序言

随着信息化建设的不断深入，存在于企业单位信息网络和应用业务系统各方面的信息安全问题不断暴漏出来，为了解决和控制这些安全问题，企业单位在信息安全管理方面不断的引入各种基础安全产品设施，例如防火墙、防病毒、入侵检测、漏洞扫描等。不断被引入的各种安全产品各自为政，利用不同的技术从不同的方面为企业单位提供的安全防御手段。这种各自为政的部署、防御特点，导致每一个产品都要进行分布式管理，造成浪费大量的人力、物力和财力，对安全管理员的技能要求过高，各安全产品产生的安全数据无法汇集综合分析，网络安全管理人员无法及时获取网络安全的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告，网络安全运维人员无法进行实时的事件监控及响应，网络安全管理人员及运维人员之间安全工作协同缺乏有效支撑平台阻碍了安全日常工作制度化、有效化。因此，想要让基础安全产品设施能最大限度地发挥其安全保障功能，挖掘其更深的安全保障价值，让网络安全管理人员能实时掌控网络安全各方面的运行状态情况让安全问题能集中监控发现同一响应，就必须在基础安全产品设施上层建立一个良好的管理支撑平台。

新形势下的安全威胁分析

从安全事件的角度来分析

已经过去的2013年网络空间依然不太平，各类安全事件频频发生。"棱镜门"让全民震惊，也激醒了中国信息安全产业最弱神经，自主可控被提到前所未有的高度；数据泄露在各领域频繁上演；Java安全漏洞、 Struts漏洞和路由器后门漏洞以其影响面之广危害之大而尤其令人担忧；DDoS攻击愈演愈烈，出现了史上流量最大的攻击；安卓系统安全问题频出；APT攻击也渐显普及之势。

相对来说，整个2013年突出的安全事件如下：

♦JAVA安全漏洞（1月12日）

1月底~2月初，Oracle似乎都因Java漏洞而被置于风口浪尖，即便是在更新后漏洞也依然存在。屡屡发生的Java安全事件甚至让美国国土安全部都开口建议禁用Java。几个月后，Oracle考虑到零日漏洞补丁的增加，改变了Java安全更新的号码排列。

♦路由器后门漏洞（3月12日）

今年，路由器后门漏洞被多次曝出。先是3月份TP-Link向媒体公布后门漏洞，接着5月份曝出13种主流家庭与小型商业用路由器有漏洞。10月份，NetGear路由器漏洞也被曝，继D-Link后，腾达成为第二个被曝在产品中放置后门的供应商。

♦DDos攻击愈演愈烈（3月19日）

今年发生的DDoS攻击可列出一长串。尤其值得关注的是：3月份，互联网史上最大流量DDoS攻击出现在反垃圾邮件非盈利组织Spamhaus，攻击流量达300Gbps；8月份，.cn根域名服务器遭遇最大DDoS攻击，大量.cn域名和.com.cn无法解析。

♦韩国遭受大规模网络攻击（3月20日）

3月，韩国主流电视台以及部份金融公司的计算机网络全面瘫痪。此次攻击行为是使用的恶意软件通过直接访问\\.\PhysicalDrive来破坏硬盘的引导记录（MBR），而且可以删除硬盘上的文件。

♦Android系统问题频现（3月24日）

2013年，Android安全问题依然频频出现。3月份，安卓木马被利用来进行APT攻击；7月份被发现的一个漏洞能影响过去4年间发布的99%的Android手机；在最新Android4.4中，最常见的Mater Key漏洞又出现新变种。

♦台菲黑客大战（5月12日）

5月12日，在菲律宾海岸警卫队射杀台湾渔民事件过后不久，台湾多个官网被来自菲律宾的IP攻击，之后，台湾骇客立即反击攻陷菲律宾DNS伺服器，最后以菲律宾黑客求饶告终。

♦比特币安全隐患（5月24日）

目前，比特币市场行情水涨船高。虽然它具有匿名性且独立存在，伪造可能性小，但是它几乎不受法规监管。所谓树大招风，在其疯涨的同时也带来了一系列安全隐患，被盗事件频出。

♦棱镜门（6月5日）

6月份，美国国安局前雇员斯诺登曝出的"棱镜门"震惊全球，但"棱镜门"只是美国情报系统冰山一角。"棱镜门"激醒了中国信息安全产业最弱神经，自主可控被提到前所未有的高度，对中国信息安全乃至整个信息产业带来深远影响。

♦Struts2漏洞（7月17日）

7月17日，红色警报拉响：Struts2再曝高危漏洞，该漏洞可直接导致服务器被远程控制，引起数据泄漏。包括淘宝、京东、腾讯在内的多家大型互联网厂商及政府、金融机构网站均受影响，7月17日甚至因此被称为中国互联网安全灾难日。

♦.cn根域名被攻击（8月25日）

8月25日凌晨，黑客利用僵尸网络向.CN顶级域名系统，持续发起大量针对某游戏私服网站域名的查询请求，致大量.cn域名和.com.cn无法解析，攻击时峰值流量较平常激增近1000倍。

♦Adobe遭黑客攻击（10月3日）

10月，Adobe遭袭击，3800万用户信息及大量源代码泄露。之后，Adobe重置客户ID并通知客户改密码。但是源代码泄露可让黑客挖掘漏洞发动攻击更容易，预计未来会有大量漏洞被发现利用。

♦搜狗泄密门（11月5日）

2013年数据泄露事件激增，仅是搜狗今年出现两次事故。6月5日安全平台乌云曝出搜狗输入法导致大量用户敏感信息泄露，时隔五个月，央视又曝出搜狗浏览器致用户QQ、支付宝等信息泄露。

从安全技术的角度来分析

2013年，云计算、移动互联、物联网、SDN、大数据等技术的应用，带来了安全技术的新一轮变革。网络威胁的不断演进，也促使安全防御走向新的发展阶段。这一年，运用大数据进行安全分析、APT检测和防御技术、移动设备和数据安全防护、云数据中心安全防护等技术受到了广泛关注。下面我们从市场关注和用户关注两个方面进行分析

最受市场关注的五大技术应用

♦大数据的安全应用

2013年RSA大会上，大数据被提到极其重要的地位，甚至被认为会改写信息安全产业格局。利用大数据进行安全分析和威胁检测，提前捕捉威胁苗头，这在APT攻击日益猖獗的今天显得尤其诱人。将大数据技术应用于安全检测，主要分三步：第一步是收集数据，第二步是提炼数据，第三步是检测，这个过程将用到安全分析技术和数据挖掘技术。

在大数据环境下，安全分析模式正在发生改变，数据采集、数据提炼、安全分析、安全态势判断，会形成一个新的完整链条。但是海量的待分析数据和目前相对有限的分析能力之间仍存矛盾。提高对海量数据的分析能力，挖掘其中核心的价值，这是目前安全管理系统无法回避的难点

♦移动终端安全防护

移动互联网时代，BYOD和IT消费化开始变得越来越普及，但移动安全问题也越来越严重。正因如此，对移动风险的管理尤其是移动终端的安全防护也成为安全界新的焦点。保证移动设备的安全，需要策略与技术并行。另外，基于以数据为中心的方法构建的移动风险管理机制有助于企业降低风险。

移动安全问题日益严峻和紧迫，虽然“策略+技术”在移动风险管理中已成为共识，但操作不容易。在制定策略的过程中，企业需要考虑多方面的问题，如：支持什么、怎样进行支持、为哪些人提供支持，什么应用程序、什么设备、哪个用户，哪个业务流程，制定一个统一的移动安全计划其实难度系数颇高。

♦APT检测

2013年，APT攻击事件层出不穷，攻击范围更广，针对性更强，随着鱼叉式钓鱼攻击、水坑攻击等新型攻击技术和手段的出现，对于APT攻击的检测和防范变得越发困难。目前，在APT攻击的检测和防御上，主要有以下思路：恶意代码检测、数据防泄密、网络入侵检测、大数据分析等。

高持续性威胁的特点就是三个，第一就是目标性。现在高持续性威胁扩散的面积会非常小，通常集中在一个地区甚至是一个企业内，所以它有很特定的目标。第二就是隐蔽，不像以前的大面积扩散的病毒，会在网上闹得沸沸扬扬。所以总结一下，现在APT的特点就是低调，并且动作缓慢。第三个特点就是交互性，其实在APT里面更强调的是远程的黑客和它植入到企业内部的APT恶意软件的交互，会随时改变自己的策略，以躲避侦测。APT入侵到系统，到开始攻击，中间会有一个间隔。一旦开始攻击以后，它会有一个阶段，这个阶段我们被称为被掩饰的跨越性攻击，可能不是持续的攻击，而是会有间隔的，今天偷一点资料、明天偷一点资料，会有一个持续的间隔。最后有一个时间点，是这个攻击最终还是会被安全系统识别，识别出来以后，这个时间点我们被称为攻击被识别。最后掩藏的攻击就会被结束，因为我们肯定会响应。一直到它结束以后我们发现它，到最后会有一个响应时间。这是一个典型的APT攻击在时间上的一个特征。

♦智能威胁感知

新威胁环境让原有安全架构不再够用。2013年RSA大会抛出“转型安全战略”，提出将安全基础设施转型成智能驱动系统。该战略包括：创建共享数据架构，让安全信息被捕捉、规范、分析和共享;使用开放式可扩展工具从单点产品迁移到统一安全体系;通过增加数据分析师或外部合作伙伴来管理大数据功能;从尽可能多的来源获取外部威胁情报。

的确，我们已经站到一个关键的十字路口，大数据、移动和云计算融合，威胁环境日益复杂且不断变化，这需要安全从业者以新的方式来应对。在传统安全思路不足以对付这一切时，下一代安全、智能威胁感知、重建安全架构，这些新名词便频频出现。

♦云数据保护

将数据迁移到云中，企业对处于公司安全边界外的数据便失去了控制，数据保护由此变得更加复杂，而不断上升的欺诈事件也更加令人担忧。今天，对云中数据的安全保障可以从多方面全方位地进行，如：卷存储加密、对象存储加密、平台服务加密、软件服务加密、数字版权管理(DRM)等。

安全问题是用户在部署云计算中首要担忧的问题，其中，云中的数据安全又是最受关注的一个分支。对大多数人来说，“云”仍然属于一个新的领域，如果企业提前进行安全部署，云可以比内部部署系统更加灵活，适应性更强。只是，企业还是需要多方权衡，以确保从云中获得的利益能够抵过潜在的安全成本。

最受用户关注的五大技术应用

♦数据和隐私安全

2013年，数据泄密、隐私泄露，这些问题几乎无处不在，让我们防不胜防。这一年，我们先是谈到Cookies泄露隐私，后又发现了搜狗浏览器也会暴露隐私，而移动APP抓取隐私更是家常便饭。当我们还在研究如何通过各种技术手段保护隐私时，“棱镜门”爆料者斯诺登又让我们看到，原来隐私被暴露的不只是我们个人，甚至还有国家。

看看今年爆出的隐私泄露事件，防不胜防的数据和隐私泄露，让我们无所适从，甚至以“泄露就泄露吧，反正也没什么秘密”来聊以自慰。个人对此可以包容，企业呢？国家呢？看来，捍卫数据安全，防止重要情报泄露，这将会成为一场长期的技术较量。

♦DDos攻防

DDoS攻击看起来是个老生常谈的话题，2013年，全球的DDoS攻击依然此起彼伏，似乎很难数得过来。DDoS攻击确实越来越猛，市场情报公司IDC一项新的研究发现，分布式拒绝服务(DDoS)攻击和DoS攻击防御解决方案市场在2012年到2017年间预计将增长18.2%，相关开支将达到8.7亿美元。

相信大家对3月份那次300Gbps的史上最大流量攻击和.cn根域名服务器遭到的攻击都还有印象，而且，DDoS攻击正变得日益猖獗。今天，DDoS攻击工具很容易在黑市上买到，攻击更简单，而防御却依然较难。并且，DDoS攻击“进步”很快，不仅应用型攻击不好对付，针对移动Apps的DDoS攻击在未来也将成重大威胁。

♦DNS攻防

在台菲黑客大战中，由于DNS被控制，菲律宾黑客终于讨饶，足见DNS攻击威力甚大。今天，黑客产业链正让DNS攻击愈演愈烈，数据显示，在DNS攻击中，简单的漏洞(如：域传送漏洞)出现的次数已经越来越少了。但DDoS和Flood攻击所占比重越来越大，而这也是最严重的两类DNS攻击。

可以说，DNS攻防是个永远不会过时的话题，2013年，受台菲黑客大战等事件的影响，DNS再次成为焦点。今天，攻击者热衷于DNS劫持攻击，对付DNS却并不简单，因为，当DNS被攻击时，可能发生各种情况，如果不先搞清楚具体状况，你可能会感到难以下手。

♦SQL注入

近年来，SQL注入攻击成为黑客们入侵网络最受欢迎的方法之一。实际上，SQL注入漏洞一旦被发现，就很容易被修复。但IT专业人员面临的挑战是去哪里查找这些漏洞。在大型web应用程序中，用户可以在上百处地方输入数据，每一个都可能为黑客提供机会。一些安全专家和组织一直在敦促企业彻底扫描web应用程序中的这种漏洞。

对SQL攻防的关注恐怕是长期存在的，SQL注入攻击之所以能够成功，是因为企业并没有部署足够好的保护。虽然企业知道应用程序代码审查和部署应用防火墙非常有必要，但很多企业因为受资源所限，只能选择忽略。对于SQL注入漏洞问题，企业IT人员并不是不知道如何修复，而是资源有限，无法兼顾。

♦XSS攻防

XSS漏洞和SQL注入漏洞一样，都是利用了Web页面编写不完善的弱点，所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难——不可能以单一特征来概括所有XSS攻击。今天，XSS传统防御技术的缺陷已经越来越多地显现，基于特征的监测手段开始被基于行为的检测所代替。

XSS攻击作为Web业务的最大威胁之一，不仅危害Web业务本身，对访问Web业务的用户也会带来直接的影响。防范和阻止XSS攻击，保障Web站点的业务安全，是越来越密切地将互联网与业务结合的企业无法回避的话题，也是定位于Web应用安全网关产品供应商关注的重点。

传统安全管理系统应对乏力

面对用户终端方面花样繁多的终端类型、接入方式，面对服务端/云端不断的虚拟化，面对业务层面接入、传输、用户身份识别，面对大数据的安全、分析等各种各样的问题，传统的安全管理平台显得应对乏力，尤其是用于安全管理的数据信息采集不完整、用户安全管理的控制手段不得力、用于安全管理大数据分析的技术落后成为了制约其应用的严重软肋。

Ø信息数据获取不完整

虽然传统安全管理系统平台能够对上百种的异构设备信息数据进行采集，但其仍有可能会面对信息数据获取不完整的困境，这种困境并不是因为采集支持的设备数量导致而通常是企业安全管理系统管理技术实施不足导致。

可以分析一个常见的攻击来看看这种困境：

常见攻击场景

如上图所示，有一个非法用户，通过SQL注入漏洞获取应用网站后台数据库信息，对管理员用户名密码进行破解，获得到应用网站管理权限，然后可能仅为了炫耀其技术在应用网站上挂黑页，也可能为了实施APT攻击在应用网站上悄然插入恶意代码继续渗透，还可能为了盈利将整个应用数据库全部下载售卖。

对于如此一个常见的攻击过程，传统安全管理系统平台是能够通过对应用网站系统、防火墙等日志信息数据采集，进行关联分析才检查发现的，因为SQL注入漏洞扫描行为、登陆网站行为都可能会在应用网站服务器、防火墙上留下痕迹。尽管传统安全管理系统平台能够检查发现这样的攻击，但却最终只能定位到攻击者的来源IP、用户名，无法将IP、用户名关联到自然人。

Ø控制力有待提高

虽然传统安全管理系统平台能够采集信息数据并从中发现威胁、潜在隐患，但是威胁、潜在隐患发现后，紧跟着下一步用户需要调查更多终端信息、对终端进行整改、甚至对终端采用紧急断网措施时，传统安全管理系统平台就显得控制力。

1)调查难场景：安全管理系统平台通过采集防火墙的日志信息数据，发现有一个IP地址总是在非工作时间访问单位的重要数据库，这个潜在隐患到底是不是真正的威胁呢？最好的方法是查询这个IP对应的终端是什么部门？负责做什么工作的？每天在非工作时间访问数据库是在获取什么数据？为了获取这些信息就不得不需要有技术能协助管理人员进一步的调查终端上的信息，显然传统安全管理系统平台对此力不从心。

2)管理难场景：安全管理系统平台通过其脆弱性分析能力发现了一些终端、服务器上存在着高危漏洞，高危漏洞很容易被利用种植木马恶意软件从而对单位网络安全带来威胁，作为单位的安全管理人员如果通知这些终端、服务器的使用人员后其长期不按通知进行整改该怎么解决呢？要解决这样的问题，就必须提高安全管理系统平台对终端的控制能力。

3)响应难场景：安全管理系统平台通过防病毒系统的上报的信息数据发现了某台终端上被感染蠕虫病毒杀毒失败，并且有向其他机器传播的现象，为了此台终端进行隔离，安全管理员通常需要找到此台终端拔掉网线或者是找到其对应的接入交换机配置ACL策略来进行解决，但是无论那种方法通常都需要安全管理员花费不少的时间来完成，甚至此过程还会碰到终端无法接近接入交换机不支持ACL等麻烦，如果此时安全管理系统平台能提供功能点击按钮将终端断网，那么响应就简便多了。

Ø海量数据处理分析瓶颈

大数据处理流程

传统安全管理系统平台对信息数据的管道式处理，所有采集到的信息数据需要在安全管理系统平台上经历原始信息采集、信息字段归一、信息分类分级、有用信息过滤、问题分析存储等一系列处理步骤，这必然会在处理性能上造成漏斗现象。

传统安全管理系统平台虽然能够提供关联分析等基于内存数据实时分析手段，但是实时分析无法跨越较大的时间窗进行分析。传统安全管理系统平台通常仅基于关系型数据库进行信息数据的存储分析，关系型数据库在海量数据的存储分析上的性能瓶颈同意造成安全管理系统平台的存储分析瓶颈。