◆徐 明

網(wǎng)絡安全挑戰(zhàn)及技術(shù)與管理制衡

◆徐 明

（云南警官學院信息網(wǎng)絡安全學院 云南 650223）

隨著全球化與網(wǎng)絡服務需求的不斷強化，新的機遇與網(wǎng)絡安全挑戰(zhàn)如影隨形。企業(yè)與部門在享受網(wǎng)絡便利與效益的同時，面對著不斷變化與增強的網(wǎng)絡安全挑戰(zhàn)。本文從不同角度對網(wǎng)絡安全挑戰(zhàn)進行分析,對當前網(wǎng)絡安全防御領(lǐng)域的發(fā)展方向做了介紹，同時，以非系統(tǒng)化、代價可承受的安全技術(shù)手段做為技術(shù)制衡威脅的支撐點,并進一步從管理的角度闡述達成網(wǎng)絡安全所需采取的措施及建議。

網(wǎng)絡安全；企業(yè)與部門；技術(shù)應對；管理措施；制衡

0 前言

網(wǎng)絡技術(shù)的空前發(fā)展使網(wǎng)絡承受了比以往更大的壓力。各種新技術(shù)、新設備，包括內(nèi)部人員所攜帶的智能電話、筆記本終端甚至智能眼鏡等都需要接入企業(yè)網(wǎng)絡，網(wǎng)絡管理員往往疲于應付多種多樣上述類似的接入請求授權(quán)和管理。與這些內(nèi)部壓力同時并存的是員工和客戶對網(wǎng)絡服務所提出的不間斷全天候在線要求，尤其是基于網(wǎng)絡平臺上提供中間交易平臺的服務提供商，其來自商品供應方（賣方）和需求方（買方）的雙向壓力會越發(fā)凸顯出來，如淘寶、亞馬遜、當當網(wǎng)等。

當前，一些企業(yè)，例如銀行，對因網(wǎng)絡服務中斷而引起的潛在成本非常看重；在線零售企業(yè)對服務器宕機的機會成本損失估計到達了數(shù)千萬元每小時數(shù)量級。同時，因為宕機而引發(fā)的企業(yè)信譽損失也同樣巨大，例如受影響的用戶立刻通過網(wǎng)絡社交平臺或交易類用戶反饋渠道對企業(yè)無法提供在線服務進行抱怨，在某種情況下，這種抱怨和負面影響會因為網(wǎng)絡的便捷性和用戶的廣泛性，形成幾何級數(shù)的增長，與這些用戶相關(guān)聯(lián)的企業(yè)或個人就會馬上感受到可靠網(wǎng)絡服務的重要性，這也從側(cè)面體現(xiàn)了網(wǎng)絡服務安全與可靠的重要性。

無論是對于提供全球金融服務的銀行或是互聯(lián)網(wǎng)服務提供商，時間就是金錢。今天，如果你無法對顧客提供實時在線的服務，那么你將會實實在在的承受損失。

1 便捷性與安全性的危險平衡

對于如何解決這一棘手的問題，取決于網(wǎng)絡管理人員會從哪個角度來考慮什么是網(wǎng)絡安全這一命題。在最近的Intel Security（因特爾下屬的一家從事信息安全產(chǎn)品提供與研究的企業(yè)）研究中獲悉，有超過三分之一的網(wǎng)絡管理人員承認曾經(jīng)借助包括關(guān)閉防火墻或減弱部分安全控制功能設置，用以換取網(wǎng)絡性能提升的經(jīng)歷。也就是說，網(wǎng)絡服務的性能在某種程度上需要通過降低網(wǎng)絡的安全性來換取。技術(shù)管理人員會認為在可以控制的范圍內(nèi)找到所謂的便捷性和安全性的平衡點，并讓其一直存在，但是這個平衡點其實有極大的危險性。

根據(jù)這份報告，被網(wǎng)絡管理人員禁用最普遍的（因其對網(wǎng)絡性能影響較大）設置是深度包解析DPI（Deep Packet Inspection），承認禁用這一功能的從業(yè)者比例近31%。緊隨其后被禁用的還包括反垃圾郵件（Anti-spam）29%，反病毒（Anti-virus）28%，以及VPN連接28%，如圖1所示[5]。

做為網(wǎng)絡安全管理的主要實施者，網(wǎng)絡管理員將如此核心的安全措施和功能關(guān)閉是一個非常觸目驚心的現(xiàn)象。DPI，這一最普遍被犧牲掉的設置，能夠在普通網(wǎng)絡負載中識別惡意行為，同時在不可挽回的破壞發(fā)生前通過自動阻斷攻擊數(shù)據(jù)流來阻止惡意攻擊。這個功能對于自動安全防御是非常重要的，也是新一代防火墻（Next Generation Firewall）的核心組件。同時，DPI也被視為提高網(wǎng)絡安全性的必備措施，當禁用這項功能后，管理員不但犧牲了企業(yè)的安全，同時他自己也可能因為違反規(guī)定而面臨法律訴訟的風險。

如此高比例的數(shù)據(jù)表明安全管理員抱有僥幸心理，在網(wǎng)絡的便捷性和安全性之間，相當部分的技術(shù)管理人員選擇了犧牲網(wǎng)絡的安全性以提高網(wǎng)絡的便捷性。被禁用的網(wǎng)絡安全控制功能組件及調(diào)查比例如圖1所示（數(shù)據(jù)來源于2014年McAfee調(diào)查項目），這也是目前網(wǎng)絡安全挑戰(zhàn)面臨著的客觀事實。

圖1 被禁用功能統(tǒng)計圖示

1.1 內(nèi)部管理機制的滯后性

企業(yè)或部門管理者對于例如技術(shù)管理人員為了追求網(wǎng)絡的快捷性，導致網(wǎng)絡面臨極大的安全性的挑戰(zhàn)，因此導致網(wǎng)絡會陷入的危險的情況一無所知。根據(jù)調(diào)查顯示，近60%的IT從業(yè)者自己認為網(wǎng)絡是運行于安全策略管理之下的，但是，可能存在技術(shù)管理人員自作主張地放任前述威脅平衡的存在，以犧牲網(wǎng)絡安全性換取網(wǎng)絡性能的提升。同時，企業(yè)管理者又缺乏有效的渠道知曉這一情況，那么網(wǎng)絡就很有可能在安全負責人意識到之前已經(jīng)置于危險之中。實際情況往往是領(lǐng)導們很少會發(fā)現(xiàn)企業(yè)或部門所制定的安全策略正不斷的處于妥協(xié)、弱化之中，直到問題突然出現(xiàn)才意識到情況已經(jīng)如此嚴重。

常有這樣的現(xiàn)象，由于日常工作繁忙，主管人員會把包括重要的網(wǎng)絡安全策略管理等事物授權(quán)給助手或其它人員來操作和設置。由于防火墻安全設置是一項策略性的工作，往往需要有豐富經(jīng)驗的網(wǎng)絡管理負責人來執(zhí)行，也就是說，中層的系統(tǒng)管理員常會因低估風險而輕易的關(guān)閉重要的安全功能，同時很自然的將這樣的安全設置信息放在例行安全報告之外，這樣做的結(jié)果就是企業(yè)或部門安全負責人無法掌握實時的安全策略狀況。

由于高層管理人員缺乏對于技術(shù)的了解，同時基于對于技術(shù)管理人員的信任，沒有實際的工作機制來保證網(wǎng)絡平臺的安全運行，缺乏相應的監(jiān)管和督導，沒有切實可行的保證網(wǎng)絡平臺安全運行的運作機制。

1.2 外部威脅的嚴峻性

隨著社會對智能終端日趨依賴,智能手機、筆記本電腦等可接入設備已經(jīng)成為個人的工作和生活的必須品。企業(yè)或部門在致力于提升內(nèi)部網(wǎng)絡能力的同時,不斷攀升的網(wǎng)絡接入數(shù)量預示著可能為惡意入侵者所利用風險的持續(xù)加劇,這增加了網(wǎng)絡的脆弱性。

隨著黑客軟件與硬件水平的不斷提升，網(wǎng)絡所面臨的危險從未如此嚴峻。當前炙手可熱的黑客技術(shù)--先進規(guī)避技術(shù)AET（Ad vanced Evasion Technology）令很多當下主流的防護手段一籌莫展。這一技術(shù)能夠非常巧妙的掩蓋正在實施的惡意攻擊行為，入侵者能夠在不被發(fā)現(xiàn)的情況下潛伏于目標網(wǎng)絡中數(shù)周甚至數(shù)月的時間?？梢韵胂螅谌绱碎L的靜默潛伏期內(nèi)，黑客能夠完成對欲攻擊目標大量的信息收集與窺探。AET利用包括字段重組與偽裝復合技術(shù)，順利來往于網(wǎng)絡安全控制節(jié)點，如防火墻和入侵防御系統(tǒng)（IPSs）。AET利用將入侵特征包分拆為小的、分散的數(shù)據(jù)包，同時分散的使用數(shù)個不同的協(xié)議族，因而能夠起到很好的不為人注意的效果。而一旦分散的入侵數(shù)據(jù)包注入到目標網(wǎng)絡中，EAT會利用特有技術(shù)重組這些數(shù)據(jù)包，進而完成對網(wǎng)絡的內(nèi)部攻擊。

當前，這種悄悄而入的攻擊在所有發(fā)現(xiàn)的攻擊中所占的比例增長顯著，那些曾經(jīng)經(jīng)歷了網(wǎng)絡攻擊破壞的IT部門人員近半數(shù)相信EAT扮演了重要的角色。有關(guān)數(shù)據(jù)顯示，目前ETA攻擊已接近十億的數(shù)量級，而且數(shù)量仍在增長。這也正應了那句老話，“堡壘最容易從內(nèi)部攻破”。

如果把上面提到的AET比作善于偽裝竊賊，那么拒絕服務攻擊DDoS（Denial-of-Service）可以算是地道的暴力入侵者。拒絕訪問攻擊并不是新進出現(xiàn)的高端黑客攻擊方式，其攻擊原理非常簡單，即通過密集、巨量的應用請求，耗盡被攻擊方的各種資源，例如：占據(jù)連接數(shù)、阻塞通信信道、耗盡服務器應用資源及通信帶寬等。由于其不斷變化和強化的攻擊能力及所造成的巨大經(jīng)濟與社會的負面影響而不得不讓人另眼相看。2015年8月發(fā)生在荷蘭的黑客攻擊事件甚至造成了該國超過三分之二的網(wǎng)絡使用者無法訪問網(wǎng)絡的后果[1]。造成這一事件的原因是該國主要網(wǎng)絡服務提供商Zeggo公司的服務器遭受了持續(xù)的DDoS攻擊，并最終癱瘓。值得注意的是黑客選擇了一個非常巧妙的攻擊時間：Zeggo正在與收購方Liberty Global公司配合完成物理網(wǎng)絡和服務器并網(wǎng)的時間點。海量泛濫的數(shù)據(jù)與連接請求，配合精心策劃的攻擊時間節(jié)點，使得這次攻擊的效果令人異常心驚。

2 針對網(wǎng)絡安全挑戰(zhàn)的技術(shù)與管理應對

2.1 技術(shù)防御

當前，隨著網(wǎng)絡技術(shù)在社會、個人及經(jīng)濟發(fā)展等多領(lǐng)域的不斷滲透，國際及國內(nèi)網(wǎng)絡安全挑戰(zhàn)的不斷增強，網(wǎng)絡安全技術(shù)防御手段也日趨強大。大規(guī)模網(wǎng)絡安全態(tài)勢分析與預測系統(tǒng)（YYS AS）是一種基于大規(guī)模網(wǎng)絡運行環(huán)境的網(wǎng)絡維修評估與惡意信息采集預警系統(tǒng)，其應用定位于國家骨干網(wǎng)絡以及大型網(wǎng)絡運營商[4]；而針對企業(yè)級應用，也有學者提出了基于網(wǎng)絡安全設備的管理方法，即動態(tài)獲取與收集互聯(lián)的網(wǎng)絡安全設備日志信息與事件信息，通過集成接口實現(xiàn)安全管理系統(tǒng)對全網(wǎng)安全情態(tài)的掌控與動態(tài)實時管理[3]。上述系統(tǒng)在維護網(wǎng)絡安全領(lǐng)域效果明顯，但最大的缺陷在于超出一般企業(yè)及部門所能承受的資本與人力投入。對于大多數(shù)的企業(yè)或部門，不可能寄希望于依靠研發(fā)自己的安全軟件或硬件來完成內(nèi)部網(wǎng)絡安全的提升，這也使得購買網(wǎng)絡安全產(chǎn)品成為必然的選擇。由于相對較低資金與管理的投入，適宜的費效比，相當比例的企業(yè)或部門選擇防火墻做為網(wǎng)絡安全核心設備，能否獲得效能良好并高效運轉(zhuǎn)的防火墻往往能夠為這樣的企業(yè)或部門顯著的提高應對網(wǎng)絡安全挑戰(zhàn)的能力。

鑒于網(wǎng)絡環(huán)境的現(xiàn)狀，對防火墻的功能與能力有了更高的要求。當前，安全防護領(lǐng)域提出了新一代防火墻（Next Generation Fire-wall）的概念。這一類的防火墻能夠保護企業(yè)或部門，使其免受日趨復雜的網(wǎng)絡安全威脅，與此同時為用戶提供可靠的網(wǎng)絡服務。除了傳統(tǒng)防火墻所具備的諸如包過濾、地址解析、URL攔截及虛擬個人專網(wǎng)（VPN）等功能外，新一代的防火墻普遍能夠提供額外的基于深度包偵測DPI的保護、欺騙保護、安全套接層（SSL）和安全層（SSH--Secure Shell）監(jiān)管，基于信用目錄的惡意軟件偵測等。目前，利用多核處理器的新型防火墻型號已經(jīng)將數(shù)據(jù)吞吐量提升到了100Gbps的水平。

為能確保防火墻產(chǎn)品能夠勝任當前網(wǎng)絡保護的職責，企業(yè)或部門應該在防火墻正式接入網(wǎng)絡前對其性能及防護效果進行測試。測試應更貼近于真實的網(wǎng)絡負載、網(wǎng)絡環(huán)境、通信協(xié)議環(huán)境等一系列環(huán)境變量。這類防火墻測試應該包含下面的內(nèi)容：

（1）吞吐量測試：高性能的新一代防火墻應該具有至少100 Gbps數(shù)據(jù)吞吐能力，但是當防火墻處于峰值負載時，這個指標也不能低于4Gbps。設置最低目標數(shù)據(jù)吞吐量，開啟防火墻的所有功能，并確保設備能夠在上述情況下滿足保護應用的需求。

DPI做為偵測惡意數(shù)據(jù)流的最重要工具，對新型防火墻進行測試時，確保最少10Gbps的DPI吞吐量。

（2）專用協(xié)議測試：每個重視互聯(lián)網(wǎng)的企業(yè)都不得不面對針對TCP及HTTP協(xié)議的攻擊。新一代防火墻應該能夠確保至少5 0000/秒的TCP/HTTP連接。

（3）智能防護：這一功能是新一代防火墻非常顯著的特征。通常情況下，安全人員利用已有的策略及預案針對未來可能出現(xiàn)的事件預設了安全組件。利用這個功能，一旦威脅被某個安全組件所截獲，那么整個網(wǎng)絡能夠通過特定的機制實時獲知這一威脅及其應對，進而對該威脅產(chǎn)生了免疫能力。擁有智能防護能力的防火墻就成為了將眾多安全組件與能力集合在一起的核心組件，為網(wǎng)絡提供能力更強的安全及性能保障。

2.2 管理制衡

（1）在性能與安全間進行有側(cè)重的平衡

IT部門常常需要在網(wǎng)絡性能和網(wǎng)絡安全性之間進行痛苦的平衡，既要確保應用的有效訪問和盡量高的應用在線時間，又要采取會對上述性能產(chǎn)生負面影響的網(wǎng)絡安全措施以杜絕網(wǎng)絡惡意行為可能造成的破壞，這常常是一個非常困難的事情。

網(wǎng)絡性能與安全之間是一對矛盾體，企業(yè)上下，包括IT部門都有為完成企業(yè)及部門目標而共同努力的心愿，而這樣的目標必須保證高效的網(wǎng)絡環(huán)境和網(wǎng)絡安全。網(wǎng)絡運行不暢與企業(yè)核心數(shù)據(jù)失竊都同樣會威脅到最終目標的完成。

企業(yè)及部門領(lǐng)導層的主要任務就是確保在技術(shù)團隊和安全團隊之間達成共識并通力協(xié)作，以期找到切實可行的性能與安全的平衡點。經(jīng)驗豐富的安全管理人員應該將精力集中于對新進人員的培訓，使他們能夠?qū)T部門所面臨的安全威脅有全面的了解和認識。

（2）有效的溝通機制及可靠的安全策略

網(wǎng)絡本身的生存和恢復能力首先來源于領(lǐng)導層的安全策略以及切實可行的安全危機預案。在測試中,當發(fā)現(xiàn)隱患時要及時報告與溝通,并協(xié)調(diào)資源進行彌補,比如采購必要的軟件及設備等。

企業(yè)及部門管理層應該考慮借助安全測試，包括第三方測試來檢驗其應付當前網(wǎng)絡威脅及性能需求的可靠性。當進行測試時，可以直接感受到新的防火墻技術(shù)對網(wǎng)絡安全起到的作用，進而決定如何應對未來可能的安全威脅。

（3）在投入與網(wǎng)絡安全間達到合理的平衡

由于設備與資源投入存在不斷更新?lián)Q代的要求，而這樣的更新往往意味著新的經(jīng)濟投入。出于成本最小化的考慮，企業(yè)及部門決策者會有不斷后延這樣更新的潛意識。此時，企業(yè)或部門安全負責人員就有義務向決策者提供有效的信息，并表明:合理、及時的升級換代投入能夠帶來的在運營安全，例如提高網(wǎng)絡運行效能、網(wǎng)絡維護效率等方面的有利之處，以及拖延所帶來的嚴峻后果。在溝通過程中，量化那些可能的資源投入以及由此而獲得的安全收益常常能起到很好的效果。

（4）重要節(jié)點的額外安全考慮

當前，社會經(jīng)濟發(fā)展異常迅速,尤其在互聯(lián)網(wǎng)領(lǐng)域。服務提供商、互聯(lián)網(wǎng)及移動服務中間平臺、企業(yè)的網(wǎng)絡服務等存在頻繁的收購、兼并、升級等經(jīng)濟行為。在不同物理系統(tǒng)、服務器進行組網(wǎng)、合并的時間節(jié)點，很有可能會使那些之前被置于各自企業(yè)安全策略保護之下的核心數(shù)據(jù)庫、服務器暴露在危險的網(wǎng)絡當中.企業(yè)技術(shù)安全負責人應該對該時間節(jié)點可能產(chǎn)生的安全隱患提前分析并設置合理的預案,確保在有效的防范措施之下完成上述切換。

3 結(jié)束語

不斷增強的外部威脅，超負荷工作的安全管理人員，困難重重的操作規(guī)程和長期得不到更新的過時的安全軟件與設備，這些因素極大的增加了企業(yè)或部門遭受網(wǎng)絡攻擊的可能性。在商業(yè)領(lǐng)域，類似的攻擊甚至可能源于競爭對手的惡意目的。根據(jù)Trend Micro Research咨詢公司的研究與調(diào)查，150美元就能夠在黑市購買針對特定服務器為時一周的DDoS攻擊。由McAfee資助的研究項目顯示，當前與網(wǎng)絡犯罪相關(guān)聯(lián)的經(jīng)濟損失超過每年四千億美元，對未來損失趨勢的預測更是達到了萬億級規(guī)模。

網(wǎng)絡性能與核心數(shù)據(jù)安全必須兩手兼顧，這就要求在擬定安全策略時必須涵蓋該策略對操作性可能存在影響的分析與研判。在可承受的安全投入前提下，利用性能不斷提升的核心網(wǎng)絡安全設備,即新一代防火墻,借助本文推薦的方法與規(guī)則進行測評及部署,最大限度的確保網(wǎng)絡性能與核心數(shù)據(jù)安全之間的合理平衡點。

企業(yè)及部門對所面臨的網(wǎng)絡安全威脅及性能要求是否有充分的認識，是解決安全問題至關(guān)重要的前提條件。領(lǐng)導層需要多與IT人員就如何提高網(wǎng)絡可操作性的細節(jié)進行交流，同時鼓勵應用部門與安全部門通力協(xié)作，重視對關(guān)鍵節(jié)點期間的安全預案與規(guī)劃進行合理、及時的部署。隨著企領(lǐng)導層對自身網(wǎng)絡狀況的不斷把控與掌握，相信在確保高效而安全的企業(yè)及部門網(wǎng)絡運營之路上的決策將會更加有效。

[1]Mark Robichaux.BREACHED--What happened when hacker shot down Liberty Global’s broad band in Netherlan ds [N].Multichannel News,2016.

[2]Guillermo Lafuente.The big data security challenge [J]. Network Security,2015.

[3]李杰，柳影.企業(yè)網(wǎng)絡安全管理技術(shù)研究與應用[C].電力行業(yè)信息化年會論文集.成都，2015.

[4]張建峰.網(wǎng)絡安全態(tài)勢評估若干關(guān)鍵技術(shù)研究[D].國防科學技術(shù)大學研究生院工學博士學位論文.長沙:國防科技大學研究生院，2013.

[5]McAfee/Intel Security.Network Performance and Securi ty [R].New York:McAfee/Intel Security,2015.

[6]匿名.IT Security.Next-generation firewalls:Security wit hout compromising performance[J].http://www.techrepublic.co m/blog/it-security/next-generation-firewalls-security-without -compromising-performance/.

[7]Eric Geier.Intro to Next Generation Firewalls[OL].http: //www.esecurityplanet.com/ security-buying-guides/intro-tonext-generation-firewalls.html,2011.

[8]胡建偉.網(wǎng)絡安全與保密[M].西安:西安電子科技大學出版社，2003.

（Foundation）:國家留學基金委西部人才培養(yǎng)特別項目。