淺談網絡安全趨勢

◆丁飛

（國家開發銀行北京 100038）

1 概述

近年來，隨著我國通信基礎設施的快速發展和新興技術應用的應用使得我國網絡規模逐漸擴大，拓撲結構日益復雜，由此引發的網絡安全威脅形勢更加嚴峻，整網面臨的各種網絡攻擊防御手段也更加復雜多樣化，如網絡數據安全泄露、勒索病毒軟件、APT網絡攻擊等網絡安全事件頻發。伴隨著云計算、大數據、物聯網、人工智能等新一代技術的快速發展，應對這種安全技術威脅的新手段也隨之變得更加復雜、棘手、難以有效應對。

在2020年，網絡威脅將仍然是安全行業發展的主要驅動力，總書記在全國網絡安全與信息化工作會議上指出："沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障"。國家政策的要求層面也是安全行業增長的重要推動力。此外，技術變革也將催生安全行業中新的應用場景與市場空間。在威脅、政策、技術的多重驅動下，信息網絡安全行業需求將更加旺盛，發展將更加成熟。

2 IT發展變革對網絡安全帶來的影響

（1）性能瓶頸

云計算要求的數據集中和跨數據中心互連將網絡骨干帶寬提升到10G-100G平臺，而現有L2/3層網絡上架設L4-L7層設備的部署方案下，帶寬受L4-L7層設備性能限制，無法滿足實際應用需求。

（2）維護瓶頸

傳統的網絡規劃一般會采用冗余設計，并通過 STP（Spanning Tree Protocol-生成樹協議）和 VRRP（Virtual Router Redundancy Protocol-虛擬路由冗余協議）解決冗余組網帶來的環路問題，但隨著網絡規模的擴大，安全相關的配置和維護的復雜度指數級遞增，導致網絡平臺無法伴隨業務高效持續升級，成為IT系統瓶頸。

（3）資源利用率瓶頸

基于Active-Standby（主備）方式的冗余技術下，備份鏈路或設備僅當網絡發生故障時才會對外提供服務，極大的浪費了基礎設施資源，這在云計算數據中心等對帶寬和性能有極高要求的環境下是不可接受的。

（4）業務能力瓶頸

云計算和虛擬化技術的推動下，網絡正在發生從物理設備互連到虛擬機、再到Docker容器互連的革命性轉變。按照目前X86服務器的虛擬化能力評估，IT系統中的vNIC數量比服務器物理端口多一個數量級，L2-L7層網絡如何面向龐雜的虛擬機提供靈活的、動態的、差異化的服務是整個業界面臨的技術難題。

3 新趨勢下網絡安全建設規劃

近年來國家信息系統等級保護安全設計技術要求中，以面向縱深網絡防御的安全思想理念為設計主線， 開拓了信息系統等級保護安全設計技術要求，對于各個安全級別保護提出了“三重防護、一個中心”的安全網絡保護環境設計思路，即：安全網絡計算管理環境、安全網絡區域管理邊界、安全網絡通信，以及安全信息管理數據中心。

3.1 安全域規劃

安全域保護是在泛指同一個系統網絡內有相同的安全訪問保護功能需要，彼此間相互信任，并同時具有相同的安全訪問控制和安全邊界訪問控制策略的多個子網或局域網絡，在這些相同的網絡安全域之間，共享一樣的安全策略。

安全域的劃分不是網絡邊界劃分，安全域可以是相交或嵌套模式；安全域的防護不僅僅是隔離，且要考慮應用場景和性能消耗；安全域是結合目標網絡、業務數據流轉架構劃分是否需要提供外部接入、向內部提供服務、訪問內部核心網絡分析業務、拆分業務系統歸入不同安全域。

業務系統可成為跨接多個安全域的虛擬域，根據訪問需求不同而設置區，安全域的劃分也依據IATF安全域在各行業應用為依據。

3.2 充分結合現狀

目前對網絡建設的規劃必須結合業務運行的現狀和需求，主要分了三個方面：

（1）了解現狀，深入調研和訪談，分別對業務和網絡進行細致調研和描述；

（2）綜合分析，劃分業務單元、分析業務接口和網絡現狀結構；

（3）制定安全域和邊界的劃分規則。

4 新趨勢下的網絡與應用安全

4.1 傳統應用安全存在的問題

傳統應用安全主要存在如下幾點問題導致了網絡性能低下、關鍵業務性能無法保證、破壞了冗余性、網絡的健壯性、以及對全網統一管理簡易性。止步于頭疼醫頭，腳疼醫腳的打補丁式的建設模式；

4.2 系統漏洞帶來的安全風險

系統漏洞往往會給業務系統帶來各種嚴重的安全隱患后果，在企業界 ，漏洞主要表現是系統設計和開發實施中經常出現一些錯誤操作，造成系統信息源的完整性、可靠的獲得性和信息保密性嚴重受損。錯誤通常在系統軟件中，也就是存在于各個系統信息層的系統物理層，從軟件協議層和系統設計到軟件物理層。網絡安全漏洞還有可能是惡意用戶或自動化的惡意代碼故意為之。重要操作系統或企業網絡中單個安全漏洞的存在也可能會直接嚴重破壞一個商業機構的安全管理態勢。

4.3 Web安全問題帶來的風險

如網銀業務通常采用B/S架構，自身Web應用的編寫環境，網頁代碼復雜性、多樣化、模塊眾多，導致了很多大型網站的開發多數要外包給外部開發人員，普遍安全理念比較薄弱、開發人員能力不足以及沒有規范的安全開發的標準埋下了很多安全風險。

4.4 數據庫安全問題帶來的風險

數據庫是應用安全的核心，前兩種安全風險最終也會危害到數據庫的安全。數據庫的安全問題還有其特定的意義，例如數據庫的權限濫用所帶來的安全問題，如據庫工作人員可能違規使用越權進行操作、惡意軟件入侵等會導致用戶數據庫里的敏感數據信息大量失竊，且事后可能無法有效加以追溯和進行審計。一般而言，數據庫管理系統自身能夠提供的基本安全防護技術已經能夠充分滿足一般的企業應用安全需求，但對于一些重要的或敏感的應用領域的企業應用，僅靠上述據庫系統本身自帶的安全防護技術已經難以能夠充分保證用戶數據的應用安全性。

4.5 DDoS攻擊帶來的安全風險。

DDoS的行為本質上就是網絡攻擊者合法或非法地直接利用全球互聯網上的大量其他網絡機器（可能是“肉雞”，也可能是合法的代理機器），銀行數據中心通常有自己的互聯網或網銀出口，時刻面臨著來自互聯網的各種攻擊和威脅。如 DDoS這種攻擊將直接威脅到銀行數據中心能否穩定、安全地運行。

傳統的防火墻設備由于工作在 L2-L4層，無法實現對應用層攻擊的深度檢測，面對L4-L7層的安全威脅心有余而力不足。如今的網絡入侵數據檢測管理系統已經集成了網絡入侵數據檢測與網絡防御、病毒數據防護、協議異常數據保護等五大功能，可精確實時地識別并防御蠕蟲、病毒、木馬等網絡攻擊，防止攻擊者對數據中心的破壞，保障敏感數據不被竊取以及業務的持續運行，從而達到對網絡上運行的銀行業務的保護、網絡基礎設施的保護和網絡性能的保護。

4.6 新趨勢下對網絡安全的要求

新趨勢下對網絡系統主要有三個要求：統一共享、融合的網絡交換平臺；綜合、全局、深度的安全保障體系；高效、便捷的網絡與安全監管能力。主要體現在：

（1）業務識別與控制能力

（2）訪問過濾與行為審計能力

（3）覆蓋網絡L2-L7層的全面防御能力

（4）服務器防護及Web應用優化能力

（5）4/7層的服務交付能力

（6）安全預警及漏洞修補能力

4.7 新趨勢下行業解決方案

4.7.1 應用安全手段一：計算虛擬化

計算虛擬化通過虛擬化管理程序（Hypervisor或VMM）將物理服務器的硬件資源與上層應用進行解耦，形成統一的計算資源池，然后可彈性分配給邏輯上隔離的虛擬機共享使用。基于 VMM 所在位置與虛擬化范圍可以分三種類型：

（1）宿主型（Type II）：在早期虛擬化產品中，VMM運行在宿主機的Host OS上（如Windows），對硬件的管理與操作需要經過Host OS處理與限制，系統運行開銷、效率與靈活性都不太好。主要的產品有VMware Workstation， Windows Virtual PC 2004，Xen 3.0之前的版本等。

（2）裸金屬（Type I）：VMM直接運行的物理硬件上（少了Host OS），可直接管理和操作底層硬件，運行效率和性能較好，是當前主流的虛擬化類型，如開源的KVM、Xen 以及VMware ESXi、Microsoft Hyper-V等。

（3）容器（應用級）：容器是一種更加輕量的應用級虛擬化技術，將應用的可執行文件及其所需的運行時環境與依賴庫打包，實現一次構建，到處運行的目標。相比虛擬化，容器技術多了容器引擎層（如Docker），但上層應用無須與Guest OS綁定，可以實現秒級部署、跨平臺遷移，靈活的資源分配，彈性調度管理等優勢。容器、微服務與DevOps為云原生的三大要素，是推動企業技術中臺建設與微服務化轉型不可或缺的組件。

4.7.2 應用安全手段二：網絡虛擬化

網絡虛擬化，一般意義上的概念是指將物理網絡資源通過某種虛擬化技術，虛擬成邏輯網絡資源，以提供更加靈活的網絡資源調配和供給能力。 Overlay、 MPLS、 VPN、VLAN、 Virtual router、 VRF等都已經可以明確認為這是現代網絡空間虛擬化的主要表現形式。新興的現有網絡虛擬化概念認為，應用本身已經無須特別關心現有傳統意義上的網絡基礎信息和系統配置，比如網絡路由器和協議等，這些由現有網絡中的虛擬化底層應用來自動提供。底層的硬件就提供轉發功能，很多復雜配置由網絡虛擬層來托管，和計算虛擬化類似。另外，網絡虛擬化還提供網絡功能的可編程能力。

4.7.3 應用安全手段三：存儲虛擬化

虛擬化存儲技術是通過將底層存儲設備進行抽象化統一管理，對于服務器層面屏蔽存儲設備硬件的特殊性，而只保留服務器層統一的邏輯特性，從而實現了存儲系統集中、統一而又方便的管理。從存儲的角度來看，虛擬化技術的特點是可網絡化、整合磁盤設備，并讓多個虛擬化服務器共享所有磁盤設備，從而大大提高了服務器的利用率。在非虛擬化環境中，服務器直連到存儲；存儲可以是服務器機架內部的存儲，也可以是網絡外部陣列中的存儲。 其最大的缺點是，特定外部服務器需要完全擁有物理設備，即整個磁盤驅動器需與單個服務器綁定。 在非虛擬化環境中共享存儲資源需要用到復雜的文件系統，或者從基于數據塊的存儲遷移到基于文件的網絡連接存儲 （NAS）。

同時，對存儲資源的訪問也可以通過VLAN、VRF、VSAN、Zone等虛擬化技術進行分割與隔離，從而實現SAN的安全加強控制。