压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一、回顧信息安全防御思路的歷程

信息安全起源于戰爭中的通信加密技術，分為信息的存儲安全與傳輸安全。存儲安全就是保存在“城堡”中時，對方既不能明著來搶走，也不能暗著來偷走。這與我們理解的人身安全與財寶安全非常類似，區別就是，財寶要被拿走才算是損失，而信息(敏感文件等)被人偷看了就產生了損失，因此，信息是否泄漏不是很好界定的一件事，往往是發現對方行為中知道了自己秘密，可這時也許已經過去很長時間了。傳輸安全是信息在傳遞的時候，保證其不被泄露。最為常用的方式就是加密，著名的“凱撒密碼”只是字母的簡單替換；到了“二戰”時期，通信更多采用無線方式，空中電波可以被任何人“聽到”，加密成為必然的安全措施，加密日漸復雜、隨機，密碼的加密與解密成為一本新的學科—密碼學。

有計算機以后，工作中的各種信息幾乎都被數字化了，通過網絡不僅可以了解你的敏感信息，甚至可以控制你的武器設備，信息安全由此提升到了系統安全。美國早在1985年，就提出了TCSEC(可信計算機系統評估準則)，對處理、存放信息的計算機系統安全提出了不同等級的安全要求。

隨著互聯網的發展，利用計算機傳輸信息的便利越來越顯現，大多數的國家都聯到了互聯網上，自己的計算機系統在網絡中的安全問題就更加突出，網絡安全成為國家政治新決策中耀眼的焦點。2008年美國通過CNCI(國家網絡安全綜合計劃)，開始打造“網絡國界”；2011年公布<網絡空間行動戰略>，把網絡空間與陸、海、空、太空并列為國家領土的一部分，Cyberspace成為一個新的高頻率名詞。

針對網絡安全，美國提出了著名的IATF框架(信息保障技術框架)，提出了網絡應該劃分區域，建立縱深防御、立體部署防御措施的思路。

IATF的核心思路就是“邊界防御”，我們也稱為“外部防御”，意思就是防御者與攻擊者要分開，建立中間的過渡空間，確立攻擊者入侵或進攻時，必須路徑的“邊界大門”，一夫當關，萬夫莫開。

所謂劃分區域，就是劃分安全域。人對安全的感覺來自于對事態發展的可控性。當對方接近自己的時候，自己有反應的時間，并能進入“戰斗”的狀態，從而抵御住對方的進攻，就會感到安全。怎么才能是有反應的時間呢？從空間角度講，與對方保持距離，建立一個“空地”，對方進攻的時候，就可以看到他，當然再增加一些障礙，延長對方通過“空地”的時間，就更加好了。古代人為了保護自己，修建城堡，高大且堅固，對方不容易爬上來，還開上護城河，讓對方的戰車只能遠遠地看著?？盏匾埠茫菈σ埠?，護城河也好，都是我們防御的邊界措施，對方通過這個邊界時就被阻斷或告警。

所謂縱身防御，就是建立多道防線，消耗對方的有生力量，延長對方到達我核心區域的時間。網絡劃分安全域以后，就可以在每個域邊界上部署安全措施，形成多道防御體系，達到多次防御對方入侵的目的。

所謂立體防御，是多種安全措施的綜合使用。在邊界僅僅畫道線是擋不住對方進攻的，各種訪問控制措施并舉是不可或缺的，其目的是對付各種不同的入侵技術，如病毒、木馬、黑客、DDOS…當然，識別是阻斷與報警的前提，對攻擊或入侵行為的檢測技術是所有防御措施的基礎。僅僅是防御，是很被動的，要能夠主動發現對方的滲透行為是至關重要的，各種異常行為分析技術是監控類措施的主要手段，如入侵檢測、漏洞掃描…如同陸?？章摵献鲬?，才有更好的作戰效果，立體防御就是相互配合、相互補充思路的重要體現。

IATF把網絡割裂為各自“獨立”的部分，學名叫做“訪問控制”，網絡技術稱為路由控制；而網絡的聯通就是為了業務互通的方便，人們在便捷與安全之間很難做到合適的取舍。用戶關心的是整個業務信息系統的安全，而為了用戶工作的方便，業務系統往往需要用戶可以從任何地方、在任何時間連接到業務服務器上。因此，僅僅用網絡防御思路顯然是不夠。信息安全再次提升到了業務安全，也就是我們說的信息系統安全階段。

很多信息系統往往是運行在一張網絡上的，網絡只是承載業務的管道，網絡安全就成了他們的“公共環境安全”，而針對每個信息系統還有自己特有的安全需求，允許訪問信息系統的用戶應該是可信任的，因此信用體系措施是最為常見。信用體系包括身份認證、授權管理、用戶行為審計等一系列的“社會”式管理思路，我們通常稱為3A，若再加上計費就是所謂的4A系統。

我國現行的信息安全等級保護政策，就是采用了業務系統安全保障的思路，安全的目標有兩個：一是敏感信息的安全，二是業務服務的不中斷。所以，大多用戶信息安全保障方案設計的思路都是：先做業務分析，了解安全現狀；然后劃分安全域，部署域邊界的防護措施、監控措施(先解決網絡上的公共環境安全，各個業務可以共用)；再建立信用管理體系，重點是身份鑒別、行為審計；最后部署的是公共基礎的安全管理措施，如補丁管理，SOC(安全管理平臺)等。當然安全管理是不可缺少的，包括團隊、制度、人員、建設、運維五大部分。

從IATF開始，信息安全保障基本建立了邊界安全保障思路的主流地位，邊界清晰是非常關鍵的，我們選擇的安全措施，大多部署在邊界上，若不能明晰網絡邊界，這種縱深防御體系就無法施展了。

隨著，虛擬化技術的推動，云計算、大數據等應用中，用戶與服務端都在云里，絞在一起，邊界模糊了，流概念興起，流安全思路也就誕生了。

二、網絡邊界“危機”

網絡本身是有“邊界”的，不同區域由不同的人建設，由不同的人管理，網絡也有自己的“國家”。然而，網絡服務往往是沒有邊界的，比如DNS服務的根在美國，你在我國的互聯網出口上就不能禁止這些服務的通行。我們可以不讓Google進入大陸，但你不能阻止美國人訪問中國的百度，也不能阻止中國人發郵件給美國?；ヂ摼W上的國家邊界在哪里呢？這個問題一直困擾著政府的領導與網絡安全者。若不能確定網絡的“國家邊界”，美國要保護的Cyberspace該如何界定呢？我們國家的Cyberspace又在哪里呢？

要說導致網絡邊界模糊化的幕后推手，不得不提近幾年突飛猛進的兩個新技術應用：虛擬化與BYOD。

虛擬化就是指數據中心的設備虛擬化管理技術，它是云計算、大數據等新型應用的后臺基礎技術。虛擬化的含義就是資源的虛擬化管理，實現資源按需分配的好處，不僅僅是提高硬件的利用率，并統一簡化IT運維管理；而且讓開發者、用戶不再關心硬件的具體型號、容量、處理能力…專心自己的業務需求，隨意設計自己的業務流程。利用計算資源的虛擬化技術(如VmWare\KVM\Xen…)，我們可以隨意生成我們需要的計算機， CPU與內存可以動態地按需調整；利用存儲資源的虛擬化技術，我們可以隨意配置數據存儲空間，不必為硬盤損壞、容量升級的煩惱而擔憂；利用網絡虛擬化技術，我們可以隨意打造我們自己的“專用網絡空間”，而不需為接入方式、接入地點，再去設計復雜的公網與私網路由管理…

確切一點說，直接影響信息安全的，應該是服務器虛擬化和桌面虛擬化。

我們知道，網絡邊界就是連接外部網絡區域的那根網線，這里是網絡連接進出的必然通道。然而，虛擬化的核心優勢是虛擬機的動態遷移，虛擬機可以在整個虛擬化平臺內隨意遷移，不同的物理服務器，不同的機房，不同的城市，甚至不同的國家，你的業務系統運行的那個虛擬機，目前運行在那個物理服務器上，是不確定的，而這正是虛擬化帶來的好處。既然不知道物理服務器是那個，就不可能確定它的邊界網線是那根，網絡邊界該如何確定呢？找不到網絡邊界，我們的那些縱深防御體系該如何部署呢？

服務器虛擬化就是數據中心的虛擬化改造，是業務系統的服務端遷移到虛擬化平臺上。它的直接結果是：因為傳統的安全設備無法部署到虛擬化網絡中，沒有了安全的保障，用戶的業務自然不敢大量遷移到虛擬化平臺上來。

桌面虛擬化的后果更為嚴重：安全域劃分時，用戶的終端域與服務器區域一般是分開的，其邊界上可以部署訪問控制措施，保證用戶訪問服務時是可控的。然而，實現桌面虛擬化以后，用戶的終端應用都運行在服務器端，用戶端與服務器之間傳送的主要的基本輸入與輸出信息，利用這些信息是無法判斷用戶行為的；另一方面，運行在服務器端的終端應用與其他的用戶、其他的業務服務器同在“一個”數據中心，甚至在一個“域內”，當某個終端感染病毒，去入侵“鄰居們”時，或某個終端用戶惡意地去掃描、入侵它的“鄰居們”，傳統邊界上的安全措施就無能為力了。

原因十分簡單：兩個虛擬機運行在同一個物理的服務器內，這兩個虛擬機之間的流量可以直接在虛擬機交換機上交換，而不進入物理網卡，當然也不進入物理交換機，傳統的網絡邊界就看不到其通訊?？床坏?，談不上檢測，自然也無從發現或阻斷。

因此，可以說，虛擬化技術讓邊界安全思路受到了極大的挑戰，虛擬化平臺上的安全問題異常突出。

另外一個應用BYOD，讓辦公、生活更加便利，更加豐富多彩，其發展趨勢已經銳不可當。然而，BYOD意味著，接入的終端不再受控，你無法要求接入終端安裝統一的安全軟件，你也無法確保終端內的其他各種應用是否能入侵到你的應用內；業務系統的安全邊界不得不從終端上“撤出”，退守到BYOD的接入網關上，但是你不能不讓用戶訪問你業務的數據，如何保證“邊界外”的安全，這可是以前沒有過多的事情。

三、“流安全”概念的誕生

業務系統找不到自己的網絡“邊界”，是因為這時的用戶與服務端絞在一起，不能再建立彼此間的“空曠地”。我們在云一樣的網絡上，能看到的就只剩下用戶訪問服務器的業務流量了。

從網絡安全到流安全，有如汽車原先在高速公路上行駛，其方向與路徑是確定的，我們只要在分叉口做好檢查工作就可以了。而現在汽車現在到了廣場上，雖然也有汽車行駛線，但關鍵問題是，汽車始點與終點不再固定。我們此時關心的不再是道路，而是流動的車。

其實，我們在談論業務安全時，已經開始把信息安全分為兩個部分：一是網絡環境的公共安全；一是業務流量的內容安全。這時，我們已經在開始把關注道路與關注車流分開了。

流安全進一步強化了這種分割。我們用網絡環境的公共安全保證業務流在流動過程中的安全，它包括與其他流的隔離，不能被其他“流”窺探與污染；我們利用業務流的內容安全保證流內容中，是否有病毒、木馬與入侵者，是否符合我的信任體系要求。

TCP/IP原本是包交換協議，一個用戶通信連接分為若干的數據包，每個數據包可以通過不同的路由到達目的地，到達后再組裝起來。包交換與傳統的鏈路交換是對應的。

流安全概念的引入，讓我們重新審視包交換與鏈路交換，從安全控制的角度，把業務流看作邏輯鏈路，在一次“通訊連接”中，邏輯鏈路按照我們定義的安全路徑建立，經過用戶需要的安全清洗與監視，保障業務流動安全與完整，這就是流安全概念引入的核心目標。

流安全概念的出現，理清了以往網絡安全與業務安全在概念上的模糊。

我們這里先給出一個簡單的定義：

業務流：就是指信息系統的用戶與服務端之間的流量，包括業務流量與管理流量。

流安全：狹義的定義是指業務流在傳輸過程中的整體安全解決方案。流安全不再關心用戶與服務端的物理位置，而只關心他們之間的連通性。廣義的定義是業務流在整個信息系統中的安全，包括流在網絡傳輸中的安全、流在主機內部的安全(服務器內部)、業務自身安全在流中的實現三部分。

(注：目前常說的流安全多指狹義的流安全，以下同。)

流安全從其技術實現上可分為是兩個方面：

a)? 導流控制技術：流的流向控制技術，也稱為流量引導與控制。導流控制的核心就是路由的重定義，實現網絡承載層的安全控制

• 指定業務流的路徑，并與其他對業務流保證邏輯隔離；
• 保證在虛擬機遷移、用戶端接入漫游的情況下，用戶與服務端之間的聯通，指定的路徑可以適應兩端的不確定性，又可以保證必需經過的關鍵路徑點；
• 穩定的流量傳遞，服務質量應達到用戶需求；
• 流在傳輸中的不被篡改，不被非授權者復制；

b)? 流內安全技術：流內容的安全檢測與阻斷。流內容的安全技術從傳統的網絡安全技術發展而來，主要是網絡層以上的安全檢測，如針對入侵的IPS/IDS，針對網站的WAF，針對鏈路攻擊的DDOS，針對病毒的AV等等，也包括合規安全的措施，如網絡行為審計，異常流量分析等

• 網絡層攻擊阻斷(如DDOS等)，非業務流量的過濾；
• ?非授權者的訪問阻斷；
• 病毒、木馬、入侵檢測；
• ?網絡行為審計；
• 異常行為的監控；