“你帶著老婆，出了城，吃著火鍋還唱著歌，突然就被麻匪給劫了!”這段《讓子彈飛》的臺詞或許你有些陌生，但作為資深IT運維人員，對這樣的場景卻并不陌生“你帶著老婆，去旅游，提著行李還唱著歌，突然一通電話把你叫回去了!”好不容易請來的假，卻因為網(wǎng)絡安全事件又被叫回去了。你有些無奈，黑客卻不放假，他隨時隨地都可能入侵我們的網(wǎng)絡，而系統(tǒng)中不可預知的漏洞隨時都會被利用。我們?yōu)槟炒笃髽I(yè)做安全咨詢，CIO在描述網(wǎng)絡安全的時候，曾很激動的對我們說：“我根本不知道網(wǎng)絡安全狀態(tài)是什么樣的，我現(xiàn)在就像坐在火山口，不知道火山什么時候就會噴發(fā)!”感知不到網(wǎng)絡的安全現(xiàn)狀，安全事件基本靠業(yè)務部門投訴，這種被動的響應方式讓IT人員無奈的同時，更多有些不安。

如何才能保證網(wǎng)絡的安全，讓網(wǎng)絡健康運行呢?

網(wǎng)絡安全事件就像網(wǎng)絡生病，既然是病，那怎么治才最有效呢。我們不防來看看名醫(yī)扁鵲是如何評價他們?nèi)值艿尼t(yī)術， 扁鵲說：“長兄最好，中兄次之，我最差。我長兄治病，是治病于病情發(fā)作之前。我中兄治病，是治病于病情初起之時。而我扁鵲治病，是治病于病情嚴重之時。”　身為網(wǎng)絡的醫(yī)生，我們怎么才能實時感知網(wǎng)絡的健康狀態(tài)，在病情發(fā)作之前先做預防;我們怎么才能在安全事件發(fā)生最初就進行快速有效處理，防止事件進一步惡化，影響整個網(wǎng)絡和企業(yè)業(yè)務呢?

如何才能成為優(yōu)秀的網(wǎng)絡醫(yī)生?

我們在企業(yè)網(wǎng)絡邊界部署了安全設備，可是無線技術和移動辦公的發(fā)展，這種邊界防護作用越來越小;我們在網(wǎng)絡里部署了FW、IPS、防病毒網(wǎng)關多種安全設備進行防護，可是黑客的技術越來越強，還是無法及時發(fā)現(xiàn)并阻斷來自園區(qū)內(nèi)的攻擊。把網(wǎng)絡比喻人體，可是人的身體每個部分都有靈敏的感覺器官，還有一個聰明的大腦：當感冒病毒開始流行時，可以根據(jù)身體狀況加強鍛煉進行預防;當感染感冒病毒時，可以根據(jù)喉嚨痛等身體癥狀來預先感知;當確定是感冒時，我們也可以快速找到相應的藥;在感冒未嚴重時進行治療。而園區(qū)網(wǎng)絡卻沒有。雖然每天有無數(shù)來自網(wǎng)絡設備、安全設備事件日志，可是我們?nèi)肆τ邢?，根本沒辦法也沒時間去分析哪些信息是有效的，哪些信息有關聯(lián)性?即使發(fā)現(xiàn)了安全事件，我們需要一臺設備、一臺設備的去處理，企業(yè)網(wǎng)絡里面有上千臺網(wǎng)絡安全設備，上萬個終端，如何快速治療?

“或許大數(shù)據(jù)和SDN技術可能解決這個問題!”正當我們準備接受這一無奈時，我們的資深安全專家給出了這樣一個建議：“大數(shù)據(jù)分析技術，即通過海量的數(shù)據(jù)進行分析從中獲得有價值的信息，我們可以通過這個技術將全網(wǎng)海量日志信息收集上來，進行關聯(lián)分析獲得我們所需要的信息。再通過SDN集中控制理念，集中控制全網(wǎng)的設備實現(xiàn)快速響應安全事件。”

如何感知全網(wǎng)的安全狀態(tài)?

華為利用大數(shù)據(jù)技術，將全網(wǎng)收集上來的海量日志進行歸類分析，通過資產(chǎn)的重要性、威脅的嚴重程度等一定算法，算出全網(wǎng)的健康度。讓運維人員實時感知全網(wǎng)的安全狀態(tài)。此外，還可以根據(jù)區(qū)域、關鍵資產(chǎn)去查看對應的風險，并給出處理建議。運維人員可以快速找到自己負責的區(qū)域和資產(chǎn)，并根據(jù)安全狀態(tài)和處理建議對這些設備進行系統(tǒng)升級、安裝補丁等安全加固的工作。防止黑客利用設備的漏洞進行攻擊。

如何快速發(fā)現(xiàn)安全事件?

華為利用大數(shù)據(jù)技術，協(xié)同全網(wǎng)設備，根據(jù)黑客攻擊特點或蠕蟲病毒暴發(fā)的特點，進行關聯(lián)分析發(fā)現(xiàn)安全事件。比如當出現(xiàn)打噴嚏、鼻塞、流鼻涕多種癥狀時，我們可以綜合分析，判斷是感冒。網(wǎng)絡安全癥狀也是同理，比如當某一終端在短時間內(nèi)登陸多臺設備失敗，通過多設備上報上來的日志我們可以判斷這臺終端在進行密碼猜解。而這種攻擊行為單設備是無法發(fā)現(xiàn)，需要多設備協(xié)同進行關聯(lián)分析發(fā)現(xiàn)，而通過基于大數(shù)據(jù)的多設備關聯(lián)分析剛好可以解決這個問題，未來甚至還可以基于用戶的行為進行關聯(lián)分析，發(fā)現(xiàn)異常行為，防止攻擊和泄密事件的發(fā)生。

如何快速進行安全響應?

成千上萬的設備，逐一發(fā)現(xiàn)處理，將會延誤最佳時機，很可能此時蠕蟲病毒已經(jīng)蔓延網(wǎng)絡，影響整個網(wǎng)絡的業(yè)務運行了。華為借用SDN的統(tǒng)一控制轉(zhuǎn)發(fā)的理念，又創(chuàng)新性將安全能力虛擬化技術融入其中，協(xié)同網(wǎng)絡設備、安全設備一起進行安全事件的響應。在園區(qū)網(wǎng)絡里面建立安全資源中心，就像我們的社區(qū)診所一樣，當我們發(fā)現(xiàn)某個區(qū)域蠕蟲病毒利用系統(tǒng)的某個漏洞進行擴散時，通過SDN的理念，將某個區(qū)域的流量引流到安全資源中心進行檢查，阻斷攻擊流的同時，又能讓業(yè)務流正常進行。同時超越了SDN僅控制網(wǎng)絡設備的理念，創(chuàng)新的將終端設備管理納入其中，通過統(tǒng)一的控制器向全網(wǎng)終端下發(fā)安裝補丁、升級最新病毒庫的策略，對終端進行安全加固和病毒查殺。不僅解決了網(wǎng)絡中不安全的流量，并從本質(zhì)上清除了終端的危險。

在病情發(fā)作之前，能通過感知全網(wǎng)的安全狀態(tài)，并對它進行安全加固提升抵抗力;在病情初起之時，通過快速發(fā)現(xiàn)安全事件、快速進行安全響應將安全危險進行有效控制，防止其影響網(wǎng)絡和業(yè)務。這種能讓我們成為優(yōu)秀網(wǎng)絡醫(yī)生的方案，我們稱之為“華為全網(wǎng)安全協(xié)防解決方案”。

當你準備去度假旅行時，查看全網(wǎng)的安全健康情況及你所負責的區(qū)域和資產(chǎn)，對其進行安全加固，讓你的網(wǎng)絡更加健壯。當你在旅行途中發(fā)生網(wǎng)絡安全事件時，你可以收到短信和郵件快速了解情況，并通過安全運維平臺遠程到控制器，根據(jù)處理建議，下發(fā)安全策略對安全事件進行處理，而這個過程僅需要幾分鐘甚至幾十秒鐘。

然后帶上愉快的心情繼續(xù)你的旅行，沒有不安和無奈，因為旅途里，有“全網(wǎng)安全協(xié)防”為你保駕護航!