团系统集成有限公司的黄鹏,首先感谢前面各位专家对安全体系的精彩演讲,演讲内容可能要给大家换换口味,演讲重心是对安全的解决方案,盖有我安全服务中跟客户沟通的经验跟大家分享一下。
先对现在安全的市场前景进行一下分析。从一些咨询公司拿到数据来看,现在安全业务的增长率是很高的尤其是安全服务。从2008年到2011年,增长有2倍多。这里,具体的分析就不说了可能大家关心一个,原因是什么?从2008年到2011年3年的时间,不管厂商还是大众都在灌输一个安全的理念,这个理念起的作用还是别的原因,使我客户对安全业务有了这种关注?
对我客户做了一些沟通和事后的调研,之所以客户这种安全需求,因为在安全方面,有一个痛处,痛处在于什么呢?因为现在由于我高端客户他已经进行了信息安全的部署和建设,比如买了很多安全设备,防火墙、IDS等多设备,但是还有很多问题他解决不了或者有很多事件让他一样挠头。
跟大家分享两个例子,最近两个客户找到说要解决一个问题。首先这边有一个客户,刚刚进行了一次信息安全的整体建设,建设完毕以后,投入很大,从技术角度来说,市面上的安全产品他都有部署,设计也没有问题。但上级机关对他进行了一次抽样检查,检查结果,扫描评估,说你有一些安全漏洞。第二点来说,对你还是有一定威胁的但他领导来说对这件事情很不满意,就提出两点,第一点,花了这么多钱,为什么还会有漏洞?这个问题好解释,为什么?因为安全是个全面的概念,并不是一蹴而就的这个没有问题。
第二个问题为什么他做了综合扫描评估你居然没有发现?这位客户很头疼,因为对这个问题很难解释,跟我发骚扰,说我现在部署很多设备,审计、IDS防火墙,每天给我报的有上万条日志,但是现在对于我来说,信息处就5个人,对我来说很难从日志中照片真正的安全事件,所以他很痛苦,很纠结。
第二个例子也我一个客户,个集团化的公司,可能总部有3000多人,这么一个公司出现一个事情,有人进入邮件系统,向全体员工发了三份邮件,人可能有一种压力,想发泄一下,想发泄的目标是集团的老总,写了邮件,说了乱七八糟的事情,全公司有很大的想。而对于他信息化负责人来说,老总第一个找到找出来是谁做的这个事情,但是一查,那边对于技术来说,很全,从审计,以及接入的设备,都有部署,而最后通过一些对邮件的分析,对日志的记录发现,这封邮件是通过外网连接他内部的VPN发送出去的一共有3个人发送的这三人都说跟我没关系,一定要查,因为他账号很多都有初始密码,这个人恰恰是盗用别人的初始密码发的邮件。这就成了无头冤案,发生冒名顶替的问题,用他现有的技术解决不了其实解决起来也很简单,比如对你密码的使用期限、复杂程度做规范,一条、两条制度就能解决了但是因为他前期的制度不完善造成的麻烦。
对于客户分析来说,主要面临的问题,一是缺乏对安全设备的整体监控管理,再一个很多客户都依靠完整的企业化的安全管理制度。
根据分析,认为有三条解决办法:第一条是建立一个专业化的强大的安全运维团队;第二条通过技术手段,对安全进行智能分析;第三条是建立一条完整的可行的体系来做安全的保障。绝大多数客户,对于我自己情况也是线网来说是不容乐观。首先我现在一般情况下,对监控来说,有监控的已经不错了一般都做到58能做到724小时寥寥无几,即便能做到724小时,能对这些事件分析成一个什么结果,这是很难保障的
有些用户自己建的安全信息平台,但实际用的怎么样?因为口碑不是很好,所以用的不是很好。另外,因为研究本地保护管理制度要求,分级保护有管理制度要求,对于我客户来说,很多都做了管理要求的建设,但这些制度是否能真正落地,否能真正执行,也要打一个大大的问号。
针对这些问题,中国电信推出了一套安全监控的解决方案。首先实验方法是中国电信的官网上建立安全信息平台,这个平台得到发改委的大力支持,09年进行专门立项,并拨了配套资金,把平台建立起来了通过监控平台,首先最基本的功能就是事件监控,把我路由器、IDS等放到这边来,这边对事件实施的监控和分析,一旦发现安全问题,这边有分析小组,有专家小组,对它进行筛选之后分析,把这些事件再给客户。当然不仅仅是打个电话给他说你网站被黑了系统被黑了会推出相应的解决方案。客户没有能力做怎么办?推出现场服务,北京来说,做本地的现场服务。
现在这个平台做了两级化的部署,平台整体在北京,但在江苏、河南、湖北都有分支平台,能通过电信到市一级的安全运维体系,给他提供一些现场的服务。
平台的基本实验方式给大家讲一下,这张图讲的用户网络,连着互联网,监控平台需要在后端部署一台软件来搜集这些信息。这里有一个小狐狸,不代表狡猾,代表一个攻击者,代表一个黑客,当它进入我网络的时候,路由器、防火墙、IDS还有服务器交换机都会产生一些事件的告警,或者说一些日志,这日志就是发到代理服务器上,对日志进行压缩之后,以加密的方式送到平台上去。
这个平台有一个很好的功能,能够进行智能的关联分析,因为我如果只拿一个点的数据,拿一个防火墙或者IDS想判断一个攻击行为很难的但把数据揉在一起的话,可以把一些误报剔除掉,这样为我专业化分析带来一个很好的基础。
解决方案还是有一个流程的简单说一下构成,整体构成来说,首先是用户网络,下面是监控平台的硬件基础,还有一些监控人员。监控人员平时的工作是对用户的日常情况进行检测。比如说有一些P2P审计情况,还有端口的利用情况,给客户一些日常的回馈。还有一些告警平台,还有一些日志关联平台,这时候因为没有攻击事件,所以没有数据的当攻击事件产生的时候,这里有数据注入,攻击产生了这里是一个方式,比如扫描器或者工具来获取客户的信息。
当这个产生以后,客户的网站URL送到平台上去, 当有攻击的时候会产生告警,同时在这里产生一个对它语言的方式。这时候,后台分析人员会把这些分析进行一个重现,再把一些无关的信息剔除掉,再判断这个攻击是否产生威胁了否成功了如果成功的话,后面会有一些提示。确定问题以后,分析人员一个是定位问题,再一个找解决方案,因为疑难问题是需要后台的专家组进行确认和分析,最后将这些告警发送给我客户,不仅仅是告警,还有解决方案,还有定位的措施等等。如果客户解决不了可以派技术人员到现场做一些支持。
有三个核心内容,同时我还可以给客户提交一些分析报表,还有一些巡检报表,这个报表对我来说看似好像不起眼,但是对于客户来说是非常有价值的对运维人员是一个很纠结的问题,因为有一些维护人员到年底不知道怎么写总结?年底提交一份总结不可能就一两个事件,通过这些报表可以反映他工作成绩。
服务质量保障上,还有一些客户回访,这样可给客户提供优质的服务。现在来说,这个服务我思路,推向终端客户,现在这样的思路是与宽待相绑定,作为宽带的增值业务提供给用户。ICD一些高端客户提出了一些问题,主要问题把我机器托管在这里,给我做基本的互联功能保障之外,还能给我做些什么事情。这里来说,通过监控,通过咨询服务,能给客户提供一个很好的目的现在IDC建立一个VIP区域,把高端客户放到里面,达到一个很好的分支目的
与此同时,有这样一个解决方案,不仅是监控,不仅是预警,不仅是监控,还给客户提供设备租赁,提供安全评估,提供安全加固,提供现场的保修之类的服务,这样能够给客户一个很好的体验。
对于这个服务来说,之所以发改委会把这个项目放在电信,因为电信有一定的优势。首先来说,资质上,有AA A A 级的资质,服务提供的时候,不会因为智能性的影响而有什么问题。再一个电信这边有集团、省、市三级的安全体系,这样可以使我客户服务质量得到保障。后端有研究院给我做技术支撑。
整个安全运营服务中,集团给我调拨了很多资源,首先是国家SOC平台,把第一手的特征、第一手被攻击的网站发送到平台上来,这样可以提高平台的准确度和相应的效率。再有是集团网运SOC和DDoS平台的数据,使之流量达到共享。第三是兄弟研究院给我大力的支持,电信有很多合作厂商,像国内的绿门等等这些厂商,也给我提供很好的产品和相应解决方案的支持。
从价值来说,首先提高安全运维水平,降低安全风险。通过监控,首先绝大部分问题先发现。因为刚才说到一些事前、事后的问题,对安全事件来说,首先是要做扫描,发现你弱点,而对于安全运营平台,这个阶段就能发现他意图,并通过一些阻断的方式,达到事前预警的目的同时因为安全事件有一个特点,爆发概率不是很高,不像网络维护一样是个连续的过程,可能是某个点突然爆发的对于客户自己来说,单独为了这一块系统部署很大的团队,资源上也不符合实际的有监控团队,能够把这些力量相整合,问题相会聚,这样能够发挥监控的效率。通过一些租赁的方式,降低风险。还有服务的方式,不叫做买设备,这样从成本上、投入的费用上都降低很多。还有一站式的服务,跟某政府机构合作,托管给我机房一样,提出我把我系统扔给你不仅给我托管起来,还得保证我托管测评以及解决方案一系列的工作来帮助他完成这些工作。
成功案例介绍一下,这是针对某一金融机构做的安全云服务,这个案例比较成功,首先来说是通过扫描评估,发现系统的漏洞,漏洞和风险点上,关键点上部署相应的探侦。还有比如在奥运时期、国庆,部署724小时服务。同时也帮他发现一些自身的问题,比如带宽不足、DDoS方面的问题。这样整个体系比较完善,而且我之间的合作也在进一步进行,后续提供一些相应的措施。
这是那个项目中的相应结果展现,左上角是网络监控,主要监控网络状态,网络设备的联动性之类。下面是一些流量监控,因为对网站来说,访问流量和带宽之间的关系是很关键的决定访问速度。还有外部监控,这主要对外部攻击、篡改等这些攻击性的监控和防御。还有主机,因为里面有相应的重要服务器,把数据送过来,如果有什么问题,给他提供相应的告警和解决方案。
这是做了一些相应的案例(PPT
监控平台在北京来说,已经接入20多家,包括像国资委、国土资源部、司法部、国药、中信等等企业和政府都接进来。也欢迎大家如果有需要的话,提供一些相应的试用,感受一下电信的监控服务。已经做到一个全业务的运营,包括专业化安全、安全运营、专向防护、安全集成。