根據中國互聯網絡信息中心今年發佈的《第29次中國互聯網絡發展狀況統計報告》,2011年12月底中國網民規模達到5.13億,全年新增網民5580萬。
隨著互聯網的普及和網絡用戶的不斷增加,網絡應用已經滲透到我們現代生活的各個方面,如電子商務、電子銀行、電子政務等等,經濟、文化、軍事和社會活動都依賴於網絡,一方面,網絡給我們帶來很多的便利,使我們的生活越來越離不開網絡,而另一方面,由於網絡環境的複雜性、多變性以及信息系統的脆弱性、開放性和易受攻擊性等,網絡也産生了信息安全問題,給我們帶來很多損失,而隨著普及化發展和技術的進步,現在的網絡安全問題呈現出了與傳統網絡安全問題不同的新特性。
那麼,面臨新的網絡安全形勢,我們該如何應對?
黑客攻擊手段不斷翻新
人民郵電新聞宣傳理事會理事長常延廷表示,近年來中國3G及寬帶網絡蓬勃發展,三網融合實施操作,雲計算和物聯網産業的逐步發展,消費者需求的個性化、網絡數字的海量化、服務業務的複雜化給網絡信息安全帶來了新的更大的挑戰。病毒、木馬日益猖獗,並形成了強大的黑色産業鏈,信息安全工作正面臨著前所未有的挑戰。
諾基亞西門子公司的首席安全解決顧問程文傑認為,隨著智慧手機、平板電腦等移動設備的廣泛應用,人們依賴移動網絡設備的時間越來越多,交換的數據也越來越重要。而移動互聯網客戶終端,因其不穩定性和多樣性,相對更難管理。近些年,移動互聯網設備,成為了黑客的攻擊目標。
網康科技産品市場總監陸繼周指出,電腦黑客的網絡攻擊技術和手段在不斷地提高和發展。他們在新技術的支撐和商業利益的驅使下,千方百計地設計一些隱蔽性的威脅。現在僅依靠單機的個人殺毒軟體,已不能完全阻止病毒入侵企業網絡了,而且現代企業的網絡環境越來越複雜,往往一台電腦感染了病毒,就會迅速蔓延至整個網絡,這些病毒不僅嚴重影響了辦公效率,並且很有可能會威脅到企業的商業機密,而殺毒軟體只能用於病毒暴發後的補救工作。
安全防護格局發生改變
傳統安全防護體系的工作基礎有三點,第一是基於端口的五元組訪問控制列表,所謂五元組,是指描述一個網絡會話的五個基本參數,分別為源地址IP、源地址端口號、目標地址IP、目標地址端口號以及傳輸層協議(TCP/UDP)。第二是基於特定端口的風險內容掃描,即只針對軟體預先設定的端口進行風險掃描。第三是終端管理權歸屬單位,用戶工作單位可以強制安裝安全防護體系。
“隨著互聯網使用技術的發展和黑客技術的發展,我們所面對的威脅發生了變化,這些變化撼動了傳統網絡安全的基石,”陸繼周説,“未來的網絡威脅有四分之三是來自應用層,威脅在應用層的隱蔽性更強,傳統五元組可以描述網絡層特徵,卻無法描述網絡應用層威脅,且現在的大多數網絡應用具有端口跳變的能力,目的是為了繞開端口,輕鬆逃逸檢測,在這種情況下,基於指定端口掃描的技術徹底失效。”
全球最具權威的IT研究與顧問諮詢公司之一Gartner公司的相關人員表示,到2022年全球85%的企業將全部採用員工自帶設備方式辦公,那麼像這種移動互聯網設備,企業不能強制其安裝安全防護系統,這就徹底改變安全防護格局,顛覆了傳統的客戶端管理體系。
常延廷解釋,現在的電腦黑客,形成一個強大的商業鏈,在商業利益的驅動下,他們無所不用其極地破壞我們的安全防禦系統,攻擊變得流程化、商業化,並且採用分散隱蔽式的攻擊,增加網絡中的未知威脅,顛覆了以前的網絡威脅非黑即白的局面。
推出下一代防火墻
那麼如何開啟下一代安全體系,維護良好的網絡秩序呢?
Gartner公司認為,下一代安全防禦體系的核心技術,應該具備三個基本特徵。首先,要以應用為基礎構建系統的安全功能和進行安全防護;其次,要形成一個智慧集成體系,不再是功能堆疊,各安全功能是以應用為基礎集成,進行有效的內部聯動控制和數據關聯呈現;最後,要實現防禦的最大可視化,保證應用識別能力最大化、應用與威脅關聯的洞察能力、數據關聯可視化能力。
2009年Gartner公司將“下一代防火墻”正式帶入了業界的視野。下一代防火墻滿足了在全新的網絡安全形勢下企業對安全産品的全新需求,根據Gartner的研究報告顯示,在2014年,60%的新購防火墻都將是下一代防火墻。下一代防火墻的特徵是,除具備傳統防火墻的全部安全模塊功能外,在提供全面的安全防護和深度的可視化洞察能力的同時,決不以犧牲性能為代價,必須是高性能的安全産品。
應對新的網絡安全,業界對下一代防火墻的關注與日俱增,國內外的諸多廠商也紛紛推出了自己的下一代防火墻産品。陸繼周介紹,網康 “下一代防火墻”除具備基本的防火墻功能外,還提供了基於網絡應用的洞察與控制能力,能實現對應用的識別和控制。此外,基於應用做一體化防護,提供了智慧化主動防護,對所有威脅進行智慧分析,從而使用戶能夠從不同的角度對網絡流量進行觀察和管理。提供了移動網絡設備管理系統,率先支持超過500種移動互聯網應用,覆蓋蘋果、安卓、塞班等多種移動平臺,涵蓋聊天、微博、視頻、地圖等多種主流應用類型,實現對PC、移動終端的全面管控。重新定義了高性能,實現了應用層的高性能安全掃描。所有的內容掃描都是在單次的應用識別、報文解析、流重組和協議解碼後進行,減少了不同內容引擎對報文和流的重復處理。(實習生 劉旭奕)