淺談網(wǎng)絡(luò)安全趨勢(shì)

◆丁飛

（國家開發(fā)銀行北京 100038）

1 概述

近年來，隨著我國通信基礎(chǔ)設(shè)施的快速發(fā)展和新興技術(shù)應(yīng)用的應(yīng)用使得我國網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，拓?fù)浣Y(jié)構(gòu)日益復(fù)雜，由此引發(fā)的網(wǎng)絡(luò)安全威脅形勢(shì)更加嚴(yán)峻，整網(wǎng)面臨的各種網(wǎng)絡(luò)攻擊防御手段也更加復(fù)雜多樣化，如網(wǎng)絡(luò)數(shù)據(jù)安全泄露、勒索病毒軟件、APT網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全事件頻發(fā)。伴隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新一代技術(shù)的快速發(fā)展，應(yīng)對(duì)這種安全技術(shù)威脅的新手段也隨之變得更加復(fù)雜、棘手、難以有效應(yīng)對(duì)。

在2020年，網(wǎng)絡(luò)威脅將仍然是安全行業(yè)發(fā)展的主要驅(qū)動(dòng)力，總書記在全國網(wǎng)絡(luò)安全與信息化工作會(huì)議上指出："沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障"。國家政策的要求層面也是安全行業(yè)增長的重要推動(dòng)力。此外，技術(shù)變革也將催生安全行業(yè)中新的應(yīng)用場(chǎng)景與市場(chǎng)空間。在威脅、政策、技術(shù)的多重驅(qū)動(dòng)下，信息網(wǎng)絡(luò)安全行業(yè)需求將更加旺盛，發(fā)展將更加成熟。

2 IT發(fā)展變革對(duì)網(wǎng)絡(luò)安全帶來的影響

（1）性能瓶頸

云計(jì)算要求的數(shù)據(jù)集中和跨數(shù)據(jù)中心互連將網(wǎng)絡(luò)骨干帶寬提升到10G-100G平臺(tái)，而現(xiàn)有L2/3層網(wǎng)絡(luò)上架設(shè)L4-L7層設(shè)備的部署方案下，帶寬受L4-L7層設(shè)備性能限制，無法滿足實(shí)際應(yīng)用需求。

（2）維護(hù)瓶頸

傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃一般會(huì)采用冗余設(shè)計(jì)，并通過 STP（Spanning Tree Protocol-生成樹協(xié)議）和 VRRP（Virtual Router Redundancy Protocol-虛擬路由冗余協(xié)議）解決冗余組網(wǎng)帶來的環(huán)路問題，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，安全相關(guān)的配置和維護(hù)的復(fù)雜度指數(shù)級(jí)遞增，導(dǎo)致網(wǎng)絡(luò)平臺(tái)無法伴隨業(yè)務(wù)高效持續(xù)升級(jí)，成為IT系統(tǒng)瓶頸。

（3）資源利用率瓶頸

基于Active-Standby（主備）方式的冗余技術(shù)下，備份鏈路或設(shè)備僅當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)才會(huì)對(duì)外提供服務(wù)，極大的浪費(fèi)了基礎(chǔ)設(shè)施資源，這在云計(jì)算數(shù)據(jù)中心等對(duì)帶寬和性能有極高要求的環(huán)境下是不可接受的。

（4）業(yè)務(wù)能力瓶頸

云計(jì)算和虛擬化技術(shù)的推動(dòng)下，網(wǎng)絡(luò)正在發(fā)生從物理設(shè)備互連到虛擬機(jī)、再到Docker容器互連的革命性轉(zhuǎn)變。按照目前X86服務(wù)器的虛擬化能力評(píng)估，IT系統(tǒng)中的vNIC數(shù)量比服務(wù)器物理端口多一個(gè)數(shù)量級(jí)，L2-L7層網(wǎng)絡(luò)如何面向龐雜的虛擬機(jī)提供靈活的、動(dòng)態(tài)的、差異化的服務(wù)是整個(gè)業(yè)界面臨的技術(shù)難題。

3 新趨勢(shì)下網(wǎng)絡(luò)安全建設(shè)規(guī)劃

近年來國家信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求中，以面向縱深網(wǎng)絡(luò)防御的安全思想理念為設(shè)計(jì)主線， 開拓了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求，對(duì)于各個(gè)安全級(jí)別保護(hù)提出了“三重防護(hù)、一個(gè)中心”的安全網(wǎng)絡(luò)保護(hù)環(huán)境設(shè)計(jì)思路，即：安全網(wǎng)絡(luò)計(jì)算管理環(huán)境、安全網(wǎng)絡(luò)區(qū)域管理邊界、安全網(wǎng)絡(luò)通信，以及安全信息管理數(shù)據(jù)中心。

3.1 安全域規(guī)劃

安全域保護(hù)是在泛指同一個(gè)系統(tǒng)網(wǎng)絡(luò)內(nèi)有相同的安全訪問保護(hù)功能需要，彼此間相互信任，并同時(shí)具有相同的安全訪問控制和安全邊界訪問控制策略的多個(gè)子網(wǎng)或局域網(wǎng)絡(luò)，在這些相同的網(wǎng)絡(luò)安全域之間，共享一樣的安全策略。

安全域的劃分不是網(wǎng)絡(luò)邊界劃分，安全域可以是相交或嵌套模式；安全域的防護(hù)不僅僅是隔離，且要考慮應(yīng)用場(chǎng)景和性能消耗；安全域是結(jié)合目標(biāo)網(wǎng)絡(luò)、業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)架構(gòu)劃分是否需要提供外部接入、向內(nèi)部提供服務(wù)、訪問內(nèi)部核心網(wǎng)絡(luò)分析業(yè)務(wù)、拆分業(yè)務(wù)系統(tǒng)歸入不同安全域。

業(yè)務(wù)系統(tǒng)可成為跨接多個(gè)安全域的虛擬域，根據(jù)訪問需求不同而設(shè)置區(qū)，安全域的劃分也依據(jù)IATF安全域在各行業(yè)應(yīng)用為依據(jù)。

3.2 充分結(jié)合現(xiàn)狀

目前對(duì)網(wǎng)絡(luò)建設(shè)的規(guī)劃必須結(jié)合業(yè)務(wù)運(yùn)行的現(xiàn)狀和需求，主要分了三個(gè)方面：

（1）了解現(xiàn)狀，深入調(diào)研和訪談，分別對(duì)業(yè)務(wù)和網(wǎng)絡(luò)進(jìn)行細(xì)致調(diào)研和描述；

（2）綜合分析，劃分業(yè)務(wù)單元、分析業(yè)務(wù)接口和網(wǎng)絡(luò)現(xiàn)狀結(jié)構(gòu)；

（3）制定安全域和邊界的劃分規(guī)則。

4 新趨勢(shì)下的網(wǎng)絡(luò)與應(yīng)用安全

4.1 傳統(tǒng)應(yīng)用安全存在的問題

傳統(tǒng)應(yīng)用安全主要存在如下幾點(diǎn)問題導(dǎo)致了網(wǎng)絡(luò)性能低下、關(guān)鍵業(yè)務(wù)性能無法保證、破壞了冗余性、網(wǎng)絡(luò)的健壯性、以及對(duì)全網(wǎng)統(tǒng)一管理簡易性。止步于頭疼醫(yī)頭，腳疼醫(yī)腳的打補(bǔ)丁式的建設(shè)模式；

4.2 系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn)

系統(tǒng)漏洞往往會(huì)給業(yè)務(wù)系統(tǒng)帶來各種嚴(yán)重的安全隱患后果，在企業(yè)界 ，漏洞主要表現(xiàn)是系統(tǒng)設(shè)計(jì)和開發(fā)實(shí)施中經(jīng)常出現(xiàn)一些錯(cuò)誤操作，造成系統(tǒng)信息源的完整性、可靠的獲得性和信息保密性嚴(yán)重受損。錯(cuò)誤通常在系統(tǒng)軟件中，也就是存在于各個(gè)系統(tǒng)信息層的系統(tǒng)物理層，從軟件協(xié)議層和系統(tǒng)設(shè)計(jì)到軟件物理層。網(wǎng)絡(luò)安全漏洞還有可能是惡意用戶或自動(dòng)化的惡意代碼故意為之。重要操作系統(tǒng)或企業(yè)網(wǎng)絡(luò)中單個(gè)安全漏洞的存在也可能會(huì)直接嚴(yán)重破壞一個(gè)商業(yè)機(jī)構(gòu)的安全管理態(tài)勢(shì)。

4.3 Web安全問題帶來的風(fēng)險(xiǎn)

如網(wǎng)銀業(yè)務(wù)通常采用B/S架構(gòu)，自身Web應(yīng)用的編寫環(huán)境，網(wǎng)頁代碼復(fù)雜性、多樣化、模塊眾多，導(dǎo)致了很多大型網(wǎng)站的開發(fā)多數(shù)要外包給外部開發(fā)人員，普遍安全理念比較薄弱、開發(fā)人員能力不足以及沒有規(guī)范的安全開發(fā)的標(biāo)準(zhǔn)埋下了很多安全風(fēng)險(xiǎn)。

4.4 數(shù)據(jù)庫安全問題帶來的風(fēng)險(xiǎn)

數(shù)據(jù)庫是應(yīng)用安全的核心，前兩種安全風(fēng)險(xiǎn)最終也會(huì)危害到數(shù)據(jù)庫的安全。數(shù)據(jù)庫的安全問題還有其特定的意義，例如數(shù)據(jù)庫的權(quán)限濫用所帶來的安全問題，如據(jù)庫工作人員可能違規(guī)使用越權(quán)進(jìn)行操作、惡意軟件入侵等會(huì)導(dǎo)致用戶數(shù)據(jù)庫里的敏感數(shù)據(jù)信息大量失竊，且事后可能無法有效加以追溯和進(jìn)行審計(jì)。一般而言，數(shù)據(jù)庫管理系統(tǒng)自身能夠提供的基本安全防護(hù)技術(shù)已經(jīng)能夠充分滿足一般的企業(yè)應(yīng)用安全需求，但對(duì)于一些重要的或敏感的應(yīng)用領(lǐng)域的企業(yè)應(yīng)用，僅靠上述據(jù)庫系統(tǒng)本身自帶的安全防護(hù)技術(shù)已經(jīng)難以能夠充分保證用戶數(shù)據(jù)的應(yīng)用安全性。

4.5 DDoS攻擊帶來的安全風(fēng)險(xiǎn)。

DDoS的行為本質(zhì)上就是網(wǎng)絡(luò)攻擊者合法或非法地直接利用全球互聯(lián)網(wǎng)上的大量其他網(wǎng)絡(luò)機(jī)器（可能是“肉雞”，也可能是合法的代理機(jī)器），銀行數(shù)據(jù)中心通常有自己的互聯(lián)網(wǎng)或網(wǎng)銀出口，時(shí)刻面臨著來自互聯(lián)網(wǎng)的各種攻擊和威脅。如 DDoS這種攻擊將直接威脅到銀行數(shù)據(jù)中心能否穩(wěn)定、安全地運(yùn)行。

傳統(tǒng)的防火墻設(shè)備由于工作在 L2-L4層，無法實(shí)現(xiàn)對(duì)應(yīng)用層攻擊的深度檢測(cè)，面對(duì)L4-L7層的安全威脅心有余而力不足。如今的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測(cè)管理系統(tǒng)已經(jīng)集成了網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測(cè)與網(wǎng)絡(luò)防御、病毒數(shù)據(jù)防護(hù)、協(xié)議異常數(shù)據(jù)保護(hù)等五大功能，可精確實(shí)時(shí)地識(shí)別并防御蠕蟲、病毒、木馬等網(wǎng)絡(luò)攻擊，防止攻擊者對(duì)數(shù)據(jù)中心的破壞，保障敏感數(shù)據(jù)不被竊取以及業(yè)務(wù)的持續(xù)運(yùn)行，從而達(dá)到對(duì)網(wǎng)絡(luò)上運(yùn)行的銀行業(yè)務(wù)的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。

4.6 新趨勢(shì)下對(duì)網(wǎng)絡(luò)安全的要求

新趨勢(shì)下對(duì)網(wǎng)絡(luò)系統(tǒng)主要有三個(gè)要求：統(tǒng)一共享、融合的網(wǎng)絡(luò)交換平臺(tái)；綜合、全局、深度的安全保障體系；高效、便捷的網(wǎng)絡(luò)與安全監(jiān)管能力。主要體現(xiàn)在：

（1）業(yè)務(wù)識(shí)別與控制能力

（2）訪問過濾與行為審計(jì)能力

（3）覆蓋網(wǎng)絡(luò)L2-L7層的全面防御能力

（4）服務(wù)器防護(hù)及Web應(yīng)用優(yōu)化能力

（5）4/7層的服務(wù)交付能力

（6）安全預(yù)警及漏洞修補(bǔ)能力

4.7 新趨勢(shì)下行業(yè)解決方案

4.7.1 應(yīng)用安全手段一：計(jì)算虛擬化

計(jì)算虛擬化通過虛擬化管理程序（Hypervisor或VMM）將物理服務(wù)器的硬件資源與上層應(yīng)用進(jìn)行解耦，形成統(tǒng)一的計(jì)算資源池，然后可彈性分配給邏輯上隔離的虛擬機(jī)共享使用?；?VMM 所在位置與虛擬化范圍可以分三種類型：

（1）宿主型（Type II）：在早期虛擬化產(chǎn)品中，VMM運(yùn)行在宿主機(jī)的Host OS上（如Windows），對(duì)硬件的管理與操作需要經(jīng)過Host OS處理與限制，系統(tǒng)運(yùn)行開銷、效率與靈活性都不太好。主要的產(chǎn)品有VMware Workstation， Windows Virtual PC 2004，Xen 3.0之前的版本等。

（2）裸金屬（Type I）：VMM直接運(yùn)行的物理硬件上（少了Host OS），可直接管理和操作底層硬件，運(yùn)行效率和性能較好，是當(dāng)前主流的虛擬化類型，如開源的KVM、Xen 以及VMware ESXi、Microsoft Hyper-V等。

（3）容器（應(yīng)用級(jí)）：容器是一種更加輕量的應(yīng)用級(jí)虛擬化技術(shù)，將應(yīng)用的可執(zhí)行文件及其所需的運(yùn)行時(shí)環(huán)境與依賴庫打包，實(shí)現(xiàn)一次構(gòu)建，到處運(yùn)行的目標(biāo)。相比虛擬化，容器技術(shù)多了容器引擎層（如Docker），但上層應(yīng)用無須與Guest OS綁定，可以實(shí)現(xiàn)秒級(jí)部署、跨平臺(tái)遷移，靈活的資源分配，彈性調(diào)度管理等優(yōu)勢(shì)。容器、微服務(wù)與DevOps為云原生的三大要素，是推動(dòng)企業(yè)技術(shù)中臺(tái)建設(shè)與微服務(wù)化轉(zhuǎn)型不可或缺的組件。

4.7.2 應(yīng)用安全手段二：網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化，一般意義上的概念是指將物理網(wǎng)絡(luò)資源通過某種虛擬化技術(shù)，虛擬成邏輯網(wǎng)絡(luò)資源，以提供更加靈活的網(wǎng)絡(luò)資源調(diào)配和供給能力。 Overlay、 MPLS、 VPN、VLAN、 Virtual router、 VRF等都已經(jīng)可以明確認(rèn)為這是現(xiàn)代網(wǎng)絡(luò)空間虛擬化的主要表現(xiàn)形式。新興的現(xiàn)有網(wǎng)絡(luò)虛擬化概念認(rèn)為，應(yīng)用本身已經(jīng)無須特別關(guān)心現(xiàn)有傳統(tǒng)意義上的網(wǎng)絡(luò)基礎(chǔ)信息和系統(tǒng)配置，比如網(wǎng)絡(luò)路由器和協(xié)議等，這些由現(xiàn)有網(wǎng)絡(luò)中的虛擬化底層應(yīng)用來自動(dòng)提供。底層的硬件就提供轉(zhuǎn)發(fā)功能，很多復(fù)雜配置由網(wǎng)絡(luò)虛擬層來托管，和計(jì)算虛擬化類似。另外，網(wǎng)絡(luò)虛擬化還提供網(wǎng)絡(luò)功能的可編程能力。

4.7.3 應(yīng)用安全手段三：存儲(chǔ)虛擬化

虛擬化存儲(chǔ)技術(shù)是通過將底層存儲(chǔ)設(shè)備進(jìn)行抽象化統(tǒng)一管理，對(duì)于服務(wù)器層面屏蔽存儲(chǔ)設(shè)備硬件的特殊性，而只保留服務(wù)器層統(tǒng)一的邏輯特性，從而實(shí)現(xiàn)了存儲(chǔ)系統(tǒng)集中、統(tǒng)一而又方便的管理。從存儲(chǔ)的角度來看，虛擬化技術(shù)的特點(diǎn)是可網(wǎng)絡(luò)化、整合磁盤設(shè)備，并讓多個(gè)虛擬化服務(wù)器共享所有磁盤設(shè)備，從而大大提高了服務(wù)器的利用率。在非虛擬化環(huán)境中，服務(wù)器直連到存儲(chǔ)；存儲(chǔ)可以是服務(wù)器機(jī)架內(nèi)部的存儲(chǔ)，也可以是網(wǎng)絡(luò)外部陣列中的存儲(chǔ)。 其最大的缺點(diǎn)是，特定外部服務(wù)器需要完全擁有物理設(shè)備，即整個(gè)磁盤驅(qū)動(dòng)器需與單個(gè)服務(wù)器綁定。 在非虛擬化環(huán)境中共享存儲(chǔ)資源需要用到復(fù)雜的文件系統(tǒng)，或者從基于數(shù)據(jù)塊的存儲(chǔ)遷移到基于文件的網(wǎng)絡(luò)連接存儲(chǔ) （NAS）。

同時(shí)，對(duì)存儲(chǔ)資源的訪問也可以通過VLAN、VRF、VSAN、Zone等虛擬化技術(shù)進(jìn)行分割與隔離，從而實(shí)現(xiàn)SAN的安全加強(qiáng)控制。