中国IDC圈12月28日报道，12月20-22日，第十一届中国IDC产业年度大典（IDCC2016）在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导，中国IDC产业年度大典组委会主办，中国IDC圈承办，并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会，之前已成功举办过十届，在本届大会无论是规格还是规模都"更上一层楼"，引来现场人员爆满，影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上，奥飞数据首席运营官、副总经理杨培锋 出席IDC服务大会并为当天的安全运维分论坛做《数据中心立体化安全防护思考》主题演讲。

奥飞数据首席运营官、副总经理 杨培锋

以下是演讲实录：

针对IDC企业跟传统的安全公司，或者是安全设备厂商，在整个IDC数据中心安全防护方面的一些定位，怎么去做到更好的合作。其实我们也有自己的想法，安全厂商更关注于技术上和产品实现上的设计，作为IDC公司或者互联网公司，更多的考虑产品怎么面向用户，怎么简单地使用，怎么满足整个产品的简易使用，或者高性能使用方面，我们也是按照这种思路去做，我们重点是考虑目前怎么去防护，怎么把产品成功推出来。第二盲从是针对安全运维方面，针对内部我们的云系统甚至是互联网的系统，我们怎么从内部发现问题，内部解决问题。我也给大家简单分享一下奥飞与主流厂商合作的案例，或者是我们现在正在准备推出的产品。

我们先看一下安全的现状，这是我在网上搜的数据。大家可以看到，最近几年来攻击的规模、攻击的时长、攻击的目的都会越来越多样化。攻击从2016年开始已经达到1T级的规模，10月份大家都知道，整个美国的互联网所有的脸书在东西海岸将近一半是没法使用的。根据我在美国那边比较好的安全公司的朋友沟通，他们分析出来，这次的攻击是源于互联网的设备，因为它是一个嵌入式的软件，但是它受到一些安全的威胁，被开了漏洞。这个攻击的流量将近是1个T，但是以他们的统计，这个供给的流量只是占了设备能力的不到30%，也就是说如果是全规模攻击，这个攻击流量可能有会达到3个T以上，这是一个非常疯狂的数据。

我们再看一下DDoS方面的趋势，其实大家可以看到，在2015年整个年度的统计，整个攻击事件已经超过2750万，每一天我们会面对很多不同的攻击事件，攻击的目标网站已经超过78万个，平均攻击的时间是35分钟，经济损失是180亿，业务影响占到了50%。我们总结出来，70%以上的攻击都会小于10分钟，但是有一种情况，这种境外组织在现在整个时机流量攻击的商业模式，或者是黑市产业链，这个已经非常成熟了，特别是在境外这种组织已经超过5000个。大家可以看一下一些攻击来源统计，其中中国占了30%，美国22%，英国是16%，还有一些互联网发达的国家还有互联网用户比较多的国家。

我们看一下当前我们在防护过程中碰到的问题，这也是我们前期在做安全过程中，包括我们在选择厂家，选择整体解决方案过程中碰到的一些问题。

第一个是防护能力，我们先看中国国内的安全厂家，大家很清楚运营商级别的厂家，包括企业级、数据中心级的厂家，做的比较好的就那么几个，而且和其他相同城市的厂家投入距离、产品输出距离是比较大的，在国内是一个安全产品寡头经济时代。我们在选择的时候，没有多少可以选，但是会考虑到成本差异、技术上的应用差异，我们又会比较头疼地考虑这些问题。刚才也说到了，厂家研发安全产品投入是关键。

第二个是策略，产品究竟能防护多少攻击，能够防护什么类似的攻击。我们发现最近几年有新的攻击应用产生的，而且它是夹带在大流量攻击里面，或者多种应用攻击一起影响系统，所以厂家策略得不断地改变，通过数据库、人员、研发各种条件都得不断地完善。

第三个是防护不及时，有的时候发现了问题，或者有攻击在，但是厂家的产品、策略没有能够发现找到数据中心的业务，或者云平台的业务，而且对这种应用，目前很多方式只能是比较强硬，或者比较死板地把一些业务给封掉，但是这很影响我们的业务。

刚才说到的是一些设备、厂家、解决方案上的问题，即使前面解决了几个问题，但是也不一定能够防护整个系统的安全，因为大家知道整个互联网安全是从源到端的攻击全过程保护。大家看一下，我们一般在做数据中心的时候，在数据中心做高防，或者做安全防护产品的时候，我们会在每个数据中心的出口去部署一些防火墙，100G、200G甚至更多。但是由于数据中心的一些互联网出口或者跟客户提供的线路带宽总是有限的，不可能无限制提供。我们在数据中心经常会受到几百G级的攻击，没有任何一个IDC的机房能够扛住几百G级的攻击，单独出口谈防控成本很高。一旦发现了200G攻击，我设备可以防住，但是我上面的流量已经饱和掉，整个数据中心下面的业务也会受影响。

第二个就是一些复杂攻击，我们发现每年的应用攻击有5%-10%是新类型的攻击，需要不断地发现它的数据库，跟设备的提供商和厂家要分析到底是什么攻击会影响到业务，然后不断地做升级，这也是一个比较头疼的问题，我们也会一直关注，但是当出现这个问题的时候，我们可能会觉得没有一些手段，所以我们会更关注这一块，实时更新这些数据库，实时去学习这些模型，这些是我们重点关注的方向。

刚才说的是外部进来的流量攻击，但数据中心里面也会存在一些安全模块，或者换一个简单的话来说，我们的设备、我们的主机，有可能成为被黑客控制去攻击别人的肉机、僵尸组机。我们认为这个比前面说的攻击更加隐性，而且威胁更大。为什么这么说呢？其实做数据中心，包括游戏、视频、社交网站，这里面有更多的信息，这个信息如果被入侵、被开放后台，这个比任何显性攻击会有更大的影响，攻击是一时性，但是信息安全是长期性的影响。

我们为什么不能主动发现问题呢？第一，可能一些异常发现方面，我们工作人员，因为人在处理问题的时候，不可能百分之百的考虑到，只能是公司在运营和厂家处理不可能考虑到百分之百的安全。第二，黑客入侵以后可能我们还不知道，很多断口被打开，这个时候我们高防的应用没有办法知道我们的主机受不受到影响。第二方面是漏洞管理。第三方面就是威胁，防火墙可以产生很多日志，但是它发现的都不是关键的东西，很多关键的东西没有发现，没有任何精力去把所有的设备都做检查，这个需要花费很长时间去做处理，这个及时性也会存在一些问题。

前面讲的是背景，后面讲的是我们做的一些实践，我们跟一些厂家在做的针对用户的革新化需求，或者针对及时性，大容的数据中心安全的方案。这是我们整体的结构，也是我们做方案的一些指导思路。大家可以看出来是两块的结合，为什么是立体化，一个是对外的防护，一个是对内，对客户负责，对整体的内网安全负责。对内我们会逐步地细讲。

首先针对一些大流量的，大家知道它不是一个产品设计问题，而是说整体部署方案问题。我的产品能力可能很强，扛100G、200G，但是整个出口扛不了200G的中心，首先是数据中心业务必须保证正常，我必须把流量做归零处理。当一个攻击从一个方向进来的时候，我们正常是在多个出口，针对保护业务，我们会在多口出口同时去拨，这个跟一些供应商做联动的事情，我们尽量把一些攻击进行碎片化，攻击流量分布在不同的点，设备有清洗能力，但是我要分布去承担这些风险，这样不会集中在一条电路，影响到整体数据中心的业务安全。

第二个就是跟国内主流IDC安全厂家做联动，我们会在系统能力、各个机房高防的能力基础上，再跟各厂家的云清洗平台做联动，一旦发现大流量攻击，可能超出所有线路的支撑水平，或者设备处理能力的时候，我们会给它联动，那个规模是超过1个T的防护规模，这个是更加碎片化的处理方式，让我们的攻击引流数据中心的出口，或者让攻击达到数据中心之前被碎片化分布到不同的出口，这样我们可以确保大流量和新型应用。有些应用现有的设备是处理不了或者识别不了的时候，我们会把疑似受攻击的流量放到云清洗平台去做识别，同时把它的数据模型下发到设备上，让我们的设备能够实时识别和更新这种威胁，包括以后的后续处理。

我们做了这些方案之后，确实是有些好处，或者说这些产品的优势。第一个是出口无拥塞，这些分布引流或者是后面的云端联动，我们可以更大程度地减少单一数据中心的清洗能力或者是出口承载能力。第二个是精确策略防护，针对应用层的防护可能单一独立的一台设备，或者单一独立的系统没法实时应对不断更新、不断产生的新的应用攻击，但是对于跟云平台做联动的时候我们会有实时的策略，我们会有最新的模型库，这对我们来说是比较好的路径解决单一厂家或者我们自身的处理能力的不足。第三个是一体化联动，但是所有的联动都是策略事先在设备里，或者在系统上面布置好，所有都是实时联动，可能少于10个G数据中心解决，超过50个G分布在不同的数据中心解决，超过100个G在云系统解决。还有一些关键业务独立处理，比如这个客户的业务非常重要，可能是在线交易，可能在攻击的时候有多种业务在里面，要求这种业务单独一个途径做清洗，我们给它一个单独的设备，单独一个平台的任务去做清洗，这样的话就保证全过程与其他攻击隔离开来。还有一些定制化服务，我们定制一些产品的策略，更重要的是任务是分解客户的需求，把这些需求组成一个产品，跟厂家、合作单位一起研究，做成一种让客户更简单能用的策略。针对一些安全产品，我们后面可能是把难度、技术实现最难的环节不断地往后端去推，可能是推给做IDC公司的、做产品的、芯片研发级的，这样用户去使用这个服务的时候，就会趋于简单化，但是整体后台是一个比较强的，具有完善架构产品在支撑的，这样能够更快地匹配客户的需求。

简单说了一下上面的对外需求，这块是我们在做的新产品，也是做的比较好的运营安全的厂家在做的。我们对外分流的同时必须考虑对内，我们自己的安全系统、一些机柜系统、认证系统、重要的生产系统，包括客户托管在我们机房的很多主机、云，我们必须发现它们存在异常的情况。我们不可能每台设备都去做检查，一个是工作难度，第二是个设备的安全，客户也不会给你提供太多的权限去操作。

怎么去做呢？我们简单说一下。一台服务器进入网内，一个是做识别，就相当于一个登记，是什么客户的，什么流量，包括后面不是非常关键的字眼，我们就分析这台设备每天大概跑多少流量，它的流量模型怎么样，它哪些断口会用的比较多，更细一点应用层的那些域名，这个针对不同的客户有不同的模型，我们在建模会针对不同的应用有不同的模型。搜集完之后，每个设备、每个IP地址设备的情况我们会有一个大致的模型，流量什么样，断口应用、访问域名有什么差异。我们正常理解是每周七天之间的波动不会超过20%，包括端口、应用、流量是否可以有个监控的基准，在不超过20%的情况我们认为它是正常的。这个是不用任何设备的扫描，针对中间穿过去的流量，流量包的扫描，这个对我们来说操作更简单一点。

第二个是威胁发现。哪天我们看到这个设备端口突然在两万以上，突然多了很多，我们这个时候发现黑客在不断地往外发送请求和攻击之类的，这个时候我们不需要实际发现东西，当然这不是完全精确定位，但是给我们提供依据，这个设备是有异常的，是不是客户在做一些操作引起这些异常，我们起码有一个先判断的条件，这是关键的所在，但是这只是一个简单的例子。包括前面做一些安全的时候，我们网内客户正常去访问网页，基本上一个月固定下来就那么几家，不会有太大的差别。突然哪一天有个不认识的域名提到很高，是不是这个域名比较有嫌疑。大家知道可控制僵尸主机的时候通过域名发送指令，这个时候肯定会在系统有些日志存在、日志存在，这个时候我们去看这个域名是不是有问题，因为正常是不会在前一百，可能在几千以后，突然提到前五十或者前二十，这个时候很关键，这个域名肯定出问题，我们去查，哪些用户访问这些域名，在数据中心里面的，如果确定这个域名是黑客的域名，这些访问的主机是不是中毒的，这样我们会有更好的手段。

这是我们做的一些模型，一个是可视化的分析，还有一些处理。我们总结出来就是5V特征，第一个是高速日志采集，第二个是多样化，支持半结构化、非结构化的数据类型。第三个是容量，我们是专门办了一些大容量的存储，来对日志做分析，要建立一个数据库不是短时间一些数据能用，可能需要更长一段时间的数据做运行。第四是价值，很多数据里的价值，怎么去判断一些攻击，或者是以后这个系统不仅仅是做安全，可能给客户做更细致的运营价值的时候，数据包里面的应用层，包括下面的传送层之类的端口级别以上的信息都是客户做分析流动的。它的价值是基于安全出发，但是不仅仅是只有安全这个能力。最后一个是可视化，我们尽量把客户使用的这些系统和手段可视化、简单化。

这是我们的模型，我们对内网流量的告警，我们是通过流量去分析客户的安全，这样我们会把内网流量做分析，看看有什么异常，然后单独某个IP，它的模型与我们之前确定的模型出现差异的时候我们会报警出来。第二个是内外网的异常流量告警，这个大家比较清楚，内网就是大流量。监控名单主机流量，有这种服务的客户我们可以提供IP，他去监控这个流量，但是他也可以收到告警的情况，他自己去判断有没有问题。最后一个是制定一些规则监控，客户这段时间会去关注哪些端口的应用，我必须保证哪些端口，他会重点关注那些端口，我们再更细给他的端口做一些模型。

这是一个流程，安全监测、脆弱检测、威胁分析，我们整体做流量的安全系统，包括IP、主机端口、域名、漏洞、威胁、建模。

这个是整体的安全体系，不仅仅是刚才我讲的这两块，还有从物理层、网络层、应用层、表视层、安全层，我们都会有一些安全方面的建议。

这是我们对于整个数据中心安全体系的建议，大家知道单靠任何一个IDC公司是没有办法独立应对这么强大的网络规模攻击，所以我们希望在IDC运营商、用户能够建立一个安全的共同体，大家在技术上、攻击场景上、合作上共同承担一些责任，确保互联网业务、IDC业务能够更健康地发展。