復雜環(huán)境下的互聯(lián)網(wǎng)信息安全現(xiàn)狀及運營商應對策略

【摘要】當前互聯(lián)網(wǎng)信息安全面臨新的挑戰(zhàn)和機遇，如何建立可信的信息安全環(huán)境，提升信息安全的保障水平，成為備受關注的問題。本文對新形勢下互聯(lián)網(wǎng)信息安全現(xiàn)狀進行了調(diào)研，提出擁有大數(shù)據(jù)鏈路的運營商亟待解決的問題以及應對策略等一些思路。

【關鍵詞】網(wǎng)絡信息安全；網(wǎng)絡威脅；信息安全管理系統(tǒng)

近年來在新形勢和新環(huán)境下，我國互聯(lián)網(wǎng)信息安全情況有一定惡化趨勢。2011年境內(nèi)被篡改網(wǎng)站數(shù)量為36612個，較2010年增加5.10%。網(wǎng)站安全問題引發(fā)的用戶信息和數(shù)據(jù)的安全問題引起社會廣泛關注。CNCERT全年共接收網(wǎng)絡釣魚事件舉報5459件，較2010年增長近2.5倍，信息安全漏洞呈現(xiàn)迅猛增長趨勢并造成用戶直接經(jīng)濟損失。虛擬化、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、SDN、物聯(lián)網(wǎng)……各種新興技術不斷涌現(xiàn)，帶給IT業(yè)界無限機會，同時也使信息安全風險不斷升級。信息產(chǎn)業(yè)的變化導致信息安全產(chǎn)業(yè)不得不跟上時代的步伐，從被動防御到主動防御，通過不斷更新的云計算和大數(shù)據(jù)技術來完善信息安全解決方案，讓信息安全防護變得更加智能。

1.信息安全行業(yè)現(xiàn)狀

1.1 信息安全產(chǎn)品分類

1.1.1 安全硬件

防火墻/虛擬專用網(wǎng)絡硬件產(chǎn)品；入侵監(jiān)測與入侵防御硬件產(chǎn)品；統(tǒng)一威脅管理硬件產(chǎn)品；安全內(nèi)容管理硬件產(chǎn)品。

1.1.2 安全硬件

安全威脅管理軟件 安全內(nèi)容管理軟件（SCM）

√防火墻軟件 √防病毒系統(tǒng)

√入侵監(jiān)測與防護軟件 √Web流過濾系統(tǒng)

√內(nèi)容安全系統(tǒng)

安全性與漏洞管理軟件 身份管理軟件

1.1.3 安全服務

信安計劃；信安項目實施；信安項目維護；信安教育培訓。

1.2 信息安全技術及技術水平

1.2.1 信息安全技術

基礎性安全技術包括：身份認證技術、加解密技術、邊界防護技術、訪問控制技術、主機加固技術、安全審計技術、監(jiān)測監(jiān)控技術。

1.2.2 信息安全技術水平

近年來，我國在防火墻、漏洞掃描、入侵檢測、網(wǎng)絡防病毒、網(wǎng)絡加密、服務器安全模塊等方面取得顯著進步，并從系統(tǒng)與網(wǎng)絡基礎層面的防護發(fā)展為應用層面的安全防護。

進入大數(shù)據(jù)時代。針對云計算已經(jīng)有信息安全企業(yè)提出了基于云安全技術架構（Cloud-Client）構建了下一代內(nèi)容安全防護解決方案，用于解決當前面臨的快速增長和極具動態(tài)性的網(wǎng)絡威脅，在全球首次提出基于云計算平臺安全解決方案。

1.3 信息安全行業(yè)發(fā)展的影響因素

1.3.1 有利因素

信息化發(fā)展的現(xiàn)實需求；產(chǎn)業(yè)政策支持；信息安全事件的發(fā)生

1.3.2 不利因素

作為知識密集型的新興行業(yè)，信息安全行業(yè)與資本、勞動密集型的傳統(tǒng)制造行業(yè)有顯著的不同。其核心競爭力主要是企業(yè)的核心技術和人員的專業(yè)素質(zhì)，強調(diào)技術資本和人力資本的投入。但我國信息安全專業(yè)教育起步較晚，專業(yè)的信息安全人才匱乏。

2.運營商信安建設現(xiàn)狀和亟待解決的兩個重要問題

我國電信行業(yè)的信息化與安全建設在全國范圍內(nèi)是走在前面的，其信息化安全建設得到多方面的重視。但信息化安全建設存在著越來越嚴重的交叉問題。

2.1 電信網(wǎng)絡系統(tǒng)安全現(xiàn)狀

我國信息基礎設施網(wǎng)絡安全建設投入在全國來說是最大的，已取得較大成績，但是一些問題依然應當引起注意，例如：

（1）網(wǎng)絡的管理、信令系統(tǒng)的安全建設有待進一步加強。

（2）對網(wǎng)絡插播攻擊問題缺少檢測、定位能力。對公網(wǎng)與專網(wǎng)之間的隔離情況缺少檢測能力。

（3）對網(wǎng)絡大規(guī)模入侵檢測和防護缺少應對能力。

（4）對網(wǎng)絡安全缺少全局的管理、指揮、監(jiān)控、調(diào)度與協(xié)調(diào)能力。

2.2 網(wǎng)絡行為與內(nèi)容的安全現(xiàn)狀

現(xiàn)階段互聯(lián)網(wǎng)行為與內(nèi)容安全已經(jīng)顯現(xiàn)出來，而且會越來越突出，尤其在考慮恐怖主義和信息戰(zhàn)的威脅，網(wǎng)絡行為與內(nèi)容安全將會變得越來越重要。這種安全威脅主要表現(xiàn)在：網(wǎng)絡犯罪行為、恐怖行為和軍事行為的威脅；網(wǎng)絡內(nèi)容攻擊，包括利用傳統(tǒng)媒體等實施攻擊，當前主要問題是法輪功、黃色、反動網(wǎng)站等問題。

2.3 目前運營商亟待解決的問題

2.3.1 網(wǎng)絡威脅

網(wǎng)絡分布式拒絕服務（DDoS）攻擊是運營商IDC機房最常見的攻擊之一。攻擊的方法是一些攻擊者通過向目標發(fā)送大量惡意請求，導致計算機服務器和網(wǎng)絡設備的性能降低和網(wǎng)絡服務中斷，或者網(wǎng)絡連接的帶寬達到飽和。對于國內(nèi)的IDC機房經(jīng)營者來說威脅尤其大。

2.3.2 內(nèi)容信息安全

內(nèi)容信息安全監(jiān)管的對象包括：格式內(nèi)容（主要為應用系統(tǒng)數(shù)據(jù)庫記錄內(nèi)容等）、字符文檔內(nèi)容（字符文件內(nèi)容）、圖形內(nèi)容、圖像內(nèi)容、加密信息內(nèi)容和隱藏信息內(nèi)容、用戶上網(wǎng)行為等。

3.運營商應對策略

3.1 網(wǎng)絡威脅解決方案

3.1.1 概述

IDC機房的主要業(yè)務是為不同類型的客戶提供各類托管和接入服務由于其業(yè)務的多樣性使得這些客戶常常成為各種類型DDoS攻擊的目標。

IDC運營商的網(wǎng)游、語音、視頻業(yè)務等應用都對延遲極為敏感，因此DDoS攻擊會對IDC機房中用戶的上網(wǎng)的質(zhì)量造成嚴重的影響，本方案針對互聯(lián)網(wǎng)日益嚴重的拒絕服務攻擊進行專業(yè)抗DDOS清洗防護。

3.1.2 建設方案

為了避免由于抗拒絕服務設備的部署，對用戶原有網(wǎng)絡造成不良影響的隱患，本次方案采用旁路負載均衡群集的模式進行部署，具體部署描述如下：

DDOS清洗方案將選用若干臺抗拒絕服務系統(tǒng)旁路接入到核心路由器，并啟用負載均衡群集；抗拒絕服務系統(tǒng)群集與核心路由器之間啟用IBGP協(xié)議，用于旁路對攻擊流量進行牽引，并通過在核心路由器配置策略路由防止由于抗拒絕服務系統(tǒng)群集與核心路由器之間的路由循環(huán)而導致的路由風暴，并可以將清洗完的正常流量下注到原有網(wǎng)絡中；核心路由器下連流量分析器，用FLOW流的方式對鏈路數(shù)據(jù)包進行采集，用于檢測上聯(lián)鏈路的攻擊流量，發(fā)現(xiàn)攻擊流量后，自動與抗拒絕服務器系統(tǒng)聯(lián)動，牽引攻擊流量到清洗中心進行清洗，清洗完畢后將純凈流量回注到原網(wǎng)絡。

3.2 內(nèi)容信息安全解決方案

3.2.1 概述

通過對IDC出口鏈路的監(jiān)測，實現(xiàn)IDC基礎數(shù)據(jù)管理、訪問日志管理、信息安全管理等管理功能。

3.2.2 建設方案

3.2.2.1 統(tǒng)一DPI

流量分析設備：

采用專用DPI設備硬件解決方案。具有如下功能數(shù)據(jù)流量分析、業(yè)務流量分析、流量管控、文字內(nèi)容關鍵字識別等。

3.2.2.2 基礎數(shù)據(jù)監(jiān)測

對機房內(nèi)的IP使用方式進行監(jiān)測，實時發(fā)現(xiàn)未報備IP地址接入、發(fā)現(xiàn)實際使用情況與報備不符的IP。

3.2.2.3 訪問日志管理

對IDC的上行流量（包含但不限于基于HTTP、FTP、SMTP、POP3等協(xié)議的流量）數(shù)據(jù)進行監(jiān)測，并記錄和統(tǒng)計訪問信息。

3.2.2.4 信息安全管理

3.2.2.4.1 違法違規(guī)網(wǎng)站管理

對IDC具備違法違規(guī)網(wǎng)站的發(fā)現(xiàn)、處置及上報功能，并記錄違法違規(guī)網(wǎng)站相關信息。

3.2.2.4.2 違法信息監(jiān)測發(fā)現(xiàn)

對IDC的雙向流量（包含但不限于基于HTTP、FTP、SMTP等協(xié)議的流量）數(shù)據(jù)進行監(jiān)測，對發(fā)現(xiàn)的違法信息進行記錄，形成監(jiān)測日志。

3.2.2.4.3 多媒體數(shù)據(jù)監(jiān)測

不僅限于文字內(nèi)容的監(jiān)控，包括圖片、視頻在內(nèi)的更多媒體信息可根據(jù)需要納入到監(jiān)控。

3.2.2.4.4 圖片智能識別

對彩信圖片中的文字信息進行文字提取和識別，以確認圖片內(nèi)容是否合法，識別的格式包括JPEG，JPG，PNG，TIFF，JBIG，JPEG-2000等。

3.2.2.4.5 視頻智能識別判定

對視頻文件的識別，首先要對視頻文件進行分幀，把一段視頻文件切割成許多圖片，然后使用圖片識別軟件對這些切割出來的圖片進行內(nèi)容判別，從而識別出視頻中是否包括淫穢的內(nèi)容，實現(xiàn)對視頻進行監(jiān)控的功能。

4.結束語

以上是對新形勢下互聯(lián)網(wǎng)信息安全現(xiàn)狀進行的調(diào)研，從中剖析運營商亟待解決的問題以及應對策略。這些思路有些正在得以實施并已經(jīng)初步得到了驗證?；谝陨显O想，運營商還能為廣大ISP及托管用戶提供包括云安全審計、未備案域名發(fā)現(xiàn)、互聯(lián)網(wǎng)輿情監(jiān)測、業(yè)務內(nèi)容撥測、網(wǎng)頁防篡改、漏洞掃描等技術服務，提高運營商自身及整個互聯(lián)網(wǎng)信息安全防護能力及安全管理水平，以符合業(yè)務發(fā)展保障及國家、行業(yè)相關規(guī)范的具體要求。

參考文獻

[1]信息安全行業(yè)及其相關上市公司分析.

[2]中國信息安全產(chǎn)業(yè)發(fā)展白皮書（2005-2010）.

[3]中國信息安全市場現(xiàn)狀觀察及投資前景評估報告（2013-2017）.