亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

一、回顧信息安全防御思路的歷程

信息安全起源于戰(zhàn)爭(zhēng)中的通信加密技術(shù)，分為信息的存儲(chǔ)安全與傳輸安全。存儲(chǔ)安全就是保存在“城堡”中時(shí)，對(duì)方既不能明著來(lái)?yè)屪撸膊荒馨抵鴣?lái)偷走。這與我們理解的人身安全與財(cái)寶安全非常類似，區(qū)別就是，財(cái)寶要被拿走才算是損失，而信息(敏感文件等)被人偷看了就產(chǎn)生了損失，因此，信息是否泄漏不是很好界定的一件事，往往是發(fā)現(xiàn)對(duì)方行為中知道了自己秘密，可這時(shí)也許已經(jīng)過(guò)去很長(zhǎng)時(shí)間了。傳輸安全是信息在傳遞的時(shí)候，保證其不被泄露。最為常用的方式就是加密，著名的“凱撒密碼”只是字母的簡(jiǎn)單替換；到了“二戰(zhàn)”時(shí)期，通信更多采用無(wú)線方式，空中電波可以被任何人“聽(tīng)到”，加密成為必然的安全措施，加密日漸復(fù)雜、隨機(jī)，密碼的加密與解密成為一本新的學(xué)科—密碼學(xué)。

有計(jì)算機(jī)以后，工作中的各種信息幾乎都被數(shù)字化了，通過(guò)網(wǎng)絡(luò)不僅可以了解你的敏感信息，甚至可以控制你的武器設(shè)備，信息安全由此提升到了系統(tǒng)安全。美國(guó)早在1985年，就提出了TCSEC(可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則)，對(duì)處理、存放信息的計(jì)算機(jī)系統(tǒng)安全提出了不同等級(jí)的安全要求。

隨著互聯(lián)網(wǎng)的發(fā)展，利用計(jì)算機(jī)傳輸信息的便利越來(lái)越顯現(xiàn)，大多數(shù)的國(guó)家都聯(lián)到了互聯(lián)網(wǎng)上，自己的計(jì)算機(jī)系統(tǒng)在網(wǎng)絡(luò)中的安全問(wèn)題就更加突出，網(wǎng)絡(luò)安全成為國(guó)家政治新決策中耀眼的焦點(diǎn)。2008年美國(guó)通過(guò)CNCI(國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃)，開(kāi)始打造“網(wǎng)絡(luò)國(guó)界”；2011年公布<網(wǎng)絡(luò)空間行動(dòng)戰(zhàn)略>，把網(wǎng)絡(luò)空間與陸、海、空、太空并列為國(guó)家領(lǐng)土的一部分，Cyberspace成為一個(gè)新的高頻率名詞。

針對(duì)網(wǎng)絡(luò)安全，美國(guó)提出了著名的IATF框架(信息保障技術(shù)框架)，提出了網(wǎng)絡(luò)應(yīng)該劃分區(qū)域，建立縱深防御、立體部署防御措施的思路。

IATF的核心思路就是“邊界防御”，我們也稱為“外部防御”，意思就是防御者與攻擊者要分開(kāi)，建立中間的過(guò)渡空間，確立攻擊者入侵或進(jìn)攻時(shí)，必須路徑的“邊界大門(mén)”，一夫當(dāng)關(guān)，萬(wàn)夫莫開(kāi)。

所謂劃分區(qū)域，就是劃分安全域。人對(duì)安全的感覺(jué)來(lái)自于對(duì)事態(tài)發(fā)展的可控性。當(dāng)對(duì)方接近自己的時(shí)候，自己有反應(yīng)的時(shí)間，并能進(jìn)入“戰(zhàn)斗”的狀態(tài)，從而抵御住對(duì)方的進(jìn)攻，就會(huì)感到安全。怎么才能是有反應(yīng)的時(shí)間呢？從空間角度講，與對(duì)方保持距離，建立一個(gè)“空地”，對(duì)方進(jìn)攻的時(shí)候，就可以看到他，當(dāng)然再增加一些障礙，延長(zhǎng)對(duì)方通過(guò)“空地”的時(shí)間，就更加好了。古代人為了保護(hù)自己，修建城堡，高大且堅(jiān)固，對(duì)方不容易爬上來(lái)，還開(kāi)上護(hù)城河，讓對(duì)方的戰(zhàn)車只能遠(yuǎn)遠(yuǎn)地看著。空地也好，城墻也好，護(hù)城河也好，都是我們防御的邊界措施，對(duì)方通過(guò)這個(gè)邊界時(shí)就被阻斷或告警。

所謂縱身防御，就是建立多道防線，消耗對(duì)方的有生力量，延長(zhǎng)對(duì)方到達(dá)我核心區(qū)域的時(shí)間。網(wǎng)絡(luò)劃分安全域以后，就可以在每個(gè)域邊界上部署安全措施，形成多道防御體系，達(dá)到多次防御對(duì)方入侵的目的。

所謂立體防御，是多種安全措施的綜合使用。在邊界僅僅畫(huà)道線是擋不住對(duì)方進(jìn)攻的，各種訪問(wèn)控制措施并舉是不可或缺的，其目的是對(duì)付各種不同的入侵技術(shù)，如病毒、木馬、黑客、DDOS…當(dāng)然，識(shí)別是阻斷與報(bào)警的前提，對(duì)攻擊或入侵行為的檢測(cè)技術(shù)是所有防御措施的基礎(chǔ)。僅僅是防御，是很被動(dòng)的，要能夠主動(dòng)發(fā)現(xiàn)對(duì)方的滲透行為是至關(guān)重要的，各種異常行為分析技術(shù)是監(jiān)控類措施的主要手段，如入侵檢測(cè)、漏洞掃描…如同陸海空聯(lián)合作戰(zhàn)，才有更好的作戰(zhàn)效果，立體防御就是相互配合、相互補(bǔ)充思路的重要體現(xiàn)。

IATF把網(wǎng)絡(luò)割裂為各自“獨(dú)立”的部分，學(xué)名叫做“訪問(wèn)控制”，網(wǎng)絡(luò)技術(shù)稱為路由控制；而網(wǎng)絡(luò)的聯(lián)通就是為了業(yè)務(wù)互通的方便，人們?cè)诒憬菖c安全之間很難做到合適的取舍。用戶關(guān)心的是整個(gè)業(yè)務(wù)信息系統(tǒng)的安全，而為了用戶工作的方便，業(yè)務(wù)系統(tǒng)往往需要用戶可以從任何地方、在任何時(shí)間連接到業(yè)務(wù)服務(wù)器上。因此，僅僅用網(wǎng)絡(luò)防御思路顯然是不夠。信息安全再次提升到了業(yè)務(wù)安全，也就是我們說(shuō)的信息系統(tǒng)安全階段。

很多信息系統(tǒng)往往是運(yùn)行在一張網(wǎng)絡(luò)上的，網(wǎng)絡(luò)只是承載業(yè)務(wù)的管道，網(wǎng)絡(luò)安全就成了他們的“公共環(huán)境安全”，而針對(duì)每個(gè)信息系統(tǒng)還有自己特有的安全需求，允許訪問(wèn)信息系統(tǒng)的用戶應(yīng)該是可信任的，因此信用體系措施是最為常見(jiàn)。信用體系包括身份認(rèn)證、授權(quán)管理、用戶行為審計(jì)等一系列的“社會(huì)”式管理思路，我們通常稱為3A，若再加上計(jì)費(fèi)就是所謂的4A系統(tǒng)。

我國(guó)現(xiàn)行的信息安全等級(jí)保護(hù)政策，就是采用了業(yè)務(wù)系統(tǒng)安全保障的思路，安全的目標(biāo)有兩個(gè)：一是敏感信息的安全，二是業(yè)務(wù)服務(wù)的不中斷。所以，大多用戶信息安全保障方案設(shè)計(jì)的思路都是：先做業(yè)務(wù)分析，了解安全現(xiàn)狀；然后劃分安全域，部署域邊界的防護(hù)措施、監(jiān)控措施(先解決網(wǎng)絡(luò)上的公共環(huán)境安全，各個(gè)業(yè)務(wù)可以共用)；再建立信用管理體系，重點(diǎn)是身份鑒別、行為審計(jì)；最后部署的是公共基礎(chǔ)的安全管理措施，如補(bǔ)丁管理，SOC(安全管理平臺(tái))等。當(dāng)然安全管理是不可缺少的，包括團(tuán)隊(duì)、制度、人員、建設(shè)、運(yùn)維五大部分。

從IATF開(kāi)始，信息安全保障基本建立了邊界安全保障思路的主流地位，邊界清晰是非常關(guān)鍵的，我們選擇的安全措施，大多部署在邊界上，若不能明晰網(wǎng)絡(luò)邊界，這種縱深防御體系就無(wú)法施展了。

隨著，虛擬化技術(shù)的推動(dòng)，云計(jì)算、大數(shù)據(jù)等應(yīng)用中，用戶與服務(wù)端都在云里，絞在一起，邊界模糊了，流概念興起，流安全思路也就誕生了。

二、網(wǎng)絡(luò)邊界“危機(jī)”

網(wǎng)絡(luò)本身是有“邊界”的，不同區(qū)域由不同的人建設(shè)，由不同的人管理，網(wǎng)絡(luò)也有自己的“國(guó)家”。然而，網(wǎng)絡(luò)服務(wù)往往是沒(méi)有邊界的，比如DNS服務(wù)的根在美國(guó)，你在我國(guó)的互聯(lián)網(wǎng)出口上就不能禁止這些服務(wù)的通行。我們可以不讓Google進(jìn)入大陸，但你不能阻止美國(guó)人訪問(wèn)中國(guó)的百度，也不能阻止中國(guó)人發(fā)郵件給美國(guó)。互聯(lián)網(wǎng)上的國(guó)家邊界在哪里呢？這個(gè)問(wèn)題一直困擾著政府的領(lǐng)導(dǎo)與網(wǎng)絡(luò)安全者。若不能確定網(wǎng)絡(luò)的“國(guó)家邊界”，美國(guó)要保護(hù)的Cyberspace該如何界定呢？我們國(guó)家的Cyberspace又在哪里呢？

要說(shuō)導(dǎo)致網(wǎng)絡(luò)邊界模糊化的幕后推手，不得不提近幾年突飛猛進(jìn)的兩個(gè)新技術(shù)應(yīng)用：虛擬化與BYOD。

虛擬化就是指數(shù)據(jù)中心的設(shè)備虛擬化管理技術(shù)，它是云計(jì)算、大數(shù)據(jù)等新型應(yīng)用的后臺(tái)基礎(chǔ)技術(shù)。虛擬化的含義就是資源的虛擬化管理，實(shí)現(xiàn)資源按需分配的好處，不僅僅是提高硬件的利用率，并統(tǒng)一簡(jiǎn)化IT運(yùn)維管理；而且讓開(kāi)發(fā)者、用戶不再關(guān)心硬件的具體型號(hào)、容量、處理能力…專心自己的業(yè)務(wù)需求，隨意設(shè)計(jì)自己的業(yè)務(wù)流程。利用計(jì)算資源的虛擬化技術(shù)(如VmWare\KVM\Xen…)，我們可以隨意生成我們需要的計(jì)算機(jī)， CPU與內(nèi)存可以動(dòng)態(tài)地按需調(diào)整；利用存儲(chǔ)資源的虛擬化技術(shù)，我們可以隨意配置數(shù)據(jù)存儲(chǔ)空間，不必為硬盤(pán)損壞、容量升級(jí)的煩惱而擔(dān)憂；利用網(wǎng)絡(luò)虛擬化技術(shù)，我們可以隨意打造我們自己的“專用網(wǎng)絡(luò)空間”，而不需為接入方式、接入地點(diǎn)，再去設(shè)計(jì)復(fù)雜的公網(wǎng)與私網(wǎng)路由管理…

確切一點(diǎn)說(shuō)，直接影響信息安全的，應(yīng)該是服務(wù)器虛擬化和桌面虛擬化。

我們知道，網(wǎng)絡(luò)邊界就是連接外部網(wǎng)絡(luò)區(qū)域的那根網(wǎng)線，這里是網(wǎng)絡(luò)連接進(jìn)出的必然通道。然而，虛擬化的核心優(yōu)勢(shì)是虛擬機(jī)的動(dòng)態(tài)遷移，虛擬機(jī)可以在整個(gè)虛擬化平臺(tái)內(nèi)隨意遷移，不同的物理服務(wù)器，不同的機(jī)房，不同的城市，甚至不同的國(guó)家，你的業(yè)務(wù)系統(tǒng)運(yùn)行的那個(gè)虛擬機(jī)，目前運(yùn)行在那個(gè)物理服務(wù)器上，是不確定的，而這正是虛擬化帶來(lái)的好處。既然不知道物理服務(wù)器是那個(gè)，就不可能確定它的邊界網(wǎng)線是那根，網(wǎng)絡(luò)邊界該如何確定呢？找不到網(wǎng)絡(luò)邊界，我們的那些縱深防御體系該如何部署呢？

服務(wù)器虛擬化就是數(shù)據(jù)中心的虛擬化改造，是業(yè)務(wù)系統(tǒng)的服務(wù)端遷移到虛擬化平臺(tái)上。它的直接結(jié)果是：因?yàn)閭鹘y(tǒng)的安全設(shè)備無(wú)法部署到虛擬化網(wǎng)絡(luò)中，沒(méi)有了安全的保障，用戶的業(yè)務(wù)自然不敢大量遷移到虛擬化平臺(tái)上來(lái)。

桌面虛擬化的后果更為嚴(yán)重：安全域劃分時(shí)，用戶的終端域與服務(wù)器區(qū)域一般是分開(kāi)的，其邊界上可以部署訪問(wèn)控制措施，保證用戶訪問(wèn)服務(wù)時(shí)是可控的。然而，實(shí)現(xiàn)桌面虛擬化以后，用戶的終端應(yīng)用都運(yùn)行在服務(wù)器端，用戶端與服務(wù)器之間傳送的主要的基本輸入與輸出信息，利用這些信息是無(wú)法判斷用戶行為的；另一方面，運(yùn)行在服務(wù)器端的終端應(yīng)用與其他的用戶、其他的業(yè)務(wù)服務(wù)器同在“一個(gè)”數(shù)據(jù)中心，甚至在一個(gè)“域內(nèi)”，當(dāng)某個(gè)終端感染病毒，去入侵“鄰居們”時(shí)，或某個(gè)終端用戶惡意地去掃描、入侵它的“鄰居們”，傳統(tǒng)邊界上的安全措施就無(wú)能為力了。

原因十分簡(jiǎn)單：兩個(gè)虛擬機(jī)運(yùn)行在同一個(gè)物理的服務(wù)器內(nèi)，這兩個(gè)虛擬機(jī)之間的流量可以直接在虛擬機(jī)交換機(jī)上交換，而不進(jìn)入物理網(wǎng)卡，當(dāng)然也不進(jìn)入物理交換機(jī)，傳統(tǒng)的網(wǎng)絡(luò)邊界就看不到其通訊。看不到，談不上檢測(cè)，自然也無(wú)從發(fā)現(xiàn)或阻斷。

因此，可以說(shuō)，虛擬化技術(shù)讓邊界安全思路受到了極大的挑戰(zhàn)，虛擬化平臺(tái)上的安全問(wèn)題異常突出。

另外一個(gè)應(yīng)用BYOD，讓辦公、生活更加便利，更加豐富多彩，其發(fā)展趨勢(shì)已經(jīng)銳不可當(dāng)。然而，BYOD意味著，接入的終端不再受控，你無(wú)法要求接入終端安裝統(tǒng)一的安全軟件，你也無(wú)法確保終端內(nèi)的其他各種應(yīng)用是否能入侵到你的應(yīng)用內(nèi)；業(yè)務(wù)系統(tǒng)的安全邊界不得不從終端上“撤出”，退守到BYOD的接入網(wǎng)關(guān)上，但是你不能不讓用戶訪問(wèn)你業(yè)務(wù)的數(shù)據(jù)，如何保證“邊界外”的安全，這可是以前沒(méi)有過(guò)多的事情。

三、“流安全”概念的誕生

業(yè)務(wù)系統(tǒng)找不到自己的網(wǎng)絡(luò)“邊界”，是因?yàn)檫@時(shí)的用戶與服務(wù)端絞在一起，不能再建立彼此間的“空曠地”。我們?cè)谠埔粯拥木W(wǎng)絡(luò)上，能看到的就只剩下用戶訪問(wèn)服務(wù)器的業(yè)務(wù)流量了。

從網(wǎng)絡(luò)安全到流安全，有如汽車原先在高速公路上行駛，其方向與路徑是確定的，我們只要在分叉口做好檢查工作就可以了。而現(xiàn)在汽車現(xiàn)在到了廣場(chǎng)上，雖然也有汽車行駛線，但關(guān)鍵問(wèn)題是，汽車始點(diǎn)與終點(diǎn)不再固定。我們此時(shí)關(guān)心的不再是道路，而是流動(dòng)的車。

其實(shí)，我們?cè)谡務(wù)摌I(yè)務(wù)安全時(shí)，已經(jīng)開(kāi)始把信息安全分為兩個(gè)部分：一是網(wǎng)絡(luò)環(huán)境的公共安全；一是業(yè)務(wù)流量的內(nèi)容安全。這時(shí)，我們已經(jīng)在開(kāi)始把關(guān)注道路與關(guān)注車流分開(kāi)了。

流安全進(jìn)一步強(qiáng)化了這種分割。我們用網(wǎng)絡(luò)環(huán)境的公共安全保證業(yè)務(wù)流在流動(dòng)過(guò)程中的安全，它包括與其他流的隔離，不能被其他“流”窺探與污染；我們利用業(yè)務(wù)流的內(nèi)容安全保證流內(nèi)容中，是否有病毒、木馬與入侵者，是否符合我的信任體系要求。

TCP/IP原本是包交換協(xié)議，一個(gè)用戶通信連接分為若干的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包可以通過(guò)不同的路由到達(dá)目的地，到達(dá)后再組裝起來(lái)。包交換與傳統(tǒng)的鏈路交換是對(duì)應(yīng)的。

流安全概念的引入，讓我們重新審視包交換與鏈路交換，從安全控制的角度，把業(yè)務(wù)流看作邏輯鏈路，在一次“通訊連接”中，邏輯鏈路按照我們定義的安全路徑建立，經(jīng)過(guò)用戶需要的安全清洗與監(jiān)視，保障業(yè)務(wù)流動(dòng)安全與完整，這就是流安全概念引入的核心目標(biāo)。

流安全概念的出現(xiàn)，理清了以往網(wǎng)絡(luò)安全與業(yè)務(wù)安全在概念上的模糊。

我們這里先給出一個(gè)簡(jiǎn)單的定義：

業(yè)務(wù)流：就是指信息系統(tǒng)的用戶與服務(wù)端之間的流量，包括業(yè)務(wù)流量與管理流量。

流安全：狹義的定義是指業(yè)務(wù)流在傳輸過(guò)程中的整體安全解決方案。流安全不再關(guān)心用戶與服務(wù)端的物理位置，而只關(guān)心他們之間的連通性。廣義的定義是業(yè)務(wù)流在整個(gè)信息系統(tǒng)中的安全，包括流在網(wǎng)絡(luò)傳輸中的安全、流在主機(jī)內(nèi)部的安全(服務(wù)器內(nèi)部)、業(yè)務(wù)自身安全在流中的實(shí)現(xiàn)三部分。

(注：目前常說(shuō)的流安全多指狹義的流安全，以下同。)

流安全從其技術(shù)實(shí)現(xiàn)上可分為是兩個(gè)方面：

a)? 導(dǎo)流控制技術(shù)：流的流向控制技術(shù)，也稱為流量引導(dǎo)與控制。導(dǎo)流控制的核心就是路由的重定義，實(shí)現(xiàn)網(wǎng)絡(luò)承載層的安全控制

• 指定業(yè)務(wù)流的路徑，并與其他對(duì)業(yè)務(wù)流保證邏輯隔離；
• 保證在虛擬機(jī)遷移、用戶端接入漫游的情況下，用戶與服務(wù)端之間的聯(lián)通，指定的路徑可以適應(yīng)兩端的不確定性，又可以保證必需經(jīng)過(guò)的關(guān)鍵路徑點(diǎn)；
• 穩(wěn)定的流量傳遞，服務(wù)質(zhì)量應(yīng)達(dá)到用戶需求；
• 流在傳輸中的不被篡改，不被非授權(quán)者復(fù)制；

b)? 流內(nèi)安全技術(shù)：流內(nèi)容的安全檢測(cè)與阻斷。流內(nèi)容的安全技術(shù)從傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)發(fā)展而來(lái)，主要是網(wǎng)絡(luò)層以上的安全檢測(cè)，如針對(duì)入侵的IPS/IDS，針對(duì)網(wǎng)站的WAF，針對(duì)鏈路攻擊的DDOS，針對(duì)病毒的AV等等，也包括合規(guī)安全的措施，如網(wǎng)絡(luò)行為審計(jì)，異常流量分析等

• 網(wǎng)絡(luò)層攻擊阻斷(如DDOS等)，非業(yè)務(wù)流量的過(guò)濾；
• ?非授權(quán)者的訪問(wèn)阻斷；
• 病毒、木馬、入侵檢測(cè)；
• ?網(wǎng)絡(luò)行為審計(jì)；
• 異常行為的監(jiān)控；