网络联盟公司McAfee包彤作专题报告

    4月22日，由中国计算机世界传媒集团主办，《微电脑世界》杂志社承办的2004年中国信息技术趋势大会在北京中国大饭店举行，此次大会的主题为“融合与开放的IT技术推动应用创新”。

　　各位下午好！非常高兴有这样的机会能够向在座的各位以及专家、学者和同行汇报一下网络联盟公司在网络安全以及企业安全防护方面的看法。

　　我今天给大家介绍的题目是企业安全深层防护策略。 让我们首先来了解一些安全需求，您的企业和安全是否受到过网络蠕虫病毒的攻击？目前安全的威胁在不断的变化和发展，像去年1月25号全球爆发的病毒，在3分钟之内就传遍了全球，今年3月份的病毒，已经成为了迄今为止传播最快的垃圾病毒。目前病毒的特点呈现了一种由病毒的技术和黑客的技术相结合的混合性的威胁。大家都知道，去年微软公司一年就公布了超过200个漏洞，而这仅仅是来自于厂商。现在的人们忙碌的做各种人工的补丁管理，人工的补丁管理是必需的工作，但是它不可能赶上病毒传播和发展的速度。作为一个厂商，从发现漏洞到公布补丁程序需要一个研发和测试的时间，作为企业的用户来说，从他获得这样一些补丁程序到最终在所有的系统当中都部署这些补丁程序，更需要一个周期，这个时间大概需要几周甚至几个月的时间。所以说，这大大超过了病毒目前传播的速度，不可能及时的去防止安全的威胁。

　　随着无线技术和移动设备大量的应用，目前网络的边界越来越模糊，系统和网络的基础设施都面临着更多的安全威胁。当前主要的安全威胁来自于病毒入侵和垃圾邮件，病毒的技术和复杂性不断的发展。作为入侵，病毒可以跨过防火墙，主要是利用一些漏洞进行攻击，大部分都是采用缓冲区易出这样的安全漏洞。据统计数据显示，目前垃圾邮件的数量已经超过了有效的数量，也就是说在我们每天收到的邮件中有一半是垃圾邮件，它不仅消耗了大量的网络带宽，消耗了邮件的资源，而且也作为病毒传播的主要途径。(图)这是我们看到的常见的攻击类型，有采用标准的攻击方式，有利用微软的漏洞，有自带SM引擎的蠕虫病毒、有采用文件共享、软件共享和影射驱动器进行传播的病毒，有在应用程序之间进行攻击的病毒，还有一些是可以跨应用程序进行攻击的病毒，还有一些采用木马程序进行病毒攻击的方式。很多用户经常会问这样的问题，为什么我们的企业已经部署了传统的防火墙，采用了加密的技术、VPN，也部署了桌面和服务器的防病毒，甚至也部署了传统的IDS入侵检测系统，也采用了行之有效的文件管理，但是我们的网络还会受到病毒的攻击？我们认为这些传统的安全解决方案都是被动式的或者叫享用式的，它不能及时或者有效的去组织已知攻击或未知攻击，所以需要主动的安全防火墙，在检测的同时去时时的组织和防护这些攻击。

　　美国网络联盟公司结合系统防护和安全防护的解决方案，提出了深度安全防护策略，所谓深度安全防护策略是在传统的防病毒软件的基础上提供了多层和深度防病毒的体系结构，在最外层有防垃圾邮件过滤的解决方案，通过这些技术可以有效的组织垃圾邮件、病毒和一些不适当的内容进入企业的网络，从而切断的一些病毒主要传播的途径。第二，基于网络的系统，保护企业的资源。第三，基于桌面服务器的防病毒的产品。第四，对重要服务器的主机采用基于系统的入侵防护。所有这些多层防护的体系结构都是在统一的管理平台的管理之下，通过这个统一的管理平台可以实现安全策略的定义、部署和强制执行，同时我们还提供了一种网络安全之间的法律分析和取证的系统，可以通过相当于网络摄像机的解决方案，可以时时的记录和跟踪在网络上所发生的各种活动，可以再现和重放在什么时间、由什么人做了哪些事情，可以重放用户通过网络访问Wap的内容，甚至语言电话信通讯的内容。

　　在这样的体系结构之下，网络联盟公司提出了一个完整的全面安全的解决方案，有两个分支，一个是系统防护的解决方案，一个是网络防护的解决方案。在系统防护解决方案里，有基于主机的防护解决方案，有企业反垃圾邮件的防护解决方案，最后所有这些安全防护的解决方案都可以在统一的管理平台管理之下进行贯彻和部署。在网络防护解决方案里，可以有效的定义病毒源和病毒分析。同时，我们还提供基于网络安全法律分析和驱毒分析的系统。(图)这就是网络联盟公司目前提供的全面的解决方案所覆盖的产品，可以覆盖从桌面系统到重要的服务器，从网络的核心一直到网络的边缘。

　　在今天的大会上，我重点向大家介绍一下今年网络联盟公司重点推荐的企业安全防护的解决方案。什么叫IPS？它是相对于过去大家都知道的传统的入侵检测产品而言，所谓入侵防护性就是主动的安全防护的机制，它可以准确的检测混杂在网络正常流量中异常的流量，这是传统的防火墙不能实现的功能。同时，在检测到病毒的时候，不仅能产生报警，而且能时时的组织攻击，不会对企业的网络和重要的服务器造成影响。同时，这种主动的安全防御机制应该能够预防已知和未知的攻击，它可以领先于攻击者，为企业提供安装修补程序以足够的时间。这样一种主动的安全防御的机制可以有效的弥补当前传统的相应式的安全解决方案，像传统的防火墙、防病毒、IDS补丁管理的不足，形成一个全面、有效的防御机制。目前，根据市场的需求，入侵防护的解决方案分两个产品，一个是基于网络的入侵防护系统，一个是基于主机的。基于网络的入侵防护系统，它可以在企业网络核心、企业网络边界包括企业网络的分支机构和分支节点。基于主机的实现的是内核级别的安全技术，它可以保护外部服务器、应用服务器和文件服务器等等。这是安全防护的最后一道措施。

　　说到传统的IDS产品，可能很多用户都有跟其他的产品进行比较的感受，比如说传统的IDS产品的不足，很多用户有这样的体会，可能我采用了某一种入侵检测系统，有很多信息是误报，不能达到有效的检测和组织攻击。第二，目前传统的IDS产品，对于检测到的攻击只能产生报警，不能实现真正的安全保护。第三，目前市场上大部分IDS产品都是采用单纯软件系统，不能满足在千兆这种高带宽的性能要求。最后一点，目前很多IDS产品组织方式和管理落后。要实现基于网络防护的NIPS，它会从基础上带来很多挑战，因为NIPS要实现准确的检测、已知和未知的攻击，而且在发现攻击的时候，直接使病毒不能到达系统。

　　采用基于网络的防护系统，用户会自动的提出以下的要求，第一，它一定要实现高速的检测准确率，如果检测准确率不高，产生大量的误报，会降低安全管理员的工作效率。但对于IPS产品来说，如果说检测准确率不高，产生误报，即使是千分之一的误报，对于用户来说也是不能接受的。使网络流量必须要通过入侵防护的设备，这就设备就提出了高可靠性、高可用性和高性能的要求，它必须保证网络的高增容量，同时应该提出可以定制的安全策略和相应动作。

　　这是目前网络联盟公司提供的三款基于网络入侵防护系统的产品，大家可以看到这三款产品都是专用的硬件设备，是基于网络处理器和芯片设计的，而且每款产品都同时有支持多个检测端口的，而且每一款产品都有额外的管理端口，它可以实现从几百兆到几个GB这样的网络流量的限制检测和有效的防护。为了实现高检测准确率，我们采用了很多创新的检测技术，首先针对病毒攻击、位次攻击等分别采用了基于网络流量的检测技术和专门针对DOS供给的检测攻击。所谓基于状态的分析就是不仅仅检测单个数据包，而是跟踪整个体系，实现基于状态的检测。同时，它可以提供网络三到七层的高层分析。而且针对目前很多攻击台湾的调频技术它采用了很多调配技术。网络联盟可以采用像文件一样时时的更新机制，而且用户可以进行签名。也就是说设备首先接入到网络环境中之后，会根据网络的具体流量生成网络流量的检测线，在这个基础上实现网络流量的检测。网络联盟的产品还提供了端口聚集的接入模式，可以实现时时的对攻击的拦截和阻断。而且针对目前用户的核心网络，大多采用均衡负载的网络环境，我们提供了一种叫做端口聚集的接入方式，就是说可以把两条链路的流量合并成一个数据流进行检测，这特别适合于非注册陆游的网络。同时我们还支持高可用性和故障转移的设置，故障转移有两种方式。我们的入侵防护系统提供了虚拟的IDS，就是在物理的IDS基础之上，可以通过设置多个安全策略，实现多个逻辑的虚拟IDS，针对不同的网端和服务器可以定制多种安全策略。通过网络联盟这样的设备，在核心的骨干链路上保护不同的服务器。同时由于采用了虚拟的IDS的技术，也节省了企业用户部署IDS的数量，因为采用传统的IDS，为了实现这样的功能，就需要多个IDS设备。

　　这是IDS与IPS最大的区别，不仅仅实现了检测，而且实现了保护，在这些相应动作的基础上提供了一种时时的阻止攻击的方式，它可以抓捕到恶意代码的数据包。实际上网络联盟的产品提供了从IDS到IDS无缝发展的解决方案，也就是说用户可以首先采用一种接入方式，在对传统的方式充分了解的基础上，和对用户IDS设备检测正常的情况采用这个模式，在接受的范围内可以有选择的阻止一些确认的攻击，并且逐渐的增加阻止攻击的数量和种类。网络联盟的产品提供了功能强大的管理系统，可以通过管理的概念实现基于角色的管理，可以为用户生成各种路径检测的统计报告，包括时时的报警和察看。(图)这就是时时的报警信息，可以了解到在什么时间发生什么样的攻击、攻击的类型、攻击发生的IP地址、目标IP地址、目标端口，以及攻击所使用的协议和检测攻击所使用的技术等等。(图)通过网络联盟去自动的识别冲击波病毒并时时拦截的管理界面，大家都知道冲击波病毒是去年8月12号爆发的，但是微软的漏洞是从7月份公布的，也就是说从漏洞的公布到病毒的爆发有一个月的时间，及时用户在这一个月的时间没有更新补丁程序，也没有升级防病毒的软件，采用网络病毒防护系统也可以有效的组织冲击波病毒攻击企业的网络。

　　这是在企业中部署IPS的实例，通过我们的一款产品就可以保护防火墙周围所有链路的网段，而且可以在每一个网段根据不同的需要采用不同的接入方式。(图)在企业的网络核心去部署基于网络的入侵防护系统的实例，通过部署我们4000的产品，它可以支持四个千兆的产品，而且可以采用端口聚集的模式，也就是说可以将请求的数据包和应答的数据包聚合在一起进行分析，同时可以针对于后台所保护的各个网段不同的服务器采用不同的策略。

　　这是我们基于主机的防护解决方案，针对超系统的内核进行监控，但是它和超系统内核是绑定很紧的，去判断是否有异常行为。目前我们基于主机的操作系统主要是基于标准的服务器平台和WAP服务器进行访问，通过主机上的代码进行实现。基于网络的防护系统在业界获得了很好的评价，在安全产品评比中名列前茅。(图)这是在2004年4月份刚刚发布评测结果，从执行能力的角度去评价目前在IDS市场里所有厂商的竞争能力，其中NAI公司在两个象限上都获得了最高评价，被认为是目前IDS市场的领导者。目前NAI防护解决方案在全球有超过1100家的用户，包括电信运营商和政府机关以及一些IT厂商。

　　最后，我简单介绍一下NAI公司，它是在全球网络安全和网络高可用性方案有高品质的厂商，目前在全球有8000万台桌面系统和服务器是在网络联盟产品的保护下，在全球74个国家，大概有20万个网段。现在通过了引入新的解决方案，它有了新的产品线。NAI公司有两个著名的实验室，一个实验室主要是为军方提供在信息安全方面的技术支持，而且也是作为美国军方和政府机构在信息安全领域的合作伙伴。所以说，NAI公司可以作为广大企业用户的技术和产品的合作伙伴给大家提供基于系统和网络的全面的防护解决方案。

　　我的介绍就到这里，谢谢大家。