作者 | Edward G. Amoroso

Edward G. Amorosoat&t首席安全官曾担任白宫Y2K信息协调中心实时安全防护项目的主要负责人

过去几年，一些政府部门和私有企业的网络受到了网络犯罪分子越来越多的持续攻击。这些网络安全威胁种类繁多，从好奇心使然的潜伏者（Prowler），到以刺探机密信息、发动大规模分布式拒绝服务（DDoS）攻击为目标的恶意入侵者，给不少人带来不便，甚至引发了涉及面广的停电事故。更重要的是，网络攻击可能产生长期的不稳定效应，比如客户对系统崩溃的企业失去信心，或者民众对当局失去信任等。

随着技术应用范围的不断扩大、复杂程度的不断加深，网络犯罪分子的突破点也在不断增多。智能手机、平板电脑和其他移动设备的不断普及使情况变得更加严峻，据估计，这些设备在全球范围内每天产生的数据流量高达700PB。同时，如今的威胁比过去简单的蠕虫和病毒要先进得多。例如，在僵尸网络中，数千台被入侵的电脑组成僵尸网络，黑客利用整个网络去攻击企业或政府网络，进而实施恶意活动。

网络攻击随时都有可能发生，它们可能来自任何地方，没有任何警告，每次攻击都可能造成关键数据被窃取，也可能导致重要的业务系统或应用方案瘫痪。典型的分布式拒绝服务攻击的工作原理是，用虚假流量排挤有用流量，比如业务邮件或者客户下订单等流量。2008年发现的蝴蝶（Mariposa）是迄今最大规模的已知僵尸网络，感染了超过1200万台电脑，其入侵方式是窃取用户的社交网络连接。如果被蝴蝶感染的电脑只有1MB的带宽，其DDoS攻击总量可能高达每秒12TB（TeraByte）。如今，全球宽带速率和可用性不断提高（全球平均宽带速率同比增长了25%，目前的平均速率为2.6Mbit/s），危险性也是与日俱增。企业甚至是许多大型云服务提供商对如此规模的攻击也是束手无策，更不用说从原始流量中甄别出好坏。

由于多数高价值目标一般都会通过专用网络或者作为共享网络的一部分来接入互联网，因此，采取一种基于网络的安全模式才是上上之策。如果没有一个保护整个网络及接入点的计划，任何防御措施都只是形同虚设。

基于网络的安全模式将网络本身塑造成防止内外攻击的第一道防线。通过网络管理安全，这种模式的优势在于，能够在问题到达客户端之前就发现、隔离和消除尽可能多的问题。这样有助于在发生此类攻击事件时保护企业的持续运营能力，同时又不影响生产力和效率。服务提供商可以帮助企业实施一种主动式深度网络安全模式，预先构筑防线，从每个层面严防潜在威胁。例如，at&t部署了数十台核心路由器，其中任何一台都有能力独立处理数十TB的流量。与这种原始能力互为补充的是最先进的防DDoS能力、数据包擦除工具以及防病毒和反垃圾邮件过滤器。

防御威胁、监控网络安全绝非易事，既费时间，又费资源。其维度众多的特性往往要求多方全力配合——政府、网络服务提供商、执法官员、互联网用户、内容提供商和安全提供商。对于安全并非核心业务的多数实体来说，可以将时间和资源投入到关键业务能力的建设上，从而发挥出更大的效益。

解决网络犯罪问题不可能一蹴而就，即使只是经历过短暂的IT服务中断，人们也会因其对生产力的破坏作用而心有余悸。除此以外，网络犯罪分子的接入点不断增多，网络犯罪正逐渐成为一项急速发展的业务，这些因素都会令人不安。在这种情况下，投资构筑网络安全防线，实施可靠的网络安全策略是我们的不二选择。