您好, 访客   登录/注册

基于SDN安全云资源池提升中小企业安全防护能力

来源:用户上传      作者:

  摘   要:网络安全法的逐步深入,国家对企业的安全防护能力监管越来越严苛,与一些技术先进,设备齐全的大型企业相比,中小企业,政企客户受各种因素限制,很难完全凭借自己的力量解决网络安全问题。在网络与信息安全方面,运营商起步较早,拥有更多资源,投入更多,经过数十年的发展,已积累了丰富的互联网安全保护经验,此外近年来兴起的SDN/NFV的新技术让运营商具有灵活部署安全资源、弹性编排用户流量、按需分配防护手段的能力,运营商可凭借SDN云安全资源池,为中小企业、政企客户提供附加值高、防护能力强、技术含量大的安全防护服务,通过创新服务模式助力中小企业提升其安全防护能力。
  关键词:SDN  安全云资源池  中小企业  政企客户  安全防护
  中图分类号:TP393                                 文献标识码:A                       文章编号:1674-098X(2019)02(b)-0140-04
  企业的发展离不开信息化的支撑,而信息化脚步的加快势必带来众多网络安全风险。数据显示,全球500强企业中有97.5%曾发生过恶性安全事故,由于企业业务安全问题2016年给全球经济带来4450亿美元的损失,相比2015年增加了18%。中小企业安全形势更是不容乐观,企业的业务安全事故包括业务中断、知识产权损失、数据泄露以及经济损失等,给国内外的企业造成了巨大困扰。
  全球网络安全市场的不断膨胀,给转型期的运营商带来挑战的同时,更多的带来了发展的机遇。借助SDN技术契机,让运营商具有灵活部署安全资源、弹性编排用户流量、按需分配防护手段的能力,运营商在其网内部署基于SDN的云安全资源池,借助资源池运营商可以方便快捷地为政企客户、中小企业提供多样化的安全防护服务,切实提升其安全防护能力。
  1  中小企业网络安全风险分析
  网络已经成为我们生活不可缺少的一部分,网络可以说是这个时代的标志,但同时网络安全问题也给当今社会带来了巨大的负面影响,网络安全的重要性不断攀升。2016年8月,山东省临沂市新生徐玉玉因个人信息泄露被电信诈骗骗走学费9900元,最终心脏骤停,不幸离世。2017年5月,WannaCry勒索病毒席卷全球,包含中国在内的150多个国家受到网络攻击,各国企业、学校、医院等机构无一幸免,纷纷中招,此次病毒肆虐事件严重影响了全球网络的正常秩序。2018年1月,爆发史上最大CPU漏洞,漏洞允许黑客窃取计算机的全部内存内容,包括移动设备、个人计算机、以及在所谓的云计算机网络中运行的服务器,几乎全球所有的计算设备都受影响。2018年6月,AcFun受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等信息。2018年8月,华住旗下酒店开房记录泄露数据,内容涉及大量个人入住酒店信息,约5亿条公民信息泄露。此次数据涉及酒店范围包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程等多个家酒店品牌。通过上述国内外热点安全攻击可以看出网络安全已经深深的影响着国家政治、经济、文化、社会、国家安全的方方面面,网络安全形势日趋严峻,公民在网络空间中的合法权益面临严峻的挑战和风险。
  目前有我国超过5000万家中小企业,由于受到众多隐私限制,中小企业开展网络安全工作存在一定难度。首先,受资金限制,企业规模较小,难于独立建设一整套昂贵的安全防护体系;其次,受规模限制,很难建立一支专职的网络安全技术团队进行网络安全运营;再者,一般的企业网络安全防护起步较晚,缺少一整套安全管理机制,安全防护运营经验不足。随着移动互联网的长足发展,网络安全事件层出不穷。近年来安全事故频发,中小企业遭遇计算机病毒、钓鱼网站、信息泄露等安全威胁,通常造成造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率大幅下降,直接或间接的紧急损失更大。此外,内部人员对网络的不当使用,消耗企业内部资源引入病毒和威胁,或者使得不法员工通过公司网络泄露企业机密,从而导致企业数千万美金损失。数据显示,超90%中小企业的网络安全形势都不容乐观。
  《网络安全法》于2017年正式实施,标志着网络安全已经上升到国家战略的高度,企业若因不严格履行网络安全防护义务,致使重大安全事故发生造成重大社会影响将被追求刑事责任。在国家政策的强制驱使下,网络安全行业特别是网络安全服务将进入高速发展期。
  2  某运营商安全防护能力
  网络安全市场的不断膨胀,给转型期的运营商带来挑战的同时,更多地带来了发展的机遇。运营商作为链路提供商、IDC资源服务商,客户的量都经过其网络,具有得天独厚的优势。此外运营商是国家关键信息基础措施的承载单位,最早落实网络安全技术研究业务防范,在网络安全技术、管理和运营方面都积累了丰厚的经验,而且,由于大网建设网络安全防护系统,成本相对较低。某运营商目前已经具备较为完善的网络安全防护能力。
  2.1 网络安全防护产品
  运营商前期普遍建成了涵盖安全域、系统设备层、基础安全防护手段层和信息安全管理系统层4个层面的安全防护体系,实现防护对象的全覆盖。
  运营商网内部署了较为全面的安全防护设备,据不完全统计,网络口安全防护设备种类繁多,涵盖了入侵防护类、DdoS防护类、网站防护类、个人信息防护类等12类共计近597台安全设备。如省内各个汇聚路由器旁挂了入侵防护设备;互联网出口部署了DdoS防护设备用于清洗攻击流量;各重要Web页面的业务系统部署了WAF用于网页状态监控;各个业务系统均部署防火墙用于访问控制等。运营商网络安全防护设备很多,但却很分数,如每个业务系统部署防火墙做访问控制,为了抵御入侵攻击,部署大量IPS,為了抵御DDOS攻击,在互联网出口部署NTA和ADS,为了抵御网页篡改攻击,部署了WAF和WSM。   2.2 互联网安全防护体系
  为了所有网络安全防护产品能够统一管控、综合调度,消除信息孤岛,运营商将所有安全设备日志、基础网络数据、业务系统数据完全整合,以大数据分析技术及机器学习算法为核心引擎,打造一键封堵平台,构建了综合立体的安全防护和安全监测体系,最大限度地确保互联网专线客户、数据专线客户和IDC客户的业务安全。
  互联网安全防护系统,采用大数据技术作为底层支撑,解决了传统安全分析中数据分析的性能瓶颈问题,实现了实时安全数据分析功能,完成了自主灵活的安全可视化目标。主要由安全态势感知呈现层、安全态势场景分析层、安全数据中心层以及整个平台对外接口共四部分组成。
  2.3 基于SDN安全云资源池的安全防护体系
  安全防护系统构建过程中要采用分层分级思路构建,让所构建的安全防护体系才具备横向、纵向扩展安全能力、面向用户开放服务便利的能力。安全防护平台从总体上分为采集层、分析层、应用层。借助SDN技术契机,为了安全资源能够灵活调度、快速编排、弹性部署,快速将安全资源按需分配给客户使用,在采集层通过部署SDN安全云资源池的方式构建。
  后续通过电信运营商网络接入的客户,通过网络流量调整的方式,能够快速部署运营商的网络安全防护功能,灵活分配所需的各类安全资源,包括入侵防护能力、网站防护能力、漏洞评估能力等。
  通过安全云资源池分配给用户的安全防护产品,用户能够自行管理,更能够接入运营商顶层安全管理平台进行7×24h专家运维及闭环处置。
  3  提升中小企业安全防护能力举措
  运营商与传统安全设备厂商最大的不同在于,运营商具有流量集中的优势,有强大的安全防护体系,不仅能检测到安全风险,也能够针对安全风险进行综合运营,更能够针对紧急安全风险实现快速闭环处置。为中小企业提供“一揽子”全方位安全防护服务,让企业能够集中精力发展其专业业务。
  3.1 中小企业安全防护服务种类
  目前运营商有能力向中小企业提供的安全防护服务有六类,包括基础设施防护服务、态势感知服务、网页篡改防护服务、抗DDoS攻击服务、安全评估服务和敏感数据防护服务。
  (1)基础设施防护服务。
  运营商目前已初步形成SDS防护模型,该体系基于底层云安全资源池,实现资源虚拟化、能力开放化,部署灵活化。上层利用安全大数据平台进行定义预测、防御、检测、响应,实现对安全威胁的细粒度、多角度、持续化的实时动态分析,自动适应不断变化的网络和威胁环境,不断优化自身的安全防御机制。中小企业按需购买安全防护能力,只需提供需要防护系统的基本信息就可以实现安全防护手段自动化部署。
  (2)网页篡改防护服务。
  面向有web页面的客户提供7×24h的网页篡改防护服务,非法網页篡改、非法篡改数据库、非法执行指令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等非法Web操作的安全防护。
  (3)抗DDoS攻击服务。
  用户购买DDoS防护服务后,运营商可为用户提供7×24h流量监测及清洗服务,可提供170G超大防护带宽,能有效抵御SYN Flood、ACK Flood、ICMP Flood、UDP Flood等各类常见的攻击类型,尤其适用于游戏类客户,此外采用基础防护+弹性防护计费模式,用户可根据自身业务情况灵活选择防护带宽,弹性防护按天后付费,不超出不收费,从而极大的节省成本。
  (4)态势感知服务。
  具备最快到秒级响应的安全监控能力,全面包含了企业漏洞监控、开放端口监控、黑客入侵监控、Web攻击监控、DDoS攻击监控、威胁情报监控、企业安全舆情监控等。让企业的安全团队能够编写基于自己业务和日志进行威胁模型,通过分析安全设备日志、网络日志数据,将基础告警通过七步攻击链模型规整为具有价值的安全事件,并自动进行事件应急处置。
  (5)安全评估服务。
  安全评估服务内容包括:按照组织的业务运作流程来识别需要保护的信息资产,并根据估价原则对信息资产进行估价;弱点识别及评估,包括技术性弱点和非技术性弱点;对可能存在的各项威胁进行识别和评估;利用既定的风险评估方法,结合资产、弱点和威胁3个要素,对已识别的风险进行评估,划分风险等级;识别并评估当前风险控制措施的有效性;建议风险处理措施和优先顺序。可以提供的漏洞扫描支持主机漏洞、Web漏洞、弱口令扫描。
  (6)数据保护服务。
  帮助中小企业解决其敏感数据流转过程看不见、摸不着、管不了的难题,基于用户对于数据的行为特征进行检测数据的异常访问行为,让用户对于敏感数据的访问情况由一无所知转变为可视可管。对于异常的数据外发行为自动启动会话级精准封堵,切实增强用户敏感数据安全性,保障用户数据的机密性。
  3.2 提升中小企业安全防护水平的方式
  为客户量身定做一体化端到端安全防护服务,能够帮助企中小企业通过威胁监控实现风险控制与安全止损,帮助客户提升威胁监控能力应对复杂的互联网环境。运营商能够为用户提供对攻陷事件、高危访问源及热点安全事件的监控,将安全事件闭环处置的周期缩短至小时级别,并采取有效措施及时消除安全事件与安全威胁带来的损失。
  运营商采用一体化的方式为客户提供端到端服务,借助这种方式客户可以规避信息安全建设项目的流程、技术、人员及管理的风险,有效避免投资浪费。另一方面,客户无需在安全运营的设计、规划、部署和运营方面投入大量精力,从而大幅减轻了安全运营的负担。
  3.3 紧急安全事件高效闭环处理流程
  紧急安全事件闭环处置才是运营之道,需要构建一套集防护、止损、封堵为一体的高效闭环处置流程。当前新型安全威胁不仅攻击面日益宽广,传播速度也更快。攻击面覆盖包括移动、桌面、网络、Web和各种应用、社交网络等。应急响应拥有的时间窗口越来越小,应急响应所需的威胁情报、专业技能、技术手段等也不断增加。大规模的安全应急响应活动是一个系统工程,对于企业而言,其成功与否,或整体的安全性,并不只取决于企业能够第一时间掌握威胁情报并及时研究有效的防御方式,更取决于企业内部能否对紧急事件各部门“无缝衔接”作战,建立了高效的闭环处理流程。
  网络信息安全是一个系统工程,网络信息安全应该是全员参与,需要管理部门、运维部门、市场部门多部门紧密配合、协同作战才有可能做好企业网络安全管理工作。需紧紧围绕解决“有效执行、短板提升、精细管理、卓越运营”四大问题,强化落实机制、实施专项突破、夯实管理基础、构建卓越体系,初步形成了持续网络与信息安全闭环管理和管理提升长效机制。
  4  结语
  中小企业受其资金投入、安全意识和技术能力等因素限制,亟需外部提供安全服务来解决自身的网络安全问题。对于运营商而言,我国中小企业信息化安全蕴藏着无尽的机遇,帮助中小企业提升其安全防护水平是助推运营商进而转型蓝海的重要动力。运营商内部强大的网络与信息安全防护能力,如流量清洗设备、网页防篡改能力等产品,尚未在信息安全产品布局中得到体现。运营商需借助SDN/NFV的新技术契机,构建基于SDN安全云资源池,将自身对网络和信息安全领域的积累,面向中小企业和政企客户开放,切实提升其网络安全防护能力。
  参考文献
  [1] 段炼.面向中小企业的安全服务共享平台的构建与运营[D].南京大学,2017.
  [2] 李彬.面向关键基础设施的网络安全态势感知体系研究[J].信息与电脑:理论版,2017,3(1):91-92.
  [3] 陈健叶.移动互联网背景下如何做好服务创新[J].中国电信也,2015(2):123-124.
  [4] 顾炯,吕鹏,张金漫.云资源池安全部署方案解析[J].电信技术,2014(10):12-14.
  [5] 章瑞.云计算服务的定价策略研究[D].华东大学,2014.
  [6] 孙建坡.基于攻击链的威胁感知系统[J].邮电设计技术, 2016(1):121-123.
  [7] 王滢波.全球网络信息安全产业发展趋势研究—基于产业并购与投资的观测视角[J].信息安全与通信保密, 2015(2):217-219.
  [8] 任翔.基于云安全技术的防病毒软件商业模式的分析与研究[D].北京邮电大学,2011.
转载注明来源:https://www.xzbu.com/1/view-14797664.htm