助力“互聯網+”行動：解讀亞信安全的網絡安全—— 基于“互聯網+”行動背景下亞信安全的信息安全戰略與布局

2016-11-22 01:40:07崔傳楨

信息安全研究 2016年8期

□ 崔傳楨

□ 崔傳楨

亞信安全積極響應國家號召，成立雖然不到一年時間，但是已經取得了很好的成績。亞信安全放眼全球，重視核心技術，構建新興安全市場自主可控產品生態；亞信安全與有關政府和單位簽署戰略合作，全面拉開戰略合作序幕；亞信安全發布勒索軟件威脅報告并提出應對建議；亞信為政府、廣電、金融等行業的客戶提供了品質的安全服務；亞信安全幫助客戶建立深層次的縱深防御和自主可控的安全體系。亞信安全為網絡安全作出了重要的貢獻，2015年全球共發現24個零日漏洞，亞信安全就貢獻了11個，亞信安全的成立從整體上改變了全球網絡安全技術的格局。憑借雄厚的技術實力，亞信安全在云計算、大數據、虛擬化、安全態勢感知、移動安全及APT（高級持續性威脅）治理方面均實現了全球技術領先，也取得了云安全領域市場占有率第一的成績。為了進一步了解亞信安全在信息安全的戰略布局，本刊在炎炎的夏日，走近亞信安全深入了解。

中國從網絡大國向強國邁進核心安全技術需要“彎道超車”

當今世界，互聯網已經在人們的工作生活中占據了不可替代的地位，與此同時，網絡安全性因為維系著人們的利益而備受關注。經過20多年的發展，中國已經成為世界網絡大國，但在核心網絡安全技術方面，還落后于發達國家。沒有核心技術優勢，網絡安全將脆弱不堪一擊。

2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上指出：20多年來，我國互聯網發展取得的顯著成就中，包括一批技術方面的成就。目前，在世界互聯網企業前10強中，我們占了4席。在第二屆世界互聯網大會期間，筆者參觀了“互聯網之光”博覽會，來自全球的250多家企業展出的1000多項新技術新成果中，我們也占了不少，這令人高興。同時，我們也要看到，同世界先進水平相比，同建設網絡強國戰略目標相比，我們在很多方面還有不小差距，特別是在互聯網創新能力、基礎設施建設、信息資源共享、產業實力等方面還存在不小差距，其中最大的差距在核心技術上。互聯網核心技術是我們最大的“命門”，核心技術受制于人是我們最大的隱患。一個互聯網企業即便規模再大、市值再高，如果核心元器件嚴重依賴外國，供應鏈的“命門”掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊。我們要掌握我國互聯網發展主動權，保障互聯網安全、國家安全，就必須突破核心技術這個難題，爭取在某些領域、某些方面實現“彎道超車”。核心技術要取得突破，就要有決心、恒心、重心。有決心，就是要樹立頑強拼搏、刻苦攻關的志氣，堅定不移實施創新驅動發展戰略，把更多人力物力財力投向核心技術研發，集合精銳力量，作出戰略性安排。有恒心，就是要制定信息領域核心技術設備發展戰略綱要，制定路線圖、時間表、任務書，明確近期、中期、遠期目標，遵循技術規律，分梯次、分門類、分階段推進，咬定青山不放松。有重心，就是要立足我國國情，面向世界科技前沿，面向國家重大需求，面向國民經濟主戰場，緊緊圍繞攀登戰略制高點，強化重要領域和關鍵環節任務部署，把方向搞清楚，把重點搞清楚。否則，花了很多錢、投入了很多資源，最后南轅北轍，是難以取得成效的。

2015年12月15日，第二屆世界互聯網大會“互聯網之光”博覽會開幕式在浙江烏鎮舉行。中宣部副部長、中央網信辦主任、國家網信辦主任魯煒在開幕式上發表了題為“中國正在從網絡大國向網絡強國邁進”的致辭，他說互聯網在中國從無到有、從小到大、從大漸強，日益滲透到經濟社會發展的方方面面，目前中國擁有6.7億網民，超過世界網民總數的五分之一，已經成為名副其實的網絡大國。中國互聯網發展的輝煌成就，得益于中國改革開放的政策，得益于互聯網人的拼搏奮斗，得益于依法有效的管理，得益于我們堅持中國特色社會主義道路，得益于中國共產黨的堅強領導。

2016年4月25日下午，中央網絡安全和信息化領導小組辦公室組織召開企業家座談會，暢談習總書記在網絡安全和信息化座談會重要講話的體會感想和對政府推進網信工作的建議意見。亞信集團董事長田溯寧應邀參會，并與來自各行業共22名企業家們一起對習總書記的講話進行了回顧并分享了學習體會。會上，田溯寧代表亞信集團針對“談話”發表了學習體會和建議。他表示：“我們這代人的責任，就是不斷地豐富“網信事業”的內涵，對總書記的講話不斷地學習、理解和貫徹，有勇氣和想法讓中國成為網絡安全和信息化國際話語權的提出者和國際標準的制定者。

圖1 亞信集團執行董事長田溯寧先生

亞信積極學習總書記講話踐行“網信事業”旗幟下企業責任

亞信安全董事長何政說：正如習近平總書記講到的，網絡安全和信息化是相輔相成的，安全是發展的前提，發展是安全的保障。共筑網絡安全防線，是全社會共同的責任，企業更應首當其沖。亞信安全成立后的核心任務就是推進云安全、APT治理、移動安全、大數據安全、安全態勢感知等新興安全關鍵技術的自主可控。掌控國際領先的云安全關鍵核心技術和產品，將使中國在世界云安全產業版圖中占據重要位置，對于保障國家網絡安全與云產業安全，實施自主可控戰略，

具有重要和深遠的意義。

圖2 亞信安全董事長何政先生在研討會上發言

何政認為作為“網信事業”的核心之一，在信息安全領域，亞信安全則是亞信集團“領航產業互聯網”版圖中的重要業務板塊，尤其在其全面收購趨勢科技中國區業務之后，更讓亞信安全掌握了業界最高水平的網絡威脅防御技術以及最頂級的研發團隊。其意義和目標都對于推動亞信安全自可控的核心產品研發進程非常明確。亞信在通信行業具有領導者優勢，早在1995年，亞信在規劃第1代國內最早的互聯網時，就開始為客戶作網絡安全方面的規劃和集成服務。2015年通過對趨勢中國核心技術的收購，亞信安全目前已形成共計88款安全產品及服務的產業互聯網安全體系，構建了從終端到云端的安全可信鏈條。

與此同時，亞信安全在自控可控產業合作方面也迅速展開，與國家信息中心等單位達成戰略合作，旗下的服務器深度安全防護系統（deep security）正式支持國產麒麟Linux操作系統等一系列業務進展。而這恰恰說明，亞信安全雖然成立不久，但在我國全力發展“網信事業”的偉大進程中，承擔并踐行一個企業的重要責任。

圖3 亞信安全與國家信息中心戰略合作簽約儀式

重視核心技術構建新興安全市場自主可控產品生態

2015年9月1日，亞信科技與趨勢科技聯合發布公告，亞信科技收購趨勢科技在中國的全部業務，包括核心技術及知識產權100多項，同時建立獨立安全技術公司——亞信安全。亞信科技是電信軟件領域的領軍者，趨勢科技公司在安全方面則是全球企業，亞信安全由此正式誕生。

趨勢科技是全球虛擬化及云計算安全的領導廠商，連續多年蟬聯“全球虛擬化安全市場第一”，“全球服務器安全市場第一”以及“全球云安全市場第一”。在中國500強企業中，77%已經使用了趨勢科技的解決方案，其中包括70%以上的銀行、80%的證劵公司、65%的汽車制造商和50%的保險公司。趨勢科技云安全已經在全球建立了五大數據中心，幾萬臺在線服務器。云安全可以支持平均每天55億條點擊查詢，每天收集分析2.5億個樣本，資料庫第1次命中率就可以達到99%以上。借助云安全，趨勢科技現在每天阻斷的病毒感染最高達1000萬次。而亞信在給電信運營商、行業客戶和政府客戶服務過程中，已經積累了一套基于云計算的安全管理方案，可以很好地將趨勢科技中國積累的專利和技術資源進行整合。

亞信安全目前已組建了超過2000人的專業團隊，擁有超過2萬家的客戶，服務中國網絡安全產業。而亞信則將安全作為了產業互聯網戰略布局的一個重要板塊，亞信安全將獨立運營。過去亞信的安全主要集中在通信領域，隨著亞信進軍產業互聯網，向金融、醫療、制造、教育等板塊進軍是必然趨勢，通過從安全角度切入，為向產業互聯網進軍找到了一個切口。

亞信作為一家本土公司，在通信行業具有領導者優勢，非常重視自主可控技術的研發和創新。亞信于2013年提出產業互聯網的理念，開始戰略轉型，致力于成為產業互聯網的領航者。這與國家提出的“互聯網+”行動計劃高度吻合。

亞信安全的成立從整體上改變了全球網絡安全技術的格局。憑籍雄厚的技術實力，亞信安全在云計算、大數據、虛擬化、安全態勢感知、移動安全及高級持續性威脅（APT）治理方面均實現了全球技術領先，也取得了云安全領域市場占有率第一的成績。

掌控國際領先的云安全關鍵核心技術和產品，將使中國在世界云安全產業版圖中占據重要位置，保障國家網絡安全與云產業安全，實施自主可控戰略，為產業互聯網時代保駕護航。

“核心技術是國之重器”，基礎技術、通用技術，非對稱技術、‘殺手锏’技術，前沿技術、顛覆性技術。這三大核心技術，在中國有很大發展空間，要想在未來實現中長期持續追趕，尤其要發展“殺手锏”技術。亞信安全的自主可控核心產品研發與產業合作迅速展開，核心任務就是發展著眼于未來的“殺手锏”，推進云安全、APT治理、移動安全、大數據安全、安全態勢感知等新興安全關鍵技術的自主可控。但是，光掌握了核心技術還不夠，還需要與更多的合作伙伴合力同心，協同攻關，實現“命運共同體”的建設目標，進一步實現在前沿技術層面、在國際舞臺上占有一席之地，實現根本上的自主可控。

圖4 亞信安全董事長何政先生

目前，亞信安全通過團結更多安全力量，以開放的姿態建設云安全生態圈，已經與華為、浪潮、曙光、中電華云、紅山、中標軟件、VMware、Citrix、亞馬遜AWS、微軟、Dell等國內外頂級云計算產品及平臺公司達成了戰略合作伙伴關系，與合作伙伴形成合力，通過產品合作、渠道共建的方式，打造信息安全產業生態鏈。隨著“互聯網+”與傳統產業的深入融合以及供給側改革的持續推進，創新的信息化技術已經融入到政企單位的業務流程之中，網絡安全領域的自主可控問題也隨之凸顯。要滿足自主可控的需求，除了嚴格要求網絡安全服務提供商的資質之外，關鍵是要做到核心技術的自主可控。亞信安全作為云與大數據安全的技術領導者從誕生之初，就已經擁有了純正的自主可控之“心”。

（1）擁有中國最早最大的病毒響應中心，實現完全本地化安全服務

亞信安全從2015年完成對趨勢科技中國區業務整合之后，不僅在企業內核上實現了完全的國產化，還對趨勢科技在中國的全部業務、核心技術、產品著作權進行了完整收購，從本地化技術研發、安全服務、戰略合作等多個層面著手，全面地推動自主可控進程。

目前，亞信安全擁有中國最大的病毒響應中心。早在2008年，原趨勢科技中國就建立了中國病毒安全響應中心，可以讓中國區病毒得到更快的響應和處理。同年，在國家計算機病毒應急處理中心也設立了專門辦公室，為國內用戶提供及時有效的安全病毒響應服務。考慮到病毒在各個國家和地區存在樣本特殊性的問題，原趨勢科技中國還專門設立了網絡安全監測實驗室，實現安全服務完全本地化。隨著趨勢科技中國業務并購，這些病毒響應中心和實驗室全部并入到亞信安全。而截至目前，亞信安全在南京和北京的兩大研發中心，已經吸納了共2000多位專業安全工程師，實現了完全自主化的研發與管理。

亞信安全為網絡安全作出了重要的貢獻，2015年全球共發現24個零日漏洞，亞信安全就貢獻了11個。亞信安全CEO張凡指出：“在亞信安全成立的這段時間，推進自主可控進程始終是我們的核心任務。我們不僅實現了核心網絡安全技術的自主化，還與政府、本土教育和產業機構達成了廣泛的合作。

（2）打造全球領先、自主可控的網絡安全產品體系

亞信安全業務發展與產品研發總經理童寧談到：“在大數據、云計算、物聯網等創新技術的大規模落地過程中，網絡安全威脅不僅沒有消失，反而愈演愈烈，勒索軟件、惡意移動軟件、APT攻擊等網絡攻擊對政企客戶的網絡安全防護能力構成了嚴重的考驗。這就要求政企客戶在確保IT設備與信息安全產品自主可控的前提下，準確識別云計算和大數據環境下的安全威脅，全力打造立體化、智能化安全架構，形成主動有效的縱深防御體系，才能有效地防范不斷精進的網絡安全威脅。”亞信安全基于在網絡安全技術領域的深厚積累，以及領先的網絡安全研發能力，可以在安全威脅日新月異的背景下，為政企客戶提供全生命周期、與時俱進的安全防護能力。

目前，亞信安全已經擁有88款安全產品及服務的產業互聯網安全體系，其獨立研發的自主可控產品線可以構建從終端到云端的安全可信鏈條。

圖5 亞信安全CEO張凡先生在發言

隨著BYOD等移動化部署模式在更多組織的落地，如何防護移動安全威脅、保護機密數據就成為了棘手問題，亞信安全移動安全專家劉政平指出：“要想在BYOD模式下確保移動數據安全，關鍵是要做到企業數據與個人數據的分離，亞信安全虛擬手機（VMI）解決方案是一種基于服務器虛擬Android系統的內核級虛擬化技術，采用了虛擬移動基礎架構（virtual mobile infrastructure），確保移動應用數據不出數據中心，移動辦公數據不落地，可以為員工提供一個專為移動設備設計的安全虛擬工作區，從而有效保障企業數據的機密性，同時也能提升員工的工作滿意度。”

為了給政企用戶帶來更強大的安全防護能力，亞信安全不斷強化網絡安全技術的創新。亞信安全網絡安全事業部副總經理安軒曉荷介紹了在大數據安全方面的最新進展。他指出：亞信安全正在通過大數據存儲的方式存儲系統日志、網絡信息等數據，建立數據底層構架，將亞信安全自身有關安全分析的經驗、匹配規則和大數據技術結合形成一種分析體系，提升對于安全威脅的態勢感知能力。

（3）打通產學研鏈條，鞏固國家安全戰略基石

信息安全已成為國家戰略安全的核心要素，是產業互聯網、中國制造2025、智慧城市等戰略實施的堅強基石。企業是科技研發主體，為了推動我國網絡安全技術水平的提升，亞信安全與國家信息中心達成戰略合作，與成都市政府共同建設信息安全公共服務平臺及云安全實驗室、攻防實驗室，與哈爾濱工業大學共同組建“亞信-哈工大安全攻防實驗室”，強強聯合，打通產學研鏈條。

2015年10月，國家信息中心與亞信安全達成戰略合作，雙方在信息安全研究、信息安全產品及服務、政務外網安全技術等方面展開全方位合作。此次合作象征著政企共同努力推動國家實現信息安全自主可控技術發展的重要實踐。

2016年3月，成都市人民政府與亞信安全簽署戰略合作協議。成都市政府將大力支持亞信安全在成都的發展。雙方未來將在網絡安全、大數據、產業互聯網領域開展多種形式的合作，共同建設信息安全公共服務平臺及云安全實驗室，著力開展社會服務，培育信息安全產業生態。

2016年4月，亞信安全與哈爾濱工業大學正式簽署戰略合作協議，雙方將共同組建“亞信-哈工大安全攻防實驗室”。實驗室將以安全攻防技術為核心，圍繞互聯網攻防、域名體系安全、云計算安全、安全滲透與加固服務、大數據安全等方面進行深入的研究與合作，幫助企業與個人消費者更好地保護信息安全。

圖6 亞信集團與成都市政府簽署投資合作協議

（4）與合作伙伴協力打造自主可控市場生態

領先的網絡安全產品與技術為亞信安全贏得了巨大的市場空間。統計數據顯示，在虛擬化安全市場、服務器安全市場、云安全市場、電信運營商安全管理軟件與服務市場，亞信安全已排名全國第一。在中國500強企業中，目前77%已經使用了亞信安全的網絡安全解決方案。今年4月，英國著名品牌評估機構Brand Finance發布“全球銀行品牌500強排行榜”，中國上榜銀行為11家，其中采用亞信安全產品與解決方案的就達到了9家。

如今，云計算的快速發展，不但改變了科技行業原有的技術路線，更是改變了既有的產業格局。2016年7月19日，全球云與大數據安全領域領導者亞信安全與新IT解決方案領導者新華三集團（簡稱新華三）聯合宣布，雙方將在產品創新、技術服務、渠道營銷等領域展開全面的戰略聯盟合作，積極提升我國云計算應用安全管理水平，共同幫助企業級用戶應對不斷演化的網絡威脅。作為戰略合作的重要開端，亞信安全服務器深度安全防護系統（Deep Security）已經成為H3C CAS虛擬化平臺重要的核心管控模塊，可為云計算租戶提供了更加靈活、便捷、高效的云數據中心運行環境。

圖7 亞信安全與新華三達成戰略合作

亞信安全與新華三的合作，將對我國云計算產業健康發展意義重大。對此，亞信安全CTO張偉欽表示：新華三是全球領先的新IT解決方案領導者，云計算的實踐步伐上也已經走在了市場的前列，不僅在計算虛擬化、網絡虛擬化、存儲虛擬化方面有著非常明顯的創新技術能力，更是國內私有云和行業云方面的探索和實踐者。通過產品融合，亞信安全的虛擬化和云安全技術，以及大數據網絡風險治理能力，可以為H3C云基礎設施提供安全與性能、規模和效率的統一，為更多的行業用戶提供自主可控、安全可信的云數據中心運行環境。

隨著國產化替代進程的不斷深入，國內的自主可控市場逐步展現出蘊藏的巨大市場機遇。亞信安全積極地與業界安全廠商進行合作，希望可以與合作伙伴協力，通過產品合作、渠道共建的方式，打造信息安全產業生態鏈。將技術支持與配套服務覆蓋全國，深入到每個行業用戶的具體項目中，為用戶提供更廣泛的服務，共同打造零風險的網絡世界。

圖8 亞信安全與哈爾濱工業大學合作設立實驗室

勒索軟件增長超67倍亞信安全發布報告及應對建議

亞信安全近期發布了最新的勒索軟件風險研究報告，其中分析了2015年9月至2016年6月的勒索軟件增長以及防治態勢。報告指出，在監測的10個月內，全球傳播的勒索軟件數量增長了15倍，中國勒索軟件數量增長更是突破了67倍，這凸顯了勒索軟件日益嚴峻的威脅形態。亞信安全提醒企業用戶，要將勒索軟件治理策略擺在更重要的位置，并在電子郵件與網頁、終端、網絡、服務器等多個層面搭建完整的多層防護機制，以保護企業信息資產的安全不受侵犯。

（1）勒索軟件出現爆發式增長，中國成為重災區

報告顯示，在2015年9月至2016年6月期間，勒索軟件出現了爆發式增長，亞信安全在全球范圍內監測到的勒索軟件數量從不足100萬增長到如今的1500萬。對于國內用戶來說，此報告還透露了一個尤為危險的信號：在中國傳播的勒索軟件已經從過去的可以忽略不計，增長到如今的數以萬記，通過網頁鏈接（URL）檢測的勒索軟件數量從283個增長到18990個，增長超過67倍，并成為勒索軟件感染最嚴重的10個國家之一。如圖9所示。

而且，勒索軟件威脅有很大的可能在未來幾個月繼續蔓延，亞信安全技術總經理蔡昇欽說：與其他網絡安全威脅一樣，勒索軟件在發展初期主要集中在歐美國家，但是隨著中國互聯網經濟的繁榮，以及更多本地化勒索軟件攻擊套件的發布，會有更多的中國用戶成為勒索軟件的受害者。因此，國內企業用戶需要密切關注網絡威脅的發展動向，并提早部署安全有效的防御措施。

圖9 中國區勒索軟件的增長情況（URL檢測）

（2）電子郵件與URL成為“最受歡迎”的傳播方式

從報告中還可以發現，在過去10個月中，勒索軟件主要是通過電子郵件、URL、文件這3種方式進行傳播。其中，通過電子郵件傳播的勒索軟件數量出現了較為顯著的增長，占比從不足5%增長到46%，僅次于通過URL傳播的比例（52%）。

據亞信安全中國病毒監測實驗室分析：電子郵件與URL是勒索軟件傳播者尤為喜歡的2種傳播途徑，主要是因為這2種方式簡單有效，通過大規模群發的方式，不僅能夠降低傳播成本，還便于利用社交工程攻擊的方式來吸引更多人點擊。而且，這2種方式要比很多人想象中的更有效果，因為黑客會利用漏洞攻擊套件(exploit kit)攻擊操作系統及應用程序的漏洞，若用戶電腦沒有更新補丁，只是瀏覽一般網頁就可能會被勒索軟件感染。

（3）防范勒索軟件威脅，多層防護機制是關鍵

由于勒索軟件可以通過多種途徑來傳播，因此基于單一層面的防護機制都無法有效防范勒索軟件。亞信安全發布的勒索軟件風險研究報告同樣顯示，在綜合部署電子郵件、URL、文件等多層防護機制之后，在防護邊界對于勒索軟件的檢測率可以達到99%。如圖10所示：

圖10 多層防護機制可檢測出99%的勒索軟件示意圖

勒索軟件作者會不斷改變程序代碼來繞過過濾程序，并且嘗試通過電子郵件、URL鏈接、文件等多種方式來入侵網絡。同樣，黑客也開始將惡意軟件目標放到服務器基礎設施上，與最近攻擊醫療行業的‘SAMSAM’雷同，它們無需與C&C 服務器聯系也能加密檔案。簡言之，并沒有萬靈丹來防止這類網絡威脅，企業用戶需要盡可能地降低風險，并通過多層防護機制來進行檢查和攔截。

（4）亞信安全建議用戶從以下幾個維度入手，構建深層次的防御體系

文件：企業最好采取3-2-1規則對重要文件進行備份，即至少做3個副本，用2種不同格式保存，并將副本放在異地存儲。此外，亞信安全還推出了針對勒索軟件加密文件的解密工具，可以有效應對CryptXXX，TeslaCrypt，SNSLocker，AutoLocky等流行的勒索軟件及其變種的加密行為。

電子郵件和網頁：部署涵蓋惡意軟件掃描和文件風險評估、沙箱惡意軟件分析技術、文件漏洞攻擊碼偵測、網頁信譽評估技術在內的防護技術，偵測并封堵通過電子郵件和網頁進行攻擊的勒索軟件。

終端：少部分勒索軟件可能會繞過網絡/電子郵件防護，這也是為什么終端安全防護十分重要的原因，終端防毒系統可以監視可疑行為、配置應用程序白名單和使用弱點防護來防止未經修補的漏洞被勒索軟件利用。亞信安全防毒墻網絡版（OfficeScan）的Aegis行為檢測功能可以檢測部分的勒索軟件加密行為，并能夠對未知勒索軟件的防御起到積極作用。

網絡：勒索軟件也可能通過其他網絡協議進入企業網絡進行散播，因此，企業最好部署能夠對所有網絡流量、端口和協議進行高級偵測的網絡安全防護系統，來阻止其滲透和蔓延。

服務器：通過虛擬補丁防護方案，來確保任何尚未修補漏洞的服務器，有效防范“零日攻擊”。

網關：在網關層面進行有效攔截，是企業最經濟型的防御體系。亞信安全深度威脅安全網關Deep Edge具有極其簡潔的部署和管理方式，但卻包含了最重要的勒索軟件攻擊抑制能力。其擁有專門針對加密勒索軟件、C&C違規外聯及可疑高級惡意程序的監控窗口，還改進了和亞信安全深度威脅發現設備（TDA）及亞信安全深度威脅分析設備（DDAN）的產品聯動，能夠通過偵測、分析和攔截功能的融合，建立針對加密勒索軟件攻擊路徑的有效“抑制點”。

亞信安全的客戶解決方案和案例

（1）政府行業電子政務外網網站系統安全解決方案

挑戰：近年來政府大力推行“互聯網+政務服務”，讓居民和企業少跑腿、好辦事、不添堵。網上信息發布、網上申請、網上受理、在線審批、在線咨詢等網上業務快速發展，信息系統越來越與公民權益、社會秩序、公共利益緊密相關。然而，網站安全事件時有發生，一些政府網站時常被入侵、漏洞攻擊導致網站頁面被篡改，還受到SQL注入、跨站攻擊等威脅導致被錯誤地重定向數據庫或數據失竊。

2014年12月國辦發〔2014〕57號文，國務院辦公廳要求在中央和地方2個層級集約化建設統一的政府網站技術平臺，新的技術平臺上大量應用虛擬化資源池、云計算平臺，這些網站系統更面臨資源沖突、不同安全等級的虛擬機非法訪問等新的風險。

解決方案：根據政府網站面向公眾提供查詢、交互等業務的特點，充分考慮到操作系統版本各異，混合了物理機、虛擬化平臺的復雜環境，我們建議采用基于數據中心的統一的安全解決方案，即通過服務器深度安全解決方案Deep Security全覆蓋數據中心業務系統。在物理機上部署代理客戶端程序，在虛擬化平臺上通過基于業務虛擬機無代理方式，實現防惡意軟件、入侵防御、虛擬補丁、防火墻、完整性監控等功能，保障網站業務系統安全平穩運行。

解決方案的價值：基于Windows，Linux等多平臺的網站系統全面覆蓋、統一管理；通過虛擬補丁技術防范零日漏洞攻擊，保障網站系統7X24h安全運行；基于虛擬化平臺無代理的防護模式，減少資源占用、節省管理運維成本；防病毒、入侵防護、防火墻等功能有效地滿足公安部提出的等級保護要求。

（2）金融行業ATM設備解決方案

面臨的挑戰：

1）ATM面臨的病毒威脅

① Windows系統帶來的病毒威脅。ATM系統全部都是基于微軟的Windows系統，那么ATM的操作系統也會面臨目前計算機所面臨的病毒問題。特別是近年來針對Windows漏洞所進行的網絡蠕蟲攻擊。

② 網絡互連加速病毒傳播。ATM系統本身就是一個網絡，所以一旦某臺ATM設備感染病毒，將有可能迅速感染到其他的ATM設備，這將起到連鎖的破壞作用。

③ ATM維護帶來的威脅。ATM設備需要定期進行維護，在維護的過程中，會進行數據交換，比如采用USB移動存儲介質，或者是使用筆記本電腦直接連接等等，這些維護的方法都有可能導致自助機具感染病毒。

2)現有ATM防護方案的不足

①缺乏專門針對ATM的病毒防護產品。目前所有解決方案主要針對桌面PC操作系統，此方案很難保證其兼容性。

② 缺乏對ATM網絡中病毒傳播的控制。目前的防護體系沒有針對每臺ATM嚴格的訪問控制策略，一旦有ATM或者業務網內的機器感染病毒就可能傳播到其他ATM。

③ 缺乏智能化的ATM補丁更新系統。

● 操作系統有對應補丁：微軟公布補丁之后到ATM獲得防護需要非常長的時間，而在這段時間內，ATM系統無法防御針對這些漏洞攻擊的病毒而存在嚴重的安全隱患；

● 操作系統無對應補丁：針對Windows XP等微軟已經停止提供系統補丁的操作系統，ATM系統將無法防御針對這些漏洞攻擊的病毒而長期存在嚴重的安全隱患。

解決方案：根據ATM的防御特性，亞信安全提出了自助機具深度防御架構體系。如圖11所示：

圖11自助機具深度防御架構體系圖

自助機具深度防御系統由2部分組成：部署在總行數據中心的自助機具深度防御系統服務器和各ATM上部署的客戶端程序。

解決方案的價值：

1）較小的系統資源占用

自助機具深度防御方案是特為ATM設計的定制方案，在確保為ATM提供全面防護的同時，系統內存的占用不超過50MB，完全可以部署在內存256MB及以上的ATM上。

2）良好的兼容性

自助機具深度防御方案為企業提供的病毒碼是有別于標準的桌面病毒防御軟件的病毒碼，它更精準同時測試更為嚴格，可很大程度上地避免ATM的兼容性問題。

3）顆粒化更細的網絡訪問控制功能

自助機具深度防御方案能為每臺ATM設計單獨的訪問控制列表，可確保每臺ATM僅能與必須通信的其他機器通信而減少病毒感染的概率。同時通過集中的控制臺部署也非常的簡便。

4）強大的虛擬補丁功能

自助機具深度防御方案提供具有和安裝補丁相同功效的虛擬補丁功能，可以使ATM獲得補丁防護的同時也不改變系統文件。總部完成兼容性測試之后，可以通過控制臺直接把策略推送到所有的ATM終端，策略大小僅為幾KB，不會對現有的ATM通信產生影響，同時也不需要重啟機器。

5）更專業的原廠服務

ATM作為金融行業提供對外服務的金融終端設備，時刻代表著相關銀行的企業形象，任何和ATM相關的安全事件都應該第一時間得到解決。亞信安全是目前國內唯一能為用戶提供原廠專屬服務的防病毒廠商。

（3）客戶應用案例

1）浙江廣播電視集團構建移動應用平臺 “安全第一”讓云存儲釋放無限潛能——亞信安全企業安全云盤（SafeSync）滿足廣電行業音視頻實時預覽需求。

客戶訴求：

● 構建出一套便捷、高效、安全的移動應用平臺；

● 在確保數據安全性的前提下，發揮移動互聯

技術的創新力。客戶環境：

● 浙江廣播電視集團正面臨傳統媒體和新興媒體加速融合期，挖掘移動互聯網資源成為突出需求；

● 由于廣電業務的特殊性，“安全第一、應用

主導、利舊整合”成為建設總綱。使用產品：

亞信安全企業安全云盤SafeSync（SafeSync for enterprise）。

使用效果：

● 讓集團內四處分散的文件集中至可控管的空間；

● 實現高清超大視音頻數據的實時預覽；

● 確保全面的數據安全。

隨著新形態多媒體的崛起，廣電行業不僅對數據容量的要求越來越高，數據的安全性也至關重要。為了在數據的處理能力上實現突破，浙江廣播電視集團（以下簡稱：浙江廣電）選擇了亞信安全企業安全云盤SafeSync，構建出了一套支持手機與PC數據同步、大文件云端分享、團隊協作共享、郵件附件云存儲等便捷、高效、安全的移動應用平臺（見圖12）。

圖12 浙江廣電移動應用平臺網絡拓撲圖

① “安全第一”的移動應用平臺

隨著無線網絡技術的推進以及移動互聯網終端不斷普及，占領信息傳播制高點，挖掘移動互聯網資源成為當前廣電行業的共識。在此大背景下，浙江廣電決定進一步提升集團的信息化水平，打造符合時代和應用需求的移動應用平臺。在對業內先進的云計算解決方案和產品進行充分調研之后，浙江廣電信息中心為移動應用平臺確定了“安全第一、應用主導、利舊整合”的建設總綱。

打造網絡層的“安全地帶”：由于廣電業務的特殊性，浙江廣電需要通過互聯網接入區域設立DMZ高安全區，在無線互聯網區和集團局域網不同安全域間構造一個“安全地帶”。

框架兼顧“便捷與安全”：“安全第一”是建設總綱之首，移動應用平臺需要從開發環境保障系統的數據安全。另外，浙江廣電還考慮到公有云環境下運維管理的自主性、空間擴展等可能在后期遇到限制性問題。

② 在“公和私”之間的取舍

基于以上問題和風險的存在，新建立的移動應用平臺，不但要實現支持大文件云分享、跨系統實時同步、團隊協作，更應在網絡架構加強訪問控制，在數據存儲上實現加密和防泄漏功能。在綜合評估之后，浙江廣電最終決定采用亞信安全企業安全云盤SafeSync，作為移動應用平臺應用便捷、安全牢固的底層支柱。

首先，浙江廣電借助亞信安全企業安全云盤SafeSync，構建了獨立的私有云存儲系統，可以讓集團內四處分散的文件集中至一個控管的空間，并提供文件自動備份及隨時隨地的同步功能，這讓集團的數據能力在云端得到成長。另外，浙江廣電以亞信安全企業安全云盤SafeSync為數據存取基礎平臺，采用開源跨平臺的技術組合，實現高清超大視音頻數據的實時預覽，可以讓用戶更便捷、實時地分享到視音頻文件。最重要的一點，浙江廣電移動應用平臺采取了高安全性的加密設置，并在數據防泄密保護功能上實現了歷史版本恢復和用戶權限管理。同時，其獨特的病毒防護和數據泄露保護技術，能防止因遺失、失竊、病毒或設備故障所造成的數據損失。

③ 無處不在的云存儲

為了解決集團用戶信息訪問無處不在、安全無處不在的需求，云存儲平臺采用了“終端接入層+ 應用服務器云層+ 存儲數據交換層+ 云存儲數據單元層”核心硬件體系，以及亞信安全企業安全云盤SafeSync軟件應用和防護體系。如圖13所示：

圖13 浙江廣電云存儲結構圖

其中終端接入層包括有線接入和無線接入，可以將用戶的需求提交給位于應用服務器云層的云盤；應用服務器云層用來支持云盤應用服務，提供上傳下載、存儲管理、對象操作等功能，同時對外提供訪問接口；存儲數據交換層采用雙鏈路結構，存儲交換機進行雙點配置；云存儲數據單元層可以對存儲服務器組成的云存儲集群池資源進行有效管理。

該平臺建設完成之后，滿足了集團用戶對于通過移動類終端進行數據的傳輸、存放、遷移和備份等多種訴求。浙江廣電可以充分發揮互聯網資源和時空優勢，推進節目形態及內容生產。而隨時隨地的辦公，既提高了工作效率，更為浙江廣播電視集團實現新一輪發展打下扎實的創新基礎。

2）亞信安全服務器深度安全防護系統讓虛擬化“既穩又快” 助力中信證券實現業務連續性管理

客戶訴求：

● 全面化解虛擬機防毒掃描風暴（AV storms）難題；

● 讓業務連續性管理水平不斷提升。

客戶環境：

● 信息技術中心對自身的IT 基礎架構進行了虛擬化改造；

● 虛擬化安全變成網絡中的防護弱點，影響業務連續性。

使用產品：亞信安全服務器深度安全防護系統（deep security）

使用效果：

● 消除防毒掃描風暴，可以最大限度地設計虛擬機密度；

● 解決防護間隙的難題，讓更多的業務應用匯聚于虛擬化數據中心。

作為提升信息化效率、降低成本的重要手段，虛擬化是每一個企業在信息化道路上所必需跨過的一道門檻。為了全面推進虛擬化進程，避免安全失控的風險，中信證券股份有限公司（以下簡稱: 中信證券）攜手中國云與大數據的安全技術領導者亞信安全，采用無代理特性的亞信安全服務器深度安全防護系統，全面化解虛擬機防毒掃描風暴難題，在虛擬化安全統一管理平臺上實現了更穩、更快的目標，讓業務連續性管理（business continuity management，BCM）水平不斷提升。

① 穩定第一,但不能放棄“性能”

作為一家知名的全國性綜合類證券公司，中信證券在統一營業部系統、開通網上交易、實現廣域網連接、數據中心虛擬化等方面，都在我國證券行業處于“旗標”位置。隨著中信證券對虛擬化技術的深入探究，信息技術中心對自身的IT 基礎架構進行了虛擬化改造，在北京、深圳、青島三大數據中心搭建了虛擬化平臺，并將測試網中大部分服務器遷移到了VMware 虛擬化平臺。

在堅持守法合規經營、嚴格控制各類風險的規劃目標下，中信證券對應用測試環境的部署效率，以及測試與生產環境一致性的要求變得越來越高。而在40 多臺VMware ESX 服務器上，既要實現1:50 的虛擬機密度，又要同時保護千余臺虛擬機的安全運行，這讓運維部門工作壓力越來越重。

據中信證券信息技術中心的工程師介紹：虛擬化系統在響應速度和性能方面的表現，將直接關系到最終用戶在使用相關服務時的用戶體驗，這可以說是中信證券服務質量中最重要的一環。但由于傳統防病毒軟件不是針對虛擬化而設計的，虛擬機上安裝傳統防病毒軟件后，當所有的虛擬機進行預設掃描時，VMware 虛擬化平臺的CPU 利用率、I/O讀寫等都變得非常高，訪問延遲讓人無法接受。因此，虛擬化安全已經變成了網絡中的防護弱點，更是保障業務連續性不得不面對的挑戰。

② 聚焦“無代理”特性,亞信安全服務器深度安全防護系統屢立戰功

對中信證券來說，提前一步發現了虛擬化防毒可能帶來的“性能銳減”問題，對全面推進并最終在生產網絡上實現虛擬化架構則是“一件好事”。這可以提前把虛擬化安全風險降至最低，讓安全策略與防毒管理提前適應架構的變化。

為此，中信證券對市場上所有防毒軟件的功能進行了綜合評估，同時也與VMware 廠商的資深工程師對原有傳統病毒防護軟件“不適應性”進行了分析。最終，中信證券信息技術中心將目光鎖定在基于無代理特性的亞信安全服務器深度安全防護系統身上。

首先，亞信安全服務器深度安全防護系統的無代理防病毒解決方案集成了VMware 的vShield Endpoint 技術接口，使VMware 虛擬化平臺上的所有虛擬機無需安裝任何軟件就能對病毒、間諜軟件、木馬等威脅進行查殺；

其次，亞信安全服務器深度安全防護系統有效降低了虛擬機并發全盤掃描、病毒庫更新時對VMware 虛擬化平臺產生的大量資源消耗，不存在防毒掃描風暴的問題；

最后，管理員不但可以利用亞信安全服務器深度安全防護系統發現藏匿在虛擬網絡中的惡意流量，同時還可以利用 VMware的vShield 技術來保護處于運行狀態和休眠狀態的虛擬機。

據了解，中信證券為保障生產網萬無一失，首先在測試網部署了亞信安全服務器深度安全防護系統，并對其防護效果、性能、穩定性及兼容性進行測試評估，為虛擬化推至生產網絡做足了準備。從2012 年底至今，亞信安全服務器深度安全防護系統穩定運行并在測試網中屢次“殺毒立功”，而安全防護系統在進行殺毒時所占資源比使用傳統防病毒軟件有明顯減低，隨著虛擬機數量的增加，性能方面的優勢則更加明顯。

正因如此，中信證券信息技術中心對亞信安全服務器深度安全防護系統的防毒效果給出了極高的評價：“亞信安全服務器深度安全防護系統為我們提供了防惡意軟件、Web 信譽、防火墻、入侵阻止、完整性監控和日志檢查，在簡化安全操作的同時，大幅提升了虛擬化項目的投資回報率。這些都幫助我們徹底走出虛擬化的嘗試階段，可以最大限度地設計虛擬機密度。未來，中信證券將采用亞信安全服務器深度安全防護系統的虛擬補丁功能，來解決防護間隙（instant-on gap）的難題，讓更多的業務、更多的應用匯聚于新一代的虛擬化數據中心。”

縱深防御，自主可控讓用戶“安心”

在“互聯網+”的發展大潮中，創新發展和信息安全保護是一體之兩翼，遵循信息系統安全等級保護要求，實現關鍵系統與設備的自主可控對于維護國家信息主權，降低安全風險有著重要意義。目前，亞信安全通過對云安全、APT治理、移動安全等新興安全關鍵技術的自主掌控，立體化的安全縱深防御解決方案，在安全等級保護市場不斷拓展。

（1）安全威脅持續精進，等級保護建設亟待推進

如今是技術創新高速增長的時代，安全威脅的種類和數量不斷刷新紀錄。亞信安全發布的《2016年信息安全威脅預測報告》認為，2016 將是網絡勒索之年，網絡勒索集團將會想出更多新的方法來針對個別受害者的心理，每一次的攻擊會變得更“個人化”。而激進主義黑客攻擊、移動惡意程序在明年也將不斷增長，網絡不法分子將采取更先進、更具針對性的方式來進行網絡攻擊。互聯網上的Web病毒和木馬、APT攻擊等威脅變幻莫測，給政府、企事業組織的信息系統帶來了嚴重的安全隱患。

亞信安全研究院報告指出：在網絡攻防中，黑客并非總是會采取固定不變的攻擊套路，而是會根據企業的安全防御措施而改變攻擊方式。因此，盡管網絡安全技術在不斷進步、網絡安全投入迅速提升，但重大的安全事件仍然時有發生。

在當前安全威脅不斷精進的環境下，加快推進信息安全等級保護工作就成為了當務之急，其面向政府、電力、石化、能源、金融等國內的信息敏感行業，要求不同安全等級的信息系統應具有不同的安全保護能力，為信息安全建設制定了一個明確的規范。通過進一步完善企業信息安全管理制度和技術措施，提高信息安全管理水平，增強安全防護能力，減少安全隱患。

為了形成信息系統的完整性可信鏈條，政府出臺了大量引導政策，國家信息中心、公安部等單位也著手編訂了《政務云安全技術要求與實施指南》、《信息系統安全等級保護基本要求云計算安全技術要求》等相關標準，這推動著等級保護市場的迅速擴展。有專家預測，等級保護市場的規模將達到數百億，增長潛力巨大。

亞信安全CEO張凡表示：要滿足等級保護的要求，不僅要實現信息設備的自主可控，還要將安全規劃和建設整合到業務系統中，從結構安全、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備加固等方面同時著手。亞信安全的優勢在于建立了非常完善的網絡安全服務體系，可以從各種層面幫助用戶防御網絡安全威脅，讓用戶在系統上線的第一時間就能得到完整的安全防護。

（2）亞信安全為“等保”建設苦練“內功”

我國的信息安全等級保護制度在不斷成熟的過程中，已經完善了網絡安全頂層設計，加強了對國家級重要信息系統的安全保障。在自主可控的發展過程中，亞信安全不斷修煉“內功”，體現出了在自主可控和安全技術2個層面的強大競爭優勢，并不斷拓展等級保護市場的能力和規模。

在自主可控層面，亞信安全通過收購全球最大的獨立安全軟件廠商趨勢科技的中國業務后，迅速推動了關鍵技術與應用的本地化進程，不僅通過在南京、北京2個自主的研發中心來支撐完全本地化的安全服務，還與國家信息中心、成都市政府、哈爾濱工業大學等單位建立了密切的合作關系，在安全實驗室以及基礎研發層面進行了大量的落地工作，實現了核心技術的本土化，完全滿足了自主可控的需求。

在安全技術與產品層面，作為中國領先的云與大數據安全技術、產品、方案和服務供應商，亞信安全在網絡安全領域沉淀了豐富的研發經驗，并擁有全球領先的云安全產品。通過亞信安全防毒墻網絡版（OfficeScan）、定制化智能防御（custom defense from targeted attacks）、深度威脅發現平臺（deep discovery，DD）等領先的產品，可以與亞信安全其他的網關、虛擬化、服務器以及終端安全防護產品整合,幫助用戶全面防御網絡中流竄的各種威脅，打造立體化的威脅防御體系。

（3）云安全技術為“等保”建設縱深防御體系

近年來，亞信安全在政府與行業市場的等級保護建設工作中取得了良好的進展。成功中標了中智集團、北醫三院、廣東移動等的等級保護項目，為用戶的網絡安全構建了縱深防御體系。

北醫三院相關技術負責人表示：亞信安全具備獨有的云安全技術架構和旗下眾多云安全集成產品，可以幫助我們建立最可靠的信息安全威脅防御體系，我們采用了亞信安全的OfficeScan以及IWSA，其能夠有效地在網絡邊界處對惡意代碼進行檢測和清除，維護惡意代碼庫的升級和檢測系統的更新，產品的技術領先性、統一管理功能，以及相關人員的服務能力都得到了我們的認可。

亞信安全還為國家信息中心等政府單位提供了亞信安全4A統一安全管理平臺（融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計），通過高度定制化的整體解決方案，涵蓋單點登錄（SSO）等安全功能，完成云管理系統和政務外網電子認證系統集成、密鑰基礎設施集成接口研制，既能夠為實驗室提供功能完善的、高安全級別的4A管理，也能夠為各級電子政務外網用戶提供符合信息安全等級保護的內控要求。

亞信安全積極構建安全防御體系和全球化的安全服務，以降低系統風險，應對全球網絡威脅，將繼續堅持以自主可控的核心技術為重點，并致力于全球的網絡安全。

鳴謝：亞信安全公關總監劉婷婷女士、政府事務經理周華女士為本文提供支持。

崔傳楨

《信息安全研究》雜志執行主編，主要研究方向為國家戰略、財政金融管理與創新、網絡空間安全、戰略與管理創新。cctz@vip.sina.com

?本刊評論

核心技術——信息網絡安全的守護神

習近平總書記指出：一個互聯網企業即便規模再大、市值再高，如果核心元器件嚴重依賴外國，供應鏈的“命門”掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊。我們要掌握我國互聯網發展主動權，保障互聯網安全、國家安全，就必須突破核心技術這個難題。

近年來，依靠中國這個全球最大市場，我國的信息與網絡安全企業得到了快速發展和進步，展望未來，信息安全領域的市場空間更加巨大。但客觀而言，具備核心安全技術企業并不多。中國的安全企業目前還存在系統防護水平不高、應急能力弱，專業人才缺乏、關鍵技術比較落后，缺乏核心優勢的現實情況。

解決核心安全技術，需要信息安全企業充分重視并制定具體的計劃。除了下大力氣，研究國際同行的先進技術外，要及時針對網絡市場和用戶的新需求進行研發和設計，特別要有一定的前瞻能力，針對網絡安全的新課題，集中力量進行快速反應和設計研發，力爭短時間內有突破和成就，建立核心技術優勢。2015年全球共發現24個零日漏洞，亞信安全就貢獻了11個，亞信安全的成立從整體上改變了全球網絡安全技術的格局，為我國的信息安全企業作出了表率。我們必須認識到，今天的核心技術必須具有時間領先優勢，這樣才能真正建立自己的差異化優勢，成為信息安全的守護神，為社會和國家安全作出貢獻。

“Internet +”Power: Overview of AsiaInfo Secruity’s Cyber Security

Cui Chuanzhen