借助下一代防護(hù)墻提升企業(yè)信息安全

鄭偉

（1.太原理工大學(xué)，山西太原030024；2.中國能源建設(shè)集團(tuán)山西省電力勘測設(shè)計院有限公司，山西太原030001）

借助下一代防護(hù)墻提升企業(yè)信息安全

鄭偉1，2

（1.太原理工大學(xué)，山西太原030024；2.中國能源建設(shè)集團(tuán)山西省電力勘測設(shè)計院有限公司，山西太原030001）

通過分析當(dāng)前企業(yè)信息安全面臨的各類威脅及傳統(tǒng)安全防護(hù)手段存在的不足，結(jié)合新時代技術(shù)的發(fā)展，借助安全防護(hù)設(shè)備探討大數(shù)據(jù)云平臺，利用優(yōu)勢資源為企業(yè)提供及時有力的信息安全解決方案。

防火墻；云平臺；APT攻擊；僵尸主機(jī)

1 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，企業(yè)信息化投入不斷增加，信息化建設(shè)的步伐也越來越快。企業(yè)借助信息化的發(fā)展已實(shí)現(xiàn)從無紙化辦公到利用各類應(yīng)用系統(tǒng)提高工作效率、管理水平、決策分析的轉(zhuǎn)變。在此過程中，隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的普及，企業(yè)越來越多的應(yīng)用將依托在開放的互聯(lián)網(wǎng)上進(jìn)行，在享受互聯(lián)網(wǎng)所帶來便捷的同時，也面臨著來自網(wǎng)絡(luò)的各類攻擊風(fēng)險。而企業(yè)網(wǎng)絡(luò)一旦涉及安全問題，受到的影響不僅僅是企業(yè)本身，甚至因此會對社會秩序、公共利益乃至國家安全形成威脅及損害，造成難以估量的損失。

我國政府一直重視信息安全工作，強(qiáng)調(diào)加強(qiáng)信息基礎(chǔ)設(shè)施建設(shè)，提高信息網(wǎng)絡(luò)安全保障能力，并已將信息安全上升到國家安全的高度和層面中去。2014年2月，國家正式成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，統(tǒng)籌協(xié)調(diào)各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題?？梢灶A(yù)料，我國的信息安全保障工作即將步入一個高速發(fā)展的新階段。因此必須重視企業(yè)所面臨的網(wǎng)絡(luò)安全問題，提出相關(guān)對策，確保企業(yè)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行[1]。

2 企業(yè)面臨的網(wǎng)絡(luò)安全威脅

2.1 系統(tǒng)及軟件漏洞造成的安全威脅

由于系統(tǒng)及軟件是由上萬條代碼編寫而成，因此，隨著系統(tǒng)及軟件規(guī)模的不斷擴(kuò)大，系統(tǒng)及軟件中的安全漏洞也不可避免地存在，比如Windows是企業(yè)目前應(yīng)用最廣泛的操作系統(tǒng)之一，在早期的系統(tǒng)設(shè)計中，往往關(guān)注操作系統(tǒng)的功能，但是隨著信息技術(shù)的快速發(fā)展，人們對系統(tǒng)的依賴程度也越來越強(qiáng)，大量的企業(yè)信息、個人信息被存儲在計算機(jī)系統(tǒng)中，不斷出現(xiàn)的“沖擊波”、“震蕩波”等安全事件為人們敲響了信息安全的警鐘，企業(yè)越來越重視系統(tǒng)自身的安全問題，避免因系統(tǒng)漏洞而造成企業(yè)的系統(tǒng)癱瘓或信息泄露。

2.2 網(wǎng)絡(luò)信息安全管理薄弱

企業(yè)信息安全建設(shè)方面一直存在只注重產(chǎn)品的功能特性，而忽視了在信息安全建設(shè)方面考慮整體的安全體系的現(xiàn)象。雖然企業(yè)花費(fèi)了大量的財力采購了先進(jìn)的安全產(chǎn)品，但仍無法避免一些信息安全事件的發(fā)生。這些安全事件的發(fā)生和隱患的存在往往都是由于管理不到位造成的。要想更好地發(fā)揮安全產(chǎn)品的防護(hù)作用，就要同時加強(qiáng)信息安全管理。

2.3 企業(yè)用戶操作不規(guī)范，安全意識淡薄

企業(yè)用戶安全意識普遍不高，再加上用戶的誤操作、資源的濫用等也有可能會為企業(yè)的網(wǎng)絡(luò)信息安全造成巨大威脅。比如用戶系統(tǒng)登錄口令簡單、長期不換，隨意打開來歷不明的郵件、登錄被掛在木馬或釣魚網(wǎng)站。這些都會造成黑客的入侵，造成企業(yè)信息系統(tǒng)的破壞、信息的泄露。

2.4 人為惡意攻擊行為

隨著信息技術(shù)的發(fā)展及普及，黑客技術(shù)逐漸被越來越多的人掌握，黑客利用各種漏洞及病毒對企業(yè)信息系統(tǒng)的保密性、完整性、可用性造成了破壞。造成用戶文件的損壞，企業(yè)數(shù)據(jù)丟失，甚至造成企業(yè)信息系統(tǒng)崩潰、運(yùn)行癱瘓，嚴(yán)重干擾企業(yè)的正常運(yùn)營。

與此同時，近年來黑客攻擊已經(jīng)從傳統(tǒng)的破壞用戶計算機(jī)逐級轉(zhuǎn)移到高級持續(xù)性威脅攻擊（APT），他們利用先進(jìn)的攻擊手段及多種多樣的入侵途徑（如智能手機(jī)、惡意郵件等）對特定目標(biāo)進(jìn)行長期的、持續(xù)性的網(wǎng)絡(luò)攻擊。與傳統(tǒng)的、普通的攻擊相比，APT攻擊強(qiáng)調(diào)采用先進(jìn)的攻擊技術(shù)和豐富的攻擊資源來進(jìn)行攻擊。黑客們發(fā)動這些APT攻擊的目的往往不是為了在短時間內(nèi)獲利，他們會潛伏在用戶網(wǎng)絡(luò)環(huán)境中一年甚至更久，“悄悄”地收集網(wǎng)絡(luò)中的各種信息，并通過“受控主機(jī)”擴(kuò)展至全網(wǎng)，不斷搜索，找到網(wǎng)絡(luò)中權(quán)限最高的用戶，直到完全掌握目標(biāo)資源乃至企業(yè)全部核心資料。APT攻擊持續(xù)性長、具有明確的針對性等特點(diǎn)，更有一些專業(yè)化的人員在利益集團(tuán)甚至國家和政府的支持下針對重要目標(biāo)發(fā)起進(jìn)攻。這讓企業(yè)的安全管理人員很難發(fā)覺。如著名的“震網(wǎng)攻擊”、“Google極光攻擊”以及安全公司RSA公司遭受入侵，就是黑客組織通過長時間的滲透，并利用系統(tǒng)0 Day漏洞進(jìn)行的系統(tǒng)破壞及資料竊取活動[2]。

隨著網(wǎng)絡(luò)安全威脅的不斷升級，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品已不能夠有效阻斷日益變化的網(wǎng)絡(luò)攻擊。因此，有必要在企業(yè)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界之間建立全新的安全防護(hù)機(jī)制，在企業(yè)的網(wǎng)絡(luò)邊界處將網(wǎng)絡(luò)安全威脅拒之門外，防止其通過網(wǎng)絡(luò)連接傳播到內(nèi)網(wǎng)的服務(wù)器或計算機(jī)上。另外一方面，需要對已經(jīng)入侵的Server或者未知威脅提前進(jìn)行感知預(yù)測，防患于未然，在危害沒有真正產(chǎn)生之前，解決掉這些潛在的威脅，從而保障網(wǎng)絡(luò)的安全。

3 大數(shù)據(jù)與信息安全的結(jié)合

要想通過“防護(hù)+檢測”的整體解決方案來達(dá)到企業(yè)安全防護(hù)的目的，提升安全能力，需要借助“下一代防火墻+安全云平臺”這樣的架構(gòu)有效應(yīng)對以上威脅。

3.1 下一代防火墻

在眾多安全產(chǎn)品中，下一代防火墻面向應(yīng)用層設(shè)計，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備了L2-L7層的安全防護(hù)功能，相比傳統(tǒng)防火墻，其核心功能包括：

3.1.1 精細(xì)化的應(yīng)用控制

傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品只能做到L2—L4層的防護(hù)，通過對IP或者端口進(jìn)行各種控制，對來自應(yīng)用層的威脅就會顯得無能為力。而新型防火墻增加了應(yīng)用層的防護(hù)功能，能夠?qū)Ω鞣N網(wǎng)絡(luò)應(yīng)用進(jìn)行精細(xì)的管理控制，比如可以依照時間段阻斷某種網(wǎng)絡(luò)應(yīng)用，以達(dá)到節(jié)省網(wǎng)絡(luò)帶寬、提高工作效率的目的。

3.1.2 信息防泄露

網(wǎng)絡(luò)應(yīng)用日新月異、不斷增加，絕大部分的網(wǎng)絡(luò)應(yīng)用都是建立在標(biāo)準(zhǔn)的協(xié)議之上。而傳統(tǒng)內(nèi)容過濾方式已逐步體現(xiàn)出對現(xiàn)在網(wǎng)絡(luò)應(yīng)用的防護(hù)短板，比如對于WEBMail的附件、微博和MSN的文件傳輸、網(wǎng)盤的文件上傳等。下一代防火墻基于應(yīng)用構(gòu)建文件類型和內(nèi)容的掃描能力，支持多種網(wǎng)絡(luò)應(yīng)用的類型格式和內(nèi)容的識別，以及細(xì)致的網(wǎng)絡(luò)應(yīng)用動作辨識。

3.1.3 應(yīng)用層的安全防護(hù)

下一代防火墻可以深刻解析網(wǎng)絡(luò)中的應(yīng)用以及威脅和攻擊，是L2-L7層統(tǒng)一的安全防護(hù)，能夠有效阻斷如漏洞、木馬等各類攻擊等。

3.2 安全云平臺

安全云平臺作為安全廠商的公有云部署，對于接入安全云平臺的安全防護(hù)設(shè)備能及時獲取威脅信息并制定防護(hù)規(guī)則。同時利用大數(shù)據(jù)的強(qiáng)大關(guān)聯(lián)分析能力，與安全防護(hù)設(shè)備實(shí)行聯(lián)動，及時有效地防御APT攻擊，主要功能包括：

3.2.1 未知威脅云檢測

安全云平臺對安全防護(hù)設(shè)備上報的可疑流量進(jìn)行靜態(tài)掃描、動態(tài)虛擬運(yùn)行和危險行為鑒定，判定流量的黑白情況，并將分析結(jié)果解釋反饋給部署在企業(yè)網(wǎng)絡(luò)出口的防火墻設(shè)備。當(dāng)安全云平臺發(fā)現(xiàn)上傳的流量中存在安全隱患時，將立即生成防護(hù)規(guī)則下發(fā)到防火墻上，并將防護(hù)規(guī)則同步下發(fā)至全球所有接入安全云平臺的關(guān)聯(lián)防火墻上，從而能夠有效抵御各類網(wǎng)絡(luò)威脅。

3.2.2 僵尸網(wǎng)絡(luò)云檢測

部署在企業(yè)的新型防火墻可有效識別企業(yè)內(nèi)網(wǎng)僵尸網(wǎng)絡(luò)主機(jī)。對于無法識別的流量信息，新型防火墻將可疑信息上報給安全云平臺進(jìn)行分析。同時安全云平臺還會收集大量有效病毒樣本進(jìn)行病毒網(wǎng)絡(luò)特征分析，并將病毒分析提供給全球所有接入安全云平臺的防火墻進(jìn)行信息共享，以豐富部署在客戶端的安全防護(hù)設(shè)備的病毒特征庫，提供所有相關(guān)防火墻設(shè)備識別僵尸網(wǎng)絡(luò)的行為。

4 “防火墻+安全云平臺”在企業(yè)中的應(yīng)用案例

企業(yè)在部署“防火墻+安全云平臺”后，可利用僵尸主機(jī)分布圖顯示出失陷主機(jī)分布情況及數(shù)量，如圖1所示。

圖1 僵尸主機(jī)二維分布圖

通過對數(shù)據(jù)的分析，可以看到主機(jī)感染的詳細(xì)情況，從某一時刻開始，相關(guān)主機(jī)一直處于風(fēng)險系數(shù)比較高的狀態(tài)。繼續(xù)對主機(jī)的詳細(xì)威脅活動進(jìn)行分析，便發(fā)現(xiàn)主機(jī)主要的威脅活動集中在異常掃描和發(fā)送大量垃圾郵件上，如圖2。

圖2 威脅活動詳情

在安全云平臺中對主機(jī)的流量行為進(jìn)一步分析，發(fā)現(xiàn)主機(jī)發(fā)送大量的SMTP，并且目的地址離散，進(jìn)一步確認(rèn)了主機(jī)已經(jīng)成為垃圾郵件發(fā)送器。經(jīng)過檢查確認(rèn)后臺已經(jīng)被入侵，并且被植入了木馬。

通過該簡單案例可以看出新型防護(hù)設(shè)備為管理員處理安全威脅提供了高效可靠的先進(jìn)技術(shù)手段，提升了企業(yè)應(yīng)對安全威脅的能力和響應(yīng)速度，對防止威脅的擴(kuò)散起到了積極的作用。

通過采用“防火墻+安全云平臺”的安全防護(hù)架構(gòu)，可幫助企業(yè)發(fā)現(xiàn)內(nèi)部數(shù)據(jù)中心隱患等各類安全問題，同時基于大數(shù)據(jù)日志分析，找到其中不易被察覺的根本原因，從根本上提升企業(yè)信息安全的防護(hù)能力[3]。

5 結(jié)語

隨著時代發(fā)展，現(xiàn)代企業(yè)信息安全的防護(hù)能力應(yīng)不斷提升才能應(yīng)對層出不窮的各類安全威脅，但只依靠管理員過時或低級的手段難以實(shí)現(xiàn)有效控制，必須依托新型安全設(shè)備輔以大數(shù)據(jù)分析的力量來強(qiáng)有力地保障企業(yè)信息安全環(huán)境。

[1]吳世忠,李斌,張曉菲,等.信息安全保障導(dǎo)論[M].北京:機(jī)械工業(yè)出版社,2014.

[2]William Stallings.網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)：第3版.[M].白國強(qiáng),譯.北京:清華大學(xué)出版社,2009.

[3]曹鵬.企業(yè)網(wǎng)絡(luò)安全維護(hù)案例精粹[M].北京:電子工業(yè)出版社, 2008.

（編輯：賈娟）

With the Help of the New Protective Wall to Im prove Enterprise Information Security

Zheng W ei
(1.Taiyuan University of Technology,Taiyuan Shanxi 030024;China Energy Engineering Group Shanxi Electric Power Engineering Co.,Ltd.,Taiyuan Shanxi030001)

Through the analysis of the current enterprise information security threats,traditional security protection measures,combined with the new era,the development of technology,big data cloud platform combined with safety protective equipment,use of superior resources for enterprises to provide powerful information security solutions in a timelymanner.

firewall;Cloud platform;APT attacks;bots

TP393.08

A

2095-0748(2016)20-0088-03

10.16525/j.cnki.14-1362/n.2016.20.39

2016-09-30

鄭偉（1981—），男，山西五臺人，本科，畢業(yè)于山西大學(xué)，工程師，太原理工大學(xué)工程碩士在讀，現(xiàn)就職于中國能源建設(shè)集團(tuán)山西省電力勘測設(shè)計院有限公司。