◆徐 明

网络安全挑战及技术与管理制衡

◆徐 明

（云南警官学院信息网络安全学院 云南 650223）

随着全球化与网络服务需求的不断强化，新的机遇与网络安全挑战如影随形。企业与部门在享受网络便利与效益的同时，面对着不断变化与增强的网络安全挑战。本文从不同角度对网络安全挑战进行分析,对当前网络安全防御领域的发展方向做了介绍，同时，以非系统化、代价可承受的安全技术手段做为技术制衡威胁的支撑点,并进一步从管理的角度阐述达成网络安全所需采取的措施及建议。

网络安全；企业与部门；技术应对；管理措施；制衡

0 前言

网络技术的空前发展使网络承受了比以往更大的压力。各种新技术、新设备，包括内部人员所携带的智能电话、笔记本终端甚至智能眼镜等都需要接入企业网络，网络管理员往往疲于应付多种多样上述类似的接入请求授权和管理。与这些内部压力同时并存的是员工和客户对网络服务所提出的不间断全天候在线要求，尤其是基于网络平台上提供中间交易平台的服务提供商，其来自商品供应方（卖方）和需求方（买方）的双向压力会越发凸显出来，如淘宝、亚马逊、当当网等。

当前，一些企业，例如银行，对因网络服务中断而引起的潜在成本非常看重；在线零售企业对服务器宕机的机会成本损失估计到达了数千万元每小时数量级。同时，因为宕机而引发的企业信誉损失也同样巨大，例如受影响的用户立刻通过网络社交平台或交易类用户反馈渠道对企业无法提供在线服务进行抱怨，在某种情况下，这种抱怨和负面影响会因为网络的便捷性和用户的广泛性，形成几何级数的增长，与这些用户相关联的企业或个人就会马上感受到可靠网络服务的重要性，这也从侧面体现了网络服务安全与可靠的重要性。

无论是对于提供全球金融服务的银行或是互联网服务提供商，时间就是金钱。今天，如果你无法对顾客提供实时在线的服务，那么你将会实实在在的承受损失。

1 便捷性与安全性的危险平衡

对于如何解决这一棘手的问题，取决于网络管理人员会从哪个角度来考虑什么是网络安全这一命题。在最近的Intel Security（因特尔下属的一家从事信息安全产品提供与研究的企业）研究中获悉，有超过三分之一的网络管理人员承认曾经借助包括关闭防火墙或减弱部分安全控制功能设置，用以换取网络性能提升的经历。也就是说，网络服务的性能在某种程度上需要通过降低网络的安全性来换取。技术管理人员会认为在可以控制的范围内找到所谓的便捷性和安全性的平衡点，并让其一直存在，但是这个平衡点其实有极大的危险性。

根据这份报告，被网络管理人员禁用最普遍的（因其对网络性能影响较大）设置是深度包解析DPI（Deep Packet Inspection），承认禁用这一功能的从业者比例近31%。紧随其后被禁用的还包括反垃圾邮件（Anti-spam）29%，反病毒（Anti-virus）28%，以及VPN连接28%，如图1所示[5]。

做为网络安全管理的主要实施者，网络管理员将如此核心的安全措施和功能关闭是一个非常触目惊心的现象。DPI，这一最普遍被牺牲掉的设置，能够在普通网络负载中识别恶意行为，同时在不可挽回的破坏发生前通过自动阻断攻击数据流来阻止恶意攻击。这个功能对于自动安全防御是非常重要的，也是新一代防火墙（Next Generation Firewall）的核心组件。同时，DPI也被视为提高网络安全性的必备措施，当禁用这项功能后，管理员不但牺牲了企业的安全，同时他自己也可能因为违反规定而面临法律诉讼的风险。

如此高比例的数据表明安全管理员抱有侥幸心理，在网络的便捷性和安全性之间，相当部分的技术管理人员选择了牺牲网络的安全性以提高网络的便捷性。被禁用的网络安全控制功能组件及调查比例如图1所示（数据来源于2014年McAfee调查项目），这也是目前网络安全挑战面临着的客观事实。

图1 被禁用功能统计图示

1.1 内部管理机制的滞后性

企业或部门管理者对于例如技术管理人员为了追求网络的快捷性，导致网络面临极大的安全性的挑战，因此导致网络会陷入的危险的情况一无所知。根据调查显示，近60%的IT从业者自己认为网络是运行于安全策略管理之下的，但是，可能存在技术管理人员自作主张地放任前述威胁平衡的存在，以牺牲网络安全性换取网络性能的提升。同时，企业管理者又缺乏有效的渠道知晓这一情况，那么网络就很有可能在安全负责人意识到之前已经置于危险之中。实际情况往往是领导们很少会发现企业或部门所制定的安全策略正不断的处于妥协、弱化之中，直到问题突然出现才意识到情况已经如此严重。

常有这样的现象，由于日常工作繁忙，主管人员会把包括重要的网络安全策略管理等事物授权给助手或其它人员来操作和设置。由于防火墙安全设置是一项策略性的工作，往往需要有丰富经验的网络管理负责人来执行，也就是说，中层的系统管理员常会因低估风险而轻易的关闭重要的安全功能，同时很自然的将这样的安全设置信息放在例行安全报告之外，这样做的结果就是企业或部门安全负责人无法掌握实时的安全策略状况。

由于高层管理人员缺乏对于技术的了解，同时基于对于技术管理人员的信任，没有实际的工作机制来保证网络平台的安全运行，缺乏相应的监管和督导，没有切实可行的保证网络平台安全运行的运作机制。

1.2 外部威胁的严峻性

随着社会对智能终端日趋依赖,智能手机、笔记本电脑等可接入设备已经成为个人的工作和生活的必须品。企业或部门在致力于提升内部网络能力的同时,不断攀升的网络接入数量预示着可能为恶意入侵者所利用风险的持续加剧,这增加了网络的脆弱性。

随着黑客软件与硬件水平的不断提升，网络所面临的危险从未如此严峻。当前炙手可热的黑客技术--先进规避技术AET（Ad vanced Evasion Technology）令很多当下主流的防护手段一筹莫展。这一技术能够非常巧妙的掩盖正在实施的恶意攻击行为，入侵者能够在不被发现的情况下潜伏于目标网络中数周甚至数月的时间。可以想象，在如此长的静默潜伏期内，黑客能够完成对欲攻击目标大量的信息收集与窥探。AET利用包括字段重组与伪装复合技术，顺利来往于网络安全控制节点，如防火墙和入侵防御系统（IPSs）。AET利用将入侵特征包分拆为小的、分散的数据包，同时分散的使用数个不同的协议族，因而能够起到很好的不为人注意的效果。而一旦分散的入侵数据包注入到目标网络中，EAT会利用特有技术重组这些数据包，进而完成对网络的内部攻击。

当前，这种悄悄而入的攻击在所有发现的攻击中所占的比例增长显著，那些曾经经历了网络攻击破坏的IT部门人员近半数相信EAT扮演了重要的角色。有关数据显示，目前ETA攻击已接近十亿的数量级，而且数量仍在增长。这也正应了那句老话，“堡垒最容易从内部攻破”。

如果把上面提到的AET比作善于伪装窃贼，那么拒绝服务攻击DDoS（Denial-of-Service）可以算是地道的暴力入侵者。拒绝访问攻击并不是新进出现的高端黑客攻击方式，其攻击原理非常简单，即通过密集、巨量的应用请求，耗尽被攻击方的各种资源，例如：占据连接数、阻塞通信信道、耗尽服务器应用资源及通信带宽等。由于其不断变化和强化的攻击能力及所造成的巨大经济与社会的负面影响而不得不让人另眼相看。2015年8月发生在荷兰的黑客攻击事件甚至造成了该国超过三分之二的网络使用者无法访问网络的后果[1]。造成这一事件的原因是该国主要网络服务提供商Zeggo公司的服务器遭受了持续的DDoS攻击，并最终瘫痪。值得注意的是黑客选择了一个非常巧妙的攻击时间：Zeggo正在与收购方Liberty Global公司配合完成物理网络和服务器并网的时间点。海量泛滥的数据与连接请求，配合精心策划的攻击时间节点，使得这次攻击的效果令人异常心惊。

2 针对网络安全挑战的技术与管理应对

2.1 技术防御

当前，随着网络技术在社会、个人及经济发展等多领域的不断渗透，国际及国内网络安全挑战的不断增强，网络安全技术防御手段也日趋强大。大规模网络安全态势分析与预测系统（YYS AS）是一种基于大规模网络运行环境的网络维修评估与恶意信息采集预警系统，其应用定位于国家骨干网络以及大型网络运营商[4]；而针对企业级应用，也有学者提出了基于网络安全设备的管理方法，即动态获取与收集互联的网络安全设备日志信息与事件信息，通过集成接口实现安全管理系统对全网安全情态的掌控与动态实时管理[3]。上述系统在维护网络安全领域效果明显，但最大的缺陷在于超出一般企业及部门所能承受的资本与人力投入。对于大多数的企业或部门，不可能寄希望于依靠研发自己的安全软件或硬件来完成内部网络安全的提升，这也使得购买网络安全产品成为必然的选择。由于相对较低资金与管理的投入，适宜的费效比，相当比例的企业或部门选择防火墙做为网络安全核心设备，能否获得效能良好并高效运转的防火墙往往能够为这样的企业或部门显著的提高应对网络安全挑战的能力。

鉴于网络环境的现状，对防火墙的功能与能力有了更高的要求。当前，安全防护领域提出了新一代防火墙（Next Generation Fire-wall）的概念。这一类的防火墙能够保护企业或部门，使其免受日趋复杂的网络安全威胁，与此同时为用户提供可靠的网络服务。除了传统防火墙所具备的诸如包过滤、地址解析、URL拦截及虚拟个人专网（VPN）等功能外，新一代的防火墙普遍能够提供额外的基于深度包侦测DPI的保护、欺骗保护、安全套接层（SSL）和安全层（SSH--Secure Shell）监管，基于信用目录的恶意软件侦测等。目前，利用多核处理器的新型防火墙型号已经将数据吞吐量提升到了100Gbps的水平。

为能确保防火墙产品能够胜任当前网络保护的职责，企业或部门应该在防火墙正式接入网络前对其性能及防护效果进行测试。测试应更贴近于真实的网络负载、网络环境、通信协议环境等一系列环境变量。这类防火墙测试应该包含下面的内容：

（1）吞吐量测试：高性能的新一代防火墙应该具有至少100 Gbps数据吞吐能力，但是当防火墙处于峰值负载时，这个指标也不能低于4Gbps。设置最低目标数据吞吐量，开启防火墙的所有功能，并确保设备能够在上述情况下满足保护应用的需求。

DPI做为侦测恶意数据流的最重要工具，对新型防火墙进行测试时，确保最少10Gbps的DPI吞吐量。

（2）专用协议测试：每个重视互联网的企业都不得不面对针对TCP及HTTP协议的攻击。新一代防火墙应该能够确保至少5 0000/秒的TCP/HTTP连接。

（3）智能防护：这一功能是新一代防火墙非常显著的特征。通常情况下，安全人员利用已有的策略及预案针对未来可能出现的事件预设了安全组件。利用这个功能，一旦威胁被某个安全组件所截获，那么整个网络能够通过特定的机制实时获知这一威胁及其应对，进而对该威胁产生了免疫能力。拥有智能防护能力的防火墙就成为了将众多安全组件与能力集合在一起的核心组件，为网络提供能力更强的安全及性能保障。

2.2 管理制衡

（1）在性能与安全间进行有侧重的平衡

IT部门常常需要在网络性能和网络安全性之间进行痛苦的平衡，既要确保应用的有效访问和尽量高的应用在线时间，又要采取会对上述性能产生负面影响的网络安全措施以杜绝网络恶意行为可能造成的破坏，这常常是一个非常困难的事情。

网络性能与安全之间是一对矛盾体，企业上下，包括IT部门都有为完成企业及部门目标而共同努力的心愿，而这样的目标必须保证高效的网络环境和网络安全。网络运行不畅与企业核心数据失窃都同样会威胁到最终目标的完成。

企业及部门领导层的主要任务就是确保在技术团队和安全团队之间达成共识并通力协作，以期找到切实可行的性能与安全的平衡点。经验丰富的安全管理人员应该将精力集中于对新进人员的培训，使他们能够对IT部门所面临的安全威胁有全面的了解和认识。

（2）有效的沟通机制及可靠的安全策略

网络本身的生存和恢复能力首先来源于领导层的安全策略以及切实可行的安全危机预案。在测试中,当发现隐患时要及时报告与沟通,并协调资源进行弥补,比如采购必要的软件及设备等。

企业及部门管理层应该考虑借助安全测试，包括第三方测试来检验其应付当前网络威胁及性能需求的可靠性。当进行测试时，可以直接感受到新的防火墙技术对网络安全起到的作用，进而决定如何应对未来可能的安全威胁。

（3）在投入与网络安全间达到合理的平衡

由于设备与资源投入存在不断更新换代的要求，而这样的更新往往意味着新的经济投入。出于成本最小化的考虑，企业及部门决策者会有不断后延这样更新的潜意识。此时，企业或部门安全负责人员就有义务向决策者提供有效的信息，并表明:合理、及时的升级换代投入能够带来的在运营安全，例如提高网络运行效能、网络维护效率等方面的有利之处，以及拖延所带来的严峻后果。在沟通过程中，量化那些可能的资源投入以及由此而获得的安全收益常常能起到很好的效果。

（4）重要节点的额外安全考虑

当前，社会经济发展异常迅速,尤其在互联网领域。服务提供商、互联网及移动服务中间平台、企业的网络服务等存在频繁的收购、兼并、升级等经济行为。在不同物理系统、服务器进行组网、合并的时间节点，很有可能会使那些之前被置于各自企业安全策略保护之下的核心数据库、服务器暴露在危险的网络当中.企业技术安全负责人应该对该时间节点可能产生的安全隐患提前分析并设置合理的预案,确保在有效的防范措施之下完成上述切换。

3 结束语

不断增强的外部威胁，超负荷工作的安全管理人员，困难重重的操作规程和长期得不到更新的过时的安全软件与设备，这些因素极大的增加了企业或部门遭受网络攻击的可能性。在商业领域，类似的攻击甚至可能源于竞争对手的恶意目的。根据Trend Micro Research咨询公司的研究与调查，150美元就能够在黑市购买针对特定服务器为时一周的DDoS攻击。由McAfee资助的研究项目显示，当前与网络犯罪相关联的经济损失超过每年四千亿美元，对未来损失趋势的预测更是达到了万亿级规模。

网络性能与核心数据安全必须两手兼顾，这就要求在拟定安全策略时必须涵盖该策略对操作性可能存在影响的分析与研判。在可承受的安全投入前提下，利用性能不断提升的核心网络安全设备,即新一代防火墙,借助本文推荐的方法与规则进行测评及部署,最大限度的确保网络性能与核心数据安全之间的合理平衡点。

企业及部门对所面临的网络安全威胁及性能要求是否有充分的认识，是解决安全问题至关重要的前提条件。领导层需要多与IT人员就如何提高网络可操作性的细节进行交流，同时鼓励应用部门与安全部门通力协作，重视对关键节点期间的安全预案与规划进行合理、及时的部署。随着企领导层对自身网络状况的不断把控与掌握，相信在确保高效而安全的企业及部门网络运营之路上的决策将会更加有效。

[1]Mark Robichaux.BREACHED--What happened when hacker shot down Liberty Global’s broad band in Netherlan ds [N].Multichannel News,2016.

[2]Guillermo Lafuente.The big data security challenge [J]. Network Security,2015.

[3]李杰，柳影.企业网络安全管理技术研究与应用[C].电力行业信息化年会论文集.成都，2015.

[4]张建峰.网络安全态势评估若干关键技术研究[D].国防科学技术大学研究生院工学博士学位论文.长沙:国防科技大学研究生院，2013.

[5]McAfee/Intel Security.Network Performance and Securi ty [R].New York:McAfee/Intel Security,2015.

[6]匿名.IT Security.Next-generation firewalls:Security wit hout compromising performance[J].http://www.techrepublic.co m/blog/it-security/next-generation-firewalls-security-without -compromising-performance/.

[7]Eric Geier.Intro to Next Generation Firewalls[OL].http: //www.esecurityplanet.com/ security-buying-guides/intro-tonext-generation-firewalls.html,2011.

[8]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社，2003.

（Foundation）:国家留学基金委西部人才培养特别项目。