2012年人類從世界末日的謠言中惶惑而過，在這不平凡的一年里，互聯(lián)網(wǎng)向人們展示了在各行各業(yè)里的巨大影響力。通過互聯(lián)網(wǎng)人們可以隨時移動辦公、輕松網(wǎng)絡購物，但在這便捷的背后是越來越多的網(wǎng)絡安全威脅。首當其沖的當屬企業(yè)用戶，他們需要適應辦公生態(tài)圈里爆發(fā)的移動終端，還要迎戰(zhàn)各種應用安全威脅以及數(shù)據(jù)泄露等。2012年是網(wǎng)絡安全領域值得紀念的一年，也是值得企業(yè)用戶驚醒的一年，因為從此企業(yè)網(wǎng)絡安全的概念已經跨入了新的時代。

[[107007]]

BYOD——促使網(wǎng)絡安全進入新時代

截至2012年6月底，中國手機網(wǎng)民規(guī)模首次超越臺式電腦用戶，達到3.88億。2012年上半年與2011年下半年相比，手機上網(wǎng)用戶占網(wǎng)民比例由69.3%提升至72.2%。整個行業(yè)已經注意到，消費者采購移動設備的速度比采用任何其他技術的速度都快。

[[107008]]

順理成章的，自帶設備辦公BYOD(Bring Your Own Device)從一個概念進入了人們的實際工作。能夠使用隨身的iPad和智能手機辦公，對員工而言無疑是一件非常便捷的事情。BYOD對企業(yè)來說，可以大幅降低設備的購置、升級和維護投入。但是，這看似雙贏的一個事情，卻埋藏著巨大的隱患。

隨著BYOD(Bring your own devices)現(xiàn)象的日趨風行，以消費者為主導的BYOD迅速在企業(yè)公司普及。進而公司的網(wǎng)絡和數(shù)據(jù)的安全威脅主要來著于員工。IT管理員面對BYOD，不可麻痹大意。BYOD意味著，IT部門應該比以往任何時候都更加提高警覺，以確保他們的公司的安全策略是最新的，同時還要處理企業(yè)網(wǎng)絡之外的數(shù)以百計的移動設備。

實施BYOD之后，安全和數(shù)據(jù)流失是CIO們比較關心的問題。畢竟，BYOD之后企業(yè)對設備的可控度降低了。而過去，企業(yè)的信息安全是建立在設備可控的基礎上，也就是企業(yè)有哪些IT設備，其上運行的是什么系統(tǒng)和應用，都在IT部門的掌握之中，同時，企業(yè)的管理方式和流程都建立在這個前提之上，而如今這個前提不再有，為此企業(yè)的管理和流程也都需要進行調整。

安全設備、安全數(shù)據(jù)、網(wǎng)絡保護三管齊下的辦法，可以有效防止BYOD的安全威脅。專家表示，在移動設備上，有些設備本身就比其他設備更具有安全性?；诖说目紤]，有些公司甚至出臺政策，只允許員工攜帶特有品牌的移動設備接入企業(yè)網(wǎng)絡。

比如說一些公司只允許iPhone和iPad接入網(wǎng)絡，而Android操作系統(tǒng)的設備不允許接入。為什么Android操作系統(tǒng)的設備不允許接入呢?因為Android是開放式開發(fā)平臺，這樣的手機更容易受到攻擊。

除此之外，企業(yè)還利用網(wǎng)絡管理做到安全把關，以確保員工遵守辦公規(guī)則。舉例來說，有些公司允許員工使用自己的移動設備，但是必須在設備上安裝MDM安全策略。如果員工的手機丟失或者被盜，企業(yè)IT主管可以發(fā)送指令，遠程鎖定設備或者遠程擦除移動設備上的信息。

不過MDM安全策略和擦除設備是不夠的，有專家表示，即使這樣，移動設備仍有可能受到威脅，比如說通過訪問Web訪問電子郵件的內容。因為MDM產品可以提供設備的控制，但它并不能防止釣魚攻擊，惡意軟件，惡意的應用程序或數(shù)據(jù)被竊取。IT管理人員應該安裝一個設備管理解決方案相結合的數(shù)據(jù)丟失，動態(tài)網(wǎng)頁威脅，移動惡意軟件，惡意移動應用程序來做實時保護。

這時候，我們傳統(tǒng)的網(wǎng)絡安全提供商就迎來了跨時代的挑戰(zhàn)。他們需要在整個組織內實施統(tǒng)一的安全策略、為各種用戶提供優(yōu)化的經管體驗，支持多種設備并符合安全和業(yè)務要求。需要確保用戶對資源的安全訪問，并提供針對任何移動設備的高性能網(wǎng)絡連接。#p#

下一代防火墻NGFW

自Gartner在2009年提出了下一代防火墻概念以來，眾多國內外網(wǎng)絡安全廠商都陸續(xù)推出了下一代防火墻產品。另據(jù)Gartner的研究報告顯示，在2014年，60%的新購防火墻都將是下一代防火墻?？梢钥闯?，無論是企業(yè)用戶還是廠商，都在順應IT趨勢的變革，也都看到了其中的機遇。

[[107009]]

圖片來自網(wǎng)絡

2012年，NGFW(Next generation firewall)即下一代防火墻已經成為業(yè)界的熱點聲音。云計算、WEB2.0及移動互聯(lián)網(wǎng)等一系列新應用技術被廣泛使用，Gartner于2009年定義NGFW時的認知已經明顯不足。眾網(wǎng)絡安全廠商和相關機構，紛紛為此下“定義”，但至今爭執(zhí)不下，足見此概念的熱度。

我們暫且這樣陳述，下一代防火墻并不是簡單的功能堆砌和性能疊加，下一代防火墻以全局的視角，從解決用戶網(wǎng)絡面臨的實際問題出發(fā)來定義才更為妥當。下一代防火墻并不是憑空而出的產品，也不會是防火墻的終極形態(tài)。下一代防火墻需要安全廠商不斷的關注IT環(huán)境和客戶需求的變化、持續(xù)專注的技術積累及創(chuàng)新，而厚積薄發(fā)的產品成果。

業(yè)界的主流觀點認為，下一代防火墻應該實實在在實現(xiàn)以下六大功能：

基于用戶防護

傳統(tǒng)防火墻策略都是依賴IP或MAC地址來區(qū)分數(shù)據(jù)流，不利于管理也很難完成對網(wǎng)絡狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統(tǒng)，實現(xiàn)了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環(huán)境下不同的用戶需求。此外還集成了安全準入控制功能，支持多種認證協(xié)議與認證方式，實現(xiàn)了基于用戶的安全防護策略部署與可視化管控。

面向應用安全

在應用安全方面，下一代防火墻應該包括“智能流檢測”和“虛擬化遠程接入”兩點。一方面可以做到對各種應用的深層次的識別;另外在解決數(shù)據(jù)安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬應用發(fā)布與虛擬桌面功能，使其本地無需執(zhí)行任何應用系統(tǒng)客戶端程序的情況下完成與內網(wǎng)服務器端的數(shù)據(jù)交互，就可以實現(xiàn)了終端到業(yè)務系統(tǒng)的“無痕訪問”，進而達到終端與業(yè)務分離的目的。

高效轉發(fā)平臺

為了突破傳統(tǒng)網(wǎng)關設備的性能瓶頸，下一代防火墻可以通過整機的并行多級硬件架構設計，將NSE(網(wǎng)絡服務引擎)與SE(安全引擎)獨立部署。網(wǎng)絡服務引擎完成底層路由/交換轉發(fā)，并對整機各模塊進行管理與狀態(tài)監(jiān)控;而安全引擎負責將數(shù)據(jù)流進行網(wǎng)絡層安全處理與應用層安全處理。通過部署多安全引擎與多網(wǎng)絡服務引擎的方式來實現(xiàn)整機流量的分布式并行處理與故障切換功能。

多層級冗余架構

下一代防火墻設備自身要有一套完善的業(yè)務連續(xù)性保障方案。針對這一需求，必須采用多層級冗余化設計。在設計中，通過板卡冗余、模塊冗余以及鏈路冗余來構建底層物理級冗余;使用雙操作系統(tǒng)來提供系統(tǒng)級冗余;而采用多機冗余及負載均衡進行設備部署實現(xiàn)了方案級冗余。由物理級、系統(tǒng)級與方案級共同構成了多層級的冗余化架構體系。

全方位可視化

下一代防火墻還要注意“眼球經濟”，必須提供豐富的展示方式，從應用和用戶視角多層面的將網(wǎng)絡應用的狀態(tài)展現(xiàn)出來，包括對歷史的精確還原和對各種數(shù)據(jù)的智能統(tǒng)計分析，使管理者清晰的認知網(wǎng)絡運行狀態(tài)。實施可視化所要達到的效果是，對于管理范圍內任意一臺主機的網(wǎng)絡應用情況及安全事件信息可以進行準確的定位與實時跟蹤;對于全網(wǎng)產生的海量安全事件信息，通過深入的數(shù)據(jù)挖掘能夠形成安全趨勢分析，以及各類圖形化的統(tǒng)計分析報告。

安全技術融合

動態(tài)云防護和全網(wǎng)威脅聯(lián)防是技術融合的典范。下一代防火墻的整套安全防御體系都應該是基于動態(tài)云防護設計的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案，及時更新攻擊防護規(guī)則庫并以動態(tài)的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態(tài)更新;另一方面，通過 “云”，使得策略管理體系的安全策略漂移機制能夠實現(xiàn)物理網(wǎng)絡基于“人”、虛擬計算環(huán)境基于“VM”(虛擬機)的安全策略動態(tài)部署。#p#

Web應用防護系統(tǒng)WAF

當前網(wǎng)絡環(huán)境中，應用已成為網(wǎng)絡的主要載體，而網(wǎng)絡安全的威脅更多的來源于應用層，這也使得用戶對于網(wǎng)絡訪問控制提出更高的要求。如何精確的識別出用戶和應用、阻斷有安全隱患的應用、保證合法應用正常使用、防止端口盜用等問題，已成為現(xiàn)階段用戶對網(wǎng)絡安全關注的焦點。

[[107010]]

Web應用防護系統(tǒng)（也稱：網(wǎng)站應用級入侵防御系統(tǒng)。英文：Web Application Firewall，簡稱：WAF）應運而生。利用國際上公認的一種說法，Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

WAF還具有多面性的特點。比如從網(wǎng)絡入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火墻角度來看，WAF是一種防火墻的功能模塊。還有人把WAF看作“深度檢測防火墻”的增強。（深度檢測防火墻通常工作在的網(wǎng)絡的第三層以及更高的層次，而Web應用防火墻則在第七層處理HTTP服務并且更好地支持它。）

Web應用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協(xié)議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。

修補Web安全漏洞，是Web應用開發(fā)者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應用帶來什么樣的危害。現(xiàn)在WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。

基于規(guī)則的保護可以提供各種Web應用的安全規(guī)則，WAF生產商會維護這個規(guī)則庫，并時時為其更新。用戶可以按照這些規(guī)則對應用進行全方面檢測。還有的產品可以基于合法應用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應用數(shù)據(jù)的異常。

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件（比如登陸失敗），并且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護、抗入侵規(guī)避技術、響應監(jiān)視和信息泄露保護。增強輸入驗證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡入侵行為，從而減小Web服務器被攻擊的可能性。#p#

云安全服務——分享和共享

云安全服務的出現(xiàn)，徹底顛覆了傳統(tǒng)安全產業(yè)基于軟硬件提供安全服務的模式，降低了企業(yè)部署安全產品的成本，使更多的企業(yè)可以享受到安全服務。然而，云安全服務目前仍主要面向于中小企業(yè)，對于大型企業(yè)來說考慮使用云安全服務的還是很少。而云安全服務還有一個問題是關于隱私的問題，這也是很多企業(yè)在選擇云安全服務時最大的顧慮。

[[107011]]

“云安全（Cloud Security）”計劃是網(wǎng)絡時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經過時。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡服務，實時進行采集、分析以及處理。

由安全服務器、數(shù)千萬安全用戶就可以組成虛擬的網(wǎng)絡，簡稱為“云”。病毒針對“云”的攻擊，都會被服務器截獲、記錄并反擊。被病毒感染的節(jié)點可以在最短時間內，獲取服務器的解決措施，查殺病毒恢復正常。這樣的“云”，理論上的安全程度是可以無限改善的。

“云”最強大的地方，就是拋開了單純的“客戶端”防護的概念。傳統(tǒng)客戶端被感染，殺毒完畢之后就完了，沒有進一步的信息跟蹤和分享。而“云”的所有節(jié)點，是與服務器共享信息的。你中毒了，服務器就會記錄，在幫助你處理的同時，也把信息分享給其它用戶，他們就不會被重復感染。

于是這個“云”籠罩下的用戶越多，“云”記錄和分享的安全信息也就越多，整體的用戶也就越強大。這才是網(wǎng)絡的真諦，也是所謂“云安全”的精華之所在。要想建立“云安全”系統(tǒng)，并使之正常運行，需要海量的客戶端（云安全探針）。只有擁有海量的客戶端，才能對互聯(lián)網(wǎng)上出現(xiàn)的病毒、木馬、掛馬網(wǎng)站有最靈敏的感知能力。

有了海量的客戶端的支持，還需要專業(yè)的反病毒技術和經驗，同時還要加上大量的資金和技術投入，而且這個云系統(tǒng)必須是開放的系統(tǒng)，可以同其他大量的相關合作伙伴共享探針。這樣的開放性系統(tǒng)，其“探針”與所有軟件完全兼容，即使用戶使用其他網(wǎng)絡安全產品，也可以共享這些“探針”，才能給整個網(wǎng)絡帶來最大的安全。#p#

數(shù)據(jù)泄密（泄露）防護（Data leakage prevention, DLP)

數(shù)據(jù)泄密（泄露）防護（Data leakage prevention, DLP），又稱為“數(shù)據(jù)丟失防護”(Data Loss prevention, DLP)，有時也稱為“信息泄漏防護”(Information leakage prevention, ILP)。數(shù)據(jù)泄密防護(DLP)是通過一定的技術手段，防止企業(yè)的指定數(shù)據(jù)或信息資產以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

[[107012]]

隨著信息技術的飛速發(fā)展，計算機和網(wǎng)絡已成為日常辦公、通訊交流和協(xié)作互動的必備工具和途徑。但是，信息系統(tǒng)在提高人們工作效率的同時，也對信息的存儲、訪問控制及信息系統(tǒng)中的計算機終端及服務器的訪問控制提出了安全需求。

目前對內外安全的解決方案，還停留在防火墻、入侵檢測、網(wǎng)絡防病毒等被動防護手段上。在過去的一年中，全球98.2%的計算機用戶使用殺毒軟件，90.7%設有防火墻，75.1%使用反間諜程序軟件，但卻有83.7%的用戶遭遇過至少一次病毒、蠕蟲或者木馬的攻擊，79.5%遭遇過至少一次間諜程序攻擊事件。

據(jù)國家計算機信息安全測評中心數(shù)據(jù)顯示，由于內部重要機密數(shù)據(jù)通過網(wǎng)絡泄露而造成經濟損失的單位中，重要資料被黑客竊取和被內部員工泄露的比例為1：99。也就是說重要資料的泄露只有1%是被黑客竊取造成的，而99%都是由于內部員工有意或者無意之間泄露而造成的。

DLP數(shù)據(jù)泄漏防護系統(tǒng)的原理，是通過身份認證和加密控制以及使用日志的統(tǒng)計對內部文件經行控制。數(shù)據(jù)泄漏防護技術（DLP）日漸成為目前市場上最為重要的安全技術之一。企業(yè)青睞數(shù)據(jù)泄漏防護技術，來保護所有權數(shù)據(jù)和滿足法規(guī)遵從。

根據(jù)所部署的位置的不同，數(shù)據(jù)泄漏防御方案可以分成基于網(wǎng)絡的數(shù)據(jù)泄漏防御方案(NDLP)和基于主機的數(shù)據(jù)泄漏防御方案(HDLP)。大部分數(shù)據(jù)泄漏防御方案是基于網(wǎng)絡類型，少部分是基于主機類型。

基于網(wǎng)絡的數(shù)據(jù)泄漏防御方案通常部署內部網(wǎng)絡和外部網(wǎng)絡連接的出口處，所針對的對象是進出單位內部網(wǎng)絡的所有數(shù)據(jù)。基于主機的數(shù)據(jù)泄漏防御方案則部署在存放敏感數(shù)據(jù)的主機上，當其發(fā)現(xiàn)被保護主機上的數(shù)據(jù)被違規(guī)轉移出主機時，HDLP會采取攔截或警報等行為。

DLP是一套完整的體系，也是多種系統(tǒng)的集成，用以解決不同類型的用戶的不同需求。國外DLP方案多數(shù)是基于網(wǎng)絡的，這主要是因為國外用戶的網(wǎng)絡環(huán)境和信息化水平與國內大不相同。這種基于網(wǎng)絡的DLP比較符合國外用戶的需求。而中國國內的信息化現(xiàn)狀來看，比較適合采用基于主機的DLP解決方案。#p#

高持續(xù)性威脅（APT）

高持續(xù)性威脅（APT）是以商業(yè)和政治為目的的一個網(wǎng)絡犯罪類別。APT需要長期經營與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會追求短期的經濟收益和單純的系統(tǒng)破壞，而是專注于步步為營的系統(tǒng)入侵，每一步都要達到一個目標，而不會做其他多余的事來打草驚蛇。

[[107013]]

APT旨在突破企業(yè)防御系統(tǒng)的高明攻擊，今年，出現(xiàn)了許多針對公司和政府的高級攻擊(例如Gauss和Flame)。這些攻擊被稱為高級持續(xù)性威脅(APT)。他們高度復雜并經過仔細構建。APT攻擊背后的意圖是獲得網(wǎng)絡訪問權限并偷偷地竊取信息。高級持續(xù)性威脅(APT)采取low-and-slow的方式，常常難以被發(fā)現(xiàn)，成功率很高。

APT入侵客戶的途徑多種多樣，主要包括以下幾個方面。其一是以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。另外，社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一。

隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工發(fā)送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，并更長時間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測。“潛伏性和持續(xù)性”是APT攻擊最大的威脅。

高級持續(xù)性威脅(APT)的潛伏性，主要表現(xiàn)在這些新型的攻擊和威脅可能在用戶環(huán)境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報。而這些發(fā)動APT攻擊的黑客目的往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續(xù)搜索，直到能徹底掌握所針對的目標人、事、物，所以這種APT攻擊模式, 實質上是一種“惡意商業(yè)間諜威脅”。

APT的持續(xù)性則表現(xiàn)在，該類攻擊具有持續(xù)性甚至長達數(shù)年的特征，這讓企業(yè)的管理人員無從察覺。在此期間，這種“持續(xù)性”體現(xiàn)在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網(wǎng)絡內部后長期蟄伏。

高級持續(xù)性威脅(APT)基本上都會鎖定明確目標，針對特定政府或企業(yè)，長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充客戶的來信，取得在計算機植入惡意軟件的第一個機會。

在成功侵入目標系統(tǒng)以后，高級持續(xù)性威脅(APT)一般都會安裝遠程控制工具。攻擊者建立一個類似僵尸網(wǎng)絡Botnet的遠程控制架構，攻擊者會定期傳送有潛在價值文件的副本給命令和控制服務器(C&C Server)審查。將過濾后的敏感機密數(shù)據(jù)，利用加密的方式外傳。

雖然APT的惡意軟件可以一直潛伏在主機里面，然而其遠程控制等相關網(wǎng)絡活動則相對容易被發(fā)現(xiàn)。所以，APT攻擊的有效防范就是在網(wǎng)絡層進行控制和中斷。也有不少人認為，數(shù)據(jù)盜竊者絕不可能完全不被看到。在輸出數(shù)據(jù)中查找異?，F(xiàn)象可能是管理員發(fā)現(xiàn)網(wǎng)絡成為APT目標的最好方式。

編輯點評：

2012年是不平凡的一年，尤其對IT行業(yè)來說。智能手機普及、平板設備大量涌現(xiàn)、Win8發(fā)布等等，都給我們明確的啟示——移動時代來了！終端的多樣化是這個時代的特征，企業(yè)、個人信息大量暴露在互聯(lián)網(wǎng)上是這個時代的巨大的隱患。如何有力的解決這個問題，不但要依靠強有力的網(wǎng)絡安全技術產品，還要我們的用戶有足夠的安全意識和知識，在一定程度上更要依靠強力的法律作為保障，比如我們最新的個人信息保護法。