安全产业近些年的火热，离不开政策、资本，离不开合规的刚需，但更深层次的驱动，在于甲方自身安全意识和需求的提升。传统大型网络厂商，已经无法再忽视市场对安全的渴求；走在前面的，甚至已经开始将安全作为重要能力向客户提供服务。

相较于专业安全厂商而言，这些网络厂商普遍被认为缺少对安全需求的理解和成熟的安全产品化能力。所以，网络厂商若想要真正参与其中，而不仅是在自己的某款网络产品中加入些安全能力，需要做的就不能只是OEM；更重要的，是完善对安全的理解，并思考如何将自身在网络的积累和优势延展，与安全进行融合。

成立近18年的锐捷网络，在网络设备有多年的深耕。特别是无线方面，为多所高校以及云栖等万人级会场提供重要支持。今年8月，锐捷同时中标“中国尊”网络项目的主网和安全部分。这在一定程度上表明，锐捷的“整网安全”理念和以其在2016年发布的大数据安全平台（BDS）为核心的安全能力，受到了认可。

安全已经成为锐捷网络的一个重要标签。作为“网络+安全”的代表厂商，锐捷如何认识自身的优势？对安全的方方面面，又有着怎样不同的理解？安全牛近期采访了锐捷网络安全产品线总经理项小升，并将访谈内容整理如下。

个人简介

项小升，锐捷网络安全产品事业部总经理，负责锐捷网络安全产品相关的产品规划、研发管理、与产品市场工作。2001年加入锐捷网络，曾任锐捷网络交换机与数据中心产品总监，多年密切关注和研究中国各行业的信息化建设与发展趋势，推动网络安全产品、技术与应用的融合。

一、网络与安全应该是1加1大于2的效果

安全牛：2016年，锐捷发布了大数据安全平台，这可以看做锐捷网络在安全领域的一个起点。两年的实践，我们如何理解与纯粹安全厂商的不同？

项小升：同时做网络和安全的公司，会更重视网络和安全这两方面在产品能力上的协同。这两方面不应是剥离开的，这份协同会产生1加1大于2的效果。

举个例子，无线网络的准入，是锐捷的强项，例如在高教行业，全校区覆盖的wifi接入，因其用户群庞大，所以高校的网络地址转换（NAT）一般都会比较复杂。如果无法高效地利用NAT和用户准入日志，而仅凭入侵检测系统、防火墙等安全设备，一旦出现异常，虽然也可以快速做出阻断，但却无法快速定位具体的问题主机，给整体把握攻击链条和态势带来不便。

安全设备首先要能快速发现问题，发现后要能定位问题，还要将问题资产直接反映到具体的网络拓扑中，包括具体涉及的业务系统，而且处置工单还要能够在网络与安全统一的管理平台上跑。这些都是网络和安全一个很好的结合点，纯粹的安全厂商，是很难做到这一点的。

安全牛：难点是要和很多网络厂商的设备做定制化的对接?

项小升：门槛在于，纯粹的安全厂商，无法提供包括网络设备在内的整网安全能力，无法提供网络和安全之间跨平台的融合能力，也缺乏网路层面的安全运维管理经验。

安全设备的控制力不仅体现在安全设备上，还可以体现在网络层面；甚至在网络层面，我们认为可以有更多的控制力，例如之前提到的网络准入、安全域控制、安全服务链等。

锐捷一直在提“整网安全”的理念，包括我们这次网络和安全同时中标“中国尊”项目，安全从来就不应只是安全设备的事情，而是用户网络这个整体的事情。问题的发现和响应，都应该包括进去。而且是在网络规划、设计之初，就要考虑更多的安全要素，就让网络和安全有更多的结合。

安全牛：不是保护整网的安全，而是从整网的角度来做安全？

项小升：网络设备对于网络安全的价值，不仅在于和安全设备的协同联动，还要发挥网络设备自身的安全能力。“整网安全”最直接的特点，就是网络设备如何在安全解决方案中最大程度地发挥的价值。

我们认为，首先就是要更重视在网络层面做一些安全控制，比如准入和控制等，这也是最容易的；其次就是能够在统一的平台，对网络和安全设备进行管理和响应，能够半自动化的在一个平台实现；最后，也是最重要的，就是网络架构和安全架构要尽可能的协调、统一，整体的去考虑安全，这点也是目前我们看到最缺乏的。

网络和安全，是一个更大的整体。安全不应独立来考虑。在网络和安全能力建设方面，我们应该要具备更宏观、更上层的视野。

二、“整网安全”的关键抓手：日志分析和流量分析

安全牛：“整网安全”具体需要哪些能力？

项小升：“态势感知”这个词是一个安全行业借用的概念。这两年，国家在提，行业在提，锐捷也不例外。整网安全，网络和安全的融合，无论是对网络设备、用户行为、还是不断变化的防护和威胁的态势，无疑都会有更广泛和深度的感知。要想做到这些，我认为，合理的出发点，是将基于日志的分析能力和基于网络流量的分析做整合。一个成熟的态势感知平台，这两点能力缺一不可，且都是非常重要的方向。

安全牛：确实，这两点各家都有在做，但我感觉业界目前更侧重流量分析和威胁情报的结合。

项小升：对，流量分析最突出的特点是与设备无关。也就是说，先不论分析结果的精准性如何，只要有流量，比如把出口流量和数据中心流量镜像，再由厂商提供模型，流量分析的平台就能跑起来，客户就能直观的看到结果。这也是很多厂商大力推广这种能力模式的主要原因。

安全牛：易用性强，先用起来，分析模型再慢慢优化。

项小升：是，虽然易用性强，但我们认为视野宽度是不够的。有一个典型的问题，就是某些场景下无法定位现实中的对应资产。之前国家某部委，NAT后通过探针将流量镜像后进行分析，虽然明确了有主机已经被恶意控制，但是找不到真实IP，IT运维的人员也就无从下手。如果这个时候有日志分析的能力，结合IP地址转换前后的映射关系，就可以直接给到IT团队到底是哪台出了问题，进而快速响应。

当然，这只是一个方面。更重要的问题，在于对分析准确性的影响，和对单个厂商的过度依赖。

对原始网络流量一层一层的分析判断，首先需要强大的硬件性能支持。这种分析模式的准确性，是由分析模型决定的。也就是说，这种模式会非常依赖某个安全供应商同时在网络流量、安全威胁、客户业务这三方面的理解和积累。这对一个厂商而言，要求无疑十分严格。同时，这也忽视了用户网络中既有产品，这些在某一安全子领域具备专业分析和判断能力所给出的结果。

安全牛：SIEM厂商是专注日志分析的，侧重流量分析的态势感知和SIEM平台对接后应该就比较完整了。

项小升：SIEM这种专业的安全日志分析类工具，最大的好处就是能够充分利用某些安全产品已有的专业性，并在这基础上进行更深入的分析，最大程度排除单一设备的误报，得到精准度更高的结果。同时，分析的效率也会比流量分析要高一些。

但实际情况也会有不少麻烦，目前国内客户的在网设备，除了日志的私有定制化开发外，还有不少客户设备比较老旧，日志功能要弱很多。同时，不像流量分析，日志分析模型的复用性一般较差，需要根据用户设备及部署情况对模型做出不小的调整，对厂商后续模型优化能力也有很大挑战。

当然，如果是重流量分析的平台和SIEM平台对接的话，还要考虑安全成本和查询效率的问题。这些都是决定响应团队能否低成本、快速、高效解决问题的关键。

安全牛：两者如何结合？

项小升：我认为，在平台定位上，就要将日志和流量分析作为同等重要的两个能力抓手。建模阶段，研发人员就要考虑两种方式的优劣，有针对性的结合，而不是内部先独立分析后再做交叉验证，这是不一样的。这样对提高告警的准确性，对企业响应团队的处置工作，也会更具实际意义。

安全牛：事件响应最怕的就是告警湮没，这会让运维团队无从下手。所以快速给出真正需要优先处理的事件信息，以及处置建议，是最关键的。

项小升：是的，这就要求我们通过结合整网日志和流量的分析模型，以及服务器、业务系统状态等多维度的数据，确定真正需要运维团队去紧急处理的危险事件，并确认不同响应工作的优先级。这需要的不仅是对安全威胁的分析能力和认识，还需要厂商有深厚IT运维经验积累。

比如，我们在内网发现有针对1080端口的攻击尝试，同时，我们还发现有数台服务器对这个端口的防护有明显漏洞，这个攻击成本就会很低而且成功概率极高，这时我们就会给出优先处置的建议，问题资产在网络中的真实位置，以及建议的详细处置方式。

很多国内客户安全意识是有的，但是受限于成本，IT团队的能力比较有限。对于这些基础能力不强的用户，安全厂商如何帮助他们在双方成本都可接受的前提下，及时、妥善的处理这些安全告警，我们认为这是一个负责任厂商要考虑的非常重要的一个点。

三、更为合理的云端安全服务

安全牛: 很多全球安全企业，非常强调远程的云端安全运维能力，以及发现威胁后全球设备的策略快速下发。这两个重要的服务，可以让他们的产品在客户本地更充分的发挥价值。

项小升：是的，这在国内尤其明显。安全人才的巨大缺口，直接导致了国内许多中小企业无法负担过高的人才成本，安全运维能力非常弱。很多企业虽然从需求或合规的角度出发，购买了些安全设备，但这些产品是否得到了正确的部署和配置，策略是否定期进行优化更新，在后续的安全工作中能发挥多大的价值，往往取决于厂商后续的服务是否到位。

但矛盾的是，中国企业对这类服务的付费意识又普遍比较弱，甚至在一些中小客户的认知里，安服就应该是免费配套的，再付费没有理由。但现实厂商和客户也都明白，一些全球性企业的服务费用可能比产品本身还要昂贵。如果本土厂商的服务免费的话，要不就是把相关的费用的一部分揉到产品的费用里，要不就是派一些新人去客户现场。人才成本对于厂商和客户都是一样的，免费的服务，效果一定会打折扣。

安全牛: 国内对服务付费的态度也在慢慢转变。远程的安全托管或者7乘24小时的SOC，是否可以看做一种更为合理的方式？

项小升：有一些服务比较特殊，比如说授权的内网渗透测试，还是建议派专人到客户的现场。但更多的，安全分析、研判以及一些响应处置的工作，我们确实也是鼓励用户选择通过云端的方式，进行远程技术支持。

锐捷有这样一个云端安全中心，客户可以有选择地上传一些日志、告警和资产信息到云端；在云端，会有更丰富的分析模型，以及更有经验的网络和安全专家，帮助用户对威胁进行分析研判，并结合他们的经验给出更为详尽的处置建议。之后，根据响应效果，也会有选择的把处置经验策略化，下发到用户本地，甚至共享给其它适合的用户。

当然，除了云端的服务外，态势感知平台本地也会有内嵌的知识库支持，基于锐捷在网络和安全运维方面的积累，针对某些场景，给出具体的操作说明和建议。

这两种方式，都会比只依赖传统的驻场方式更节省成本，响应工作也会更加高效。

事件响应这部分，特别是经历过一些重保的响应工作支持后，我们认为，用户更多需要做的工作，是在事前。诸如建设初期的咨询、常规的漏洞管理和风险评估、安全管理和规范的落地、数据的备份和恢复准备、响应流程的演练等等。当然，还有从网络和安全两个角度，更早的发现和判断异常的能力，这也是整网安全这个理念的核心。事件发生后，比如勒索病毒，大部分安全厂商能做的就比较有限了。

安全牛: 现在有一种观点，安全咨询服务应该是从网络和安全建设的设计规划之初就开始介入的，这样就可以从根本上规避一些问题。

项小升：是的，我们也是建议用户在初始的规划阶段，就采购安全咨询服务。每个点都进行纵深防御对于大多数用户来讲是不现实的。前期的咨询服务，特别是对网络和安全建设都有经验的厂商，可以有针对性的对包括无线、交换等的网络环境和业务系统进行安全评估，与客户就哪些业务系统和资产需要优先保护达成一致，并结合本地网络拓扑的特点，权衡成本后给出整体的安全解决方案。这些都应该是在规划之初就明确。相较于“补窟窿”这种单点思路，这种整合整网资源去规划的方式，更容易控制安全建设的成本，也对可能的攻击方向和造成的损失更加心里有数。

当然，任何阶段安全咨询服务的基础，都要求厂商要足够了解用户。这不仅是对个性需求和痛点的挖掘，同时还要求厂商对行业共性需求有足够的积累。政府、教育、医疗、企业等一直是锐捷扎得比较深的行业，无论是有线和无线的网络建设，实名的准入和行为审计，还是整网的态势感知以及快速处置响应，锐捷都有丰富的经验。

安全牛评

毋庸置疑，安全已经成为全球企业在数字化转型中的重要和必要因素，其商业价值和市场潜力被不断挖掘，越来越多的新玩家强势介入。安全的专业性，已经不再是能保护安全厂商可以独占该市场的高墙。这其中，以华为、思科、锐捷等为代表的通信和网络设备厂商，以其对网络知识和客户资源的多年积累，以及庞大的安全研发和研究投入为优势，已经成为安全市场一只不可小觑的新生力量。安全之前一直被相对独立的考虑，但他们的加入，势必加快了网络和安全更深层次的融合这一必然趋势的进程。锐捷提出的“整网安全”理念，便是最直接的体现。