復雜環境下的互聯網信息安全現狀及運營商應對策略

【摘要】當前互聯網信息安全面臨新的挑戰和機遇，如何建立可信的信息安全環境，提升信息安全的保障水平，成為備受關注的問題。本文對新形勢下互聯網信息安全現狀進行了調研，提出擁有大數據鏈路的運營商亟待解決的問題以及應對策略等一些思路。

【關鍵詞】網絡信息安全；網絡威脅；信息安全管理系統

近年來在新形勢和新環境下，我國互聯網信息安全情況有一定惡化趨勢。2011年境內被篡改網站數量為36612個，較2010年增加5.10%。網站安全問題引發的用戶信息和數據的安全問題引起社會廣泛關注。CNCERT全年共接收網絡釣魚事件舉報5459件，較2010年增長近2.5倍，信息安全漏洞呈現迅猛增長趨勢并造成用戶直接經濟損失。虛擬化、云計算、大數據、移動互聯網、SDN、物聯網……各種新興技術不斷涌現，帶給IT業界無限機會，同時也使信息安全風險不斷升級。信息產業的變化導致信息安全產業不得不跟上時代的步伐，從被動防御到主動防御，通過不斷更新的云計算和大數據技術來完善信息安全解決方案，讓信息安全防護變得更加智能。

1.信息安全行業現狀

1.1 信息安全產品分類

1.1.1 安全硬件

防火墻/虛擬專用網絡硬件產品；入侵監測與入侵防御硬件產品；統一威脅管理硬件產品；安全內容管理硬件產品。

1.1.2 安全硬件

安全威脅管理軟件 安全內容管理軟件（SCM）

√防火墻軟件 √防病毒系統

√入侵監測與防護軟件 √Web流過濾系統

√內容安全系統

安全性與漏洞管理軟件 身份管理軟件

1.1.3 安全服務

信安計劃；信安項目實施；信安項目維護；信安教育培訓。

1.2 信息安全技術及技術水平

1.2.1 信息安全技術

基礎性安全技術包括：身份認證技術、加解密技術、邊界防護技術、訪問控制技術、主機加固技術、安全審計技術、監測監控技術。

1.2.2 信息安全技術水平

近年來，我國在防火墻、漏洞掃描、入侵檢測、網絡防病毒、網絡加密、服務器安全模塊等方面取得顯著進步，并從系統與網絡基礎層面的防護發展為應用層面的安全防護。

進入大數據時代。針對云計算已經有信息安全企業提出了基于云安全技術架構（Cloud-Client）構建了下一代內容安全防護解決方案，用于解決當前面臨的快速增長和極具動態性的網絡威脅，在全球首次提出基于云計算平臺安全解決方案。

1.3 信息安全行業發展的影響因素

1.3.1 有利因素

信息化發展的現實需求；產業政策支持；信息安全事件的發生

1.3.2 不利因素

作為知識密集型的新興行業，信息安全行業與資本、勞動密集型的傳統制造行業有顯著的不同。其核心競爭力主要是企業的核心技術和人員的專業素質，強調技術資本和人力資本的投入。但我國信息安全專業教育起步較晚，專業的信息安全人才匱乏。

2.運營商信安建設現狀和亟待解決的兩個重要問題

我國電信行業的信息化與安全建設在全國范圍內是走在前面的，其信息化安全建設得到多方面的重視。但信息化安全建設存在著越來越嚴重的交叉問題。

2.1 電信網絡系統安全現狀

我國信息基礎設施網絡安全建設投入在全國來說是最大的，已取得較大成績，但是一些問題依然應當引起注意，例如：

（1）網絡的管理、信令系統的安全建設有待進一步加強。

（2）對網絡插播攻擊問題缺少檢測、定位能力。對公網與專網之間的隔離情況缺少檢測能力。

（3）對網絡大規模入侵檢測和防護缺少應對能力。

（4）對網絡安全缺少全局的管理、指揮、監控、調度與協調能力。

2.2 網絡行為與內容的安全現狀

現階段互聯網行為與內容安全已經顯現出來，而且會越來越突出，尤其在考慮恐怖主義和信息戰的威脅，網絡行為與內容安全將會變得越來越重要。這種安全威脅主要表現在：網絡犯罪行為、恐怖行為和軍事行為的威脅；網絡內容攻擊，包括利用傳統媒體等實施攻擊，當前主要問題是法輪功、黃色、反動網站等問題。

2.3 目前運營商亟待解決的問題

2.3.1 網絡威脅

網絡分布式拒絕服務（DDoS）攻擊是運營商IDC機房最常見的攻擊之一。攻擊的方法是一些攻擊者通過向目標發送大量惡意請求，導致計算機服務器和網絡設備的性能降低和網絡服務中斷，或者網絡連接的帶寬達到飽和。對于國內的IDC機房經營者來說威脅尤其大。

2.3.2 內容信息安全

內容信息安全監管的對象包括：格式內容（主要為應用系統數據庫記錄內容等）、字符文檔內容（字符文件內容）、圖形內容、圖像內容、加密信息內容和隱藏信息內容、用戶上網行為等。

3.運營商應對策略

3.1 網絡威脅解決方案

3.1.1 概述

IDC機房的主要業務是為不同類型的客戶提供各類托管和接入服務由于其業務的多樣性使得這些客戶常常成為各種類型DDoS攻擊的目標。

IDC運營商的網游、語音、視頻業務等應用都對延遲極為敏感，因此DDoS攻擊會對IDC機房中用戶的上網的質量造成嚴重的影響，本方案針對互聯網日益嚴重的拒絕服務攻擊進行專業抗DDOS清洗防護。

3.1.2 建設方案

為了避免由于抗拒絕服務設備的部署，對用戶原有網絡造成不良影響的隱患，本次方案采用旁路負載均衡群集的模式進行部署，具體部署描述如下：

DDOS清洗方案將選用若干臺抗拒絕服務系統旁路接入到核心路由器，并啟用負載均衡群集；抗拒絕服務系統群集與核心路由器之間啟用IBGP協議，用于旁路對攻擊流量進行牽引，并通過在核心路由器配置策略路由防止由于抗拒絕服務系統群集與核心路由器之間的路由循環而導致的路由風暴，并可以將清洗完的正常流量下注到原有網絡中；核心路由器下連流量分析器，用FLOW流的方式對鏈路數據包進行采集，用于檢測上聯鏈路的攻擊流量，發現攻擊流量后，自動與抗拒絕服務器系統聯動，牽引攻擊流量到清洗中心進行清洗，清洗完畢后將純凈流量回注到原網絡。

3.2 內容信息安全解決方案

3.2.1 概述

通過對IDC出口鏈路的監測，實現IDC基礎數據管理、訪問日志管理、信息安全管理等管理功能。

3.2.2 建設方案

3.2.2.1 統一DPI

流量分析設備：

采用專用DPI設備硬件解決方案。具有如下功能數據流量分析、業務流量分析、流量管控、文字內容關鍵字識別等。

3.2.2.2 基礎數據監測

對機房內的IP使用方式進行監測，實時發現未報備IP地址接入、發現實際使用情況與報備不符的IP。

3.2.2.3 訪問日志管理

對IDC的上行流量（包含但不限于基于HTTP、FTP、SMTP、POP3等協議的流量）數據進行監測，并記錄和統計訪問信息。

3.2.2.4 信息安全管理

3.2.2.4.1 違法違規網站管理

對IDC具備違法違規網站的發現、處置及上報功能，并記錄違法違規網站相關信息。

3.2.2.4.2 違法信息監測發現

對IDC的雙向流量（包含但不限于基于HTTP、FTP、SMTP等協議的流量）數據進行監測，對發現的違法信息進行記錄，形成監測日志。

3.2.2.4.3 多媒體數據監測

不僅限于文字內容的監控，包括圖片、視頻在內的更多媒體信息可根據需要納入到監控。

3.2.2.4.4 圖片智能識別

對彩信圖片中的文字信息進行文字提取和識別，以確認圖片內容是否合法，識別的格式包括JPEG，JPG，PNG，TIFF，JBIG，JPEG-2000等。

3.2.2.4.5 視頻智能識別判定

對視頻文件的識別，首先要對視頻文件進行分幀，把一段視頻文件切割成許多圖片，然后使用圖片識別軟件對這些切割出來的圖片進行內容判別，從而識別出視頻中是否包括淫穢的內容，實現對視頻進行監控的功能。

4.結束語

以上是對新形勢下互聯網信息安全現狀進行的調研，從中剖析運營商亟待解決的問題以及應對策略。這些思路有些正在得以實施并已經初步得到了驗證。基于以上設想，運營商還能為廣大ISP及托管用戶提供包括云安全審計、未備案域名發現、互聯網輿情監測、業務內容撥測、網頁防篡改、漏洞掃描等技術服務，提高運營商自身及整個互聯網信息安全防護能力及安全管理水平，以符合業務發展保障及國家、行業相關規范的具體要求。

參考文獻

[1]信息安全行業及其相關上市公司分析.

[2]中國信息安全產業發展白皮書（2005-2010）.

[3]中國信息安全市場現狀觀察及投資前景評估報告（2013-2017）.