时间:2023-08-30 作者:奇安信集团
近日,某日系汽车巨头当地时间8月29日表示,由于发生计算机系统故障,该巨头在日本国内的所有14家整车工厂共计28条生产线将全部暂停运营。最新消息显示,该巨头称将于30日全面恢复生产。根据媒体的计算结果,这些停工的工厂加起来约占公司全球产量的1/3。
该汽车巨头表示,此次为零部件订购相关系统发生故障导致停工,应该不是由网络攻击引起。去年3月,该巨头旗下工厂一度因日本供应商受到网络攻击而关闭。
事实上,系统故障、网络升级等导致的业务中断,在现实世界中屡见不鲜。例如不久前的实战攻防演习期间,就有不少机构单位都对外发布了系统维护和暂停服务,“由此带来的不便敬请谅解”成为经常听到的词语。包括今年7月份网上曾流传着一张微信群截图,很多人关注点在于这个不太正经的“丝袜病毒”,而忽略了这个我们时空见惯甚至习以为常的4小时“停服通知”。
(图片来源网上流传的微信聊天截图)
如今,随着数字化转型的不断深入,政企机构核心关键业务对数字化平台的依赖度越来越深,数字化程度较高的企业,生产经营、业务服务,片刻离不开数字化系统,这也引出了一个深刻问题:企业的数字化基础设施一旦升级、改造、迁移,或者故障排查,就需要要付出正常服务中断的代价。而且数字化程度越深,业务影响的代价就越大。
去年,成都核酸检测期间软件崩溃导致百万人彻夜排队的事件, 就是一个非常典型的例子。
图片来源《被质疑拖垮成都核酸检测的东软,其实早已绑定我们每个人》
没有绝对稳定的系统,包括微信在内,今年4月也在全国出现大面积故障,用户无法发送消息,也无法使用朋友圈等各项功能,被腾讯定性为公司一级事故。
如何通过更先进的技术,增加数字化系统的可靠性、灵活弹性,尽可能减少业务中断、停服的情况,是摆在IT、安全人员面前的重要课题。
奇安信集团鲲鹏网络平台总经理李红光认为,业务中断的原因非常复杂,既有被动、来自外部的网络攻击,也有意外灾害等自然事故,而出现比较频繁的,往往是企业的数字化平台的升级、改造、迁移,或者故障维护和排查等等。
一是外来攻击导致业务中断
根据路透社7月19日报道,全球某知名化妆品制造商当地时间7月18日表示,一名黑客从其系统中获取了一些数据,此次网络事件导致并预计将进一步导致该公司部分业务运营中断。而在今年6月,德国知名大学遭勒索软件攻击,学校IT基础设施全面瘫痪,近半年至少6所高校遭遇类似攻击。
数字时代,业务变得越来越开放互联,一旦遭到外部的网络攻击,就可能是重大的业务中断事故。近年来,国际货运巨头、轮胎制造巨头、汽车租赁巨头相继遭受网络攻击,导致业务大范围停滞,带来严重的负面影响。
二是自然灾害导致业务中断
2021年7月20日,河南暴雨致使很多机房、数据中心停电,多家网站因此陷入瘫痪。20日晚,晋江文学发文称,晋江文学城主要网站业务所在的异地骨干机房在郑州市,机房因暴雨停电,导致部分线路出现不稳定,甚至打不开网页的情况。西部数码、景安网络等服务商郑州区域均机房停电,被迫启用柴油发动机供电。
三是升级扩容导致业务中断
随着数字化转型的深入,越来越多的业务计算,越来越海量的数据处理,需要网络、服务器和安全等设备进行扩容匹配。然而,传统的网络边界防御场景通常是以串“糖葫芦串”的方式依次将各种网络安全设备进行串联,为了增加可靠性一般还会进行冗余的方式工作,这种部署方式存在缺乏弹性、扩展性差等问题。在业务扩容需要更换更高性能的设备时,替换割接往往需要断网。而在安全能力需要扩容时,新增安全设备上线也需要断网割接,影响客户业务正常运作。
图 串“糖葫芦”式部署导致流量要被链路上的所有安全设备检查
事实上,目前大家看到很大比例的“业务中断”通知,都是因为系统扩容和设备升级,虽然能够提前通知,但这种业务中断造成的损失和其他负面效应仍然不可忽视。
四是故障维护导致业务中断
随着企业部署的网络设备、安全设备越来越多,出现故障的概率也会随之增加。而传统串“糖葫芦串”的方式的部署方式需要安全设备串联式参与组网。这样就导致一种情况:如果任何一个安全设备发生故障,都会有可能引起全网故障,影响整个网络的可靠性。
举个例子,有一些时代较久的老小区供暖,采用串联供热的方式,只要有一家暖气片漏水,据需要全单元停暖进行维修,给居民造成极大的不便。新建小区采用并联方式之后,即便一户出问题了,也不会对其他用户造成干扰。
不难发现,除了第一类突发、不可预见的外部攻击之外,更多的业务中断,都是出于升级扩容、故障排查、系统维护等原因,解决了这些问题,就能大幅降低业务停顿的频次。
针对因为升级扩容、故障排查、系统维护等导致的业务中断问题,奇安信推出的流量解密编排器(SSLO),可以将其充分化解。流量解密编排器通过重构安全设备部署架构,利用安全设备资源池化、根据业务按需编排引流、SSL解密流量编排等技术手段,实现了一种集成SSL解密和多种安全能力的流量编排方案。流量解密编排器可以与其他安全设备一起,组成流量编排与加解密一体的解决方案,破解传统串 “糖葫芦串”架构导致的多种难题。
如图所示,流量解密编排器通过串接的方式部署在网络边界链路中,原有需要串联的、旁路的其他安全设备或设备组以资源池的方式外挂在流量解密编排器上,将安全设备或设备组按需组成一种或多种安全服务链,最后流量解密编排器按需将业务流量分类并引流到不同的服务链进行安全检测,继而达到了高效低成本的效果。
图 流量解密编排器的安全能力资源池化
值得一提的是,流量解密编排器,它还具备以下四大优势:
第一是密文解密,安全透明。他支持多种SSL解密方式、多种部署方式及高性能加解密计算。以上方式组合适用于多种场景,可针对密文进行解密,将明文传递给安全设备进行检测。
第二是智能编排,灵活机动。通过有状态的智能服务链编排,可以实现物理网元的串接/旁路部署,结合基于策略的引流,简化了数据转发路径,提供简单灵活高效的流量编排。
第三是资源复用,成本优化。它支持多样化专业的安全组件以实现安全能力的快速扩展,同时也支持自定义安全组件功能,具备更好的扩展性,满足用户的个性化安全需求。
最后是联防联控,高效检测。通过一次解密多次安全检测的方式进行安全服务链编排,达到高效检测;支撑分析平台进行威胁分析,并通过联动的方式进行蜜罐引流,进行主动诱捕。
事实上,奇安信的流量解密编排器已经在2022年北京冬奥网络安全保障中得到了实战检验。根据李红光介绍,针对冬奥网络环境串联部署的升级扩容难题,通过在骨干网互联网出口部署流量解密编排器进行服务链编排操作,利用安全资源池的方式进行弹性扩容,消除断网影响,保障业务连续性,实现真正的“零事故”、“零故障”。 该产品还在中国电子集团,以及多个政府机构、银行、大型央企等单位得到了广泛使用。
文中部分素材来源于《被质疑拖垮成都核酸检测的东软,其实早已绑定我们每个人》
95015服务热线
微信公众号