网络信息安全的攻防演进

发布时间：2011-11-02

  web时代的安全问题已远远超越早期的单机安全问题。针对各种网络应用的攻击和破坏变得异常频繁，安全防护手段也在不断发展。

  网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台成为攻击爱好者和安全防护者之间斗争最激烈的舞台。web时代的安全问题已远远超越早期的单机安全问题。针对各种网络应用的攻击和破坏变得异常频繁，安全防护手段也在不断发展。

  攻击方式推陈出新

  有海外媒体预测，2009年的网络安全攻防趋势如下：恶意软件继续肆虐；钓鱼式攻击愈演愈烈；Web2.0网站成恶意软件滋生地；黑客组织增多，提供的服务种类多样化；网游成为病毒和黑客的众矢之的；一体化安全解决方案将备受青睐；企业内部安全威胁将更加严峻；金融机构强化安全管理；云安全为大势所趋。

  华为安全中心也预测：以网页挂马为手段的恶意软件成为经济犯罪的源头；垃圾邮件、垃圾短信、SPIT进一步泛滥；DDOS攻击的范围越来越大；P2P业务冲击无线及固定网络宽带应用；更隐秘的低频僵尸和中型僵尸网络成为主流；云安全技术增强安全防护能力；存储设备成为信息泄漏的主要途径，针对介质的控制和加密要求加大；企业内部安全及文档安全管理，刻不容缓；针对专业设备的攻击快速发展。

  近期，主要的安全攻击种类有以下四个发展方向。

  恶意软件的破坏范围更大

  黑色地下产业链的诞生，木马、蠕虫、僵尸网络等恶意软件对用户的影响，早已超过传统病毒的影响，针对web的攻击成为这些恶意软件新的热点。在新时期，这些恶意软件攻击方式也有了很多的变化。

  木马攻击技术：网页挂马成为攻击者快速在用户机器中植入木马的最常用手段，也成为目前对网络安全影响最大的攻击方式。

  蠕虫攻击技术：除了传统的网络蠕虫，针对Email、IM、SNS等应用性业务的蠕虫越来越多。例如，蠕虫通过多层加壳模式提升隐蔽性，采用类似P2P的传染模式使其传播破坏范围快速扩大。

  僵尸网络技术：在命令与控制机制上，僵尸网络由IRC协议向HTTP协议和各种P2P协议转移，不断增强隐蔽性和鲁棒性；通过低频和共享发作模式，使得僵尸传播更加隐蔽；通过增强认证和信道加密机制，对僵尸程序进行多态化和变形混淆，使得对僵尸网络的检测、跟踪和分析更加困难。

  P2P应用引发新的安全问题

  BT、eDonkey等P2P软件的广泛应用，在给用户带来便利的同时，也给网络应用带来了隐患。P2P技术对带宽的最大限度占用，使网络带宽面临严峻挑战。对于提供带宽服务的运营商而言，要正确地优化带宽，并合理使用P2P技术。

  P2P软件本身也成为众多攻击者的目标。主流P2P软件的去中心化和开放性，使得P2P节点很容易成为脆弱点，利用P2P传播蠕虫或者隐藏木马成为一种新的攻击方式。

  新兴无线终端遭受攻击

  无线终端用户数已超过固网用户数，达到了几十亿。随着3G、WiMAX、LTE等多种无线宽带技术的快速发展，PDA、无线数据卡、智能手机等各种形式的移动终端，成为黑客攻击的主要目标。

  针对无线终端的攻击除了传统的攻击手段外，也有其自身的特殊性。如针对手机操作系统的病毒攻击、针对无线业务的木马攻击、恶意广播的垃圾电话、基于彩信应用的蠕虫、垃圾短信/彩信、手机信息盗用、SIM卡复制以及针对无线传输协议的黑客攻击等。

  数据泄露的形式多样

  数据泄漏已逐步成为企业最关注的安全问题。新介质、电子邮件、社区等各种新型信息传播工具的应用，使针对数据的攻击显现出很多新的特征。例如U盘、USB口、移动硬盘、红外、蓝牙等传输设备，携带或外传重要敏感信息；针对电子设备（例如PC），重构电磁波信息，实时获取重要数据；植入木马，盗取主机介质或者外设上的数据；截获在公网传播的Email或无线传播的数据，获取敏感信息。

  除了上述攻击方式外，新的信息技术逐步应用，也产生了很多新型攻击方法。例如针对虚拟化技术应用的攻击、针对安全专用软硬件的攻击、针对有线/无线通信设备的攻击、各种规模的分布式DDOS攻击、形形色色的web应用攻击等。

  防护手段针锋相对

  面对新的安全风险，必须要有创新的信息安全技术与之对抗。为此，信息安全技术从传统的杀毒软件、入侵检测、防火墙、综合安全网关（UTM）技术，向可信技术、云安全技术、深度包检测、终端安全管控以及web安全技术等新型信息安全技术发展。

  可信技术

  可信技术是一个系统工程，提供从终端到网络系统的整体的安全可信环境，包含可信计算技术、可信对象技术和可信网络技术。

  可信计算的思路是通过在终端硬件平台上引入可信架构，提升终端系统的安全性。PC、服务器、移动终端等都是可信计算的实体。可信计算平台是以可信计算模块（TPM）为核心，把CPU、操作系统、应用软件和网络基础设备融合为一体的完整体系结构。

  可信对象技术通过建立一个多维度的信誉评估中心，对需要在网络中传播的对象进行可信度标准评估，以获得该对象的可信度并确定是否可以在网络传播。IP地址、电子邮件、web页面、web地址等都是可信对象的实体。在可信对象技术中，构建正确可信的信誉评估体系是关键要素。由于不同对象的评估因素和评估准则相差比较大，目前针对不同对象的信誉评估体系通常是单独建设的。最常用的信誉评估体系有两种，分别是邮件信誉评估体系和web信誉评估体系。

  可信网络通过把安全能力融合到网络能力中，进行安全网络体系结构设计，保障整体网络的安全防护能力。各种网络设备和网元是可信网络的实体。可信网络的目标是构建全网的安全性、可生存性和可控性。在可信网络模型中，各对象之间建立起相互依存、相互控制的信任关系，对象的可信度作为与其他个体对象交互行为的依据。典型的可信网络模型有集中式、分布式、局部可信的网络。

  可信技术保证所有的操作经过授权和认证；所有的网元、设备以及需要传播的对象是可信的，确保整个网络系统内部各元素之间严密的互相信任；有效解决终端用户的身份认证和网元身份认证、恶意代码的入侵和驻留、软硬件配置的恶意更改，以及网络对象的欺骗等问题；可控制用户终端细粒度的网络接入。

  云安全技术

  云安全技术是一项正在兴起的技术，将以桌面/边界设备为核心的安全处理能力，转移到以网络/数据中心为核心的安全处理能力，并充分利用集中化调度的优势，极大提高用户享受安全服务的简易性、方便性以及高效性。当前，基于云安全技术的应用主要分为两类：云计算带来的安全能力、基于虚拟化的云安全技术。

  云计算为长期在安全和效率之间平衡发展的安全技术带来极大的变革，对新型安全技术的影响更大。基于云计算的安全技术，能够提高UTM，以及信誉评估体系的处理效率和精确度，优势明显。此外，云计算技术还能够合理处理其它安全技术（如在线杀毒、信息安全评估中心SOC、分布式IPS等）具有的大量历史信息、大量数据库、以及分布式处理信息。

  云安全技术的另一个核心是虚拟化，通过云端和客户端的结合，提供一种新型的信息网络安全防御方式。基于虚拟化的云安全服务模式，将安全能力放在“云”端，按需提供给客户端。整个安全核心能力，完全由云安全中心提供。目前主要有两种云安全模式：基于网关安全的云安全模式，及基于主机安全的云安全模式。当“云”安全时代来临时，原来主流的主机安全软件（如AV软件），或者边界安全网关（如防火墙），在整体网络安全领域发挥的作用将越来越小，而基于云中心的安全能力将极大提升，这将可能改变安全防护领域近20年固有的产业链和商业模式。

  深度包检测技术

  深度包检测技术（DPI技术）除了对报头的五元组信息进行检测分析，还可对报文净荷、报文关联性等对象进行监测，实现报文的深度识别。DPI技术帮助网络运营商，优化分配网络带宽，为网络攻击的深度安全防范及网络业务的精细化运营，带来积极促进作用。

  DPI技术实现了业务应用流中的报文内容探测，而且可以探查数据源的整个路径，因此在安全技术中结合DPI技术，将极大地提升防护能力。DPI技术能够深入分析异常流量，深入探查僵尸网络的根源和目标，深度检测异常行为，辅助防范蠕虫、木马、病毒。

  另外，无线及固定宽带网对多业务综合承载的需求，使运营商必须对数据网络实施精细化运营。DPI技术的应用适应了这种需求。DPI技术能够高效识别网络中的各种业务，并对应用业务流量进行监测、采集、分析、统计等，使运营商可以为不同应用提供差异化服务。DPI技术还能够提供基于流量、带宽、市场等多维度的精细化计费模式，保障关键业务和可信任流量的服务质量，对大流量业务（如P2P）进行有效疏导，最大程度优化业务带宽，从而有效实现业务的精细化管理。

  此外，DPI技术针对运营支撑的相关数据（如业务流向、用户行为等）进行挖掘，还能为产品营销和客户群细分策略，提供有力支撑。

  web安全技术

  地下黑客产业链的生存发展，使得攻击者越来越聚焦于对web应用程序的攻击。典型的web应用安全技术主要有如下几类。

  web防火墙建立了基于网页安全访问控制的安全机制，通过对网页访问者的访问限制和合法性检查，增强web系统的安全性。web防火墙的实现方式有两种，分别是基于web服务器的软件防火墙和基于web网关的硬件防火墙。

  URL过滤功能实现对不良URL进行管理并过滤。面对数量庞大的不良网站，URL过滤的关键要求是URL类库的完备性，以及高效的URL匹配算法。

  反垃圾邮件技术除了传统的白名单、黑名单、基于规则过滤邮件，以及源头认证技术外，也引入了内容指纹分析、邮件信誉评估等新技术。此外，处理不良图片的图片垃圾邮件技术、处理广告话音的语音邮件垃圾技术，也逐步得到了应用。

  网页挂马防范技术在很多web安全网关、反病毒网关及软件中得到应用，它们提供查杀网页挂马、控制访问挂马网页的能力。当然，除了使用网络安全工具，更新系统补丁、卸载不安全插件、禁用脚本和ActiveX控件运行、实施web信誉评估等方式，也可以提升对网页挂马的防范。

  除了上述技术外，针对web病毒、钓鱼网站、间谍软件等web攻击的其它防范技术，也能在某种程度上确保web应用的安全性。

  终端安全管控技术

  传统的防火墙、入侵检测、防病毒等安全设备，在一定程度上解决了企业信息系统的外部安全问题。但内部的数据泄露和人为攻击，已成为现阶段主要的安全风险。内部安全风险控制的核心在于终端行为管控。常用的终端安全管控技术包含：终端接入控制技术、终端行为管控技术、文档安全技术。

  终端接入控制技术是对终端的安全状态进行检查，确保接入到网络的终端，达到企业要求的安全等级，避免不安全的终端危害整个网络，并对不健康终端进行安全修复。对无线终端接入控制、对远程接入设备控制、细化控制粒度，以及利用现有网络设备实现全网统一的安全控制，是接入控制技术发展的趋势。

  行为管控技术可以检查终端应用软件安装情况，监控终端上运行的进程和服务，控制终端的USB/红外/蓝牙等接口和外设，控制应用程序对网络的合理访问，并记录终端上的文件操作情况。行为管控技术可以让企业制定的信息安全策略被终端用户了解，并在终端上落实，避免终端成为网络攻击的弱点和信息泄露的途径。

  文档安全技术能够有效防止信息泄露，有两种实现方式。驱动层加密技术实现文件的过滤驱动，对特定的文件进行加/解密，提供给对应文件编辑/阅读工具的仍然是明文，可以实现对任意类型文件的保护。应用层加密技术处理特定格式的文件（如Office、Wordpro），不需要开发文件驱动。两种技术均可以通过编辑器提供的接口，实现对特定文件类型的读/写/修改/打印等权限控制。