当前我们这个平台在做的过程当中提供给用户一些日常的报告,有一些安全监控的报告,包括事件、预计和扫描分析的报告,根据用户的服务级别不一样,我们提供给他报表的程度和周期都是不一样的,有的可能是一个星期一次,有的是一个月一次,有的对于一些重要的客户可能是三天一次。良好的运维必须要有一个好的服务组织去保障,当前我们的团队已经形成了7×24小时的保障,包括安全咨询、服务监控、分析、应急响应都是24小时的,现在在江苏已经形成了二级支撑能力,因为地方的客户特别多,一个好的运维组织架构是必不可少的。对于用户来讲,当前我们已经有27000体系和20000体系的认证,对于用户来讲我们提供SOA的服务,包括一些等级报告。
接下来分析几个实用的案例,我们目前已经接了有将近几百个客户,我们也做了相应的一些监控和试验评估,我们现在最有优势的是跟国家新闻中心这样的一些机构进行协同,他们把相应的一些数据给我们,我们导入到这个平台上面,比如他们提供给我们一些僵尸网络的安全地址数据,其实我们在用户遭受攻击的时候就能知道,你现在这个机器我们通过比对能够知道现在你是不是已经成为肉机了,已经在发动一些攻击,这个我们提供给用户,对于用户来讲是非常有价值的,现在我们已经接触了一些客户,名单很多,就不一一列举了。这是我们监控的一些当前的基本界面。
很早以前我们就对这个网站进行过安全检查的服务,在过程当中发现有很多安全的漏洞,我们给他们提供了一个建议,他们进行了一些重要的安全保障,包括相应的程序的改造,最后我们监控的时候发现,在日常流量非常多的时候带宽不足,帮助他们增加了一些带宽的功能。通过这个表格我们可以看到,他们在2010年2月份的时候攻击量是很大的,平均每天将会发生200多次,通过我们相关的处理以后,威胁不断的降低。它在遭受攻击的时候,我们发现感染了木马,我们第一时间对它进行了一些响应,包括进行了补丁的加固,还有DNS域名的纠错服务,客户立马就感觉到我们这个服务很及时,很认同我们这种服务。
对于网吧来讲,相邻的网吧经常是互相攻击的,他们带宽是很重要的,流量是至关重要的。我们通过一段时间的监测发现,这个网吧最小带宽很大,但是上网速度很慢,向他的客户经理经常反映,后来发现他隔壁的网吧经常攻击他。后来我们通过一些流量清除的措施,真正的为业务服务,帮助他把网吧的速度提上去。
我们做了这么多工作之后也感觉到有很多的问题,虽然做得非常辛苦,有很多的客户,但是还有很多的问题,希望提出来跟大家一起探讨。安全服务模式在国内刚刚起步,在国外已经比较成熟了,我们在推广的过程当中,如果能够让用户更好更快的接受我们现在是一个问题,用户现在看不到买了防火墙还有一个设备在那里,一年不出问题什么都没有,你每次给我一个报告,应该能够让用户感觉到。客户的期望值很高,但是他给我们的数据又很零散,比如我们要获取一些内网的数据,比如要镜像流量,可能要涉及到他核心机密的东西,他给我们很少的数据,或者Web服务器的信息。这就会给我们造成很大的影响,因为数据来源越少,我们发现的能力就越差,过程说提供的事后分析的处理应急响应能力就很弱,在这里有一个差距。时间上也有一个差距,我们也联系过几个金融的客户,像上海的某一个证券公司,证券公司对于网络的要求就是股票开始的四个小时之内,他就要求我们,比如我这个交易的服务器是断网的,你一分钟之内就要告诉我,其他的股票非交易时间无所谓的,但是交易时间之内必须很快的告诉我,这个时间差距我们还有待改进,我们提供的能力上面,或者是发现的能力上,快速响应上面还需要去加强,其实这个对于我们来讲是一个很大的挑战。要让用户真正的感受到价值的存在,我们现在给他们提供的就是一些报告和咨询的服务,用户真正感觉到价值是他出了问题以后。
如何获得用户的信任度?现在客户有一些机密的数据,有一些内网,有的东西我们可以对它进行扫描和监控,或者抓包数据,其实就是引入一些非常机密的数据,我们抓取过来。如何能够让用户允许我们做这些事情?或者说获取他们关心的一些业务信息?这就需要我们的品牌知名度,或者是签订一些相应的协议,还有就是一些职业操守,现在来讲信任度还是有待于提高。我们很多用户跑到那里安装一些相应的东西,或者需要相应字段的时候,我们在路由器上做一些更改,或者在防火墙上做一些配置的时候,现在用户还不太认可我们这么做。如何符合合规性的要求,我们在做政府部门的时候感觉到非常明显,因为刚才大家也提到政府有一些合规的要求,比如等级保护,重要的是定为四级,一般都是三级,三级的数据往外传的时候不允许等级保护要求,如何实现我们业务系统往外传输的数据,我们必须具备同等的安全级别,在这个过程当中,我们把安全性定为三级,这样的话在一些法律法规上可能允许这样做,我们也符合一些监控的要求,这个我们现在也在做。大家知道,现在云安全很重要,但是安全云这个概念也是很重要的,将来云化以后,通过云为大家提供一种安全服务和接入服务,当然现在我们在做的工作当中还是一对一的服务,将来我们把这个服务平台做好以后,能够更好的为用户提供自助化的服务,就像现在杀毒一样,把IP地址输入到这个平台,我们这个平台可以自动的进行监控。或者说遇到一个问题的时候,这一段日志我认为有一个攻击,把这些日志和数据信息提交上来的时候,自动的能够给大家提供分析速度,这个下一步也是需要做的。
