| 主持人: |
各位网友大家好,我们欢迎曹斌博士的到来。首先请曹博士帮助我们解释一下现在网络产业比较热点的几个概念NP、SOC、FPGA。 |
| 曹斌: |
NP属于硬件架构方面的技术,NP是网络处理器的简称,最早来自于通信设备厂家。大多数网络处理器还是针对通信设备的,目前像东软以及国际上某些厂家也采用NP技术实现防火墙等。
SOC属于软件名称,SOC是网络安全运维中心和安全管理中心的软件概念。它更偏向于网络安全的管理技术。
FPGA是一种芯片技术,该技术最早是用于ASIC的设计过程,帮助实现一些原型系统。这类芯片目前已经发展到了可以作为技术单独采用的阶段,由于它最开始是面向设计的基础,所以采用FPGA设计的一个明显的好处是可以很快的更新。 |
| 主持人: |
最近网络上比较流行东软的Ntars、Netflow能给大家说明一下吗? |
| 曹斌: |
Ntars主要是对网络流量特征进行分析,可以分析网络流量的构成,可以发现其中异常的情况,可能有些网友觉得这样的技术是不是类似于IDS,其实Ntars更多的是趋向于流量分析,与普通IDS有着很大差别。我刚才说了Netflow是路由器输出一类关于网络流量的统计数据,Ntars是对这些数据做深入的分析,发现一些异常情况,如DDos攻击,这个攻击的识别很难通过单包分析来完成。还有一些复杂的应用,如P2P的应用,及语音的应用情况等等。这些应用从应用本身来看它并不是不好的,但是在企业的网络条件下可能会占用很多正常应用带宽,所以客户会产生一种需求。想知道他的网络里面在网络上流通的这些数据,哪些是有用的?哪些是无用的?哪些是对我有害的?东软Ntars就是帮助企业来了解流量的构成,同时采取一些应对的措施。
比如真的出现攻击了,那么东软Ntars在用户Dos攻击这方面是非常有效的,可以找到攻击的来源,找到相对的节点采取措施。 |
| 主持人: |
Ntars采取的措施是基本的措施是吗? |
| 曹斌: |
它可以和其它的设备使用,它可以采取一些协同的手段,比如跟防火墙的协同手段,也可以与路由器协同。它会找到最佳的网络拦截点,比如网络有一个出口,或者说一个程序,这个攻击有可能来自于内部或外部,Ntars可以找到靠近攻击最近的服务器或者设备对它进行拦截。Ntars是分析、监控、进行处理的这样一个角色。 |
| 主持人: |
网络安全的核心竞争力是什么? |
| 曹斌: |
可能这位网友提的是网络安全企业核心竞争力,因为我们一般提到核心竞争力都是企业的核心竞争力。应该说作为一个产业里面任何一个企业只要能够持续生存,都应该有它核心竞争力的因素。比如有来自于技术的、来自于成本的、来自于运营质量的、市场的、营销的,包括服务、品牌等等。如果说作为一个通常的在安全产业里面长时间存在的公司来说,如果我个人来选择的话,最突出的一点是创新。中国政府现在也号召做创新型社会,但是安全领域创新的地位更重要。为什么呢?在安全领域里,它要解决的问题是很概念化的问题,而不是是一个具体化的问题。比如Word处理器,我们每天都在用Word编辑一些文档这个事情很具体。它解决的问题相对来说比较具体化。安全相对来说就不是这样,因为安全是相对于威胁存在的概念。而威胁是由于人对人,或者人对其它设施的威胁,威胁来自于掌握了技术并且不断创新的另外一个人群。这种攻击和威胁的手段是快速变化的。比如说病毒的演变、攻击手段的演变,这就要求防御技术要有一定的前瞻性,所以创新显得非常关键。
在这个产业发展的历史中,很多安全公司有的起来了,有的落下去了,很多时候都是由于技术的变化导致了企业的沉浮。比如过去针对Dos系统的病毒在当前网络普及的环境下已经变得没有了或者消失了,原来仅仅针对主机环境下的杀毒软件生存空间就会消失了。所以我觉得作为安全企业发展的核心竞争力,创新是非常重要的。 |
| 主持人: |
现在咱们国内网络安全是怎样的情况呢? |
| 曹斌: |
延续刚才的话题,创新本身是一个相对来说很重要的因素,但是创新也并不是一种孤立的创新,创新必须建立在一定的技术积累之上。比如说我想对网络中的某个类型的数据进行分析和拦截,首先需要有一个非常好的网络基础架构才能把这个数据提取出来对它进行处理。所以它要建立在一个很好的技术积累之上。相对来说中国的网络安全企业,创新的意识都是很强的,尤其是在具体的技术环节上,很多技术的点子都是不错的。但是可能相对于国外的同类竞争对手来说,在基础技术的积累上,就是这个台子垒的多高还是有差距的。我们的技术现在相对于国外的差距主要就是在这方面。经过这几年的发展,这个差距正在逐渐缩小。我们在通讯的技术方面,在操作系统的管理、分析等环节方面,包括入侵的分析和检测的技术这些方面的差距也正在逐渐缩小。
因为安全本身是快速变化的,所以我们在中国活跃的安全公司大多数倾向于两种,一种是在即有的产品里去发展它的特征。比如防火墙、防病毒,中国很多或者说目前排名在前几位的安全公司大多都基于这两类。还有一类公司是相对规模比较小的,也很活跃,一般来说因为积累比较少,它会选择一些新兴的市场。这类市场可能会规模比较小,未来会不会成长很大也有一定的风险,但是这里面机会很大。在新兴市场技术本身差距不大,因为这类市场往往都是新的技术,但是在产业环境资源方面还有相当大的距离,这说明我们的一些新技术在市场化的进程不够快。 |
| 主持人: |
现在东软SOC和Ntars这两个产品在网络安全领域的应用怎么样呢? |
| 曹斌: |
目前来说这两类产品都是偏向那些对安全管理已经有很明确需求的用户,一般来说这些企业大多数都有防病毒软件的部署,防火墙也部署到位了,这时候会产生一些更倾向于管理的安全需求,因为虽然部署了这些设备,但是网络安全情况怎么样,并不能得到运行的实时监测和管理。因为不能等出了问题,网络很慢的时候再用工具去分析,再找节点控制。而原有的这些通用的产品,很难在一个全局的范围内解决问题。这就需要有安全管理的软件来帮助客户达到这样的目的。 |
| 主持人: |
这两类产品是站在整合的角度做这个事情是吗? |
| 曹斌: |
更有点像解决方案。一般来说每一个系统在实施的时候都包括服务的成分,比如风险的分析、漏洞的缺陷,包括一些布局等等。 |
| 主持人: |
东软网络安全产品主要的应用是哪些呢? |
| 曹斌: |
比如说我们今年推出的管理类安全产品,它在跟客户实际应用需求上面有着很好的融合性,由于我们对客户的组织形态,包括客户人员组织形态,业务运营逻辑有一个基本的认识。在这种情况下对于客户真正把这些安全技术用好非常有利,使得客户能够快速的构建起来防御体系。东软安全类产品之所以在这方面具备优势,正是因为东软在电信、金融、政府等行业,如移动、网通、电信、大型国有银行等客户那里积累了很多年的业务支持,这些客户里面我们以前为他们开发制作了大量的应用软件和系统解决方案。所以东软对它的组织、系统、业务需求相当了解。因此我们可以为用户提供比较完善的服务,帮助用户建立比较完善安全体系,提升用户运营安全绩效,这就是为什么东软安全管理产品得到用户认可的真实原因。 |
| 主持人: |
我们都熟悉东软是以防火墙产品为主的安全厂商,而且今年第二季度的销售量又是排名第一,东软防火墙是如何防止本身被渗透呢? |
| 曹斌: |
1999年开始推出产品的时候别于其它厂家的根本的就是对防火墙的设置使用了一个单独的网口,比如这个设备有四个口的话,其中一个口是专门用于管理的,攻击者想要进入防火墙体系里的话必须转到一个物理上分离的网络体系里面去,虽然这在技术上是一个很简单的概念,但是它确实有效的防止了防火墙、安全设备本身被攻击的可能性。
在防火墙对一些攻击的难点方面,我们是在02年开始做的技术创新,是我们的一项核心技术,因为当年在状态检测防火墙这个层面上,更多的是在TCP层面上进行保护。而很多新的工具都是针对一些漏洞,这个时候我们在应用层面上能够恢复会话,跟踪会话的状态,对攻击进行有效的拦截。这两个技术使我们的防火墙被渗透的可能性降到最低。 |
| 主持人: |
FPGA是基于并行处理的,它怎么实现呢? |
| 曹斌: |
当一个产品设计完成了FPGA的系统,其实它的运作模式就相当于ASIC模式,很像,只不过内部原理稍微不同。FPGA内部有很多独立处理的单元,这些处理单元都有相当强的处理能力。比如说我们可以把一个运算或者分析的功能跑到一个处理单元上,其它处理单元做其它的功能。这样可以在同一时间做很多事情,这类实现的方法带来的性能是非常高的。
比如说一个200兆赫主频的FPGA,它和通用处理器来比较主频不算很高,但是如果我有十个并行处理单元做同样运算的话,我们可以简单的叠加一下就是两个G了。如果有100个做,这个概念可能就是远远超过现在的通用处理器了。而我们用于防火墙的FPGA芯片,上面有上千个独立处理单元,它的并行处理能力确实很高。 |
| 主持人: |
一般并行处理都会有一个主处理器和从处理器,FPGA主处理器是哪部分实现呢? |
| 曹斌: |
这块并不明显,内部一般是按照若干个流水线来组织的,比如这块是做这个,那块是做那个的,数据进来的时候一个数据包从这个口进来,经过原始处理,中间的分析过程,然后再出去,几个环节都有在操作,这里谁是主很难辨别。当然也会有一个另外的通用处理器存在,对它进行配置、管理,你可以把它当成主处理器,但是它仅仅是配置和管理的作用。 |
| 主持人: |
其中一个处理单元可能出现问题,会影响其它节点呢? |
| 曹斌: |
我们对每个处理单元的时序要求都很高。如果超时,如何处理这些方面都有严格的限制。 |
| 主持人: |
FPGA本身是分段的结构,这导致了它的延迟性,这种怎么解决呢? |
| 曹斌: |
比如时序上的一些约束,布线方面的一些专门的考虑。东软在FPGA上的通讯和安全的体架构方面做了大量的工作,我们积累的一些技术,经过实际的验证确实很好的克服了这个问题。 |
| 主持人: |
但是也不能说完全去掉? |
| 曹斌: |
严格说是这样的,但是对现有的系统来说已经足够好了。 |
| 主持人: |
FPGA大部分是基于SRAM的编程,编程过程中如果断电了怎么样呢?在保密性方面如何? |
| 曹斌: |
可执行代码是保存在Flash里的,每次系统启动时装载到SRAM中,所以对于客户运行的系统,断电之后系统仍然能够正常启动。
至于保密性方面,我们的运行代码都是保存在FLash里,它的反编译代价非常高。推导出来源代码是什么样,几乎是不可能的,尤其是防火墙这样的大规模的FPGA设计,想做这种分析来说,目前全球商业机构基本没有可能做这件事情。 |
| 主持人: |
曹博士,东软安全现在主要打算往哪方面作为主攻方向? |
| 曹斌: |
主要是两个方面,一个是网关级的。我们刚才提到了防火墙,包括IPS、UTM等等,这些都是东软在网关设备上的工作重点。因为它的主要作用是起到拦截的作用。这类设备对于可靠性和性能方面的要求是很高的,尤其对于网络的依赖性很高的客户来说。我们做的大量工作使得吞吐能力和可靠性达到足以让客户可以把这样的设备加到网络里面去。同时我们的IPS能在应用级的层面上对攻击进行很有效的拦截。UTM增加了很多防病毒的功能等等。
我们另外一个产品类别就是Ntars,SOC,IDS等等,这一类的系统是倾向于安全管理的。安全管理未来发展的趋势是两点,第一点是让网络随时的安全状况变得可视化,其实它跟军队作战很像,战场上很重要的一点就是能不能尽早发现敌人,我们的产品或者其他的的就是类似雷达的作用,是识别出来目标和敌我。我们现在的IDS也好,Ntars也好,是在不同层面工作的,但是工作目标首先是使用户对攻击的状况、网络运行的状况、异常的情况有一个非常清楚的认识。早先只有IDS的时候这些信息只有捕捉和探索的功能,但是大量都是原始的报警信息,这个对用户来说需要非常深入的专业知识、以及很强的精力才能处理的。Ntars也包括了攻击检测,但它会使用流量分析的工作配合它,使得这类的工作变让得用户更能理解。SOC把所有的报警、相关的信息汇总到一起。包括应用系统的一些报警和操作的日志我们都能协同分析了。这时候会使得用户从网络到主机设备,到应用系统等等各个层面的事件都能汇总到一起,并进行分析,过滤掉不重要的,重视一些关键的事件。
另外就是怎么去决策和响应,当我们发现异常,发现攻击的目标和来源的时候我们如何采取措施,对这些攻击进行拦截?这也是需要系统决策的。拦截一般都是通过网关设备进行,而Ntars或SoC更多的是起到“大脑”的作用。所以我们这类安全管理软件会越来越智能化、工具化。工具化是我们帮助管理人员进行管理,给他提供更好的工具帮助他使用这个系统。智能化是它有很多智能化的机制帮助他快速处理。这也是我们东软安全发展的另外一个重点方向。 |
| 主持人: |
曹博士您说过国内和国外技术方面差距是越来越小,东软网关安全方面有没有一些比较先进的技术? |
| 曹斌: |
我们在一些技术上的采用方面相对来说在中国市场走的还是比较早的,比如2000年我们在防火墙领域率先推出了状态检测技术。而这之前的国产设备仅仅是单包分析,在TCP这个层面上还没有的,我们是2000年最早实现的连接表技术。2002年我们开始推出了流过滤技术,这个在全球市场来看东软还是相当领先的一个举动。03年年末的时候才有一些国外的产品开始出现这类型态的技术产品。我们在04年开始大规模的在产品中使用NP技术,推出了国内自主版权的NP产品和NP技术架构。这个举动在国内、外厂家中来说也是技术架构进步速度比较快的。我们今年已经开始推出了一些FPGA实现的方式。这个过程在国内包括国外安全领域也是相当领先的。东软在概念层面上走的并不是特别的激进,但是我们在技术层面上脚踏实地往前推进的时候,我们的速度和表现还是很快的。 |
| 主持人: |
FPGA本身应用比较灵活,同时对人的使用是不是也增加了难度? |
| 曹斌: |
FPGA开发的难度还是很高的,尤其在中国的FPGA领域里面,FPGA的设计人员的资源缺乏是比较明显的,因为中国最近几年才开始形成一些规模,这个队伍很难组建。但是真正形成一个队伍之后,我们发现第一它的门槛确实比较高,但是这是一个必经之路。看一下我们以前走过的路线,我们最开始都是在使用通用处理器用的服务器平台,那个时候软件是唯一需要创新和设计的。
使用网络处理器使我们能够在通讯方面达到非常好的性能。比如我们针对高端用户的5200系列,这部分产品可以在所有大小的数据包上达到线速的处理能力。但是它也有一些缺点,比如很难提供用于在高带宽情况下进行实时深入分析的运算能力,这个时候想要集成更多的功能、更高的吞吐能力,并进行深入分析和拦截的话,它就不是很理想了。再往上走就是FPGA的模式,第一它的运算单元是我们完全可以控制和增加的。我们可以运用这些资源做一些处理。同时它的接口非常丰富,这使得我们组织这样一个在通讯和计算能力均衡的计算架构方面变得很方便。
FPGA技术是具有随需应变的能力,它变得非常的方便。最开始可能需要经历漫长的过程,从开发队伍的资源包括一些试错的过程等等,目前我们的成果还是很不错的。 |
| 主持人: |
未来网络安全产品会面对什么样的攻击? |
| 曹斌: |
现在一个主要的趋势是网络攻击里面的经济利益和有目的的攻击越来越多。以前很多在网络环境下一些攻击者的攻击是纯技术和爱好的行为,都是发烧友,黑客入侵一些网站觉得很自豪。这两年变化越来越明显,攻击背后隐藏的是更多的一些商业机构和个人出于某种目的,想要达到某些利益而运用了一些非法的技术手段。这个时候攻击采用的方式、方法、技术的先进程度跟以前有很大的变化。它变得更隐蔽、威胁性更大、产生的后果更严重。我们在一些实际案例中已经看到看到,攻击者攻击方式和方法有很明显的变化。比如一些无目的性的攻击,从数量上和程式上降低了,但是对某些政府部门、运营机构的设施有针对性的渗透和攻击以获取一定利益的情况变得越来越多,这种事件往往隐藏的很好,很难防御和发现。这就需要防御设备有更强的分析和处理的能力。 |
| 主持人: |
未来网络安全产品将会更加侧重哪些功能呢? |
| 曹斌: |
一方面我们会选择给大型的网络用户提供以更适合插入到它的关键节点的防御设备。比如说像很多运营商的城域网,骨干网络上面的防御设备很少,早先更强调是带宽保障如何,是不是给用户提供更强的带宽。但是我们发现比如运营商电信和网通、网通和移动、联通是有结算的,这些流量可能是有一些攻击的,这就涉及到如何把攻击的流量识别出来拦住,不要让它出去流到需要付费的流量空间里。这些网络都是带宽很高的。这个时候要求网络设备有更高的处理能力、可靠性和更直接的拦截能力。这是我们在网关设备上的发展趋势。
同时在管理设备上要求有更快速的分析和响应的能力,使得我们的专业网管人员运用这种工具保证一些取证的工作等等。 |
| 主持人: |
未来的网络安全产品能不能实现真正意义上的智能化? |
| 曹斌: |
一类厂商更偏向于提供智能化的,一劳永逸的,甚至说未来攻击等等一系列的概念和逻辑。从他的诉求来说对用户是有吸引力的,因为所有用户都希望有一个东西放在这儿就没问题了。但是从东软的观点来说我们并不希望给用户这样的误导,因为安全本质上是人对另外的人的侵害,人的行为很难预见,人的创造力、人的行为复杂性都很难定义和描述出来。这导致在人和人对抗的时候工具并不能代替人,也不能达到百分之百的有效防御,工具只能帮助人更好的使用防御措施对攻击本身进行拦截。所以东软安全的诉求更多的是增加智能化的程度,智能化的程度是帮助用户更方便、有效的识别和判断,更有效的做动作。同时使得用户操纵这些设备的时候更方便,同时永远离不开人的总体需求。
所以我们觉得安全设备最终不可能百分之百的智能化代替,更多的是智能为人提供服务。 |
| 主持人: |
SOC这个产品已经具有了局部的智能化。 |
| 曹斌: |
这里面有一定的分析技术,但是如果说把它定义成人工智能的话也可以。比如说我们的建模和描述的工具,因为有些攻击的行为判断不是针对一个数据包的判断,可能是针对一系列的从顺序上是可变的行为。比如说举一个其它方面的例子抢劫银行,从这个人走入银行,到掏抢,然后实施抢劫,这个过程可能有一系列的表现。我们如果只做简单分析的时候,比如以前有一个国家的银行发现大多数抢劫者都戴墨镜,所以银行会判断戴墨镜的都是高威人群,这只是一个简单的判断,误判的情况会很多。更多的是需要综合的行为分析,比如进来之后行走的路线、举止、正常的人进来可能就是排队,抢劫者可能需要观察一下环境,另外他的装束,他说话的声音、语气等等,这都有一定的含义。我们需要综合分析出这个人是不是一个抢劫银行者的话,首先是需要行为的描述,然后是行为分析。而行为描述和分析技术主要是的来自于人工智能领域。在对入侵事件进行分析的时候我们也会找到一些痕迹,并和上下文的语意里结合到一起做判断,这时候判断会更准确,拦截更有效。
|
| 主持人: |
未来安全产品发展会有什么趋势呢? |
| 曹斌: |
安全产业里面发展的趋势有很多方向,东软目前来说更倾向于对网络攻击的拦截和防御。这就涉及到攻击行为判断方面的发展、以及性能的发展,网络整体可靠性的发展等等,这些都是我们需要做大量工作的。
另外还有一些其它的领域对于未来的安全来说是很重要的。比如说内部网络的审计、管理、身份的识别、验证、授权的管理等等。还有可信计算都是来源于正确行为的约束等等,这些方面也是很好的技术方向,我相信国内公司也在这方面做很多工作。 |
| 主持人: |
东软在今后安全领域发展的战略能否透露一些呢? |
| 曹斌: |
东软把安全一直作为很重要的领域去发展。比如我们在防火墙、Ntars、SOC等产品方面会持续的发展,另外我们也会跟包括一些其它的解决方案部门合作,给他们提供一些嵌入式的管理,比如手机是不是安全、银行的交易系统,有的时候需要外部设备保护,但是也需要自身的软件保护能力。我们现在很多国内应用系统的设计者和需求提出者本身对安全的理念并不特别的强,在这方面的积累并不特别多。这就要求我们在这方面可以适当进行引导,满足他们的需求,帮助他们构建更安全的软件,这也是我们努力的方向。 |
| 主持人: |
咱们的用户基本都是老用户群体,今后有没有什么新的拓展目标呢? |
| 曹斌: |
这个老用户是指我们的SOC和Ntars,因为这部分用户必须有先期的积累。像我们的防火墙它的市场是相当广的,这方面目前更多的是新用户,它基本覆盖了各行各业的客户,只要构建了网络、需要防火墙的都可能成为我们的客户。以前东软防火墙一直服务于高端用户,随着中小企业信息化建设的快速发展,我们也在把高端的技术应用开发出一些适合中小企业使用的防火墙产品。这块我们的销售渠道、销售网络都在这几年得到了很好的扩展。 |
| 主持人: |
我们知道有新的概念提出是IPS,您认为是新的技术还是新的完善呢? |
| 曹斌: |
IPS如果不是一个网关插入网络里的话不应该叫IPS还应该叫IDS。把一个IDS系统放到IPS里面需要大量的重新设计,这里最主要的是分析的准确性。 |
| 主持人: |
这个会成为未来发展的方向吗? |
| 曹斌: |
IPS会给用户带来很直接的好处就是很多攻击是在网络层面,很多攻击是在应用层面。这类攻击需要实际分析网络攻击的路线、攻击的行为本身。这就要求必须得有一类的系统对它进行深入的分析,这时候IPS是必需的系统。所以从未来趋势来说、可靠、可用的IPS是用户必不可少的。 |
| 主持人: |
东软在研发队伍上有什么创新呢? |
| 曹斌: |
我们有很多通信技术、芯片技术的积累,这些技术的积累使我们有更高层次上的创新能力。东软安全研发团队是相当优秀的,历史很悠久,今年正好发展10年,一个稳定的队伍走了十年,知识的积累、技术的积累是不可复制的,是极具竞争力的。我从业这么多年,在安全领域厂商里面,能有这样一只稳定的队伍、越来越完善的队伍确实是独树一帜的。 |
| 主持人: |
东软在杀毒方面有打算进入吗? |
| 曹斌: |
比如我们的Ntars已经有一块病毒检测的功能。
现在如果从技术上分析的话防病毒来自于两个方面,一个是找到病毒代码本身,第二个是找到病毒体传播的途径和手段。现在很多病毒传播使用了攻击的手段,比如一些蠕虫病毒,这样的传播可以被IPS、防火墙拦截。但是病毒体本身的识别、检测还一直属于杀毒厂商的领域。我们的Ntars目前已经能够检测病毒体的传播,这个可以理解成我们的系统具备了病毒检测和分析的能力,实际上也是这样。但是我们更多的是和产业合作,因为病毒体检测已经是非常成熟的技术,我们不会再单独制造一个,在这个方面我们更愿意采取是一种合作的态度。 |
| 主持人: |
我们今天的访谈先暂时到这里,网友的问题我们会之后整理出来请曹总继续解答,今天的访谈内容我们会整理出来放到网上,请大家继续关注!谢谢曹总! |
