内容安全:应对防护警报

内容安全亦需协同

王晓波

网络内容安全过滤在中国是一个新兴的市场，其主要涵盖了Web访问过滤和电子邮件过滤等。在中国信息安全界，人们称之为“内容安全”，在国外也叫员工上网管理(EIM-Employee Internet Management)系统。该系统的产生和网络带来的负面影响有关，如网络上的黄、赌、毒信息、55%与工作无关的访问、大量的垃圾邮件和病毒邮件、网络泄密等等，这些不良因素的产生，迫使企业为提高安全性和效率，而在企业和互联网之间建立一个过滤方案，这就是EIM的由来。

在内容安全策略中，保护信息内容的安全首先应考虑信息的存在形态和存在领域。信息的存在形态大致可分为静态与动态，而信息的存在领域可以分为内部和外部（此处的内部是指协同的内部，即一组在协同工作中担任角色或结点的人或计算机），因此信息的流向就可以定义为内部流转和内部与外部的交流。在内部交流时，信息内容的安全性可按照信息的安全等级予以划分。当信息从内部向外部流转时，依旧需要根据信息的安全等级设定保护机制（值得说明的是，此处的安全等级应有别于内部的安全等级。如内部的普通信息对于外部来说，可能就是保密信息了）。对于非法的信息流转，信息内容就会面临泄露和恶意篡改的威胁。

目前应用于信息内容安全的技术主要有:密码学、设备管理、身份认证、访问控制、使用权限管理和审计追查技术。密码学作为最早用于内容安全的技术手段，保护着信息安全的机密性和完整性。信息内容的开放性是信息内容易受攻击的根源，只有通过加密手段，将明文的信息内容编码成不可识别的密文，并且通过加密算法的安全性和加密密钥的私密性来保证密文信息内容的安全性。设备管理是指通过对计算机及其上的外接设备和通讯端口的访问控制、流量监控等，从而达到对信息内容流向和流量的安全保护。在这个技术实现过程中，访问控制和使用权限管理看似相同，其实却是本质上的差异。对于一些信息来说，仅仅依靠访问控制，还不足以保证信息内容的安全。对于任何一个安全体系来说，审计追查手段都是必不可少的。

安全解决方案的搭建也很重要，它是一个应用技术的整合过程，通过合理的使用多个技术，来保护信息的自身安全和防护针对信息自身弱点而发起的攻击。信息化发展到今天，协同合作和信息内容安全是绝不可分开的。不能够只提内容安全而拒绝或减少交流，把信息封闭起来;也不能仅顾协同而降低或放弃信息内容的安全。协同中的内容安全将是下一个阶段信息安全的核心，而相应的技术，动态加解密、安全等级、安全通道等也将会越来越频繁的出现在我们面前。

P71新视点

内容安全:应对防护警报

网络攻击无日无止，安全威胁无处不在，让机关、企业用户，甚至个人用户头痛不已。内容安全防护理念的出现，一切是否都简单起来了呢？

P75半月谈

威胁管理 安全无忧

对于那些为安全问题而操劳的IT管理员而言，把风险最小化在今天看起来比以往任何时候都要困难。在亚太地区，精明的IT管理员已经认识到集成的安全管理解决方案对管理风险和降低预算的益处和价值。

P71新策略

真假“铁步衫”

企业IT系统的安全与否，与投入多少资金并无决定性关联。其实，对于那些投资不少但依然损失惨重的企业来说，在安全投资上并没有点对“穴”才是症结所在……安全投资的“穴”到底在哪里？

《新安全》栏目希望广大的读者朋友们以后多加关注，并且多提宝贵的意见和建议！同时，我们更欢迎大家积极投稿！

E-mail:.cn

电话:010-88559418

网络攻击无日无止，安全威胁无处不在，让机关、企业用户，甚至个人用户头痛

不已。随着内容安全防护理念的出现，一切是否都简单起来了呢？

网络攻击无日无止，安全威胁无处不在，让机关、企业用户，甚至个人用户头痛不已。由Juniper网络公司发起的一项最新研究表明，在接受调研的中国企业中有63％在去年受到了病毒或蠕虫攻击，而41％的公司受到了间谍软件和恶意软件的攻击。

预计针对中国企业网的攻击在近期将不会减弱。超过半数的被调查者都认为今年会有更多的病毒和蠕虫攻击。

谁射的“冷箭“？

网络上四处肆虐的“冷箭”，让我们不再安全。

如果攻击者希望制造一些事端的话，那他们首要的任务就是获取目标网络的更多信息，也就是让他们查明怎样去攻击和攻击什么。他的兴趣是:用户正在运行什么操作系统，或者正在运行什么应用系统？网络看起来如何？什么和什么连接着？在某些时候，你可能会有一个保护得很好的昂贵的服务器正与某些相对不明的地方连接着。

攻击者会在网络上一些数据用来观察网络如何反应。这种反馈信息可以用来判断最佳的攻击方法。因此必须要有一种方法来识别这些侦察攻击并阻止他们。

另外, 当员工回到家中（也许仍然在工作），攻击者开始在那里安置一些东西。人们再把他们已经感染的笔记本（或者USB插口或驱动器）带到公司里，就会导致蠕虫和间谍软件对网络系统的感染。

还有另一种情况是攻击者就是某些内部员工，或者其他一些可以访问网络的人。为了阻止他，你需要有一些连接到LAN上的在服务器前端的内部系统，在攻击发动之前就阻止他们。这可能需要高速的网络系统，而且需要日志来记录攻击来源，与理想的工具来发掘和获取他的身份等。

总而言之, 一旦攻击出现在你的网络上，它将尽力地像蠕虫一样复制自己，它也会竭力与源头联系，发送它收集到的信息。

防御:理念先行

如今能够提供这些安全产品的厂家有很多，而且也都各有特色。针对日益严峻的网络威胁，作为全球领先的联网和安全解决方案供应商，Juniper主张采取多种检测手段，主要包括侦查检测、攻击侦测、繁殖与增殖侦测等。

侦查检测主要针对流量异常侦测与会话进行侦测。按照管理设置规则记录异常流量，针对某段时间对某个端口进行侦测;在某一时间针对某个IP地址侦测;在某段时间对某个会话进行侦测。网络蜜罐是另外一种针对网络威胁的检测，可以建立虚拟服务，对扫描发送虚假信息， 以诱惑攻击者获取并不存在的服务，因为正常的情况下，合理的流量是没有任何理由获取这些资源的，因为他们并不存在，因此任何连接企图都可能是攻击。

攻击侦测包括协议异常侦测及状态签名。所谓协议异常侦测是指通过与正常的协议模型进行比较方法进行检测，只有常规流量才能得到支持。状态签名即追踪网络会话状态，例如，区分控制电子邮件的各个部分、分别进行攻击特征匹配，有效减少虚报情况。

繁殖与增殖侦测包括对间谍软件的侦测、后门侦测、IP欺骗侦测及第二层攻击侦测。在网络威胁的繁殖阶段，可以在间谍软件企图回发信号的时候识别它，并确定消息来源，这样可以在它传播之前将其除去。后门侦测则是，攻击者可以在下载其他东西的时候发送蠕虫或特洛伊病毒，然后利用它打开一个后门来进入网络。此时，IDP可以在攻击者和蠕虫之间识别禁止的交互式流量。在增殖侦测阶段，攻击者骗取IP地址并利用它来查看来自网络内部的消息。IP欺骗侦测可以详细说明每一个接口后面的IP分支网络，确认IP来源，区分入站接口。第二层攻击侦测主要是侦测“ARP欺骗攻击”和“交换模式下的侦听”，接口之间的MAC/IP触发器，以太网结构和ARP包头不匹配，对同样的MAC，IP地址是否发生改变，以及无效的ARP要求/回复框架。

安全从识别入手

现在市场上防范攻击的主要技术手段主要还是防火墙、反病毒和入侵侦测系统/入侵防范系统。防火墙主要解决的是对网络间访问的控制以保证安全，一些防火墙还有更高级的检测方法;反病毒产品主要用来检测文件中或者网络流量中的病毒，禁止在文件中植入病毒;入侵侦测系统/入侵防范系统则用于观察针对网络与主机的攻击行为，评估网络流量以判断可疑的入侵行为是否发生，发送报警信号，建立日志文件，将攻击流量丢弃。

从整个网络安全产业的发展来看，对网络内容的管理和控制正顺应了互联网应用普及时代对网络安全的新要求，因为越来越多的用户希望藉由加强对互联网内容的管理和控制来建设更加完善、更加安全的网络环境。

通过内容安全设备，用户可以降低安全风险、杜绝不良信息、提高工作效率、节约网络资源，从而更好的利用网络创造更多的价值，让互联网更好地为人们服务。 因此，对于一个企业来说，要在现在的攻击条件下保证安全，至少需要配合一些基本的防护手段:防火墙是基本的安全产品，这是一线的防御所必需的;主机反病毒产品，它能将病毒扼杀在起点;网络入侵检测和防御解决方案，它能洞察许多不同的协议，对不同阶段的攻击采取不同的检测方法，在应用层通过可见性来双向地阻止实时攻击，并且掌握未被发现的攻击防护和协议异常。

就目前而言，这些安全产品比早期的产品在功能和性能上都有了很大的改进，特别是像入侵防护概念的提出，大大提高了检测的质量。

Juniper 网络公司从1999年便开始研发业界第一个入侵防范产品平台。2001年，IDP 产品正式推向市场，并配备专门的安全团队提供攻击签名生成与更新服务, 协议解码, 和安全事件反馈。2003年，产品集成了状态签名和从IDP特定的互联网络相关协议到企业内部广域网之间的协议异常侦测机制;2004年，IDP产品向业界推出第一个也是唯一一个内置了完整的基于建模方法的逻辑推理能力;2005年， Juniper了可以集成 IDP 的ISG平台系列, 拥有多千兆处理能力的完全集成 FW/VPN/IDP 系统。

Juniper 网络公司IDP解决方案具备多种攻击检测手段，包括复合特征、状态特征、协议异常及后门检测等。该解决方案可以容许客户自定制攻击，以提高检测特定攻击的能力。另外, 客户可以闭环调查流程，迅速察看全局视图，并深入到适当的详细级别;解决方案中的Enterprise Security Profiler（企业安全事件探查器，ESP），洞悉网络和攻击活动，加速串联部署并促进攻击调查;客户除了可以通过策略编辑器，创建并部署细粒度的安全策略;也可以通过日志查看器，调查特定的安全事故并定制系统中的信息处理方式基于规则的集中管理方法。

尤为重要的是，该安全解决方案可提供全面定制的报告，以生成网络活动的实时状态;其群集，实现单独的状态高可用性，能最大限度地降低单点故障风险，并提高网络防护水平。

其实，IDP较过去的类似产品，有了明显的深化和提高，它以简便易用的全面防护功能，能够抵御各种已知和未知的应用层及网络层威胁，Zero Day防护，防止蠕虫、特洛伊木马、间谍软件、键盘记录及其他恶意软件侵入您的网络，同时防止已被感染的用户继续感染其他用户，在网络层和应用层攻击产生任何损害前有效识别并终止它们，从而最大限度地减少与入侵相关的时间和成本。该IDP产品不仅可以保护网络免遭攻击，还能提供在管理员不知情的情况下擅自添加到网络中的不良服务器和应用的相关信息。

此外，Juniper 网络公司集成安全网关（ISG）是专用的安全性解决方案，利用第四代安全ASIC"GigaScreen3"以及高速微处理器来提供防火墙和VPN性能。Juniper 网络公司ISG 1000 和 ISG 2000都适用于保护企业网络、运营商和数据中心环境的安全，在这些环境中，VoIP和流媒体等高级应用需要可扩展的一致性能。ISG 1000 和ISG 2000集成了一个深层检测防火墙、VPN 和防DoS解决方案，能够为关键的高流量网络分段提供安全可靠的连接以及网络层和应用层保护。

ISG系列可通过升级来支持集成入侵检测与防护功能（IDP），从而针对现有和新型威胁提供强劲的网络层和应用层防护功能。ISG系列利用与Juniper网络公司IDP 平台相同的软件，但将其集成到了ScreenOS中，在单一解决方案中提供最佳防火墙、VPN和IDP的组合。

此外，ISG产品还通过名为安全模块的专用处理模块提供专用处理能力，以确保多千兆级别的防火墙、VPN和IDP性能。通过其安全处理能力以及网络分段特性，ISG系列产品可部署用于保护网络周边设备或内部网络安全性，从现实上上做到内容层面的完全防护。

何谓“内容安全”

信息安全的概念正在逐渐发展，防火墙、杀毒软件已经不足以保证信息安全。随着网络安全和信息安全在网络层次上的向上发展，对于安全的威胁已经不仅仅限于基础的物理层、网络层和传输层，更多地开始向应用层和应用中的内容过度。

与外部对网络的威胁相比，内部对网络的安全威胁已经上升为主要矛盾，值得CSO们高度重视。原因是:一是这些年几乎所有的安全投资都在“防外”的措施上，总得有点效果;二是传统上，总是假设“内部是安全的，外部是不安全的”这么多年下来，这种认识导致的误区积累的问题已经到了爆发的时候;三是从结构上来讲，内部有更多的机会威胁企业的核心资料，而外部的机会要少得多，而且，有时候具有很大的盲目性。

从国内的情况来看，内容安全在前两年还是一个比较新的概念，当时使用内容安全系统的行业，主要集中在军队、公安、政府等级别较高的行业。随后一些网吧、学校也在政府的重视下逐步部署内容安全系统，所以当时国内的内容安全市场还是一个比较空白的状态。随着国内信息化建设步伐的加快，网络安全市场逐步红火，在防火墙和防病毒产品两大热点过后，大家开始逐步关注内容安全市场。国外的一些内容安全厂商也加快了进入中国市场步伐。

国内内容安全市场发展到今天，已经初具规模。仅在2004年，国内防垃圾邮件的市场投入就达到了2亿元上下，其应用行业也已经从原来的政府，拓展到电信、金融、研究机构、大中型企、教育等不同行业。

2005年下半年开始，反垃圾邮件在中国提上了日程，加速了政府相关政策的出台，包括最近正在实施的垃圾邮件治理方案的实施，种种迹象表明，2006年将成为中国内容安全市场快速发展的最关键阶段。