張曉兵

（北京奇虎科技有限公司，北京 100015）

隨著網(wǎng)絡(luò)的泛化和無(wú)邊界化，網(wǎng)絡(luò)安全問(wèn)題會(huì)越來(lái)越嚴(yán)峻。單就惡意代碼一項(xiàng)，就呈現(xiàn)出爆炸增長(zhǎng)的趨勢(shì)。目前全球已經(jīng)有50億惡意樣本，每天還將以300萬(wàn)種的速度產(chǎn)生。如果把惡意代碼問(wèn)題看作天災(zāi)的話，那么現(xiàn)代網(wǎng)絡(luò)同時(shí)還面臨著“人禍”?！袄忡R門”事件揭露了網(wǎng)絡(luò)數(shù)據(jù)被監(jiān)聽(tīng)的事實(shí)，暴露出國(guó)家安全、網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。無(wú)論數(shù)據(jù)被惡意代碼破壞，還是被黑客監(jiān)聽(tīng)，最終都使得安全問(wèn)題回歸到了安全體系如何建設(shè)這樣一個(gè)根本命題。

1 安全現(xiàn)狀

地下黑色產(chǎn)業(yè)鏈的發(fā)展，使得制作黑客工具、控制用戶終端、盜取用戶信息、濫用互聯(lián)網(wǎng)資源、攻擊受害系統(tǒng)等行為形成產(chǎn)業(yè)化，并快速壯大，對(duì)互聯(lián)網(wǎng)安全造成嚴(yán)峻挑戰(zhàn)。

新型安全攻擊方式增長(zhǎng)迅猛，傳統(tǒng)技術(shù)難以應(yīng)對(duì)。利用0Day進(jìn)行攻擊案例迅速增長(zhǎng)，而APT攻擊方式向更加多維化的方向發(fā)展，綜合運(yùn)用各類攻擊手段的能力、復(fù)雜度繼續(xù)提升。

網(wǎng)絡(luò)IP化、IPv6、云、物聯(lián)網(wǎng)的智能化發(fā)展趨勢(shì)，產(chǎn)生了更為復(fù)雜的安全問(wèn)題。

運(yùn)營(yíng)商網(wǎng)絡(luò)往往規(guī)模龐大，安全脆弱點(diǎn)多，安全體系建設(shè)難以達(dá)到更好的效果，在這樣的網(wǎng)絡(luò)結(jié)構(gòu)下，運(yùn)營(yíng)商骨干網(wǎng)、短信系統(tǒng)長(zhǎng)期受到攻擊，獲取用戶信息，難以發(fā)現(xiàn)，國(guó)家安全部門發(fā)現(xiàn)運(yùn)營(yíng)商重要系統(tǒng)中被植入特種木馬的事例也逐漸增多，在這種安全趨勢(shì)下，新的安全威脅對(duì)舊的安全體系發(fā)起了挑戰(zhàn)。

2 基于P2DR安全模型的早期安全防護(hù)體系

早期的安全體系建設(shè)就是基于P2DR模型，包括4個(gè)主要部分：策略、防護(hù)、檢測(cè)和響應(yīng)。

（1）策略（Policy）：根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。策略是模型的核心，所有的防護(hù)、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。

（2）防護(hù)（Protection）：通過(guò)修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開(kāi)發(fā)和安裝系統(tǒng)來(lái)預(yù)防安全事件的發(fā)生；通過(guò)定期檢查來(lái)發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過(guò)教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過(guò)訪問(wèn)控制、監(jiān)視等手段來(lái)防止惡意威脅。采用的防護(hù)技術(shù)通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制、授權(quán)和虛擬專用網(wǎng)（VPN）技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。

（3）檢測(cè)（Detection）：是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，通過(guò)不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)系統(tǒng)，來(lái)發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過(guò)循環(huán)反饋來(lái)及時(shí)做出有效的響應(yīng)。當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，檢測(cè)功能就發(fā)揮作用，與防護(hù)系統(tǒng)形成互補(bǔ)。

（4）響應(yīng)（Response）：系統(tǒng)一旦檢測(cè)到入侵，響應(yīng)系統(tǒng)就開(kāi)始工作，進(jìn)行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。

該安全體系的好處是基于風(fēng)險(xiǎn)評(píng)估理論，將安全看做一個(gè)動(dòng)態(tài)的整體。通過(guò)策略與響應(yīng)來(lái)使得安全問(wèn)題形成閉環(huán)，但是該安全體系并沒(méi)有對(duì)安全威脅的本質(zhì)進(jìn)行分析，是安全體系的初級(jí)階段的產(chǎn)物。

基于該安全體系，產(chǎn)生了一些如防火墻、入侵檢測(cè)等初期的安全產(chǎn)品。

3 基于木桶原理的近期安全防護(hù)體系

隨著安全威脅的不斷發(fā)展和對(duì)安全理解的不斷加深，人們開(kāi)始對(duì)安全本質(zhì)進(jìn)行思考，出現(xiàn)了基于木桶原理的安全防護(hù)體系。

木桶原理簡(jiǎn)單的說(shuō)就是整個(gè)系統(tǒng)的安全系數(shù)取決于最弱一環(huán)，即短板理論，因此整個(gè)安全體系的建設(shè)就是尋找整個(gè)網(wǎng)絡(luò)的所有安全邊界，然后將這些安全邊界進(jìn)行防護(hù)，避免安全短板的出現(xiàn)。

安全領(lǐng)域近10年的時(shí)間都是靠邊界思想來(lái)指導(dǎo)安全體系建設(shè)，用網(wǎng)關(guān)防護(hù)類產(chǎn)品確定網(wǎng)絡(luò)入口的安全邊界，用網(wǎng)絡(luò)版防病毒確定終端的安全邊界，用系統(tǒng)加固系統(tǒng)確定服務(wù)器的安全邊界，用風(fēng)險(xiǎn)管理制度確定人的安全邊界。

傳統(tǒng)的安全防護(hù)思想就是基于木桶理論為用戶構(gòu)建一個(gè)完整的線式防御體系，但是攻擊卻是點(diǎn)式的，任何一點(diǎn)被攻陷，整個(gè)安全體系就會(huì)崩潰，因此基于目前的理論基礎(chǔ)，安全體系建設(shè)本身就是一個(gè)花費(fèi)大量力氣，但成效卻不好的舉措。這會(huì)使安全的成本變得極其昂貴。

4 基于大數(shù)據(jù)安全的下一代安全防護(hù)體系

基于木桶理論的安全體系屬于被動(dòng)的威脅防御思想。事實(shí)上，真正有效的安全體系是基于主動(dòng)的威脅發(fā)現(xiàn)思想，主動(dòng)出擊，主動(dòng)感知威脅。

不管威脅如何演變，威脅總是遵循圖1模型。

圖1 威脅入侵模型

即不管網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)點(diǎn)有多少個(gè)，威脅入侵只有兩條路徑，一條是從外網(wǎng)向內(nèi)網(wǎng)的威脅入侵路徑，一條是從內(nèi)網(wǎng)向外網(wǎng)的威脅擴(kuò)散路徑。從外網(wǎng)向內(nèi)網(wǎng)威脅入侵的最經(jīng)典事件是黑客攻擊和APT攻擊，而從內(nèi)網(wǎng)向外網(wǎng)威脅擴(kuò)散的最經(jīng)典事件是U盤病毒。從理論上看，只要對(duì)這兩條關(guān)鍵威脅路徑進(jìn)行監(jiān)測(cè)和管控，就能遏制威脅產(chǎn)生的態(tài)勢(shì)，以最小的安全成本解決企業(yè)的安全問(wèn)題。

而基于大數(shù)據(jù)安全的云+端+邊界的安全模型，能夠很好地解決這一安全問(wèn)題。安全模型如圖2所示。

圖2 云+端+邊界安全模型

云+端+邊界的安全防御體系，是為了適應(yīng)新的威脅的下一代的智能防御體系，整個(gè)體系包括大數(shù)據(jù)安全、邊界安全和端安全3個(gè)關(guān)鍵部分。

大數(shù)據(jù)安全是指基于大數(shù)據(jù)技術(shù)構(gòu)建的安全威脅捕獲和分析平臺(tái)。分為公有云和私有云兩部分。在互聯(lián)網(wǎng)環(huán)境下，使用公有云，對(duì)于隔離網(wǎng)環(huán)境，則使用私有云。邊界安全是指基于大數(shù)據(jù)安全技術(shù)的未知威脅發(fā)現(xiàn)技術(shù)。端安全是指基于大數(shù)據(jù)安全技術(shù)的終端的安全管理與防護(hù)系統(tǒng)。

大數(shù)據(jù)安全就是我們常說(shuō)的云安全體系，一般的云安全模型如圖3所示。

圖3 大數(shù)據(jù)安全分析模型

基于終端的木馬感知云，將大量的可疑樣本收集到安全云中，首先進(jìn)行海量樣本分揀，然后將分揀后的樣本放入惡意軟件分析流水線，最終將分析后的樣本進(jìn)行黑白名單的分類，然后將產(chǎn)生的大數(shù)據(jù)安全數(shù)據(jù)提供給云查殺引擎使用。由于該系統(tǒng)是一個(gè)生態(tài)的自循環(huán)系統(tǒng)，因此可以在最短的時(shí)間內(nèi)發(fā)現(xiàn)世界上新產(chǎn)生的威脅，將這些威脅分析整理，用于邊界防護(hù)和端防護(hù)。能夠?qū)ζ髽I(yè)網(wǎng)絡(luò)進(jìn)行很好安全防御。

5 總結(jié)

運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)模龐大，結(jié)構(gòu)復(fù)雜，如果采用傳統(tǒng)的基于木桶理論的邊界防護(hù)的安全體系，無(wú)疑是一件不可完成的任務(wù)。而基于大數(shù)據(jù)安全的下一代安全防護(hù)體系，則能夠利用有限的成本迅速發(fā)現(xiàn)新的威脅，有效地解決網(wǎng)絡(luò)的安全問(wèn)題。