基于SDN安全云資源池提升中小企業安全防護能力

吳晨花 王瑤 李映壯

摘 ? 要：網絡安全法的逐步深入，國家對企業的安全防護能力監管越來越嚴苛，與一些技術先進，設備齊全的大型企業相比，中小企業，政企客戶受各種因素限制，很難完全憑借自己的力量解決網絡安全問題。在網絡與信息安全方面，運營商起步較早，擁有更多資源，投入更多，經過數十年的發展，已積累了豐富的互聯網安全保護經驗，此外近年來興起的SDN/NFV的新技術讓運營商具有靈活部署安全資源、彈性編排用戶流量、按需分配防護手段的能力，運營商可憑借SDN云安全資源池，為中小企業、政企客戶提供附加值高、防護能力強、技術含量大的安全防護服務，通過創新服務模式助力中小企業提升其安全防護能力。

關鍵詞：SDN ?安全云資源池 ?中小企業 ?政企客戶 ?安全防護

中圖分類號：TP393 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）02（b）-0140-04

企業的發展離不開信息化的支撐，而信息化腳步的加快勢必帶來眾多網絡安全風險。數據顯示，全球500強企業中有97.5%曾發生過惡性安全事故，由于企業業務安全問題2016年給全球經濟帶來4450億美元的損失，相比2015年增加了18%。中小企業安全形勢更是不容樂觀，企業的業務安全事故包括業務中斷、知識產權損失、數據泄露以及經濟損失等，給國內外的企業造成了巨大困擾。

全球網絡安全市場的不斷膨脹，給轉型期的運營商帶來挑戰的同時，更多的帶來了發展的機遇。借助SDN技術契機，讓運營商具有靈活部署安全資源、彈性編排用戶流量、按需分配防護手段的能力，運營商在其網內部署基于SDN的云安全資源池，借助資源池運營商可以方便快捷地為政企客戶、中小企業提供多樣化的安全防護服務，切實提升其安全防護能力。

1 ?中小企業網絡安全風險分析

網絡已經成為我們生活不可缺少的一部分，網絡可以說是這個時代的標志，但同時網絡安全問題也給當今社會帶來了巨大的負面影響，網絡安全的重要性不斷攀升。2016年8月，山東省臨沂市新生徐玉玉因個人信息泄露被電信詐騙騙走學費9900元，最終心臟驟停，不幸離世。2017年5月，WannaCry勒索病毒席卷全球，包含中國在內的150多個國家受到網絡攻擊，各國企業、學校、醫院等機構無一幸免，紛紛中招，此次病毒肆虐事件嚴重影響了全球網絡的正常秩序。2018年1月，爆發史上最大CPU漏洞，漏洞允許黑客竊取計算機的全部內存內容，包括移動設備、個人計算機、以及在所謂的云計算機網絡中運行的服務器，幾乎全球所有的計算設備都受影響。2018年6月，AcFun受黑客攻擊，近千萬條用戶數據外泄，包含用戶ID、用戶昵稱、加密存儲的密碼等信息。2018年8月，華住旗下酒店開房記錄泄露數據，內容涉及大量個人入住酒店信息，約5億條公民信息泄露。此次數據涉及酒店范圍包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程等多個家酒店品牌。通過上述國內外熱點安全攻擊可以看出網絡安全已經深深的影響著國家政治、經濟、文化、社會、國家安全的方方面面，網絡安全形勢日趨嚴峻，公民在網絡空間中的合法權益面臨嚴峻的挑戰和風險。

目前有我國超過5000萬家中小企業，由于受到眾多隱私限制，中小企業開展網絡安全工作存在一定難度。首先，受資金限制，企業規模較小，難于獨立建設一整套昂貴的安全防護體系;其次，受規模限制，很難建立一支專職的網絡安全技術團隊進行網絡安全運營;再者，一般的企業網絡安全防護起步較晚，缺少一整套安全管理機制，安全防護運營經驗不足。隨著移動互聯網的長足發展，網絡安全事件層出不窮。近年來安全事故頻發，中小企業遭遇計算機病毒、釣魚網站、信息泄露等安全威脅，通常造成造成數據破壞、系統異常、網絡癱瘓、信息失竊，工作效率大幅下降，直接或間接的緊急損失更大。此外，內部人員對網絡的不當使用，消耗企業內部資源引入病毒和威脅，或者使得不法員工通過公司網絡泄露企業機密，從而導致企業數千萬美金損失。數據顯示，超90%中小企業的網絡安全形勢都不容樂觀。

《網絡安全法》于2017年正式實施，標志著網絡安全已經上升到國家戰略的高度，企業若因不嚴格履行網絡安全防護義務，致使重大安全事故發生造成重大社會影響將被追求刑事責任。在國家政策的強制驅使下，網絡安全行業特別是網絡安全服務將進入高速發展期。

2 ?某運營商安全防護能力

網絡安全市場的不斷膨脹，給轉型期的運營商帶來挑戰的同時，更多地帶來了發展的機遇。運營商作為鏈路提供商、IDC資源服務商，客戶的量都經過其網絡，具有得天獨厚的優勢。此外運營商是國家關鍵信息基礎措施的承載單位，最早落實網絡安全技術研究業務防范，在網絡安全技術、管理和運營方面都積累了豐厚的經驗，而且，由于大網建設網絡安全防護系統，成本相對較低。某運營商目前已經具備較為完善的網絡安全防護能力。

2.1 網絡安全防護產品

運營商前期普遍建成了涵蓋安全域、系統設備層、基礎安全防護手段層和信息安全管理系統層4個層面的安全防護體系，實現防護對象的全覆蓋。

運營商網內部署了較為全面的安全防護設備，據不完全統計，網絡口安全防護設備種類繁多，涵蓋了入侵防護類、DdoS防護類、網站防護類、個人信息防護類等12類共計近597臺安全設備。如省內各個匯聚路由器旁掛了入侵防護設備;互聯網出口部署了DdoS防護設備用于清洗攻擊流量;各重要Web頁面的業務系統部署了WAF用于網頁狀態監控;各個業務系統均部署防火墻用于訪問控制等。運營商網絡安全防護設備很多，但卻很分數，如每個業務系統部署防火墻做訪問控制，為了抵御入侵攻擊，部署大量IPS，為了抵御DDOS攻擊，在互聯網出口部署NTA和ADS，為了抵御網頁篡改攻擊，部署了WAF和WSM。

2.2 互聯網安全防護體系

為了所有網絡安全防護產品能夠統一管控、綜合調度，消除信息孤島，運營商將所有安全設備日志、基礎網絡數據、業務系統數據完全整合，以大數據分析技術及機器學習算法為核心引擎，打造一鍵封堵平臺，構建了綜合立體的安全防護和安全監測體系，最大限度地確?；ヂ摼W專線客戶、數據專線客戶和IDC客戶的業務安全。

互聯網安全防護系統，采用大數據技術作為底層支撐，解決了傳統安全分析中數據分析的性能瓶頸問題，實現了實時安全數據分析功能，完成了自主靈活的安全可視化目標。主要由安全態勢感知呈現層、安全態勢場景分析層、安全數據中心層以及整個平臺對外接口共四部分組成。

2.3 基于SDN安全云資源池的安全防護體系

安全防護系統構建過程中要采用分層分級思路構建，讓所構建的安全防護體系才具備橫向、縱向擴展安全能力、面向用戶開放服務便利的能力。安全防護平臺從總體上分為采集層、分析層、應用層。借助SDN技術契機，為了安全資源能夠靈活調度、快速編排、彈性部署，快速將安全資源按需分配給客戶使用，在采集層通過部署SDN安全云資源池的方式構建。

后續通過電信運營商網絡接入的客戶，通過網絡流量調整的方式，能夠快速部署運營商的網絡安全防護功能，靈活分配所需的各類安全資源，包括入侵防護能力、網站防護能力、漏洞評估能力等。

通過安全云資源池分配給用戶的安全防護產品，用戶能夠自行管理，更能夠接入運營商頂層安全管理平臺進行7×24h專家運維及閉環處置。

3 ?提升中小企業安全防護能力舉措

運營商與傳統安全設備廠商最大的不同在于，運營商具有流量集中的優勢，有強大的安全防護體系，不僅能檢測到安全風險，也能夠針對安全風險進行綜合運營，更能夠針對緊急安全風險實現快速閉環處置。為中小企業提供“一攬子”全方位安全防護服務，讓企業能夠集中精力發展其專業業務。

3.1 中小企業安全防護服務種類

目前運營商有能力向中小企業提供的安全防護服務有六類，包括基礎設施防護服務、態勢感知服務、網頁篡改防護服務、抗DDoS攻擊服務、安全評估服務和敏感數據防護服務。

（1）基礎設施防護服務。

運營商目前已初步形成SDS防護模型，該體系基于底層云安全資源池，實現資源虛擬化、能力開放化，部署靈活化。上層利用安全大數據平臺進行定義預測、防御、檢測、響應，實現對安全威脅的細粒度、多角度、持續化的實時動態分析，自動適應不斷變化的網絡和威脅環境，不斷優化自身的安全防御機制。中小企業按需購買安全防護能力，只需提供需要防護系統的基本信息就可以實現安全防護手段自動化部署。

（2）網頁篡改防護服務。

面向有web頁面的客戶提供7×24h的網頁篡改防護服務，非法網頁篡改、非法篡改數據庫、非法執行指令、跨站提交信息、網站資源盜鏈、竊取腳本源程序、竊取系統信息、竊取用戶信息等非法Web操作的安全防護。

（3）抗DDoS攻擊服務。

用戶購買DDoS防護服務后，運營商可為用戶提供7×24h流量監測及清洗服務，可提供170G超大防護帶寬，能有效抵御SYN Flood、ACK Flood、ICMP Flood、UDP Flood等各類常見的攻擊類型，尤其適用于游戲類客戶，此外采用基礎防護+彈性防護計費模式，用戶可根據自身業務情況靈活選擇防護帶寬，彈性防護按天后付費，不超出不收費，從而極大的節省成本。

（4）態勢感知服務。

具備最快到秒級響應的安全監控能力，全面包含了企業漏洞監控、開放端口監控、黑客入侵監控、Web攻擊監控、DDoS攻擊監控、威脅情報監控、企業安全輿情監控等。讓企業的安全團隊能夠編寫基于自己業務和日志進行威脅模型，通過分析安全設備日志、網絡日志數據，將基礎告警通過七步攻擊鏈模型規整為具有價值的安全事件，并自動進行事件應急處置。

（5）安全評估服務。

安全評估服務內容包括：按照組織的業務運作流程來識別需要保護的信息資產，并根據估價原則對信息資產進行估價;弱點識別及評估，包括技術性弱點和非技術性弱點;對可能存在的各項威脅進行識別和評估;利用既定的風險評估方法，結合資產、弱點和威脅3個要素，對已識別的風險進行評估，劃分風險等級;識別并評估當前風險控制措施的有效性;建議風險處理措施和優先順序。可以提供的漏洞掃描支持主機漏洞、Web漏洞、弱口令掃描。

（6）數據保護服務。

幫助中小企業解決其敏感數據流轉過程看不見、摸不著、管不了的難題，基于用戶對于數據的行為特征進行檢測數據的異常訪問行為，讓用戶對于敏感數據的訪問情況由一無所知轉變為可視可管。對于異常的數據外發行為自動啟動會話級精準封堵，切實增強用戶敏感數據安全性，保障用戶數據的機密性。

3.2 提升中小企業安全防護水平的方式

為客戶量身定做一體化端到端安全防護服務，能夠幫助企中小企業通過威脅監控實現風險控制與安全止損，幫助客戶提升威脅監控能力應對復雜的互聯網環境。運營商能夠為用戶提供對攻陷事件、高危訪問源及熱點安全事件的監控，將安全事件閉環處置的周期縮短至小時級別，并采取有效措施及時消除安全事件與安全威脅帶來的損失。

運營商采用一體化的方式為客戶提供端到端服務，借助這種方式客戶可以規避信息安全建設項目的流程、技術、人員及管理的風險，有效避免投資浪費。另一方面，客戶無需在安全運營的設計、規劃、部署和運營方面投入大量精力，從而大幅減輕了安全運營的負擔。

3.3 緊急安全事件高效閉環處理流程

緊急安全事件閉環處置才是運營之道，需要構建一套集防護、止損、封堵為一體的高效閉環處置流程。當前新型安全威脅不僅攻擊面日益寬廣，傳播速度也更快。攻擊面覆蓋包括移動、桌面、網絡、Web和各種應用、社交網絡等。應急響應擁有的時間窗口越來越小，應急響應所需的威脅情報、專業技能、技術手段等也不斷增加。大規模的安全應急響應活動是一個系統工程，對于企業而言，其成功與否，或整體的安全性，并不只取決于企業能夠第一時間掌握威脅情報并及時研究有效的防御方式，更取決于企業內部能否對緊急事件各部門“無縫銜接”作戰，建立了高效的閉環處理流程。

網絡信息安全是一個系統工程，網絡信息安全應該是全員參與，需要管理部門、運維部門、市場部門多部門緊密配合、協同作戰才有可能做好企業網絡安全管理工作。需緊緊圍繞解決“有效執行、短板提升、精細管理、卓越運營”四大問題，強化落實機制、實施專項突破、夯實管理基礎、構建卓越體系，初步形成了持續網絡與信息安全閉環管理和管理提升長效機制。

4 ?結語

中小企業受其資金投入、安全意識和技術能力等因素限制，亟需外部提供安全服務來解決自身的網絡安全問題。對于運營商而言，我國中小企業信息化安全蘊藏著無盡的機遇，幫助中小企業提升其安全防護水平是助推運營商進而轉型藍海的重要動力。運營商內部強大的網絡與信息安全防護能力，如流量清洗設備、網頁防篡改能力等產品，尚未在信息安全產品布局中得到體現。運營商需借助SDN/NFV的新技術契機，構建基于SDN安全云資源池，將自身對網絡和信息安全領域的積累，面向中小企業和政企客戶開放，切實提升其網絡安全防護能力。

參考文獻

[1] 段煉.面向中小企業的安全服務共享平臺的構建與運營[D].南京大學，2017.

[2] 李彬.面向關鍵基礎設施的網絡安全態勢感知體系研究[J].信息與電腦：理論版，2017，3（1）：91-92.

[3] 陳健葉.移動互聯網背景下如何做好服務創新[J].中國電信也，2015（2）：123-124.

[4] 顧炯，呂鵬，張金漫.云資源池安全部署方案解析[J].電信技術，2014（10）：12-14.

[5] 章瑞.云計算服務的定價策略研究[D].華東大學，2014.

[6] 孫建坡.基于攻擊鏈的威脅感知系統[J].郵電設計技術， 2016（1）：121-123.

[7] 王瀅波.全球網絡信息安全產業發展趨勢研究—基于產業并購與投資的觀測視角[J].信息安全與通信保密， 2015（2）：217-219.

[8] 任翔.基于云安全技術的防病毒軟件商業模式的分析與研究[D].北京郵電大學，2011.