在中国系统架构师大会第二天，第9专场互联网安全和风控体系，第二位演讲嘉宾来自Ixia应用和安全业务发展总监孙震，分享的主题是《360保障网络安全》。

▲Ixia应用和安全业务发展总监孙震

　　如果要实现360°保障网络安全，需要在4个方面进行，

　　1、通过测试选出最好的产品和供应商，

　　2、搭建出最有效率的安全防护架构，

　　3、全环境无死角可视化，

　　4、流程和人的因素，　　

　　通过测试来主动保障网络安全

　　保障网络安全的第一步是使用现网流量对IT网络架构和服务进行测试和验证，选择最好的产品和供应商，很多时候企业都是从厂商给出的介绍和第三方报告来选择，但并没有根据自己的实际情况进行测试，原来我们都怎么做?很多时候企业都是用网络数据抓包存储+高速网卡发送，这套系统的问题是存储设备和高速网卡设备昂贵，无状态、不可测量，不可控。

　　后来，出现了专业的测量设备，具备了流量内容+流量形态+高性能，同时实时更新应用协议、典型应用过程库，典型和自定义流量场景;对于仿真微信等应用，可以采取Markov动态可读文本。当然了测试设备还可以仿真恶意流量、例如DDoS流量攻击，仿真的目的，提前发现系统漏洞，这样就可以实现生产网络的流量实时记录并重现。

　　如何搭建最有效率的安全防护架构?

　　现在大多数网络架构，或者典型网络架构，都是串行连接，单个设备故障造成整个系统故障，后来增加为主备链路，但随着业务增加，难以持续增加，后来设置为Bypass Switch，再后来将安全工具提炼出来连接到Bypass Switch上，增加安全设备之间连接到Bypass Switch上即可，我们称之为弹性的安全防御架构。

　　当然也可以通过旁路模式，进行备份、检测等方式。在这里包括了Threat Intelligence Gateway。企业都会购买很多安全设备，Ponemon Institute，“企业每年 21,000 小时被用于处理误报的安全报警” ，那么如何让昂贵的网络防御架构，忽略各种网络“噪音”，最大限度的提高利用率去发现关键的安全问题?

　　互联网流量可以分为两类流量，一类是值得分析：可能有价值的流量;一类不不值得分析：已知恶意软件网站、被劫持IP、未登记的 IPs、无关的地区。

　　通过部署ThreatArmor可以消除 30% 的误报，让企业每年节约 6,300 小时;节约30万美金运营费用，对于恶意IP的识别，我们可以通过云的恶意IP识别与处理流，得出恶意IP、白名单、恶意IP类型等。

　　全环境无死角可视化

　　现在很多安全厂商都提供了可视化管理，ixia也提供了Network Packet Brokers，将安全设备需要的流量分配给各种安全设备，物理机内部的流量如何检测呢?我们可以在内部部署一个虚拟vTAP实现流量虚拟机间流量的可视化，支持虚拟机迁移，ixia做全环境可视化检测系统，不做安全设备，

　　对于加密数据如何分析，内置了一个解密引擎，可以帮助用户解密，用户隐私保护，我们做了数据探索，我们可以通过DATA Masking，将用户生日、姓名等信息掩码化。