◆丁飛

（國家開發(fā)銀行北京 100038）

1 概述

近年來，隨著我國通信基礎設施的快速發(fā)展和新興技術應用的應用使得我國網(wǎng)絡規(guī)模逐漸擴大，拓撲結構日益復雜，由此引發(fā)的網(wǎng)絡安全威脅形勢更加嚴峻，整網(wǎng)面臨的各種網(wǎng)絡攻擊防御手段也更加復雜多樣化，如網(wǎng)絡數(shù)據(jù)安全泄露、勒索病毒軟件、APT網(wǎng)絡攻擊等網(wǎng)絡安全事件頻發(fā)。伴隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新一代技術的快速發(fā)展，應對這種安全技術威脅的新手段也隨之變得更加復雜、棘手、難以有效應對。

在2020年，網(wǎng)絡威脅將仍然是安全行業(yè)發(fā)展的主要驅動力，總書記在全國網(wǎng)絡安全與信息化工作會議上指出："沒有網(wǎng)絡安全就沒有國家安全，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障"。國家政策的要求層面也是安全行業(yè)增長的重要推動力。此外，技術變革也將催生安全行業(yè)中新的應用場景與市場空間。在威脅、政策、技術的多重驅動下，信息網(wǎng)絡安全行業(yè)需求將更加旺盛，發(fā)展將更加成熟。

2 IT發(fā)展變革對網(wǎng)絡安全帶來的影響

（1）性能瓶頸

云計算要求的數(shù)據(jù)集中和跨數(shù)據(jù)中心互連將網(wǎng)絡骨干帶寬提升到10G-100G平臺，而現(xiàn)有L2/3層網(wǎng)絡上架設L4-L7層設備的部署方案下，帶寬受L4-L7層設備性能限制，無法滿足實際應用需求。

（2）維護瓶頸

傳統(tǒng)的網(wǎng)絡規(guī)劃一般會采用冗余設計，并通過 STP（Spanning Tree Protocol-生成樹協(xié)議）和 VRRP（Virtual Router Redundancy Protocol-虛擬路由冗余協(xié)議）解決冗余組網(wǎng)帶來的環(huán)路問題，但隨著網(wǎng)絡規(guī)模的擴大，安全相關的配置和維護的復雜度指數(shù)級遞增，導致網(wǎng)絡平臺無法伴隨業(yè)務高效持續(xù)升級，成為IT系統(tǒng)瓶頸。

（3）資源利用率瓶頸

基于Active-Standby（主備）方式的冗余技術下，備份鏈路或設備僅當網(wǎng)絡發(fā)生故障時才會對外提供服務，極大的浪費了基礎設施資源，這在云計算數(shù)據(jù)中心等對帶寬和性能有極高要求的環(huán)境下是不可接受的。

（4）業(yè)務能力瓶頸

云計算和虛擬化技術的推動下，網(wǎng)絡正在發(fā)生從物理設備互連到虛擬機、再到Docker容器互連的革命性轉變。按照目前X86服務器的虛擬化能力評估，IT系統(tǒng)中的vNIC數(shù)量比服務器物理端口多一個數(shù)量級，L2-L7層網(wǎng)絡如何面向龐雜的虛擬機提供靈活的、動態(tài)的、差異化的服務是整個業(yè)界面臨的技術難題。

3 新趨勢下網(wǎng)絡安全建設規(guī)劃

近年來國家信息系統(tǒng)等級保護安全設計技術要求中，以面向縱深網(wǎng)絡防御的安全思想理念為設計主線， 開拓了信息系統(tǒng)等級保護安全設計技術要求，對于各個安全級別保護提出了“三重防護、一個中心”的安全網(wǎng)絡保護環(huán)境設計思路，即：安全網(wǎng)絡計算管理環(huán)境、安全網(wǎng)絡區(qū)域管理邊界、安全網(wǎng)絡通信，以及安全信息管理數(shù)據(jù)中心。

3.1 安全域規(guī)劃

安全域保護是在泛指同一個系統(tǒng)網(wǎng)絡內(nèi)有相同的安全訪問保護功能需要，彼此間相互信任，并同時具有相同的安全訪問控制和安全邊界訪問控制策略的多個子網(wǎng)或局域網(wǎng)絡，在這些相同的網(wǎng)絡安全域之間，共享一樣的安全策略。

安全域的劃分不是網(wǎng)絡邊界劃分，安全域可以是相交或嵌套模式；安全域的防護不僅僅是隔離，且要考慮應用場景和性能消耗；安全域是結合目標網(wǎng)絡、業(yè)務數(shù)據(jù)流轉架構劃分是否需要提供外部接入、向內(nèi)部提供服務、訪問內(nèi)部核心網(wǎng)絡分析業(yè)務、拆分業(yè)務系統(tǒng)歸入不同安全域。

業(yè)務系統(tǒng)可成為跨接多個安全域的虛擬域，根據(jù)訪問需求不同而設置區(qū)，安全域的劃分也依據(jù)IATF安全域在各行業(yè)應用為依據(jù)。

3.2 充分結合現(xiàn)狀

目前對網(wǎng)絡建設的規(guī)劃必須結合業(yè)務運行的現(xiàn)狀和需求，主要分了三個方面：

（1）了解現(xiàn)狀，深入調研和訪談，分別對業(yè)務和網(wǎng)絡進行細致調研和描述；

（2）綜合分析，劃分業(yè)務單元、分析業(yè)務接口和網(wǎng)絡現(xiàn)狀結構；

（3）制定安全域和邊界的劃分規(guī)則。

4 新趨勢下的網(wǎng)絡與應用安全

4.1 傳統(tǒng)應用安全存在的問題

傳統(tǒng)應用安全主要存在如下幾點問題導致了網(wǎng)絡性能低下、關鍵業(yè)務性能無法保證、破壞了冗余性、網(wǎng)絡的健壯性、以及對全網(wǎng)統(tǒng)一管理簡易性。止步于頭疼醫(yī)頭，腳疼醫(yī)腳的打補丁式的建設模式；

4.2 系統(tǒng)漏洞帶來的安全風險

系統(tǒng)漏洞往往會給業(yè)務系統(tǒng)帶來各種嚴重的安全隱患后果，在企業(yè)界 ，漏洞主要表現(xiàn)是系統(tǒng)設計和開發(fā)實施中經(jīng)常出現(xiàn)一些錯誤操作，造成系統(tǒng)信息源的完整性、可靠的獲得性和信息保密性嚴重受損。錯誤通常在系統(tǒng)軟件中，也就是存在于各個系統(tǒng)信息層的系統(tǒng)物理層，從軟件協(xié)議層和系統(tǒng)設計到軟件物理層。網(wǎng)絡安全漏洞還有可能是惡意用戶或自動化的惡意代碼故意為之。重要操作系統(tǒng)或企業(yè)網(wǎng)絡中單個安全漏洞的存在也可能會直接嚴重破壞一個商業(yè)機構的安全管理態(tài)勢。

4.3 Web安全問題帶來的風險

如網(wǎng)銀業(yè)務通常采用B/S架構，自身Web應用的編寫環(huán)境，網(wǎng)頁代碼復雜性、多樣化、模塊眾多，導致了很多大型網(wǎng)站的開發(fā)多數(shù)要外包給外部開發(fā)人員，普遍安全理念比較薄弱、開發(fā)人員能力不足以及沒有規(guī)范的安全開發(fā)的標準埋下了很多安全風險。

4.4 數(shù)據(jù)庫安全問題帶來的風險

數(shù)據(jù)庫是應用安全的核心，前兩種安全風險最終也會危害到數(shù)據(jù)庫的安全。數(shù)據(jù)庫的安全問題還有其特定的意義，例如數(shù)據(jù)庫的權限濫用所帶來的安全問題，如據(jù)庫工作人員可能違規(guī)使用越權進行操作、惡意軟件入侵等會導致用戶數(shù)據(jù)庫里的敏感數(shù)據(jù)信息大量失竊，且事后可能無法有效加以追溯和進行審計。一般而言，數(shù)據(jù)庫管理系統(tǒng)自身能夠提供的基本安全防護技術已經(jīng)能夠充分滿足一般的企業(yè)應用安全需求，但對于一些重要的或敏感的應用領域的企業(yè)應用，僅靠上述據(jù)庫系統(tǒng)本身自帶的安全防護技術已經(jīng)難以能夠充分保證用戶數(shù)據(jù)的應用安全性。

4.5 DDoS攻擊帶來的安全風險。

DDoS的行為本質上就是網(wǎng)絡攻擊者合法或非法地直接利用全球互聯(lián)網(wǎng)上的大量其他網(wǎng)絡機器（可能是“肉雞”，也可能是合法的代理機器），銀行數(shù)據(jù)中心通常有自己的互聯(lián)網(wǎng)或網(wǎng)銀出口，時刻面臨著來自互聯(lián)網(wǎng)的各種攻擊和威脅。如 DDoS這種攻擊將直接威脅到銀行數(shù)據(jù)中心能否穩(wěn)定、安全地運行。

傳統(tǒng)的防火墻設備由于工作在 L2-L4層，無法實現(xiàn)對應用層攻擊的深度檢測，面對L4-L7層的安全威脅心有余而力不足。如今的網(wǎng)絡入侵數(shù)據(jù)檢測管理系統(tǒng)已經(jīng)集成了網(wǎng)絡入侵數(shù)據(jù)檢測與網(wǎng)絡防御、病毒數(shù)據(jù)防護、協(xié)議異常數(shù)據(jù)保護等五大功能，可精確實時地識別并防御蠕蟲、病毒、木馬等網(wǎng)絡攻擊，防止攻擊者對數(shù)據(jù)中心的破壞，保障敏感數(shù)據(jù)不被竊取以及業(yè)務的持續(xù)運行，從而達到對網(wǎng)絡上運行的銀行業(yè)務的保護、網(wǎng)絡基礎設施的保護和網(wǎng)絡性能的保護。

4.6 新趨勢下對網(wǎng)絡安全的要求

新趨勢下對網(wǎng)絡系統(tǒng)主要有三個要求：統(tǒng)一共享、融合的網(wǎng)絡交換平臺；綜合、全局、深度的安全保障體系；高效、便捷的網(wǎng)絡與安全監(jiān)管能力。主要體現(xiàn)在：

（1）業(yè)務識別與控制能力

（2）訪問過濾與行為審計能力

（3）覆蓋網(wǎng)絡L2-L7層的全面防御能力

（4）服務器防護及Web應用優(yōu)化能力

（5）4/7層的服務交付能力

（6）安全預警及漏洞修補能力

4.7 新趨勢下行業(yè)解決方案

4.7.1 應用安全手段一：計算虛擬化

計算虛擬化通過虛擬化管理程序（Hypervisor或VMM）將物理服務器的硬件資源與上層應用進行解耦，形成統(tǒng)一的計算資源池，然后可彈性分配給邏輯上隔離的虛擬機共享使用?；?VMM 所在位置與虛擬化范圍可以分三種類型：

（1）宿主型（Type II）：在早期虛擬化產(chǎn)品中，VMM運行在宿主機的Host OS上（如Windows），對硬件的管理與操作需要經(jīng)過Host OS處理與限制，系統(tǒng)運行開銷、效率與靈活性都不太好。主要的產(chǎn)品有VMware Workstation， Windows Virtual PC 2004，Xen 3.0之前的版本等。

（2）裸金屬（Type I）：VMM直接運行的物理硬件上（少了Host OS），可直接管理和操作底層硬件，運行效率和性能較好，是當前主流的虛擬化類型，如開源的KVM、Xen 以及VMware ESXi、Microsoft Hyper-V等。

（3）容器（應用級）：容器是一種更加輕量的應用級虛擬化技術，將應用的可執(zhí)行文件及其所需的運行時環(huán)境與依賴庫打包，實現(xiàn)一次構建，到處運行的目標。相比虛擬化，容器技術多了容器引擎層（如Docker），但上層應用無須與Guest OS綁定，可以實現(xiàn)秒級部署、跨平臺遷移，靈活的資源分配，彈性調度管理等優(yōu)勢。容器、微服務與DevOps為云原生的三大要素，是推動企業(yè)技術中臺建設與微服務化轉型不可或缺的組件。

4.7.2 應用安全手段二：網(wǎng)絡虛擬化

網(wǎng)絡虛擬化，一般意義上的概念是指將物理網(wǎng)絡資源通過某種虛擬化技術，虛擬成邏輯網(wǎng)絡資源，以提供更加靈活的網(wǎng)絡資源調配和供給能力。 Overlay、 MPLS、 VPN、VLAN、 Virtual router、 VRF等都已經(jīng)可以明確認為這是現(xiàn)代網(wǎng)絡空間虛擬化的主要表現(xiàn)形式。新興的現(xiàn)有網(wǎng)絡虛擬化概念認為，應用本身已經(jīng)無須特別關心現(xiàn)有傳統(tǒng)意義上的網(wǎng)絡基礎信息和系統(tǒng)配置，比如網(wǎng)絡路由器和協(xié)議等，這些由現(xiàn)有網(wǎng)絡中的虛擬化底層應用來自動提供。底層的硬件就提供轉發(fā)功能，很多復雜配置由網(wǎng)絡虛擬層來托管，和計算虛擬化類似。另外，網(wǎng)絡虛擬化還提供網(wǎng)絡功能的可編程能力。

4.7.3 應用安全手段三：存儲虛擬化

虛擬化存儲技術是通過將底層存儲設備進行抽象化統(tǒng)一管理，對于服務器層面屏蔽存儲設備硬件的特殊性，而只保留服務器層統(tǒng)一的邏輯特性，從而實現(xiàn)了存儲系統(tǒng)集中、統(tǒng)一而又方便的管理。從存儲的角度來看，虛擬化技術的特點是可網(wǎng)絡化、整合磁盤設備，并讓多個虛擬化服務器共享所有磁盤設備，從而大大提高了服務器的利用率。在非虛擬化環(huán)境中，服務器直連到存儲；存儲可以是服務器機架內(nèi)部的存儲，也可以是網(wǎng)絡外部陣列中的存儲。 其最大的缺點是，特定外部服務器需要完全擁有物理設備，即整個磁盤驅動器需與單個服務器綁定。 在非虛擬化環(huán)境中共享存儲資源需要用到復雜的文件系統(tǒng)，或者從基于數(shù)據(jù)塊的存儲遷移到基于文件的網(wǎng)絡連接存儲 （NAS）。

同時，對存儲資源的訪問也可以通過VLAN、VRF、VSAN、Zone等虛擬化技術進行分割與隔離，從而實現(xiàn)SAN的安全加強控制。