2016年6月24-25日，由51CTO.com主辦的【W(wǎng)OT2016企業(yè)安全技術(shù)峰會】在北京珠三角JW萬豪酒店召開。自2012年以來，WOT品牌大會秉承專注技術(shù)、服務(wù)技術(shù)人員的理念已經(jīng)成功舉辦九屆，不僅積累了大量的專家資源，更獲得了廣大IT從業(yè)者和技術(shù)愛好者的認(rèn)可和好評，并成為業(yè)界重要的技術(shù)分享及人脈拓展平臺。

本次【W(wǎng)OT企業(yè)安全技術(shù)峰會】分為11大技術(shù)主題，分別是企業(yè)安全管理與運(yùn)維、工控安全與物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、移動Web與安全、云安全、CISSP開放創(chuàng)新論壇、金融與電子商務(wù)安全、威脅情報與攻擊防護(hù)、漏洞挖掘與分析、安全測試與應(yīng)急處理、技術(shù)管理專場。51CTO.com作為本次大會的主辦方，將通過快速報道、現(xiàn)場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。

下面是大會主會場上來自思科的中國首席安全架構(gòu)師徐洪濤先生帶來的主題為數(shù)字經(jīng)濟(jì)變革下的安全防護(hù)思路的現(xiàn)場演講實(shí)錄。

[[167793]]

思科中國首席安全架構(gòu)師 徐洪濤

(演講實(shí)錄)

非常高興有這樣一個機(jī)會分享一下網(wǎng)絡(luò)安全話題，今天分享這個話題是數(shù)字經(jīng)濟(jì)變革下如何做網(wǎng)絡(luò)安全防護(hù)，我們現(xiàn)在進(jìn)入一個數(shù)字化顛覆一個時代。萬物互聯(lián)，給我們生活帶來了很多的便利，給工作帶來的便利。在這個環(huán)境下實(shí)際上帶來了很多的危機(jī)，有越來越多的攻擊。思科本身也是發(fā)現(xiàn)了數(shù)字化顛覆的商機(jī)，這個環(huán)境下我們可能會面臨更多的安全的隱患。所以，從思科來看，已經(jīng)把網(wǎng)絡(luò)安全作為公司首要發(fā)展方向。

今天我想跟大家共享一下，在數(shù)字化顛覆的時代，我們從哪幾個方面做網(wǎng)絡(luò)安全?主要從三個方面給大家做一個介紹。全面的可見性、有針對性防御威脅、共享一下統(tǒng)一平臺的概念。實(shí)際上，做安全靠一個點(diǎn)安全平臺很難去實(shí)現(xiàn)，可能要結(jié)合網(wǎng)絡(luò)，結(jié)合安全設(shè)備，結(jié)合終端，結(jié)合主機(jī)，整個形成一套全面的安全體系。

這種大規(guī)?？焖贁?shù)字經(jīng)濟(jì)爆發(fā)不多講，越來越多的商機(jī)，我們也是看到了全球角度來看，有很多公司出現(xiàn)，有很多行業(yè)標(biāo)準(zhǔn)出現(xiàn)。有很多的終端接入網(wǎng)絡(luò)當(dāng)中，接入互聯(lián)網(wǎng)當(dāng)中。今天看到的有接近150億的終端接我們網(wǎng)絡(luò)。我們預(yù)計(jì)到2020年，這個數(shù)字會達(dá)到500億，2030年這個數(shù)字有5千億，這個數(shù)字對我們來講的確是一個很可怕的數(shù)字。

更多的終端接入對于我們來講會面臨更多的威脅，黑客有更多的攻擊面。利益鏈驅(qū)動導(dǎo)致更多的黑客用不同的方式去入侵我們的系統(tǒng)，拿走我們的敏感信息。攻擊方式也是變得越來越復(fù)雜，越來越有彈性。之前可能大家都是聽說過這種軟件，之前跟一個運(yùn)營商合作，破獲了一起很大的軟件，就是這個軟件的黑客基礎(chǔ)架構(gòu)。我們對于基礎(chǔ)架構(gòu)做了研究以后發(fā)現(xiàn)，這個基礎(chǔ)架構(gòu)做的相當(dāng)?shù)挠袕椥?，在里面看到很多主件，有攻擊服?wù)器，有狀態(tài)跟蹤服務(wù)器，這個狀態(tài)跟蹤器就是跟蹤前臺這些服務(wù)器。發(fā)現(xiàn)的都是有問題，別的地方可以開啟一個新的攻擊服務(wù)器。這些方式是讓我們更難以阻擋這些最新的東西。

很多的時候談到了高級可持續(xù)攻擊，在高級可持續(xù)攻擊過程當(dāng)中有一個技術(shù)發(fā)揮重要的作用，就是惡意軟件，現(xiàn)在我們看到了很多這種大型攻擊，重要的攻擊事件，很難說有一種就是直接通過一些暴力手段進(jìn)入用戶網(wǎng)絡(luò)。一般都是低調(diào)的方式，比如說，先用社會工程學(xué)一些工作。然后，獲得某一些人的帳號，獲得某一些人的郵件地址，發(fā)一個郵件，帶一個惡意軟件，這個人不小心點(diǎn)開郵件以后，主機(jī)可能會被種上一個惡意軟件。這個時候遠(yuǎn)程控制他的主機(jī)，內(nèi)網(wǎng)當(dāng)中展開一系列的活動。直到獲得足夠的權(quán)限，獲得足夠的信息，我把這個信息泄露出去，這樣可以得到最大化的一個競爭力。

惡意軟件成為當(dāng)今最大的一個威脅。實(shí)際上我們在很多的企業(yè)調(diào)查當(dāng)中，有一半以上CSO已經(jīng)認(rèn)同這個觀點(diǎn)，他們覺得惡意軟件對于他們來講真的是相當(dāng)?shù)目膳隆?/p>

面對這么多的威脅，剛剛講了思科已經(jīng)發(fā)現(xiàn)了這個問題。所以，2013年開始，思科已經(jīng)把整個網(wǎng)絡(luò)安全作為公司頭等要務(wù)。如果有關(guān)注思科，你們可能會發(fā)現(xiàn)。2013年到現(xiàn)在陸續(xù)思科已經(jīng)投資接近了50億美元，就是要在業(yè)界尋找最優(yōu)安全公司。

我們應(yīng)該怎么樣做這個新時代下的網(wǎng)絡(luò)安全設(shè)計(jì)?我提出來一個概念，就是無所不在的網(wǎng)絡(luò)安全。我們做網(wǎng)絡(luò)安全不可以有任何短板，無所不在意味著兩個概念。

第一，無時不在。可能攻擊發(fā)生過程當(dāng)中都要做出相應(yīng)防護(hù)，無論攻擊發(fā)生之前，之中，還是之后，可能都是有相應(yīng)技術(shù)來主導(dǎo)攻擊。主導(dǎo)不了就是響應(yīng)攻擊，減少損失。這個是無時不在的概念。

第二方面，無處不在。在任何的地方都需要部署相應(yīng)的安全方案，這個全球互聯(lián)的時代已經(jīng)沒有安全邊界，這個時候園區(qū)網(wǎng)，數(shù)據(jù)中心，終端，云環(huán)境，甚至網(wǎng)絡(luò)當(dāng)中都是需要安全的防護(hù)。整個安全是需要一個無所不在，無處不在，無時不在。

接下來從三個方面給大家介紹一下我們的一些經(jīng)驗(yàn)，在網(wǎng)絡(luò)安全防護(hù)當(dāng)中一些經(jīng)驗(yàn)。三個方面。

第一點(diǎn)，全面提高可見性。網(wǎng)絡(luò)安全，是講控制，防御危險。如果網(wǎng)絡(luò)整個基本情況都不知道，你控制什么?防御什么?可能什么都看不清楚。這個是第一點(diǎn)。

第二點(diǎn)，如何有效地關(guān)注在危險上?最終目的就是要防御進(jìn)入到網(wǎng)絡(luò)的攻擊，所做一切的努力都是為了威脅的防御。

第三點(diǎn)，統(tǒng)一的平臺。我們?nèi)绾文軌虬岩延羞@些平臺結(jié)合在一起，都是為這個網(wǎng)絡(luò)安全貢獻(xiàn)自己的力量?這一塊是需要考慮的一個范疇。有一些時候沒有足夠資金。我們達(dá)到1+1大于2這樣一個效果，先看一下全面可見性，是整個網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，如果不了解一個網(wǎng)絡(luò)，網(wǎng)絡(luò)里面什么平臺?什么主機(jī)?包括什么IP地址，什么都是不知道。安全策略一定是拍腦門出來的策略，對你來說沒有太多的針對性。所以，做網(wǎng)絡(luò)安全，做控制，所有的一切的一切都是一個全面的可見性，如何來獲得這個可見性?目前業(yè)界有一個技術(shù)，中文意思是情景感知。是目前來講提供全面可見性一個主流的安全技術(shù)。什么是情景感知?舉一個例子，兩個字符，如果兩個單獨(dú)字符，分不清楚是一個B還是13，如果前后關(guān)聯(lián)一下，A和C之間就輕松就知道了，A和C之間就是B，12和14中間就是13。傳統(tǒng)意義上靠一個地址確定終端時代已經(jīng)過去了，現(xiàn)在準(zhǔn)備識別一個終端從多個因素考慮，這個終端什么人在用，什么部門的，老板還是員工?這個終端是一個什么樣子的終端?是一個筆記本電腦，還是一個IPHONE，還是電話，如果是醫(yī)療機(jī)構(gòu)，到底是一個普通的終端?還是一個醫(yī)療設(shè)備?可能都是有一個全面的了解。包括這個終端是如何接到網(wǎng)絡(luò)當(dāng)中，是通過有線，無線，遠(yuǎn)程接入?北京?上海?現(xiàn)在在什么位置?什么時間。就是把這些確定出來一個終端，對于服務(wù)端也是一樣。

現(xiàn)在就是講云數(shù)據(jù)中心，如何防護(hù)?有很多重要信息資產(chǎn)放數(shù)據(jù)中心，這個時候需要全面可見性，這個服務(wù)器是一個虛機(jī)還是物理主機(jī)?上面什么漏洞?對外提供服務(wù)是用的什么?包括跑的應(yīng)用，版本，這些都是有一個全面的了解。從終端對于服務(wù)端訪問，傳統(tǒng)意義上面來說，靠最基本的防火墻，現(xiàn)在大家都是提過一個概念。怎么去做控制?應(yīng)用中這些流量到底是正常的?還是異常?傳的文件是正常的文件還是惡意軟件，這個都是需要知道，這個是本意情景感知的概念。

可能了解自己的網(wǎng)絡(luò)不可以說，人工去查。技術(shù)角度有幾種技術(shù)來考量，現(xiàn)在通用幾個技術(shù)，一個是客戶端技術(shù)，就是主機(jī)上面裝客戶端，主動掃描技術(shù)。第三，所謂的被動的流量，指紋分析技術(shù)，這些技術(shù)都是比較的廣泛。我個人在這個里面都是比較的偏向與被動的指紋分析技術(shù)。因?yàn)檫@個技術(shù)對于終端完全的透明，并且靠實(shí)時流量分析來得出可見性，是整個實(shí)時一個概念，定期地掃描實(shí)時性更緊。這個是一個本地一個可見性。

除了本地的可見性，整個互聯(lián)網(wǎng)是一個全球互聯(lián)網(wǎng)，世界任何一個地方，任何一個時間發(fā)生的威脅，同時可能發(fā)生在我們身上，我們需要全球的安全情報的智慧幫助我們解決最新的其他地方曾經(jīng)發(fā)現(xiàn)過的這些問題。這個其實(shí)就是一個安全大數(shù)據(jù)和安全情報分析一個概念。有一個本地的可見性，有了全球的可見性，我可能對于我的網(wǎng)絡(luò)就可以做到了如指掌，知道網(wǎng)絡(luò)當(dāng)中一些基本情況，終端，應(yīng)用，服務(wù)，流量，我也是知道我內(nèi)部一些威脅的情況，這個時候我可能想怎么控制就做到怎么控制。

只有可見，才可以實(shí)現(xiàn)可防。很多人看到了網(wǎng)絡(luò)一些基本情況，很高興，這個是不足夠的。目標(biāo)是為了幫助我們更好判斷危險，控制危險。五真正威脅防御是我們最終的目標(biāo)，是可以幫助我們最大限度減少因?yàn)榫W(wǎng)絡(luò)攻擊造成的一些影響，造成的一些損失。

剛剛看到了全面的可見性，對于本地全面可見性給我們做判斷，提供了一些基礎(chǔ)。比如說，我們看到了郵件，我們看到外部訪問，我們看到終端所有這些屬性，有了這些做終端準(zhǔn)入控制，做郵件控制變得很簡單。再加上安全情報提供的智能，讓安全判斷有了這種大腦的智慧。告訴我什么是對的，什么是好的，什么是壞的。這個時候?qū)τ诰W(wǎng)絡(luò)當(dāng)中的幾乎所有的方方面面都是做出防護(hù)。比如說，對于郵箱，可以看到郵箱信息，可以看到附件屬性，可以看見鏈接屬性。對于終端準(zhǔn)入，可以看到終端所有的屬性，所有的用戶，所有的健康狀態(tài)，我可以看到跟他相關(guān)所有的安全事件，這些結(jié)合起來會有一個真正的基于威脅終端準(zhǔn)入控制。

所以，可見性和安全大數(shù)據(jù)結(jié)合起來可以給我們提供更好的一個威脅的防御。威脅防御也是看一下每一個發(fā)生階段，這里給大家介紹一下安全模型，所謂的安全模型。攻擊發(fā)生每一個階段都是有相應(yīng)防護(hù)和響應(yīng)的措施。比如說，在攻擊發(fā)生以我要做什么?就是全面可見性都是在攻擊發(fā)生以前做的。要了解網(wǎng)絡(luò)，看到所有的東西，把業(yè)界最新安全情報要了解。根據(jù)看到的東西我寫一個最小權(quán)限原則的策略。我加固一些服務(wù)器，流量，這些都是可以加固。最終目的就是加固防護(hù)措施，這個是攻擊發(fā)生以前做的。攻擊發(fā)生之中要做什么?有人對我進(jìn)行攻擊了，這個時候充分利用剛剛的可見性所有的信息，安全大數(shù)據(jù)所有的信息。結(jié)合一些深度技術(shù)，把這些攻擊找出來。然后，擋住。如果這些攻擊存在一些變化，我有足夠的智慧可以覺察到這一點(diǎn)，我可以把它檢測出來阻擋住。這個是攻擊發(fā)生之中做的事情。沒有一個技術(shù)100%擋住攻擊，這一塊大家是認(rèn)同的，攻擊沒有100%有效性概念。如果網(wǎng)絡(luò)真的被別人攻擊了，某一臺服務(wù)器被別人中上一個后門，這個時候做什么?就是要快速地做出響應(yīng)，最短時間內(nèi)找到問題，解決問題。找到問題，不僅僅是人可以做的事情，還有很多其他的技術(shù)，比如說，現(xiàn)在追溯技術(shù)，實(shí)時跟蹤技術(shù)，可以幫助我們在最短時間內(nèi)找到那個當(dāng)中有問題的機(jī)器，然后對它做出隔離，做出修復(fù)，這個是涵蓋整個攻擊發(fā)生周期的安全模型。不同安全技術(shù)都是要到模型當(dāng)中。防火墻，包括主機(jī)加固這些技術(shù)主要用在攻擊發(fā)生以前，威脅防御，外部安全，郵件安全，這些技術(shù)主要是放在攻擊發(fā)生之中階段。惡意軟件防護(hù)，包括大數(shù)據(jù)關(guān)聯(lián)，關(guān)聯(lián)分析這些技術(shù)，可能在我們攻擊發(fā)生以后會起到一個很大的作用。這個是所謂的涵蓋攻擊發(fā)生整個生命周期這樣一個模型。

當(dāng)然，我前面也是提到了惡意軟件是我們現(xiàn)在最大的一個威脅，所以，對于惡意軟件防護(hù)，對于每一個企業(yè)都是顯得相當(dāng)重要。最早很多人也是部署了相應(yīng)的防病毒的技術(shù)。這個跟病毒有一些區(qū)別，不會對電腦自身造成一些破壞，造成一些影響。更多是想遠(yuǎn)程控制主機(jī)，拿走一些敏感的信息。比如說，典型的后門軟件，廣告軟件，以及一些惡意的瀏覽器的插件，他們其實(shí)都可以從你的電腦當(dāng)中拿走很多的數(shù)據(jù)。對于這種惡意軟件，如果你靠一個簡單的特征來去識別，現(xiàn)在已經(jīng)很難做到了。這個時候?qū)τ趷阂廛浖姆雷o(hù)，我們也是需要一個全球連防一個概念。做到一次發(fā)現(xiàn)，全球防護(hù)。同時，這個防護(hù)需要部署在網(wǎng)絡(luò)當(dāng)中的任何的位置，做到無處不在的一個防護(hù)?？赡芨魑恢岸际锹犝f過，在美國的很多大企業(yè)發(fā)生的安全事件都是由惡意軟件來進(jìn)入到網(wǎng)絡(luò)來實(shí)現(xiàn)的。包括我們看到的POS機(jī)上面有惡意軟件。所以，任何位置惡意軟件防護(hù)都不可以放松。

對于惡意軟件防護(hù)，我們可能需要從幾個方面去考慮。第一方面，快速地檢測，實(shí)時的檢測，現(xiàn)在惡意軟件一般來講普遍采用云治理概念，云端，進(jìn)行一個檢測。這個里面還有一個技術(shù)跟大家重點(diǎn)提一下，如何跟蹤這種惡意軟件?傳統(tǒng)很多技術(shù)都是做什么呢?如果一個軟件進(jìn)入到你的網(wǎng)絡(luò)，你要判斷他是好是壞?如果是壞的，可能你會把它扔掉，如果這個時候還不知道是好還是壞，一般的做法是什么?讓這個軟件進(jìn)入到我們的網(wǎng)絡(luò)。那么，萬一某一天這個軟件真的被發(fā)現(xiàn)是一個惡意軟件，已經(jīng)控制了內(nèi)網(wǎng)當(dāng)中很多的機(jī)器，可能就無能無力。現(xiàn)在比較新的一個技術(shù)，可以對這種軟件進(jìn)行一個實(shí)時跟蹤。一個軟件進(jìn)入到網(wǎng)絡(luò)里面，如果還沒有發(fā)現(xiàn)是一個惡意軟件，你可以讓他進(jìn)去，需要對他進(jìn)行一個實(shí)時跟蹤，兩天以后，發(fā)現(xiàn)這個軟件很多人對他進(jìn)行分析了，發(fā)現(xiàn)是一個惡意軟件，這個時候是需要調(diào)住之前的傳統(tǒng)軌跡，什么機(jī)器碰過這個軟件，這個都是網(wǎng)絡(luò)當(dāng)中一次被感染的主機(jī)。需要快速去察看一下他們，找到問題，解決問題。這個技術(shù)是幫助我們可以快速地找到之前曾經(jīng)錯過那些攻擊，可以錯過那些威脅。這樣幫助把響應(yīng)時間從業(yè)界平均看到的，有100天左右做小到兩天之內(nèi)。這個是惡意軟件防護(hù)，對于我們來講現(xiàn)在是一個相當(dāng)重要的這樣一個范疇。

最后，想跟大家分享一個統(tǒng)一平臺的概念。我碰到很多的客戶，現(xiàn)在如果想做網(wǎng)絡(luò)安全的時候，第一步想到加一個防火墻，加一個入侵防御，這些技術(shù)的確在我們企業(yè)的網(wǎng)絡(luò)安全當(dāng)中起不少的作用。但是，網(wǎng)絡(luò)安全是整網(wǎng)安全，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全，離開網(wǎng)絡(luò)，單談安全做的就是不夠的。所以，網(wǎng)絡(luò)基礎(chǔ)平臺是安全建設(shè)必須要依賴平臺。舉一個例子，這個例子各位都是比較的熟悉，一個黑客進(jìn)入網(wǎng)絡(luò)，第一步做什么?就是網(wǎng)絡(luò)當(dāng)中找一個目標(biāo)主機(jī)。不一定有多大權(quán)限。但是一定有漏洞，通過漏洞，我可以導(dǎo)入這樣一個惡意軟件，這個時候可以控制這個主機(jī)，后面所有的工作都是在網(wǎng)絡(luò)內(nèi)部來進(jìn)行的。比如說，網(wǎng)絡(luò)內(nèi)部實(shí)現(xiàn)一個掃描，全線的提升。 控制主機(jī)繁殖，我需要的信息。我這個攻擊基本上前一個階段就算完成了。我會把這些信息通過一些合法的手段傳到外面，這樣的話我拿到敏感信息，我可以往外賣錢，可以獲得很高經(jīng)濟(jì)利益。這個供給整個過程來看，第一步跨越網(wǎng)絡(luò)邊界，網(wǎng)絡(luò)邊界沒有實(shí)現(xiàn)這個防護(hù)，后續(xù)幾步所有的行為都是在網(wǎng)絡(luò)內(nèi)部做的。很多安全設(shè)備很難去發(fā)現(xiàn)，這個時候怎么辦?可以很好地去利用內(nèi)網(wǎng)網(wǎng)絡(luò)技術(shù)架構(gòu)平臺。內(nèi)網(wǎng)當(dāng)中的交換器，幫助你們實(shí)現(xiàn)整個內(nèi)網(wǎng)這種安全的防護(hù)。

其實(shí)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)真的可以對于網(wǎng)絡(luò)安全做的更多，現(xiàn)在我見到的絕大多數(shù)客戶沒有意識到這一點(diǎn)。我們看一下，網(wǎng)絡(luò)技術(shù)架構(gòu)給我們網(wǎng)絡(luò)安全提供哪些?

第一點(diǎn)，隔離，隔離這一塊大家做的相對多一些，這些虛擬陸游交換做隔離。但是，網(wǎng)絡(luò)安全的隔離S靠網(wǎng)絡(luò)設(shè)備隔離，可以做的更好。比如說，現(xiàn)在我們提的很熱一個技術(shù)，就是微分割技術(shù)。通過這些技術(shù)實(shí)際上可以利用網(wǎng)絡(luò)平臺來對不同的用戶終端，不同用戶的組，不同的終端的安全組進(jìn)行隔離。就像前面講的情景感知技術(shù)。可以看到下面所有的終端不同的屬性。我基于這些屬性可以是不同得分組，在網(wǎng)絡(luò)的平臺上可以基于分組做控制，而不是一些簡單的基于IP地址進(jìn)行控制。就是讓整個內(nèi)網(wǎng)控制更靈活，不同的人員普遍有不同的局限，不同的人員使用不同的設(shè)備，可能還有另外的局限。這個是第一點(diǎn)網(wǎng)絡(luò)設(shè)備可以幫助我們做微分割的控制。

第二點(diǎn)，網(wǎng)絡(luò)設(shè)備作為我們的傳感器。什么設(shè)備看到整網(wǎng)所有的流量?防火墻看不到，有虛擬化平臺，有虛擬化交換機(jī)是可以看到所有的網(wǎng)絡(luò)的流量。這些流量到底是正常?還是異常?可以把其他的一些信息弄出來，基于行為的分析。分析完了以后，我知道什么呢?這個終端是異常，這個終端做掃描，這個終端被別人攻擊。這個基于流量這種行為分析來得到。網(wǎng)絡(luò)設(shè)備在這個其中扮演一個非常重要的角色，是我的信息來源。同時，網(wǎng)絡(luò)設(shè)備也可以作為威脅快速緩解這種設(shè)備執(zhí)行器。發(fā)現(xiàn)這個終端有問題，發(fā)現(xiàn)服務(wù)器在遭受攻擊怎么辦?邊界設(shè)備上面做新策略，有時候并不一定起到多大的作用。這個時候可以快速利用網(wǎng)絡(luò)設(shè)備，我發(fā)現(xiàn)終端有問題，我可以快速地對你進(jìn)行隔離，利用最底層交換機(jī)進(jìn)行隔離，給你最小權(quán)限，對你進(jìn)行隔離。發(fā)現(xiàn)問題以后是最好的一個威脅緩解的平臺。

思科是業(yè)界最大的一個網(wǎng)絡(luò)基礎(chǔ)架構(gòu)這樣一個提供商，思科安全解決方案可能是會涵蓋所有的網(wǎng)絡(luò)技術(shù)平臺，加上原有一些安全的平臺，思科平臺已經(jīng)對網(wǎng)絡(luò)安全未來做了一些準(zhǔn)備。比如說，在這種上面。我們交換機(jī)，路由器，提供更多，如果你有一個終端接入交換機(jī)上面，交換機(jī)有個能力自動判斷出來是一個PC機(jī)還是一個IP電話，還有一個打印機(jī)，接到無線控制器，是IOS，還是一個安卓，根據(jù)廠商的判斷三星還是華為?

當(dāng)然，還有很多認(rèn)證信息，不同的用戶的信息，還有很多流量信息，這些都是可以提煉到。所以，網(wǎng)絡(luò)設(shè)備可以提供很大的一個可視化。有了可視化，結(jié)合威脅情報，加上很細(xì)一些分析。比如說，基于指紋的分析，剛剛介紹了一下，每一個終端，每一個應(yīng)用都是有自己的一些指紋的特性，只要對一些數(shù)據(jù)包進(jìn)行足夠的提煉都是可以分析出其中一些指紋的信息，判斷出這個終端到底是什么?這個數(shù)據(jù)到底代表的是什么應(yīng)用?行為的分析，有時候數(shù)據(jù)中心怎么辦?怎么找到有問題的主機(jī)?可以基于行為做一些事情。對于采樣信息，我可以看一下這個人的行為到底是正常的?還是異常的?正常行為是量子，這些行為有什么特征?我看到了他在不停掃描其他的機(jī)器，這些都是所謂的行為的特性。

當(dāng)然，有了可見性，有了安全智能，下一步就是執(zhí)行，安全平臺上面做，網(wǎng)絡(luò)平臺上面做。思科也是有一個技術(shù)，就是什么呢?不想多提，就是這個技術(shù)真正的把安全組的概念帶入到網(wǎng)絡(luò)平臺，網(wǎng)絡(luò)平臺沒有必要一定基于IP地址做一些控制，可以基于安全組，可以基于安全組標(biāo)簽做。把你的網(wǎng)絡(luò)分成了動態(tài)的安全組。這種網(wǎng)絡(luò)基礎(chǔ)平臺可以幫你進(jìn)行一些微分割的控制。

安全來講，把可見性，威脅防御，包括統(tǒng)一平臺，給大家過了一下。安全行業(yè)很熱。

軟件起了一個相當(dāng)重要的一個作用，很多情況通過軟件很細(xì)的分析給我們提供一些相應(yīng)的可見性和防護(hù)。在這一塊思科也是把軟件作為自己很重要一個方向，我們只有通過軟件才可以提升我們整體防御這種靈活性?，F(xiàn)在你會看到，這個網(wǎng)絡(luò)現(xiàn)在變得很多樣性。單單靠盒子很難做到面面俱到，要把防護(hù)放到里面，要放到虛擬化數(shù)據(jù)中心里面。所以，有很多的軟件，你可以放盒子里面，還是放到虛擬化平臺里面，都是顯得得心應(yīng)手。

這是我最后一頁了。之前也是跟大家講過，思科目前已經(jīng)把網(wǎng)絡(luò)安全作為我們整個公司的頭等要務(wù)，不知道大家對于思科了解多少?我們之前的一位先生現(xiàn)在已經(jīng)退休了，他來公司目前只有一個角色，就是網(wǎng)絡(luò)安全，只看中整個公司網(wǎng)絡(luò)安全的業(yè)務(wù)發(fā)展。所以，思科在這里也向各位承諾，網(wǎng)絡(luò)安全行業(yè)我們會繼續(xù)朝著4個目標(biāo)去邁進(jìn)。

第一，簡單。 我們致力于讓這個簡單對于用戶來講，不是對于廠商來講，需要做很多的工作。對于用戶來講，我們會讓他做簡單，比如說，現(xiàn)在很新的一些技術(shù)。比如說，不知道各位有沒有聽說過?IOC，感染指數(shù)概念，跟終端安全相關(guān)事件做很好的關(guān)聯(lián)。最后，判斷出來這個可能性多大，給你直接呈現(xiàn)，網(wǎng)絡(luò)當(dāng)中12345這些機(jī)器有問題，這個就是IOC技術(shù)，幫助網(wǎng)絡(luò)安全變得簡單。這邊舉一個例子，剛剛講了可見性，發(fā)現(xiàn)這個機(jī)器是一個機(jī)器，上面是開服務(wù)，是開什么端口。有別的平臺發(fā)現(xiàn)這個機(jī)器中了一個惡意軟件，一個惡意軟件，傳給這個機(jī)器。然后，緊接著，我發(fā)現(xiàn)這個機(jī)器節(jié)朝著外面一個僵尸網(wǎng)絡(luò)發(fā)起一個連接，一關(guān)聯(lián)，這個主動朝外被別人控制。這個就是明確信號，應(yīng)該趕緊處理這個。

第二開放，思科平臺已經(jīng)開放所有的接口，有很多的開發(fā)愛好者，還有很多其他的開元平臺，我們會繼續(xù)讓他開元，繼續(xù)讓所有的愛好者可以共同地來努力，來提高開元的威脅防御基礎(chǔ)架構(gòu)的能力。

第三，自動，很多安全設(shè)備目前沒有足夠的接口，我們講了自動化對于我們用戶也是顯得非常的重要，現(xiàn)在我們講就把網(wǎng)絡(luò)變得自動化。可能有一個業(yè)務(wù)來部署過來，我整個網(wǎng)絡(luò)一條命令都是部署結(jié)束。安全也是一樣的，只要業(yè)務(wù)來了，你想部署這個業(yè)務(wù)，我可能一鍵讓網(wǎng)絡(luò)和安全全部部署完畢。安全實(shí)際上已經(jīng)成為了我們業(yè)務(wù)推進(jìn)的一個驅(qū)動力，而不是業(yè)務(wù)推進(jìn)的一個阻力。

第四，高效。剛剛已經(jīng)講了很多的可見性，安全大數(shù)據(jù)，幫助我們自動高效地去防御威脅。這些都是思科的安全的一個承諾。

我的內(nèi)容就是這些，謝謝大家。

以上是51CTO.com記者從【W(wǎng)OT企業(yè)安全技術(shù)峰會】一線為您帶來的精彩報道。一大波精彩內(nèi)容報道正在襲來，敬請持續(xù)關(guān)注!