华为钱晓斌：企业风险管理需充分重视的五大安全挑战

2016年6月24日-25日，由举办的WOT2016企业安全技术峰会将在北京JW万豪酒店召开。会前，记者采访了峰会特邀讲师、华为安全业务TMG主任钱晓斌，就企业安全风险管理，企业安全威胁中常见的DDoS攻击防护两方面的内容进行了深入交流。

与安全圈的很多人一样，钱老师也是非计算机专业出身，大学时主修经济学。在机关工作了几年后，转学计算机。随后一直从事安全工作，至今已有15年。工作初期主要从事国内第一代自主知识产权的防火墙与UTM产品开发，逐步从BSD做到Linux，从配置管理做到内核协议栈，从黑白名单做到引擎特征库，从产品架构做到技术规划。目前在华为负责安全产品线的安全能力构建、技术规划与生态建设工作。

企业风险管理需充分重视的五大安全挑战

目前，传统企业正在加速信息化进程，加速网络架构与应用的云化，加强业务逻辑中的数据驱动能力。企业所面临的安全威胁随之变得更加复杂多变。而且，因为每个企业发展阶段与业务性质的不同，对各个层面安全性的敏感度与耐受度呈现出极大的差异。

而互联网企业的业务先天就构建在网络与数据之上，安全是其立身之本，稍有不慎，就会造成重大的业务损失。

钱老师表示，总体上说，企业应充分重视以下五大方面的安全挑战：

1、企业安全威胁感知能力的挑战。

2、新兴的攻击手段和安全漏洞给安全产品安全技术带来新的挑战。

3、企业所处的安全环境、生态、安全协作机制方面存在的挑战。

4、企业安全体系生命周期管理能力的挑战。

5、人员安全意识和安全能力的挑战。

对此，钱老师建议，企业需在真正理解自身安全和风险的情况下，进行安全方面的规划和投资。同时避免安全体系的碎片化、片段化，逐步实现真正的安全。站在企业整体安全视角来看，企业需不断提升安全体系生命周期的管理能力，从而建立起完善的安全管理流程与制度，实现安全保障目标。而且，面对新兴攻击和新式攻击手段，企业要在加强自身安全体系建设时，也需要向专业安全厂商进行咨询，根据实际情况进行安全检测，部署合适的产品，例如部署类似APT沙箱、大数据安全分析平台等下一代安全产品。回顾很多安全事件，我们会发现有很多来自于企业内部人员造成的泄露事件，所以提升企业员工安全意识，是每个企业要重视且必须要做的事情。

此外，他认为，安全问题的存在与解决都不是一个局部的问题，我们也无法让一个企业独自面对所有的安全问题。国家在网络安全方面的立法趋于严格，行业对于企业的监督也在加强。企业在提升安全风险管控能力的同时，也迫切需要我们这个社会改善企业所处的安全环境、安全生态与安全协作机制。

DDoS攻击：经久不衰的网络攻击

在企业所面临的众多的安全威胁中，DDoS攻击可谓经久不衰。这么多年DDoS攻击发生了哪些变化?下面我们一起来听听钱老师怎么说。他表示，从DDoS出现到发展的这几十年来看，僵尸网络呈现出大规模、全球化的特点。尤其是近几年来，随着互联网和物联网的发展，DDoS单次攻击高达500Gbps以上，僵尸网络不再仅仅存在于用户的终端，而大量存在于数据中心的虚拟机上。我们现在看到的物联终端也可能成为僵尸网络的宿主载体，虽然运营商和企业用户在本地大多已经在本地部署了清洗设备，但上行链路遭受攻击时已经拥堵了网络出口。这也是为什么90%以上的运营商在寻找云端的流量清洁方案。

谈到DDoS攻击的防御，钱老师认为：“针对DDoS攻击全球化规模化的特点，要有效地防御DDOS攻击，必须建立一个全球性的立体防御体系，必须要联合业界众合作伙伴的智慧和力量。”

那么，企业该如何加强DDoS攻击防护?钱老师建议，有条件的企业将业务托管到具有较强抗DDoS能力的云服务上。对于企业自行部署的系统，应该在前端安装DDoS防护能力较强的安全过滤产品。对于需要大容量AntiDDoS服务的云厂商与具备AntiDDoS能力的安全厂商，可以通过加入“云清联盟”的方式，加强协作，提升自己，服务客户。

华为首倡“云清联盟”的概念，并努力付诸实践。“云清”的含义是基于云端的流量清洗方案，联盟的含义是旨在将全球MSSP服务提供商和IDC服务提供商的资源进行整合，共建攻击流量的 “泄洪池”，构成一个云端的“DDoS防御生态系统”，“一方有难，八方支援”，在上游更加彻底解决大流量DDoS攻击问题。这个联盟设计的初衷，就是通过近源云清洗实现全球大流量DDoS防御，具体而言包括：云端防护、IGW层防护、Backbone层防护和DC边界防护。

除了面向全球的“云清联盟”DDoS防御体系，华为安全业务覆盖网络安全、终端安全、云安全、应用安全、安全管理和安全服务等多个领域。产品包括高中低端下一代防火墙、入侵防御系统、DDoS攻击防御系统、虚拟综合业务网关、沙箱、大数据安全分析系统等产品，以及相应的针对传统威胁及未知威胁的解决方案。

钱老师表示，未来华为将继续发挥其在云管端的深厚积累与综合优势，在云安全、高级威胁检测、大数据安全分析等技术领域取得快速发展，并努力与同道一起，构建威胁情报共享平台，优化安全产业生态环境，为用户提供可信赖的安全服务。

最后，钱老师表示，近期他一直在围绕“安全以人为本”思考安全的多个层面。因此，在本届WOT企业安全技术峰会上，他准备与大家分享对安全系统中“人”的位置与作用的思考。