【摘要】當(dāng)前互聯(lián)網(wǎng)信息安全面臨新的挑戰(zhàn)和機(jī)遇，如何建立可信的信息安全環(huán)境，提升信息安全的保障水平，成為備受關(guān)注的問題。本文對(duì)新形勢(shì)下互聯(lián)網(wǎng)信息安全現(xiàn)狀進(jìn)行了調(diào)研，提出擁有大數(shù)據(jù)鏈路的運(yùn)營商亟待解決的問題以及應(yīng)對(duì)策略等一些思路。

【關(guān)鍵詞】網(wǎng)絡(luò)信息安全；網(wǎng)絡(luò)威脅；信息安全管理系統(tǒng)

近年來在新形勢(shì)和新環(huán)境下，我國互聯(lián)網(wǎng)信息安全情況有一定惡化趨勢(shì)。2011年境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè)，較2010年增加5.10%。網(wǎng)站安全問題引發(fā)的用戶信息和數(shù)據(jù)的安全問題引起社會(huì)廣泛關(guān)注。CNCERT全年共接收網(wǎng)絡(luò)釣魚事件舉報(bào)5459件，較2010年增長近2.5倍，信息安全漏洞呈現(xiàn)迅猛增長趨勢(shì)并造成用戶直接經(jīng)濟(jì)損失。虛擬化、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、SDN、物聯(lián)網(wǎng)……各種新興技術(shù)不斷涌現(xiàn)，帶給IT業(yè)界無限機(jī)會(huì)，同時(shí)也使信息安全風(fēng)險(xiǎn)不斷升級(jí)。信息產(chǎn)業(yè)的變化導(dǎo)致信息安全產(chǎn)業(yè)不得不跟上時(shí)代的步伐，從被動(dòng)防御到主動(dòng)防御，通過不斷更新的云計(jì)算和大數(shù)據(jù)技術(shù)來完善信息安全解決方案，讓信息安全防護(hù)變得更加智能。

1.信息安全行業(yè)現(xiàn)狀

1.1 信息安全產(chǎn)品分類

1.1.1 安全硬件

防火墻/虛擬專用網(wǎng)絡(luò)硬件產(chǎn)品；入侵監(jiān)測與入侵防御硬件產(chǎn)品；統(tǒng)一威脅管理硬件產(chǎn)品；安全內(nèi)容管理硬件產(chǎn)品。

1.1.2 安全硬件

安全威脅管理軟件 安全內(nèi)容管理軟件（SCM）

√防火墻軟件 √防病毒系統(tǒng)

√入侵監(jiān)測與防護(hù)軟件 √Web流過濾系統(tǒng)

√內(nèi)容安全系統(tǒng)

安全性與漏洞管理軟件 身份管理軟件

1.1.3 安全服務(wù)

信安計(jì)劃；信安項(xiàng)目實(shí)施；信安項(xiàng)目維護(hù)；信安教育培訓(xùn)。

1.2 信息安全技術(shù)及技術(shù)水平

1.2.1 信息安全技術(shù)

基礎(chǔ)性安全技術(shù)包括：身份認(rèn)證技術(shù)、加解密技術(shù)、邊界防護(hù)技術(shù)、訪問控制技術(shù)、主機(jī)加固技術(shù)、安全審計(jì)技術(shù)、監(jiān)測監(jiān)控技術(shù)。

1.2.2 信息安全技術(shù)水平

近年來，我國在防火墻、漏洞掃描、入侵檢測、網(wǎng)絡(luò)防病毒、網(wǎng)絡(luò)加密、服務(wù)器安全模塊等方面取得顯著進(jìn)步，并從系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)發(fā)展為應(yīng)用層面的安全防護(hù)。

進(jìn)入大數(shù)據(jù)時(shí)代。針對(duì)云計(jì)算已經(jīng)有信息安全企業(yè)提出了基于云安全技術(shù)架構(gòu)（Cloud-Client）構(gòu)建了下一代內(nèi)容安全防護(hù)解決方案，用于解決當(dāng)前面臨的快速增長和極具動(dòng)態(tài)性的網(wǎng)絡(luò)威脅，在全球首次提出基于云計(jì)算平臺(tái)安全解決方案。

1.3 信息安全行業(yè)發(fā)展的影響因素

1.3.1 有利因素

信息化發(fā)展的現(xiàn)實(shí)需求；產(chǎn)業(yè)政策支持；信息安全事件的發(fā)生

1.3.2 不利因素

作為知識(shí)密集型的新興行業(yè)，信息安全行業(yè)與資本、勞動(dòng)密集型的傳統(tǒng)制造行業(yè)有顯著的不同。其核心競爭力主要是企業(yè)的核心技術(shù)和人員的專業(yè)素質(zhì)，強(qiáng)調(diào)技術(shù)資本和人力資本的投入。但我國信息安全專業(yè)教育起步較晚，專業(yè)的信息安全人才匱乏。

2.運(yùn)營商信安建設(shè)現(xiàn)狀和亟待解決的兩個(gè)重要問題

我國電信行業(yè)的信息化與安全建設(shè)在全國范圍內(nèi)是走在前面的，其信息化安全建設(shè)得到多方面的重視。但信息化安全建設(shè)存在著越來越嚴(yán)重的交叉問題。

2.1 電信網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀

我國信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全建設(shè)投入在全國來說是最大的，已取得較大成績，但是一些問題依然應(yīng)當(dāng)引起注意，例如：

（1）網(wǎng)絡(luò)的管理、信令系統(tǒng)的安全建設(shè)有待進(jìn)一步加強(qiáng)。

（2）對(duì)網(wǎng)絡(luò)插播攻擊問題缺少檢測、定位能力。對(duì)公網(wǎng)與專網(wǎng)之間的隔離情況缺少檢測能力。

（3）對(duì)網(wǎng)絡(luò)大規(guī)模入侵檢測和防護(hù)缺少應(yīng)對(duì)能力。

（4）對(duì)網(wǎng)絡(luò)安全缺少全局的管理、指揮、監(jiān)控、調(diào)度與協(xié)調(diào)能力。

2.2 網(wǎng)絡(luò)行為與內(nèi)容的安全現(xiàn)狀

現(xiàn)階段互聯(lián)網(wǎng)行為與內(nèi)容安全已經(jīng)顯現(xiàn)出來，而且會(huì)越來越突出，尤其在考慮恐怖主義和信息戰(zhàn)的威脅，網(wǎng)絡(luò)行為與內(nèi)容安全將會(huì)變得越來越重要。這種安全威脅主要表現(xiàn)在：網(wǎng)絡(luò)犯罪行為、恐怖行為和軍事行為的威脅；網(wǎng)絡(luò)內(nèi)容攻擊，包括利用傳統(tǒng)媒體等實(shí)施攻擊，當(dāng)前主要問題是法輪功、黃色、反動(dòng)網(wǎng)站等問題。

2.3 目前運(yùn)營商亟待解決的問題

2.3.1 網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)分布式拒絕服務(wù)（DDoS）攻擊是運(yùn)營商IDC機(jī)房最常見的攻擊之一。攻擊的方法是一些攻擊者通過向目標(biāo)發(fā)送大量惡意請(qǐng)求，導(dǎo)致計(jì)算機(jī)服務(wù)器和網(wǎng)絡(luò)設(shè)備的性能降低和網(wǎng)絡(luò)服務(wù)中斷，或者網(wǎng)絡(luò)連接的帶寬達(dá)到飽和。對(duì)于國內(nèi)的IDC機(jī)房經(jīng)營者來說威脅尤其大。

2.3.2 內(nèi)容信息安全

內(nèi)容信息安全監(jiān)管的對(duì)象包括：格式內(nèi)容（主要為應(yīng)用系統(tǒng)數(shù)據(jù)庫記錄內(nèi)容等）、字符文檔內(nèi)容（字符文件內(nèi)容）、圖形內(nèi)容、圖像內(nèi)容、加密信息內(nèi)容和隱藏信息內(nèi)容、用戶上網(wǎng)行為等。

3.運(yùn)營商應(yīng)對(duì)策略

3.1 網(wǎng)絡(luò)威脅解決方案

3.1.1 概述

IDC機(jī)房的主要業(yè)務(wù)是為不同類型的客戶提供各類托管和接入服務(wù)由于其業(yè)務(wù)的多樣性使得這些客戶常常成為各種類型DDoS攻擊的目標(biāo)。

IDC運(yùn)營商的網(wǎng)游、語音、視頻業(yè)務(wù)等應(yīng)用都對(duì)延遲極為敏感，因此DDoS攻擊會(huì)對(duì)IDC機(jī)房中用戶的上網(wǎng)的質(zhì)量造成嚴(yán)重的影響，本方案針對(duì)互聯(lián)網(wǎng)日益嚴(yán)重的拒絕服務(wù)攻擊進(jìn)行專業(yè)抗DDOS清洗防護(hù)。

3.1.2 建設(shè)方案

為了避免由于抗拒絕服務(wù)設(shè)備的部署，對(duì)用戶原有網(wǎng)絡(luò)造成不良影響的隱患，本次方案采用旁路負(fù)載均衡群集的模式進(jìn)行部署，具體部署描述如下：

DDOS清洗方案將選用若干臺(tái)抗拒絕服務(wù)系統(tǒng)旁路接入到核心路由器，并啟用負(fù)載均衡群集；抗拒絕服務(wù)系統(tǒng)群集與核心路由器之間啟用IBGP協(xié)議，用于旁路對(duì)攻擊流量進(jìn)行牽引，并通過在核心路由器配置策略路由防止由于抗拒絕服務(wù)系統(tǒng)群集與核心路由器之間的路由循環(huán)而導(dǎo)致的路由風(fēng)暴，并可以將清洗完的正常流量下注到原有網(wǎng)絡(luò)中；核心路由器下連流量分析器，用FLOW流的方式對(duì)鏈路數(shù)據(jù)包進(jìn)行采集，用于檢測上聯(lián)鏈路的攻擊流量，發(fā)現(xiàn)攻擊流量后，自動(dòng)與抗拒絕服務(wù)器系統(tǒng)聯(lián)動(dòng)，牽引攻擊流量到清洗中心進(jìn)行清洗，清洗完畢后將純凈流量回注到原網(wǎng)絡(luò)。

3.2 內(nèi)容信息安全解決方案

3.2.1 概述

通過對(duì)IDC出口鏈路的監(jiān)測，實(shí)現(xiàn)IDC基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、信息安全管理等管理功能。

3.2.2 建設(shè)方案

3.2.2.1 統(tǒng)一DPI

流量分析設(shè)備：

采用專用DPI設(shè)備硬件解決方案。具有如下功能數(shù)據(jù)流量分析、業(yè)務(wù)流量分析、流量管控、文字內(nèi)容關(guān)鍵字識(shí)別等。

3.2.2.2 基礎(chǔ)數(shù)據(jù)監(jiān)測

對(duì)機(jī)房內(nèi)的IP使用方式進(jìn)行監(jiān)測，實(shí)時(shí)發(fā)現(xiàn)未報(bào)備IP地址接入、發(fā)現(xiàn)實(shí)際使用情況與報(bào)備不符的IP。

3.2.2.3 訪問日志管理

對(duì)IDC的上行流量（包含但不限于基于HTTP、FTP、SMTP、POP3等協(xié)議的流量）數(shù)據(jù)進(jìn)行監(jiān)測，并記錄和統(tǒng)計(jì)訪問信息。

3.2.2.4 信息安全管理

3.2.2.4.1 違法違規(guī)網(wǎng)站管理

對(duì)IDC具備違法違規(guī)網(wǎng)站的發(fā)現(xiàn)、處置及上報(bào)功能，并記錄違法違規(guī)網(wǎng)站相關(guān)信息。

3.2.2.4.2 違法信息監(jiān)測發(fā)現(xiàn)

對(duì)IDC的雙向流量（包含但不限于基于HTTP、FTP、SMTP等協(xié)議的流量）數(shù)據(jù)進(jìn)行監(jiān)測，對(duì)發(fā)現(xiàn)的違法信息進(jìn)行記錄，形成監(jiān)測日志。

3.2.2.4.3 多媒體數(shù)據(jù)監(jiān)測

不僅限于文字內(nèi)容的監(jiān)控，包括圖片、視頻在內(nèi)的更多媒體信息可根據(jù)需要納入到監(jiān)控。

3.2.2.4.4 圖片智能識(shí)別

對(duì)彩信圖片中的文字信息進(jìn)行文字提取和識(shí)別，以確認(rèn)圖片內(nèi)容是否合法，識(shí)別的格式包括JPEG，JPG，PNG，TIFF，JBIG，JPEG-2000等。

3.2.2.4.5 視頻智能識(shí)別判定

對(duì)視頻文件的識(shí)別，首先要對(duì)視頻文件進(jìn)行分幀，把一段視頻文件切割成許多圖片，然后使用圖片識(shí)別軟件對(duì)這些切割出來的圖片進(jìn)行內(nèi)容判別，從而識(shí)別出視頻中是否包括淫穢的內(nèi)容，實(shí)現(xiàn)對(duì)視頻進(jìn)行監(jiān)控的功能。

4.結(jié)束語

以上是對(duì)新形勢(shì)下互聯(lián)網(wǎng)信息安全現(xiàn)狀進(jìn)行的調(diào)研，從中剖析運(yùn)營商亟待解決的問題以及應(yīng)對(duì)策略。這些思路有些正在得以實(shí)施并已經(jīng)初步得到了驗(yàn)證。基于以上設(shè)想，運(yùn)營商還能為廣大ISP及托管用戶提供包括云安全審計(jì)、未備案域名發(fā)現(xiàn)、互聯(lián)網(wǎng)輿情監(jiān)測、業(yè)務(wù)內(nèi)容撥測、網(wǎng)頁防篡改、漏洞掃描等技術(shù)服務(wù)，提高運(yùn)營商自身及整個(gè)互聯(lián)網(wǎng)信息安全防護(hù)能力及安全管理水平，以符合業(yè)務(wù)發(fā)展保障及國家、行業(yè)相關(guān)規(guī)范的具體要求。

參考文獻(xiàn)

[1]信息安全行業(yè)及其相關(guān)上市公司分析.

[2]中國信息安全產(chǎn)業(yè)發(fā)展白皮書（2005-2010）.

[3]中國信息安全市場現(xiàn)狀觀察及投資前景評(píng)估報(bào)告（2013-2017）.