面向大型企業信息安全建設的虛擬化威脅感知技術

徐影，吳釗，李祉岐

（1.北京聯合大學，北京 100101；2.國網信息通信產業集團有限公司，北京 102200；3.北京國電通網絡技術有限公司，北京 100070）

面向大型企業信息安全建設的虛擬化威脅感知技術

徐影1，吳釗2，李祉岐3

（1.北京聯合大學，北京 100101；2.國網信息通信產業集團有限公司，北京 102200；3.北京國電通網絡技術有限公司，北京 100070）

面對信息化建設進程的快速推進，如何有效實現風險防控，建立先進實用、安全可靠的信息安全保障體系，是大型企業都要面臨的嚴峻考驗。分析了大型企業在信息化建設中面臨的各種安全風險和信息安全防護工作的主要特性，提出了具有實踐意義的信息安全防護體系建設思路。分析了大型企業信息安全建設虛擬化環境面臨的威脅，設計出一種虛擬化安全威脅感知系統，該系統由威脅情報平臺、本地檢測系統和數據分析平臺組成。

信息安全；安全風險；安全防護；威脅感知

1 引言

網絡與信息安全風險隨著信息化建設的加速推進和發展而增高，企業必須高度重視網絡與信息安全體系的建設。習近平總書記于2016年4月19日在網絡安全和信息化工作座談會[1]上明確指出：網絡安全和信息化是相輔相成的，安全是發展的前提，發展是安全的保障，安全和發展要同步推進。大型企業作為國家經濟的主體，信息安全工作十分重要且繁雜，既要考慮信息安全對企業管理、運營以及社會、經濟效應的影響，又要考慮企業肩負的法律與社會責任乃至國家安全責任。隨著云計算、大數據、物聯網、移動應用（簡稱“云大物移”）等新技術的迅猛發展，新技術的快速應用與落后的企業傳統信息安全管理之間的矛盾日益凸顯。大型企業如何建立有效的信息安全保障體系、形成基于自身特點的防護策略、有效提升信息安全防護與管理水平、加強網絡安全防御和威懾能力，是當前大型企業信息安全工作面臨的首要任務。

2 大型企業信息安全建設現狀

在國家“積極防御、綜合防范”的信息安全戰略引領下，企業對信息安全給予高度重視，已將信息安全建設視為企業發展戰略的重要組成部分，正在陸續加快信息安全自身能力建設。但總體來看，多數企業的信息安全保障體系建設仍有待完善。大型企業信息安全建設宜從以下幾方面入手。

2.1 信息安全威脅源

企業要從自身的社會和經濟價值出發，全面分析企業面臨的安全威脅，既要明確威脅源的等級，也要結合企業安全責任來分析威脅。企業必須全面梳理信息安全需要保護什么、為什么保護和如何保護等關鍵問題，明確對現實中的安全威脅和未來可能的安全風險的預期。企業可能的威脅源如圖1所示。

大型企業擁有大量商業及企業機密，容易成為惡意競爭對手和黑客集團的攻擊對象，生產經營中的大量有價值的數據信息，可能成為不法分子和黑客獲取利益的目標。部分企業涉及國家科研、國防等重要領域，承擔國家重要基礎設施建設，擁有重要的國家機密，容易被敵對勢力及政治團體選中作為主要的攻擊對象。敏感信息泄露、重要數據被破壞、業務系統被非法控制、商業信譽遭惡意言論攻擊，任意一種情況都將造成重大社會影響，甚至危及國家安全。威脅源分類及其帶來的安全威脅見表1。

圖1 企業可能的威脅源

表1 威脅源及其安全威脅

2.2 企業的自身特性

信息安全工作不能是盲目的、通用的建設工作。信息安全工作首先應該從企業自身特性入手，做好常規安全措施的同時，深挖企業安全薄弱點進行加固、加強，有點有面，才能保證信息安全工作的效果。大型企業與信息安全建設緊密相關的特性如下。

（1）資產規模大、分布廣泛

大到企業生產經營、金融財務，小到企業知識產權、生產工藝、流程配方、方案圖紙、客戶資源及各種數據，都是企業長期積累下來的財富，關系到企業的生存與發展，是企業安全防護的重要保護對象。這些龐大的無形及有形資產廣泛分布于企業的各個系統中，給信息安全防護帶來更高的要求。

（2）網絡覆蓋廣、需求復雜

企業網絡和系統結構復雜、交互需求多樣。很多集團類大型企業信息網絡由總公司、本地下屬工廠、子公司獨立建成局域網，并形成各自的應用系統，總公司整合分散的局域網構成總公司級局域網，并形成總公司級的應用系統，如ERP（enterprise resource planning，企業資源計劃）系統和OA（office automation，辦公自動化）系統，再發展到利用專線將跨省市的外地子公司及下屬工廠的局域網相連，形成了復雜的網絡環境及系統結構。有些大型企業各地內部相關系統與其他單位系統有相互訪問的需求，部分大型企業既承擔著民用設施的建設，又涉及軍工設備的制造，這些特點都是企業信息安全應重點關注的問題，也給信息安全工作提出了不同的防護需求。

（3）安全管理難、風險較高

大型企業人員眾多、信息安全管理工作涉及面廣、管理工作相對繁雜。安全培訓工作的全面開展、員工安全防護意識培養、辦公系統與生產系統安全的區分管理、應用系統安全的統一建設、安全機制建設漏洞與安全保障措施執行力度檢查，都是企業信息安全工作的重要部分，如果有一個環節被不法集團利用，就容易形成“木桶效應”，會給原有嚴密規劃的縱深安全防御體系造成漏洞。

2.3 信息化安全的建設過程

企業的信息安全工作應該融入自身信息化建設過程中。IT技術產品的應用不僅要符合企業架構與流程的變化，也要充分考慮信息安全的問題，加大信息化建設中“人”的安全意識、IT技術產品的安全性[2]，在信息化建設規劃的同時，開展信息安全防護研究和配套安全設施的建設。信息系統與設備的安全風險如圖2所示。

圖2 信息系統與設備的安全風險

目前多數大型企業在業務系統和辦公終端的管理建設中，并未建立全面統一的漏洞狀況監控系統，也未建立終端補丁統一管理、補丁統一分發的安全控制系統，使得系統及終端在補丁及時更新、漏洞全面修復等方面不具備條件，企業內部信息安全由于漏洞修復不及時、不全面而陷于大量的威脅之中。

3 企業虛擬化環境威脅梳理

3.1 傳統防護手段面臨失效

高級持續性威脅 （APT）是一種可以繞過各種傳統安全檢測防護措施，通過精心偽裝、定點攻擊、長期潛伏、持續滲透[3]等方式，伺機竊取網絡信息系統核心資料和各類情報的攻擊方式。事實證明，傳統安全設備已經無法抵御復雜、隱蔽的APT攻擊。

幾乎所有被曝光的APT攻擊都是以入侵者的全面成功而結束，在這些已公開的APT攻擊中，傳統安全設備的防御體系均被輕易繞過而失去防御能力。在某些APT攻擊的案例（如震網攻擊、夜龍攻擊）中，傳統安全防御設備甚至在長達數年的持續攻擊中毫無察覺，傳統安全設備無法抵御網絡攻擊的核武器——APT。

傳統安全防御體系的框架一般包括：接入控制、安全隔離、邊界檢測/防御、終端防御、網絡審計、訪問控制等，所涉及的安全產品包括：防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網絡審計、雙因素認證token等。

從傳統安全防御體系的設備和產品可以看出，這些產品遍布網絡2～7層，其中，與APT攻擊相關的7層設備主要是IDS、IPS、審計，而負責7層檢測的IDS、IPS采用經典的CIDF檢測模型，該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行為的檢測。反觀APT攻擊，其采用的攻擊手法和技術都是未知漏洞（0day）、未知惡意代碼等未知行為，在這種情況下，依靠已知特征、已知行為模式進行檢測的IDS、IPS在無法預知攻擊特征、攻擊行為模式的情況下，理論上就已無法檢測APT攻擊。

這些由黑色產業鏈或國家驅動的APT攻擊通常都具備強大的攻擊手段和技術，且手法多樣，在一次攻擊過程中經常采用多種手段和技術，包括社會工程學攻擊、0day漏洞利用、免殺木馬、定制化工具、逃逸技術等，尋找內部安全薄弱環節，所以可以屢屢得手，很難被發現。

（2）攻擊隱蔽性強

在大部分APT攻擊中，攻擊者針對不同的攻擊目標會采用不同的策略，并在攻擊前有針對性地進行信息收集，準備特定的攻擊工具，攻擊發起的整個過程時間可長可短，少則數小時，多則潛伏數月、數年，由于這些攻擊均會使用高級免殺技術以逃避傳統安全設備的特征檢測，因此隱蔽性極強。

（3）攻擊目標明確

APT攻擊往往具有明確的攻擊目的，如竊取有價值的數據、破壞重要系統等，由于傳統防護手段很難對此類攻擊有防護效果，一旦受到攻擊，其對企業和單位所造成的危害也是直接而巨大的。

在安全形勢極不樂觀的環境下，如何擺脫傳統思路，尋求精確的APT攻擊檢測方法是亟待解決的問題。

3.2 免殺木馬無法檢測

木馬（trojan），也稱木馬病毒，是通過特定的程序（木馬程序）來控制另一臺計算機的軟件。木馬通常有兩個可執行程序：控制端和被控制端。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身進行偽裝吸引用戶下載執行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。在APT攻擊中，通常使用“免殺木馬”，這類木馬會利用加冷門殼、加花指令、改程序入口點、修改內存特征碼等免殺技巧來避免自身被殺毒軟件查殺。

起升機構變頻調速啟動加速過程如圖1所示，從低頻啟動，其電壓和頻率按既定的壓頻比遞增。變頻調速電動機啟動形式雖是直接啟動，卻不在額定工頻啟動，是在確保一定的啟動轉矩和盡量小的啟動電流時分頻段啟動到額定工頻。

3.3 大量內網數據無法有效利用

APT攻擊通常都會在內網的各個角落留下蛛絲馬跡，真相往往隱藏在網絡的流量中。傳統的安全事件分析思路是遍歷各個安全設備的告警日志，嘗試找出其中的關聯關系。但根據上文的分析，由于APT攻擊的隱蔽性和特殊性，傳統安全設備通常都無法對APT攻擊的各個階段進行有效的檢測，也就無法產生相應的告警，安全人員花費大量精力進行告警日志分析往往都是徒勞無功。如果采用全流量采集的思路，一方面是存儲不方便，每天產生的全流量數據會占用過多的存儲空間，組織通常沒有足夠的資源來支撐長時間的存儲；另一方面是全流量數據包含了結構化數據、非結構化數據，涵蓋了視頻、圖片、文本等多種格式，無法直接進行格式化檢索，安全人員也就無法從海量的數據中找到有價值的信息。

因此，如何以恰當的方式長時間保存對安全分析有價值的流量數據，是檢測、回溯APT攻擊必須解決的問題。

4 企業信息安全建設思路

大型企業的信息安全建設，首先應明確安全需求，制定企業總體安全防護策略。在總體策略的指導下，開展針對企業自身特性的安全防護體系建設，規劃和設計總體防護結構，形成信息安全防護技術典型設計。在堅持和落實企業防護策略的基礎上，逐步標準化技術要求、細化技術措施，最終形成人員、管理、技術的有效措施。大型企業安全工作建設思路如圖3所示。

圖3 大型企業安全工作建設思路

4.1 制定與落實企業總體防護策略

企業要深入分析梳理各級工作內容、明確方針策略和防護原則、構建安全防護總體策略。通過安全管理、人員組織、工作機制、標準規范、技術措施、運行管控等手段規范指導企業的信息安全建設工作，確保信息安全策略的一致性，在具體方案中堅持策略。公司各級單位要根據總體防護策略并結合自身實際，在遵循主體內容不變的基礎上開展信息安全防護工作。

企業的防護策略要有穩定性和前瞻性，要結合技術和業務發展趨勢，一方面需針對“云大物移”等新技術的引入，從宏觀上對技術應用帶來的風險進行綜合考慮，對在建項目在規劃階段就展開安全防護研究和運行管控；另一方面不斷提升自身認知，保障企業的安全方針和策略要在一段時期內持續有效，形成規劃總體防護策略的演進線路，以適應或引領企業信息安全的發展潮流。

4.2 規劃與設計總體防護結構

企業要明確內部各級單位各類場景的防護需求、規劃和設計總體防護結構。總體防護結構要遵循國家有關信息安全法規、標準和行業監管要求[4]，堅持“規劃定級、標準設計、全面建設、有效防護”的工作原則，有效銜接自身安全防護體系和國家防護體系，形成企業內部、外部有效協同和整體聯動機制。

企業總體防護結構要充分結合自身特點展開設計，要實現管理技術與技術體系的融合，有效支撐業務安全發展。企業在總體防護結構的框架下，繼承和鞏固已有的成果，逐步細化完善各級保護標準，開展新技術、新制度的創新應用。

4.3 構建全生命周期的管理機制

在健全信息安全規章制度、加強安全管理體系、安全技術體系、安全運維體系的基礎上，企業應構建全生命周期的管理機制。規范風險控制方法和工作流程，強化信息安全風險識別、風險評估、措施制定、過程控制和應急處置等工作，從信息化管理機制、規章制度、標準規范、設備設施、軟件質量、人員管理等多方面出發，將信息安全貫穿信息系統規劃、設計、研發、建設、施工、運維到銷毀等生命周期的全過程和信息化全部領域，形成有效的企業信息安全體系，融入信息化管理各項工作中。全生命周期管理機制的構建見表2。

同時，企業應健全和完善信息化考核評價管理體系，建立信息化建設與運行過程情況的有效描述模型，幫助企業識別相關技術與管理的不足，逐步改善信息化過程，達到持續改進的目標。

4.4 提高信息安全動員和協調能力

在信息安全技術威脅復雜多變的新形勢下，企業需提高信息安全協調動員能力，確保發生重大安全事件的追查處理能力。從企業組織機構設置、人員隊伍建設和管理機制方面進行建設提升，提高企業的信息安全動員能力，形成分工明確、專業處置、快速響應的信息安全管控隊伍；建設網絡安全事件應急處置工作機制，做到積極預防、及時發現、快速響應、確保恢復。

企業需提高各個業務部門的安全協作意識，確保防護策略能夠有效貫徹和落實到各個業務部門，確保系統建設從規劃設計、上線運行到下線報廢的各個環節都在安全部門的有效監管下進行，安全部門在防護方案、安全測評、安全運行和應急響應等各個方面提供支撐服務，以形成高效的安全管控機制。

表2 全生命周期管理機制的構建

5 虛擬化安全威脅感知系統架構設計

5.1 虛擬化安全威脅感知系統的組成

（1）威脅情報平臺

為保障虛擬化網絡的安全，避免重要機密和信息被竊，需要建立基于大數據分析的威脅情報平臺。基于大數據分析的威脅情報[5]平臺，可通過對互聯網上的海量數據進行深度挖掘，從而有效發現APT攻擊，生成威脅情報。

（2）本地檢測平臺

傳統防病毒網關和殺毒軟件對于免殺木馬的查殺無能為力，為有效檢測網內的免殺木馬，應該建立本地檢測平臺。

本地檢測平臺可對APT攻擊的核心環節——惡意代碼植入進行檢測，與傳統的基于惡意代碼特征匹配的檢測方法不同，基于多引擎沙箱的本地檢測平臺采用的多引擎沙箱方法可以對未知的惡意代碼進行有效檢測，可以避免因為無法提前獲得未知惡意代碼特征而漏檢的問題，在無需提前預知惡意代碼樣本的情況下，仍然可以對惡意代碼樣本進行有效的檢測，因為免殺木馬是APT攻擊的核心步驟，因此對未知惡意代碼樣本的有效檢測，可以有效解決APT攻擊過程中的檢測問題。

（3）數據分析平臺

為有效發現網絡內部的安全問題，必然需要對網絡內部的流量信息和終端的日志信息進行抓取，這必然帶來如何在海量數據中快速搜索有用信息的問題。為了解決這個問題，應該建立基于搜索技術的數據分析平臺。基于搜索技術的數據分析平臺可對本地抓取的海量數據進行快速檢索從而進行高效分析，對內網的攻擊行為進行歷史回溯。

5.2 本地信息處理

本地信息采集是通過虛擬化安全威脅感知系統傳感器[6]（采集設備）對網絡流量進行解碼，還原出真實流量提取網絡層、傳輸層和應用層的頭部信息，甚至是重要負載信息，這些信息將通過加密通道傳送到分析平臺進行統一處理。

分析平臺承擔對所有數據進行存儲、預處理和檢索的工作。由于傳統關系型數據庫在面對大量數據存儲時經常出現性能不足的問題導致查詢相關數據緩慢，因此分析平臺底層的數據檢索模塊需要采用分布式計算和搜索引擎技術對所有數據進行處理，通過建立多臺設備的集群以保證存儲空間和計算能力的供應。

5.3 本地沙箱檢測

虛擬化安全威脅感知系統通過檢測器對文件進行高級威脅檢測，威脅器可以接收還原自采集器的大量PE和非PE文件，使用靜態檢測、動態檢測等一系列無簽名檢測方式發現傳統安全設備無法發現的高級威脅，并將威脅相關情況提供給安全管理人員。檢測器上的相關告警也可發送至分析平臺，實現告警的統一管理和后續分析。

5.4 云端威脅情報

5.4.1 大數據分析

虛擬化安全威脅感知系統依托IP、DNS、URL、文件黑白名單信譽數據庫[7]，對互聯網上活躍的任何一次攻擊進行記錄。DNS庫、樣本庫以及主防庫需要定期維護更新，因為要發現未知威脅需要真實網絡環境下的大量數據支撐。

5.4.2 數據處理

通過DNS解析記錄、樣本信息、文件行為日志等內容，對全網抓取數據、可視化的分析數據以及其他多個維度的數據進行關聯分析和歷史檢索，依賴于虛擬化安全威脅感知系統發現APT攻擊組織信息，并不斷地跟蹤相關信息，依賴于海量數據對攻擊背景做出準確的判定。

5.4.3 確認未知威脅

所有大數據分析出的未知威脅都通過專業的人員進行人工干預，做到精細分析，確認攻擊手段、攻擊對象以及攻擊的目的，通過人工智能結合大數據知識以及攻擊者的多個維度特征還原出攻擊者的全貌，包括程序形態、不同編碼風格和不同攻擊原理的同源木馬程序、惡意服務器（C&C）等，通過全貌特征“跟蹤”攻擊者，持續地發現未知威脅，最終確保發現的未知威脅的準確性。

5.4.4 情報交付

為了將云端的攻擊發現成果傳遞到管理側，虛擬化安全威脅感知系統將所有與攻擊相關的信息（如攻擊團體、惡意域名、受害者IP地址、惡意文件MD5等）進行匯總，按照標準格式封裝成威脅情報，并通過加密通道推送到管理側的威脅感知系統。作為系統整個方案的核心內容，威脅情報承擔了連接互聯網信息和本地信息的重要作用，為APT事件在管理側的最終定位提供了數據線索和定位依據。

6 某大型企業的信息安全建設實踐

某大型企業在“十一五”期間，遵循國家信息安全戰略，提出了信息安全保障體系的建設需求，制定了信息安全防護體系總體策略，按照“雙網雙機、分區分域、等級防護、多層防御”的總體思路，建成了以“三道防線”為基礎的總體布防結構，初步建設了信息安全等級保護縱深防護體系，如圖4所示。

圖4 某大型企業的信息安全體系

在“十二五”期間，通過信息安全頂層設計，確立安全方針和策略，形成多層次、系統性的規范文件，并在規范文件的指導下，建立信息安全管理體系、技防體系和技術體系。

安全管理和各類防護措施進一步細化，持續完善管理與制度保障體系，建立有效管理機制，推進自主可控安全建設，開展人才隊伍管理與建設，從人才技術水平提升、技術裝備提升兩方面提升信息安全專業隊伍水平。

展望“十三五”，該企業充分考慮新技術安全需求與挑戰，提出了“可管可控、精準防護、可視可信、智能防護”的安全防護理念，強化了網絡與信息安全技術檢查、網絡與信息安全內控、網絡與信息安全基礎防護和信息安全動員等能力建設，對信息安全主動防御體系進行優化提升，為新技術應用安全防護提供技術路線，保障信息化戰略的創新演進，為信息安全防護體系創新提供了新動力。

7 結束語

新型國家信息安全形勢下，針對大型企業信息化建設進程中存在的風險、特性和實際訴求結合當前虛擬化網絡環境設計出一種基于大數據分析的虛擬化安全威脅感知系統。詳細闡述了企業信息安全工作需要考慮和關注的問題，提出了大型企業信息安全建設的總體思路，并列舉了某大型企業的信息安全建設實踐。大型企業信息安全防護，只有通過持續不斷地創新建設，不斷優化和完善企業信息化管理體系，遵守符合各種業務發展需要及國家行業政策的要求，才能使企業的信息安全保障能力和風險管控能力不斷提升到更高的水平。

[1]習近平總書記在網絡安全和信息化工作座談會上的重要講話[EB/OL].（2016-04-26）[2016-08-01].http://news.xinhuanet.com/ newmedia/2016-04/26/c_135312437.htm. President Xi’s important speech at the forum on network security and information technology[EB/OL]. (2016-04-26) [2016-08-01].http://news.xinhuanet.com/newmedia/2016-04/ 26/c_135312437.htm.

[2]互聯網時代的企業安全發展趨勢專題研究報告[EB/OL]. (2013-09-24)[2016-08-01].http://www.newhua.com/2013/0924/ 233390.shtml. Research on the development trend of enterprise security in internet era[EB/OL].(2013-09-24)[2016-08-01]. http://www. newhua.com/2013/0924/233390.shtml.

[3]閆世杰,陳永剛,劉鵬,等.云計算中虛擬機計算環境安全防護方案[J].通信學報,2015,11(1):15-36. YAN S J,XU Y G,LIU P,et al.Security protection scheme of computing environment of virtual machine in cloud computing[J]. Journal of Communications,2015,11(1):15-36.

[4]中國電子信息產業發展研究院.信息安全產業發展白皮書（2015版）[R].[S.l.:s.n.],2015. China Electronic Information Industry Development Research Institute.The white book of the development of information security industry(2015 edition)[R].[S.l.:s.n.],2015.

[5]DENI C.Acronis releases vmProtect 6 data protection for virtual machines[J].ProQuest,2013,11(3):1-23.

[6]TIM G.Start-up offers rootkit protection,partitions virtual machines[J].ProQuest,2013,5(2):24-44.

[7]SHI J,YANG Y,TANG C.Hardware assisted hypervisor introspection[J].Springerplus,2016,5(1):1-23.

徐影（1974-），女，北京聯合大學電信實訓基地講師，主要研究方向為計算機技術、信息安全。

吳釗（1972-），男，國網信息通信產業集團有限公司高級工程師，主要研究方向為信息化規劃、IT治理、信息安全。

李祉岐（1986-），男，北京國電通網絡技術有限公司工程師，主要研究方向為電力云計算系統架構、云安全。

Perception technology of virtual threat for large enterprise’s information security construction

XU Ying1,WU Zhao2,LI Zhiqi3
1.Beijing Union University,Beijing 100101,China 2.State Grid Information&Telecommunication Group Co.,Ltd.,Beijing 102200,China 3.Beijing Guodiantong Network Technical Co.,Ltd.,Beijing 100070,China

Facing with the rapid develop ment of the progress of the information construction,how to effectively achieve the risk prevention and control,in order to build the advanced,practical,safe and reliable information security system,is a severe test to every large enterprise.By analyzing the main characteristics of various security risks and the information security protection,which are faced by large enterprises in the information construction, the practical ideas for the construction of information security system was put forward.Furthermore,the threat that faced by the large enterprise’s virtual environment of information security construction was analyzed,a virtual threat perception system was destgned,which consists of threat intelligence platform,the local detection system and data analysis platform.

information security,security risk,security protection,threat perception

TP309

A

10.11959/j.issn.1000-0801.2016310

2016-11-10；

2016-12-08