携起手来 升级防护

　　——2014中国计算机网络安全年会侧记

　　云晓春认为，面对当前复杂的安全形势，网络安全应急各个方面存在诸多挑战，而对大数据的利用，或许可以成为求解之匙

　　5月27日—29日，由国家计算机网络应急技术处理协调中心（CNCERT/CC、简称国家互联网应急中心）主办的一年一度的“中国计算机网络安全年会”（下文简称年会）在广东召开。

　　今年的年会以“携手防护·安全未来”为主题。显然，面对如今更为复杂的安全形势，携手是各界必需的动作。国家互联网应急中心主任黄澄清表示，年会的召开旨在促进政府部门、组织机构、企业和个人等各方力量携手构建安全有序、互利共赢的网络空间生态系统。

　　“由于互联网的开放性和无边界性，网络安全往往需要大范围的协作，需要社会各界发挥各自的特长，利用各自掌握的资源，分享相关信息，在网络安全保障和防御中形成优势互补，从而构建一个可信的网络空间生态系统。”黄澄清说，年会通过专场培训、论坛的综合设计，使年会相关内容可以紧密跟进网络安全发展形势，为加强网络安全防御能力提供有利的启示，共同推动可信的网络生态环境。

　　近年来，信息安全领域越来越多的人开始提倡携手防护。这是因为，如今攻击的手段越来越复杂、越来越隐蔽；相应的，其防护方式也越来越复杂，需要更多地利用大数据分析等先进的技术，需要安全从业者更高的智慧。正由于此，“大数据”与“APT”成为本届年会提到最多的词。

　　在数据沙漠中淘“威胁”

　　“在2013年互联网安全报告中，我们发现针对我国的钓鱼网站中有90.2%是位于境外的。2013年，我们发现有1090万台境内主机被2.9万个境外服务器控制。”国家互联网应急中心副主任云晓春在年会上表示，“看到这些数据，我们也在思考，能否将这些数据定位、划分得更精细呢？我们发现，2013年我国境内有1.5万台主机被APT木马控制，一些政府机构、基础电信网络都遭受过攻击。这1.5万台主机的数量也不小，我们也在思考，这1.5万台之外还有多少没有发现的？是不是这1.5万台只是冰山的一角？”

　　这就是大数据对于安全的最大价值。在浩瀚如海的互联网世界里，要查找犯罪的蛛丝马迹，要火眼金睛般看清一次APT攻击的过程和脉络，就需要大数据这一有力武器。当然，我们离充分了解、掌握和利用这一武器，还有相当的距离。

　　云晓春介绍，网络安全应急需要遵循积极预防、及时发现、快速响应、力保恢复的原则，但是面对越来越复杂、越来越隐蔽的网络攻击，网络安全应急工作还有很多不足。他指出，在防御这些攻击时，我们不得不面对基础资源掌握不全、未知漏洞和未知攻击监测能力不足、宏观状态评估的准确性不足、微观事件的预警能力不足、范围外的攻击事件无法追踪、应急处置效果评估能力不足等各种问题。

　　“大数据给网络安全带来了更大的创新空间，在感知、分析与预测方面应该发挥巨大的作用。大数据或许能够成为解决这些安全问题的钥匙。”云晓春介绍，近年来，国家互联网应急中心一直在尝试利用所掌握的数据来进行安全分析，也逐渐抽象出了一个基于网络大数据的安全预警模型。这个模型从感知安全威胁、评估安全状况一直到追溯安全根源、预测安全趋势。

　　云晓春介绍，国家互联网应急中心就做过利用海量攻击日志来聚焦网站攻击的实例，它基于对全球14亿个域名的网站探测成功聚焦攻击行为。在已知攻击行为方面，聚焦利用PHP网站发动DDoS攻击；在未知攻击行为方面，利用聚合分析方式查找攻击根源。“我们每天对过亿条攻击日志进行常态化分析，可视化聚焦攻击者、受控网站和目标地址，聚合了看似随机的攻击源与攻击目标之间的关系。”云晓春说。

　　云晓春认为，要强化大数据的分析能力，至少要在三个环节强化。第一个环节是感知。感知是整个安全处置过程中最基础的工作，如果不能感知威胁的存在，那么一切都无从谈起。然而，对威胁的感知，特别是在互联网的海量数据中感知到威胁的存在恰恰是最难的。第二个是数据的管理。这是因为大数据时代，能够有效地管理所掌握的数据，对任何一个安全机构都是一个不小的挑战。第三个是分析。在不同的时间、不同的场景下，网络安全对于数据有着不同的需求、不同的目标。针对不同的需求和目标，就必须要有不同的方法。“你不可能找到包治百病的灵丹妙药，这时候我们需要做的就是构建针对不同场景的分析库、模式库。”云晓春说。

　　年会上，奇虎360副总裁谭晓生分享了奇虎360自身对于大数据平台的利用，以及对APT防御的做法。他告诉记者，奇虎360的智能实时监控系统监听的带宽是100Gbps，每天经过清洗并保存下来的数据是50TB。目前，奇虎360使用的服务器和存储规模超过1.5万台，总存储的数据量200PB、每天新增1PB，每天的计算任务2万个，每天计算处理的数据约3.5PB。

　　每天，要在这样的一个数据规模中进行威胁的感知和安全防护确实并非易事。云晓春指出：“大数据就像一个含有金粒的沙漠，我们都知道其中有很多金子存在，但是可以肯定的是，沙粒的数量远远大于金粒的数量。我们要做的就是用现代化的挖掘手段，在沙漠里把金子淘出来，我们的手段越先进，得到的金子越多。在网络安全领域，这些金子是非常重要而宝贵的。”

　　智能、协作防御APT

　　其实，利用大数据，就是为了应对越来越复杂的安全威胁，而当前最为典型的威胁就是APT。东软集团网络安全事业部副总经理张泉认为，APT攻击的特点是攻击者会先建立阵地，并不急于攻击目标，而是慢慢寻找目标的薄弱环节，再进行不断的渗透，最后达到入侵和窃取数据的目的。

　　谭晓生以自己公司的APT攻防实例现身说法。“现在，各个系统的漏洞层出不穷，而漏洞已经成为企业所面临的最重要的威胁。我们曾经在2011年5月被渗透，而在7个月后，我们才发觉。”谭晓生表示，如果企业遭到APT攻击，就必须知道攻击者的思路和行为，才能进行有针对性的防御。

　　谭晓生介绍，奇虎360应对APT攻击的做法就是“数字化一切”，这其中包括企业内的各类设备、数据、行为等，它们来自服务器运行记录、网络与拓扑记录、网络访问记录、常见的应用层访问记录、文件传输记录、文件行为记录等。将这些记录进行数字化之后再进行可视化的呈现和智能分析。

　　确实，在看似杂乱无章的数据海洋中，只有进行可视化，才能让人的眼睛发挥作用，分辨出异常。“可视化不是为了展现，而是为了发现。”谭晓生说。另外，建立智能的模型也相当重要，这是因为人力的作用终究有限，只有依赖智能的大数据分析，才能制胜。谭晓生介绍，奇虎360也已经尝试建立一些智能模型，对http访问记录等进行分析，并进行数据的关联分析。

　　张泉则认为，由于APT大多是以企业内部的漏洞和薄弱环节当作跳板，所以，针对APT的防御体系应该更加细致，并建立敏捷的体系化的感知系统。“东软集团提出GSAC（全局安全分析中心，Global Security Analysis Center），利用大数据分析技术，通过多维数据采集构建模型，进行基于大数据的计算、多维度的数据分析，为APT防御提供分析工具。”张泉介绍，“该中心最后的数据输出采用了推荐系统的方式，把这些输出按属性分类、排名，并支持实时、个性化查询。GSAC应用了东软集团的SACA云应用平台，挖掘大数据背后的潜在价值，为企业业务系统提供精准、实时更新、深入挖掘的个性化服务。如果把它运用到APT的数据分析中，我们就可以快速准确地抓取相关联的数据。”

　　“APT的特点是多阶段、目的性、持续性、隐秘性，正是由于这些特点，导致传统的安全产品对其防御的效果不大。”张泉认为，企业要进行APT防御，要从内容感知、数据感知和情景感知三个方面入手。第一，对于APT的防御要有内容级深度检测的手段，这是因为传统的内容检测机制无法检测漏洞变形和零日漏洞；第二，APT的目标是敏感数据，所以制定能够发现和监控敏感信息的策略，结合数据防泄露技术，才能加强对APT数据泄露的防御；第三，APT防御需要建立防御、检测与监控等多层面的协同响应策略。事实上，APT的防御确实是一个系统工程，要抵御这个隐蔽、危险的敌人，就需要携起手来，进行企业内部多层面的协作，甚至企业之间的多层面协作。

　　人才缺口巨大

　　作为信息安全从业者，要具备非常敏锐的、透过现象看到本质的能力。“信息安全的要素其实只有三个，那就是人、技术和信息安全保护的对象。”北京天融信科技股份有限公司总裁于海波认为，面对虚拟化、移动互联网等新技术的应用和APT泛化所带来的安全挑战，人才的短缺是信息安全领域急需解决的问题。于海波介绍，有报告显示，2002年中国培养的信息安全专业人才在4万名左右，其中只有1万多人是从大学、职业院校培养出来的，另外2万多人是出自社会培训，而中国对信息安全人才需求的缺口是50万人。

　　“信息安全专业人才的极度缺乏不仅对整个产业的发展产生了很大的影响，也在很大程度上影响了国家、企业的安全能力。”于海波认为，人才的培养将是信息安全领域最为艰巨的任务。

　　云晓春同样认为，在大数据时代，要强化对大数据价值的利用，仍然不能摆脱人的因素。“在利用大数据进行安全防御的时候，我们必须考虑人的因素。如果连人都没有想清楚这件事怎么做，就试图通过机器来做这件事是不现实的。所以，我们认为当希望提升大数据分析水平的时候，我们必须培养一个精英的分析团队，我们有一个非常庞大的大数据分析师队伍，只有通过这些高精尖的分析师，我们大数据的利用能力、分析安全能力，才有可能得到进一步的提升，这是我认为当前我们需要解决和考虑的问题。”

　　人才恐怕是信息安全永恒的话题，在各个信息安全大会上，记者也看到有越来越多的人关注信息安全，这也是信息安全人才发展的基础。和往届一样，本届年会同样聚集了众多信息安全领域的专家和专业人才，而年会更像一个讲堂，为普及信息安全专业知识、研讨信息安全专业问题提供了平台。而在本届年会上，除了携手防护的主题外，4G和移动安全、云安全、工业控制系统安全等方面的话题也颇引人关注，在安全威胁越来越广泛的背景下，更加广泛的联合防御可能是保障企业安全的未来之路。

　　本报记者 程彦博

关注读览天下微信， 100万篇深度好文， 等你来看……