張曉兵

（北京奇虎科技有限公司，北京 100015）

隨著網絡的泛化和無邊界化，網絡安全問題會越來越嚴峻。單就惡意代碼一項，就呈現(xiàn)出爆炸增長的趨勢。目前全球已經有50億惡意樣本，每天還將以300萬種的速度產生。如果把惡意代碼問題看作天災的話，那么現(xiàn)代網絡同時還面臨著“人禍”?！袄忡R門”事件揭露了網絡數(shù)據被監(jiān)聽的事實，暴露出國家安全、網絡安全形勢嚴峻。無論數(shù)據被惡意代碼破壞，還是被黑客監(jiān)聽，最終都使得安全問題回歸到了安全體系如何建設這樣一個根本命題。

1 安全現(xiàn)狀

地下黑色產業(yè)鏈的發(fā)展，使得制作黑客工具、控制用戶終端、盜取用戶信息、濫用互聯(lián)網資源、攻擊受害系統(tǒng)等行為形成產業(yè)化，并快速壯大，對互聯(lián)網安全造成嚴峻挑戰(zhàn)。

新型安全攻擊方式增長迅猛，傳統(tǒng)技術難以應對。利用0Day進行攻擊案例迅速增長，而APT攻擊方式向更加多維化的方向發(fā)展，綜合運用各類攻擊手段的能力、復雜度繼續(xù)提升。

網絡IP化、IPv6、云、物聯(lián)網的智能化發(fā)展趨勢，產生了更為復雜的安全問題。

運營商網絡往往規(guī)模龐大，安全脆弱點多，安全體系建設難以達到更好的效果，在這樣的網絡結構下，運營商骨干網、短信系統(tǒng)長期受到攻擊，獲取用戶信息，難以發(fā)現(xiàn)，國家安全部門發(fā)現(xiàn)運營商重要系統(tǒng)中被植入特種木馬的事例也逐漸增多，在這種安全趨勢下，新的安全威脅對舊的安全體系發(fā)起了挑戰(zhàn)。

2 基于P2DR安全模型的早期安全防護體系

早期的安全體系建設就是基于P2DR模型，包括4個主要部分：策略、防護、檢測和響應。

（1）策略（Policy）：根據風險分析產生的安全策略描述了系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等。策略是模型的核心，所有的防護、檢測和響應都是依據安全策略實施的。

（2）防護（Protection）：通過修復系統(tǒng)漏洞、正確設計開發(fā)和安裝系統(tǒng)來預防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)視等手段來防止惡意威脅。采用的防護技術通常包括數(shù)據加密、身份認證、訪問控制、授權和虛擬專用網（VPN）技術、防火墻、安全掃描和數(shù)據備份等。

（3）檢測（Detection）：是動態(tài)響應和加強防護的依據，通過不斷地檢測和監(jiān)控網絡系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時做出有效的響應。當攻擊者穿透防護系統(tǒng)時，檢測功能就發(fā)揮作用，與防護系統(tǒng)形成互補。

（4）響應（Response）：系統(tǒng)一旦檢測到入侵，響應系統(tǒng)就開始工作，進行事件處理。響應包括緊急響應和恢復處理，恢復處理又包括系統(tǒng)恢復和信息恢復。

該安全體系的好處是基于風險評估理論，將安全看做一個動態(tài)的整體。通過策略與響應來使得安全問題形成閉環(huán)，但是該安全體系并沒有對安全威脅的本質進行分析，是安全體系的初級階段的產物。

基于該安全體系，產生了一些如防火墻、入侵檢測等初期的安全產品。

3 基于木桶原理的近期安全防護體系

隨著安全威脅的不斷發(fā)展和對安全理解的不斷加深，人們開始對安全本質進行思考，出現(xiàn)了基于木桶原理的安全防護體系。

木桶原理簡單的說就是整個系統(tǒng)的安全系數(shù)取決于最弱一環(huán)，即短板理論，因此整個安全體系的建設就是尋找整個網絡的所有安全邊界，然后將這些安全邊界進行防護，避免安全短板的出現(xiàn)。

安全領域近10年的時間都是靠邊界思想來指導安全體系建設，用網關防護類產品確定網絡入口的安全邊界，用網絡版防病毒確定終端的安全邊界，用系統(tǒng)加固系統(tǒng)確定服務器的安全邊界，用風險管理制度確定人的安全邊界。

傳統(tǒng)的安全防護思想就是基于木桶理論為用戶構建一個完整的線式防御體系，但是攻擊卻是點式的，任何一點被攻陷，整個安全體系就會崩潰，因此基于目前的理論基礎，安全體系建設本身就是一個花費大量力氣，但成效卻不好的舉措。這會使安全的成本變得極其昂貴。

4 基于大數(shù)據安全的下一代安全防護體系

基于木桶理論的安全體系屬于被動的威脅防御思想。事實上，真正有效的安全體系是基于主動的威脅發(fā)現(xiàn)思想，主動出擊，主動感知威脅。

不管威脅如何演變，威脅總是遵循圖1模型。

圖1 威脅入侵模型

即不管網絡的安全風險點有多少個，威脅入侵只有兩條路徑，一條是從外網向內網的威脅入侵路徑，一條是從內網向外網的威脅擴散路徑。從外網向內網威脅入侵的最經典事件是黑客攻擊和APT攻擊，而從內網向外網威脅擴散的最經典事件是U盤病毒。從理論上看，只要對這兩條關鍵威脅路徑進行監(jiān)測和管控，就能遏制威脅產生的態(tài)勢，以最小的安全成本解決企業(yè)的安全問題。

而基于大數(shù)據安全的云+端+邊界的安全模型，能夠很好地解決這一安全問題。安全模型如圖2所示。

圖2 云+端+邊界安全模型

云+端+邊界的安全防御體系，是為了適應新的威脅的下一代的智能防御體系，整個體系包括大數(shù)據安全、邊界安全和端安全3個關鍵部分。

大數(shù)據安全是指基于大數(shù)據技術構建的安全威脅捕獲和分析平臺。分為公有云和私有云兩部分。在互聯(lián)網環(huán)境下，使用公有云，對于隔離網環(huán)境，則使用私有云。邊界安全是指基于大數(shù)據安全技術的未知威脅發(fā)現(xiàn)技術。端安全是指基于大數(shù)據安全技術的終端的安全管理與防護系統(tǒng)。

大數(shù)據安全就是我們常說的云安全體系，一般的云安全模型如圖3所示。

圖3 大數(shù)據安全分析模型

基于終端的木馬感知云，將大量的可疑樣本收集到安全云中，首先進行海量樣本分揀，然后將分揀后的樣本放入惡意軟件分析流水線，最終將分析后的樣本進行黑白名單的分類，然后將產生的大數(shù)據安全數(shù)據提供給云查殺引擎使用。由于該系統(tǒng)是一個生態(tài)的自循環(huán)系統(tǒng)，因此可以在最短的時間內發(fā)現(xiàn)世界上新產生的威脅，將這些威脅分析整理，用于邊界防護和端防護。能夠對企業(yè)網絡進行很好安全防御。

5 總結

運營商的網絡規(guī)模龐大，結構復雜，如果采用傳統(tǒng)的基于木桶理論的邊界防護的安全體系，無疑是一件不可完成的任務。而基于大數(shù)據安全的下一代安全防護體系，則能夠利用有限的成本迅速發(fā)現(xiàn)新的威脅，有效地解決網絡的安全問題。