基于SDN安全云資源池提升中小企業(yè)安全防護能力

吳晨花 王瑤 李映壯

摘 ? 要：網(wǎng)絡安全法的逐步深入，國家對企業(yè)的安全防護能力監(jiān)管越來越嚴苛，與一些技術先進，設備齊全的大型企業(yè)相比，中小企業(yè)，政企客戶受各種因素限制，很難完全憑借自己的力量解決網(wǎng)絡安全問題。在網(wǎng)絡與信息安全方面，運營商起步較早，擁有更多資源，投入更多，經(jīng)過數(shù)十年的發(fā)展，已積累了豐富的互聯(lián)網(wǎng)安全保護經(jīng)驗，此外近年來興起的SDN/NFV的新技術讓運營商具有靈活部署安全資源、彈性編排用戶流量、按需分配防護手段的能力，運營商可憑借SDN云安全資源池，為中小企業(yè)、政企客戶提供附加值高、防護能力強、技術含量大的安全防護服務，通過創(chuàng)新服務模式助力中小企業(yè)提升其安全防護能力。

關鍵詞：SDN ?安全云資源池 ?中小企業(yè) ?政企客戶 ?安全防護

中圖分類號：TP393 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）02（b）-0140-04

企業(yè)的發(fā)展離不開信息化的支撐，而信息化腳步的加快勢必帶來眾多網(wǎng)絡安全風險。數(shù)據(jù)顯示，全球500強企業(yè)中有97.5%曾發(fā)生過惡性安全事故，由于企業(yè)業(yè)務安全問題2016年給全球經(jīng)濟帶來4450億美元的損失，相比2015年增加了18%。中小企業(yè)安全形勢更是不容樂觀，企業(yè)的業(yè)務安全事故包括業(yè)務中斷、知識產(chǎn)權損失、數(shù)據(jù)泄露以及經(jīng)濟損失等，給國內(nèi)外的企業(yè)造成了巨大困擾。

全球網(wǎng)絡安全市場的不斷膨脹，給轉(zhuǎn)型期的運營商帶來挑戰(zhàn)的同時，更多的帶來了發(fā)展的機遇。借助SDN技術契機，讓運營商具有靈活部署安全資源、彈性編排用戶流量、按需分配防護手段的能力，運營商在其網(wǎng)內(nèi)部署基于SDN的云安全資源池，借助資源池運營商可以方便快捷地為政企客戶、中小企業(yè)提供多樣化的安全防護服務，切實提升其安全防護能力。

1 ?中小企業(yè)網(wǎng)絡安全風險分析

網(wǎng)絡已經(jīng)成為我們生活不可缺少的一部分，網(wǎng)絡可以說是這個時代的標志，但同時網(wǎng)絡安全問題也給當今社會帶來了巨大的負面影響，網(wǎng)絡安全的重要性不斷攀升。2016年8月，山東省臨沂市新生徐玉玉因個人信息泄露被電信詐騙騙走學費9900元，最終心臟驟停，不幸離世。2017年5月，WannaCry勒索病毒席卷全球，包含中國在內(nèi)的150多個國家受到網(wǎng)絡攻擊，各國企業(yè)、學校、醫(yī)院等機構無一幸免，紛紛中招，此次病毒肆虐事件嚴重影響了全球網(wǎng)絡的正常秩序。2018年1月，爆發(fā)史上最大CPU漏洞，漏洞允許黑客竊取計算機的全部內(nèi)存內(nèi)容，包括移動設備、個人計算機、以及在所謂的云計算機網(wǎng)絡中運行的服務器，幾乎全球所有的計算設備都受影響。2018年6月，AcFun受黑客攻擊，近千萬條用戶數(shù)據(jù)外泄，包含用戶ID、用戶昵稱、加密存儲的密碼等信息。2018年8月，華住旗下酒店開房記錄泄露數(shù)據(jù)，內(nèi)容涉及大量個人入住酒店信息，約5億條公民信息泄露。此次數(shù)據(jù)涉及酒店范圍包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程等多個家酒店品牌。通過上述國內(nèi)外熱點安全攻擊可以看出網(wǎng)絡安全已經(jīng)深深的影響著國家政治、經(jīng)濟、文化、社會、國家安全的方方面面，網(wǎng)絡安全形勢日趨嚴峻，公民在網(wǎng)絡空間中的合法權益面臨嚴峻的挑戰(zhàn)和風險。

目前有我國超過5000萬家中小企業(yè)，由于受到眾多隱私限制，中小企業(yè)開展網(wǎng)絡安全工作存在一定難度。首先，受資金限制，企業(yè)規(guī)模較小，難于獨立建設一整套昂貴的安全防護體系;其次，受規(guī)模限制，很難建立一支專職的網(wǎng)絡安全技術團隊進行網(wǎng)絡安全運營;再者，一般的企業(yè)網(wǎng)絡安全防護起步較晚，缺少一整套安全管理機制，安全防護運營經(jīng)驗不足。隨著移動互聯(lián)網(wǎng)的長足發(fā)展，網(wǎng)絡安全事件層出不窮。近年來安全事故頻發(fā)，中小企業(yè)遭遇計算機病毒、釣魚網(wǎng)站、信息泄露等安全威脅，通常造成造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊，工作效率大幅下降，直接或間接的緊急損失更大。此外，內(nèi)部人員對網(wǎng)絡的不當使用，消耗企業(yè)內(nèi)部資源引入病毒和威脅，或者使得不法員工通過公司網(wǎng)絡泄露企業(yè)機密，從而導致企業(yè)數(shù)千萬美金損失。數(shù)據(jù)顯示，超90%中小企業(yè)的網(wǎng)絡安全形勢都不容樂觀。

《網(wǎng)絡安全法》于2017年正式實施，標志著網(wǎng)絡安全已經(jīng)上升到國家戰(zhàn)略的高度，企業(yè)若因不嚴格履行網(wǎng)絡安全防護義務，致使重大安全事故發(fā)生造成重大社會影響將被追求刑事責任。在國家政策的強制驅(qū)使下，網(wǎng)絡安全行業(yè)特別是網(wǎng)絡安全服務將進入高速發(fā)展期。

2 ?某運營商安全防護能力

網(wǎng)絡安全市場的不斷膨脹，給轉(zhuǎn)型期的運營商帶來挑戰(zhàn)的同時，更多地帶來了發(fā)展的機遇。運營商作為鏈路提供商、IDC資源服務商，客戶的量都經(jīng)過其網(wǎng)絡，具有得天獨厚的優(yōu)勢。此外運營商是國家關鍵信息基礎措施的承載單位，最早落實網(wǎng)絡安全技術研究業(yè)務防范，在網(wǎng)絡安全技術、管理和運營方面都積累了豐厚的經(jīng)驗，而且，由于大網(wǎng)建設網(wǎng)絡安全防護系統(tǒng)，成本相對較低。某運營商目前已經(jīng)具備較為完善的網(wǎng)絡安全防護能力。

2.1 網(wǎng)絡安全防護產(chǎn)品

運營商前期普遍建成了涵蓋安全域、系統(tǒng)設備層、基礎安全防護手段層和信息安全管理系統(tǒng)層4個層面的安全防護體系，實現(xiàn)防護對象的全覆蓋。

運營商網(wǎng)內(nèi)部署了較為全面的安全防護設備，據(jù)不完全統(tǒng)計，網(wǎng)絡口安全防護設備種類繁多，涵蓋了入侵防護類、DdoS防護類、網(wǎng)站防護類、個人信息防護類等12類共計近597臺安全設備。如省內(nèi)各個匯聚路由器旁掛了入侵防護設備;互聯(lián)網(wǎng)出口部署了DdoS防護設備用于清洗攻擊流量;各重要Web頁面的業(yè)務系統(tǒng)部署了WAF用于網(wǎng)頁狀態(tài)監(jiān)控;各個業(yè)務系統(tǒng)均部署防火墻用于訪問控制等。運營商網(wǎng)絡安全防護設備很多，但卻很分數(shù)，如每個業(yè)務系統(tǒng)部署防火墻做訪問控制，為了抵御入侵攻擊，部署大量IPS，為了抵御DDOS攻擊，在互聯(lián)網(wǎng)出口部署NTA和ADS，為了抵御網(wǎng)頁篡改攻擊，部署了WAF和WSM。

2.2 互聯(lián)網(wǎng)安全防護體系

為了所有網(wǎng)絡安全防護產(chǎn)品能夠統(tǒng)一管控、綜合調(diào)度，消除信息孤島，運營商將所有安全設備日志、基礎網(wǎng)絡數(shù)據(jù)、業(yè)務系統(tǒng)數(shù)據(jù)完全整合，以大數(shù)據(jù)分析技術及機器學習算法為核心引擎，打造一鍵封堵平臺，構建了綜合立體的安全防護和安全監(jiān)測體系，最大限度地確保互聯(lián)網(wǎng)專線客戶、數(shù)據(jù)專線客戶和IDC客戶的業(yè)務安全。

互聯(lián)網(wǎng)安全防護系統(tǒng)，采用大數(shù)據(jù)技術作為底層支撐，解決了傳統(tǒng)安全分析中數(shù)據(jù)分析的性能瓶頸問題，實現(xiàn)了實時安全數(shù)據(jù)分析功能，完成了自主靈活的安全可視化目標。主要由安全態(tài)勢感知呈現(xiàn)層、安全態(tài)勢場景分析層、安全數(shù)據(jù)中心層以及整個平臺對外接口共四部分組成。

2.3 基于SDN安全云資源池的安全防護體系

安全防護系統(tǒng)構建過程中要采用分層分級思路構建，讓所構建的安全防護體系才具備橫向、縱向擴展安全能力、面向用戶開放服務便利的能力。安全防護平臺從總體上分為采集層、分析層、應用層。借助SDN技術契機，為了安全資源能夠靈活調(diào)度、快速編排、彈性部署，快速將安全資源按需分配給客戶使用，在采集層通過部署SDN安全云資源池的方式構建。

后續(xù)通過電信運營商網(wǎng)絡接入的客戶，通過網(wǎng)絡流量調(diào)整的方式，能夠快速部署運營商的網(wǎng)絡安全防護功能，靈活分配所需的各類安全資源，包括入侵防護能力、網(wǎng)站防護能力、漏洞評估能力等。

通過安全云資源池分配給用戶的安全防護產(chǎn)品，用戶能夠自行管理，更能夠接入運營商頂層安全管理平臺進行7×24h專家運維及閉環(huán)處置。

3 ?提升中小企業(yè)安全防護能力舉措

運營商與傳統(tǒng)安全設備廠商最大的不同在于，運營商具有流量集中的優(yōu)勢，有強大的安全防護體系，不僅能檢測到安全風險，也能夠針對安全風險進行綜合運營，更能夠針對緊急安全風險實現(xiàn)快速閉環(huán)處置。為中小企業(yè)提供“一攬子”全方位安全防護服務，讓企業(yè)能夠集中精力發(fā)展其專業(yè)業(yè)務。

3.1 中小企業(yè)安全防護服務種類

目前運營商有能力向中小企業(yè)提供的安全防護服務有六類，包括基礎設施防護服務、態(tài)勢感知服務、網(wǎng)頁篡改防護服務、抗DDoS攻擊服務、安全評估服務和敏感數(shù)據(jù)防護服務。

（1）基礎設施防護服務。

運營商目前已初步形成SDS防護模型，該體系基于底層云安全資源池，實現(xiàn)資源虛擬化、能力開放化，部署靈活化。上層利用安全大數(shù)據(jù)平臺進行定義預測、防御、檢測、響應，實現(xiàn)對安全威脅的細粒度、多角度、持續(xù)化的實時動態(tài)分析，自動適應不斷變化的網(wǎng)絡和威脅環(huán)境，不斷優(yōu)化自身的安全防御機制。中小企業(yè)按需購買安全防護能力，只需提供需要防護系統(tǒng)的基本信息就可以實現(xiàn)安全防護手段自動化部署。

（2）網(wǎng)頁篡改防護服務。

面向有web頁面的客戶提供7×24h的網(wǎng)頁篡改防護服務，非法網(wǎng)頁篡改、非法篡改數(shù)據(jù)庫、非法執(zhí)行指令、跨站提交信息、網(wǎng)站資源盜鏈、竊取腳本源程序、竊取系統(tǒng)信息、竊取用戶信息等非法Web操作的安全防護。

（3）抗DDoS攻擊服務。

用戶購買DDoS防護服務后，運營商可為用戶提供7×24h流量監(jiān)測及清洗服務，可提供170G超大防護帶寬，能有效抵御SYN Flood、ACK Flood、ICMP Flood、UDP Flood等各類常見的攻擊類型，尤其適用于游戲類客戶，此外采用基礎防護+彈性防護計費模式，用戶可根據(jù)自身業(yè)務情況靈活選擇防護帶寬，彈性防護按天后付費，不超出不收費，從而極大的節(jié)省成本。

（4）態(tài)勢感知服務。

具備最快到秒級響應的安全監(jiān)控能力，全面包含了企業(yè)漏洞監(jiān)控、開放端口監(jiān)控、黑客入侵監(jiān)控、Web攻擊監(jiān)控、DDoS攻擊監(jiān)控、威脅情報監(jiān)控、企業(yè)安全輿情監(jiān)控等。讓企業(yè)的安全團隊能夠編寫基于自己業(yè)務和日志進行威脅模型，通過分析安全設備日志、網(wǎng)絡日志數(shù)據(jù)，將基礎告警通過七步攻擊鏈模型規(guī)整為具有價值的安全事件，并自動進行事件應急處置。

（5）安全評估服務。

安全評估服務內(nèi)容包括：按照組織的業(yè)務運作流程來識別需要保護的信息資產(chǎn)，并根據(jù)估價原則對信息資產(chǎn)進行估價;弱點識別及評估，包括技術性弱點和非技術性弱點;對可能存在的各項威脅進行識別和評估;利用既定的風險評估方法，結(jié)合資產(chǎn)、弱點和威脅3個要素，對已識別的風險進行評估，劃分風險等級;識別并評估當前風險控制措施的有效性;建議風險處理措施和優(yōu)先順序。可以提供的漏洞掃描支持主機漏洞、Web漏洞、弱口令掃描。

（6）數(shù)據(jù)保護服務。

幫助中小企業(yè)解決其敏感數(shù)據(jù)流轉(zhuǎn)過程看不見、摸不著、管不了的難題，基于用戶對于數(shù)據(jù)的行為特征進行檢測數(shù)據(jù)的異常訪問行為，讓用戶對于敏感數(shù)據(jù)的訪問情況由一無所知轉(zhuǎn)變?yōu)榭梢暱晒堋τ诋惓５臄?shù)據(jù)外發(fā)行為自動啟動會話級精準封堵，切實增強用戶敏感數(shù)據(jù)安全性，保障用戶數(shù)據(jù)的機密性。

3.2 提升中小企業(yè)安全防護水平的方式

為客戶量身定做一體化端到端安全防護服務，能夠幫助企中小企業(yè)通過威脅監(jiān)控實現(xiàn)風險控制與安全止損，幫助客戶提升威脅監(jiān)控能力應對復雜的互聯(lián)網(wǎng)環(huán)境。運營商能夠為用戶提供對攻陷事件、高危訪問源及熱點安全事件的監(jiān)控，將安全事件閉環(huán)處置的周期縮短至小時級別，并采取有效措施及時消除安全事件與安全威脅帶來的損失。

運營商采用一體化的方式為客戶提供端到端服務，借助這種方式客戶可以規(guī)避信息安全建設項目的流程、技術、人員及管理的風險，有效避免投資浪費。另一方面，客戶無需在安全運營的設計、規(guī)劃、部署和運營方面投入大量精力，從而大幅減輕了安全運營的負擔。

3.3 緊急安全事件高效閉環(huán)處理流程

緊急安全事件閉環(huán)處置才是運營之道，需要構建一套集防護、止損、封堵為一體的高效閉環(huán)處置流程。當前新型安全威脅不僅攻擊面日益寬廣，傳播速度也更快。攻擊面覆蓋包括移動、桌面、網(wǎng)絡、Web和各種應用、社交網(wǎng)絡等。應急響應擁有的時間窗口越來越小，應急響應所需的威脅情報、專業(yè)技能、技術手段等也不斷增加。大規(guī)模的安全應急響應活動是一個系統(tǒng)工程，對于企業(yè)而言，其成功與否，或整體的安全性，并不只取決于企業(yè)能夠第一時間掌握威脅情報并及時研究有效的防御方式，更取決于企業(yè)內(nèi)部能否對緊急事件各部門“無縫銜接”作戰(zhàn)，建立了高效的閉環(huán)處理流程。

網(wǎng)絡信息安全是一個系統(tǒng)工程，網(wǎng)絡信息安全應該是全員參與，需要管理部門、運維部門、市場部門多部門緊密配合、協(xié)同作戰(zhàn)才有可能做好企業(yè)網(wǎng)絡安全管理工作。需緊緊圍繞解決“有效執(zhí)行、短板提升、精細管理、卓越運營”四大問題，強化落實機制、實施專項突破、夯實管理基礎、構建卓越體系，初步形成了持續(xù)網(wǎng)絡與信息安全閉環(huán)管理和管理提升長效機制。

4 ?結(jié)語

中小企業(yè)受其資金投入、安全意識和技術能力等因素限制，亟需外部提供安全服務來解決自身的網(wǎng)絡安全問題。對于運營商而言，我國中小企業(yè)信息化安全蘊藏著無盡的機遇，幫助中小企業(yè)提升其安全防護水平是助推運營商進而轉(zhuǎn)型藍海的重要動力。運營商內(nèi)部強大的網(wǎng)絡與信息安全防護能力，如流量清洗設備、網(wǎng)頁防篡改能力等產(chǎn)品，尚未在信息安全產(chǎn)品布局中得到體現(xiàn)。運營商需借助SDN/NFV的新技術契機，構建基于SDN安全云資源池，將自身對網(wǎng)絡和信息安全領域的積累，面向中小企業(yè)和政企客戶開放，切實提升其網(wǎng)絡安全防護能力。

參考文獻

[1] 段煉.面向中小企業(yè)的安全服務共享平臺的構建與運營[D].南京大學，2017.

[2] 李彬.面向關鍵基礎設施的網(wǎng)絡安全態(tài)勢感知體系研究[J].信息與電腦：理論版，2017，3（1）：91-92.

[3] 陳健葉.移動互聯(lián)網(wǎng)背景下如何做好服務創(chuàng)新[J].中國電信也，2015（2）：123-124.

[4] 顧炯，呂鵬，張金漫.云資源池安全部署方案解析[J].電信技術，2014（10）：12-14.

[5] 章瑞.云計算服務的定價策略研究[D].華東大學，2014.

[6] 孫建坡.基于攻擊鏈的威脅感知系統(tǒng)[J].郵電設計技術， 2016（1）：121-123.

[7] 王瀅波.全球網(wǎng)絡信息安全產(chǎn)業(yè)發(fā)展趨勢研究—基于產(chǎn)業(yè)并購與投資的觀測視角[J].信息安全與通信保密， 2015（2）：217-219.

[8] 任翔.基于云安全技術的防病毒軟件商業(yè)模式的分析與研究[D].北京郵電大學，2011.