借助下一代防护墙提升企业信息安全

郑伟

（1.太原理工大学，山西太原030024；2.中国能源建设集团山西省电力勘测设计院有限公司，山西太原030001）

借助下一代防护墙提升企业信息安全

郑伟1，2

（1.太原理工大学，山西太原030024；2.中国能源建设集团山西省电力勘测设计院有限公司，山西太原030001）

通过分析当前企业信息安全面临的各类威胁及传统安全防护手段存在的不足，结合新时代技术的发展，借助安全防护设备探讨大数据云平台，利用优势资源为企业提供及时有力的信息安全解决方案。

防火墙；云平台；APT攻击；僵尸主机

1 企业网络安全现状

随着网络信息技术的不断发展，企业信息化投入不断增加，信息化建设的步伐也越来越快。企业借助信息化的发展已实现从无纸化办公到利用各类应用系统提高工作效率、管理水平、决策分析的转变。在此过程中，随着云计算、大数据、移动互联网等新技术、新应用的普及，企业越来越多的应用将依托在开放的互联网上进行，在享受互联网所带来便捷的同时，也面临着来自网络的各类攻击风险。而企业网络一旦涉及安全问题，受到的影响不仅仅是企业本身，甚至因此会对社会秩序、公共利益乃至国家安全形成威胁及损害，造成难以估量的损失。

我国政府一直重视信息安全工作，强调加强信息基础设施建设，提高信息网络安全保障能力，并已将信息安全上升到国家安全的高度和层面中去。2014年2月，国家正式成立中央网络安全和信息化领导小组，统筹协调各个领域的网络安全和信息化重大问题。可以预料，我国的信息安全保障工作即将步入一个高速发展的新阶段。因此必须重视企业所面临的网络安全问题，提出相关对策，确保企业网络安全稳定运行[1]。

2 企业面临的网络安全威胁

2.1 系统及软件漏洞造成的安全威胁

由于系统及软件是由上万条代码编写而成，因此，随着系统及软件规模的不断扩大，系统及软件中的安全漏洞也不可避免地存在，比如Windows是企业目前应用最广泛的操作系统之一，在早期的系统设计中，往往关注操作系统的功能，但是随着信息技术的快速发展，人们对系统的依赖程度也越来越强，大量的企业信息、个人信息被存储在计算机系统中，不断出现的“冲击波”、“震荡波”等安全事件为人们敲响了信息安全的警钟，企业越来越重视系统自身的安全问题，避免因系统漏洞而造成企业的系统瘫痪或信息泄露。

2.2 网络信息安全管理薄弱

企业信息安全建设方面一直存在只注重产品的功能特性，而忽视了在信息安全建设方面考虑整体的安全体系的现象。虽然企业花费了大量的财力采购了先进的安全产品，但仍无法避免一些信息安全事件的发生。这些安全事件的发生和隐患的存在往往都是由于管理不到位造成的。要想更好地发挥安全产品的防护作用，就要同时加强信息安全管理。

2.3 企业用户操作不规范，安全意识淡薄

企业用户安全意识普遍不高，再加上用户的误操作、资源的滥用等也有可能会为企业的网络信息安全造成巨大威胁。比如用户系统登录口令简单、长期不换，随意打开来历不明的邮件、登录被挂在木马或钓鱼网站。这些都会造成黑客的入侵，造成企业信息系统的破坏、信息的泄露。

2.4 人为恶意攻击行为

随着信息技术的发展及普及，黑客技术逐渐被越来越多的人掌握，黑客利用各种漏洞及病毒对企业信息系统的保密性、完整性、可用性造成了破坏。造成用户文件的损坏，企业数据丢失，甚至造成企业信息系统崩溃、运行瘫痪，严重干扰企业的正常运营。

与此同时，近年来黑客攻击已经从传统的破坏用户计算机逐级转移到高级持续性威胁攻击（APT），他们利用先进的攻击手段及多种多样的入侵途径（如智能手机、恶意邮件等）对特定目标进行长期的、持续性的网络攻击。与传统的、普通的攻击相比，APT攻击强调采用先进的攻击技术和丰富的攻击资源来进行攻击。黑客们发动这些APT攻击的目的往往不是为了在短时间内获利，他们会潜伏在用户网络环境中一年甚至更久，“悄悄”地收集网络中的各种信息，并通过“受控主机”扩展至全网，不断搜索，找到网络中权限最高的用户，直到完全掌握目标资源乃至企业全部核心资料。APT攻击持续性长、具有明确的针对性等特点，更有一些专业化的人员在利益集团甚至国家和政府的支持下针对重要目标发起进攻。这让企业的安全管理人员很难发觉。如著名的“震网攻击”、“Google极光攻击”以及安全公司RSA公司遭受入侵，就是黑客组织通过长时间的渗透，并利用系统0 Day漏洞进行的系统破坏及资料窃取活动[2]。

随着网络安全威胁的不断升级，传统的网络安全防护产品已不能够有效阻断日益变化的网络攻击。因此，有必要在企业的网络与互联网边界之间建立全新的安全防护机制，在企业的网络边界处将网络安全威胁拒之门外，防止其通过网络连接传播到内网的服务器或计算机上。另外一方面，需要对已经入侵的Server或者未知威胁提前进行感知预测，防患于未然，在危害没有真正产生之前，解决掉这些潜在的威胁，从而保障网络的安全。

3 大数据与信息安全的结合

要想通过“防护+检测”的整体解决方案来达到企业安全防护的目的，提升安全能力，需要借助“下一代防火墙+安全云平台”这样的架构有效应对以上威胁。

3.1 下一代防火墙

在众多安全产品中，下一代防火墙面向应用层设计，能够精确识别用户、应用和内容，具备了L2-L7层的安全防护功能，相比传统防火墙，其核心功能包括：

3.1.1 精细化的应用控制

传统的网络安全产品只能做到L2—L4层的防护，通过对IP或者端口进行各种控制，对来自应用层的威胁就会显得无能为力。而新型防火墙增加了应用层的防护功能，能够对各种网络应用进行精细的管理控制，比如可以依照时间段阻断某种网络应用，以达到节省网络带宽、提高工作效率的目的。

3.1.2 信息防泄露

网络应用日新月异、不断增加，绝大部分的网络应用都是建立在标准的协议之上。而传统内容过滤方式已逐步体现出对现在网络应用的防护短板，比如对于WEBMail的附件、微博和MSN的文件传输、网盘的文件上传等。下一代防火墙基于应用构建文件类型和内容的扫描能力，支持多种网络应用的类型格式和内容的识别，以及细致的网络应用动作辨识。

3.1.3 应用层的安全防护

下一代防火墙可以深刻解析网络中的应用以及威胁和攻击，是L2-L7层统一的安全防护，能够有效阻断如漏洞、木马等各类攻击等。

3.2 安全云平台

安全云平台作为安全厂商的公有云部署，对于接入安全云平台的安全防护设备能及时获取威胁信息并制定防护规则。同时利用大数据的强大关联分析能力，与安全防护设备实行联动，及时有效地防御APT攻击，主要功能包括：

3.2.1 未知威胁云检测

安全云平台对安全防护设备上报的可疑流量进行静态扫描、动态虚拟运行和危险行为鉴定，判定流量的黑白情况，并将分析结果解释反馈给部署在企业网络出口的防火墙设备。当安全云平台发现上传的流量中存在安全隐患时，将立即生成防护规则下发到防火墙上，并将防护规则同步下发至全球所有接入安全云平台的关联防火墙上，从而能够有效抵御各类网络威胁。

3.2.2 僵尸网络云检测

部署在企业的新型防火墙可有效识别企业内网僵尸网络主机。对于无法识别的流量信息，新型防火墙将可疑信息上报给安全云平台进行分析。同时安全云平台还会收集大量有效病毒样本进行病毒网络特征分析，并将病毒分析提供给全球所有接入安全云平台的防火墙进行信息共享，以丰富部署在客户端的安全防护设备的病毒特征库，提供所有相关防火墙设备识别僵尸网络的行为。

4 “防火墙+安全云平台”在企业中的应用案例

企业在部署“防火墙+安全云平台”后，可利用僵尸主机分布图显示出失陷主机分布情况及数量，如图1所示。

图1 僵尸主机二维分布图

通过对数据的分析，可以看到主机感染的详细情况，从某一时刻开始，相关主机一直处于风险系数比较高的状态。继续对主机的详细威胁活动进行分析，便发现主机主要的威胁活动集中在异常扫描和发送大量垃圾邮件上，如图2。

图2 威胁活动详情

在安全云平台中对主机的流量行为进一步分析，发现主机发送大量的SMTP，并且目的地址离散，进一步确认了主机已经成为垃圾邮件发送器。经过检查确认后台已经被入侵，并且被植入了木马。

通过该简单案例可以看出新型防护设备为管理员处理安全威胁提供了高效可靠的先进技术手段，提升了企业应对安全威胁的能力和响应速度，对防止威胁的扩散起到了积极的作用。

通过采用“防火墙+安全云平台”的安全防护架构，可帮助企业发现内部数据中心隐患等各类安全问题，同时基于大数据日志分析，找到其中不易被察觉的根本原因，从根本上提升企业信息安全的防护能力[3]。

5 结语

随着时代发展，现代企业信息安全的防护能力应不断提升才能应对层出不穷的各类安全威胁，但只依靠管理员过时或低级的手段难以实现有效控制，必须依托新型安全设备辅以大数据分析的力量来强有力地保障企业信息安全环境。

[1]吴世忠,李斌,张晓菲,等.信息安全保障导论[M].北京:机械工业出版社,2014.

[2]William Stallings.网络安全基础应用与标准：第3版.[M].白国强,译.北京:清华大学出版社,2009.

[3]曹鹏.企业网络安全维护案例精粹[M].北京:电子工业出版社, 2008.

（编辑：贾娟）

With the Help of the New Protective Wall to Im prove Enterprise Information Security

Zheng W ei
(1.Taiyuan University of Technology,Taiyuan Shanxi 030024;China Energy Engineering Group Shanxi Electric Power Engineering Co.,Ltd.,Taiyuan Shanxi030001)

Through the analysis of the current enterprise information security threats,traditional security protection measures,combined with the new era,the development of technology,big data cloud platform combined with safety protective equipment,use of superior resources for enterprises to provide powerful information security solutions in a timelymanner.

firewall;Cloud platform;APT attacks;bots

TP393.08

A

2095-0748(2016)20-0088-03

10.16525/j.cnki.14-1362/n.2016.20.39

2016-09-30

郑伟（1981—），男，山西五台人，本科，毕业于山西大学，工程师，太原理工大学工程硕士在读，现就职于中国能源建设集团山西省电力勘测设计院有限公司。