2.1 傳統安全解決方案

傳統安全解決方案中的“傳統”二字并不代表過時或老套。相反，傳統安全解決方案是整個信息安全框架的基石，沒有傳統安全解決方案，云安全以及云原生安全就沒有根基。

傳統安全解決方案包括圍繞網絡邊界管控的安全設備、傳統數據中心及云平臺中的安全服務，以及面向終端的安全方案。

2.1.1 以網絡邊界設備為核心的安全控制

如果把網絡通路比作一條條的道路，把網絡通路上運送的比特流比作道路上的車輛和貨物，那么整個網絡安全邊界就如同古代的城池。

? 城池有內城、外城。內城是城市的核心，外城是城市的附屬地帶。

? 有城墻和多道城門，城門口對出入的貨物有檢查和登記措施。

? 對進出的人員也有檢查，看他們有沒有帶違禁物品、是不是登記在案的犯人。

? 對城中居民平時的活動也有限制，檢查有沒有私自聯系外邦、與危險人物接觸等。

? 針對一些特殊商品的交易，比如鐵和馬，設置專門的集市來集中管控。

上面所說的古代城池的結構，對應到了網絡邊界設備的功能和用途。

內外城的劃分就如同將整個業務區劃分為公共業務區和核心業務區。公共業務區承載了對外提供的服務，核心業務區是政企內部的業務網絡。在業務區的網絡出入口都設置防火墻，用來對進出的業務流量進行安全控制。兩個業務區中間用網閘進行隔離控制，對進出的業務流量進行安全掃描和安全分析，同時記錄日志。通過上網行為管理，對網絡內部的用戶行為進行安全管控。針對關鍵的服務器，比如對外提供服務的Web服務器，采用專門的Web應用防火墻WAF來進行安全防護。

下面針對這些常見的網絡邊界安全設備的工作及部署方式進行簡要的說明。

1.防火墻

防火墻是最基礎和最常見的安全設備之一，它核心的功能是基于網絡安全策略的訪問控制。通過網絡安全策略控制源IP地址、源端口、時間段、用戶、網址、應用、目的IP地址、目的端口等屬性，通過配置策略，允許或阻止滿足這些屬性的網絡通道的連通性。防火墻安全策略原理如圖2-1所示。

此外，NAT、VPN、日志審計等網絡安全相關的功能通常也是防火墻必備的功能。

2.入侵防御系統和入侵檢測系統

入侵防御系統（Intrusion Prevention System, IPS）能夠監視網絡或網絡設備的網絡資料傳輸行為，通過即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為來增強網絡安全，提供了有效的、防火墻無法提供的應用層安全防護功能。IPS的重點功能是阻攔已知攻擊和為已知漏洞提供虛擬補丁，但是為了避免誤報，IPS幾乎沒有對未知攻擊的防御能力。

入侵檢測系統（Intrusion Detection System, IDS）是一種積極主動的安全防護技術，通過對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。

IPS是一個在線設備，流量必須實時通過IPS設備，對時延要求高，不能影響實際業務。但IDS是個旁路設備，通過流量鏡像獲取數據進行分析，對網絡和業務沒有直接影響。

IPS和IDS設備部署在防火墻后面，通常的部署方式如圖2-2所示。

在圖2-2中，通過防火墻的業務請求流量再經過IPS做應用層安全防護。

3.網閘

網閘在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過，其信息流一般為通用應用服務。

隔離網閘的一個基本特征就是內網與外網永遠不連接，內網和外網在同一時間最多只有一個同隔離設備建立數據連接（可以兩個都不連接，但不能兩個都連接），網閘工作原理如圖2-3所示。

4.上網行為管理設備

上網行為管理設備一般部署在網絡的出口，對內部網絡連接到互聯網的數據進行采集、分析和識別，實時記錄內網用戶的上網行為，過濾不良信息。并對相關的上網行為，以及發送和接收的信息內容進行過濾、控制、存儲、分析和查詢。

上網行為管理設備的功能主要有：應用訪問控制、內容過濾、網址過濾、網頁搜索過濾、應用審計，如圖2-4所示。

5.Web應用防火墻WAF

與傳統防火墻不同，Web應用防火墻（Web Application Firewall, WAF）工作在應用層，專門針對Web應用進行安全防護，用以解決防火墻等設備束手無策的Web應用安全問題。

WAF通常部署在Web服務器的下一跳，基于對Web應用業務和邏輯的深刻理解，對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性。對非法的請求予以實時阻斷，能夠解決諸如數據盜取、網頁篡改、網站掛馬、虛假信息傳播等問題。

以一個醫院的業務系統為例，醫院的網絡整體分為醫院辦公網和醫院業務網兩個區域，網絡邊界安全設備部署結構如圖2-5所示。

在圖2-5中，醫院的兩個區之間通過網閘實現內外網隔離。在辦公網和業務網分別部署防火墻、WAF、終端管理等網絡安全設備。

2.1.2 云安全服務

云安全是IT安全在云計算場景下的天然延伸。在云計算場景下，安全通常以云服務的形態提供。

傳統的網絡邊界管控設備，在云環境下演化為云端的虛擬化安全設備，例如防火墻在云計算中就以云防火墻的形態體現。

云防火墻與傳統物理防火墻有一點本質的不同。云計算中心內部有大量的使用用戶，在傳統隔離了的網絡環境中，這些用戶之間的安全信息是隔離的。而在云計算環境下，這些龐大的用戶群足以覆蓋互聯網的每個角落，只要某個網站被掛馬或某個新木馬病毒出現，就會立刻被截獲并被全網感知，所以云防火墻能夠結合大量用戶的實時情報進行實時入侵防護。通過云防火墻，企業機構得以對其內網VPC邊界、虛擬主機邊界、云邊界進行網絡安全防護。

除了云防火墻之外，包括云堡壘機、漏洞掃描服務、云WAF等云服務也是云安全的重要組成部分。云堡壘機不僅擁有傳統4A安全管控的基本功能特性，包括身份認證、賬戶管理、權限控制、操作審計4大功能，還擁有高效運維、工單申請等特色功能。通過統一運維登錄口，基于協議正向代理技術和遠程訪問隔離技術，實現對服務器、云主機、數據庫、應用系統等云上資源的集中管理和運維審計。通過云堡壘機可以實時收集和監控網絡環境中每個組成部分的系統狀態、安全事件和網絡活動，保障網絡和數據不受外部或內部用戶的入侵和破壞，便于集中告警、及時處理及事后審計定責。

云漏洞掃描服務是針對網站、主機、移動應用、軟件包/固件進行漏洞掃描的一種安全檢測服務，可以提供通用漏洞檢測、漏洞生命周期管理、自定義掃描多項服務。掃描成功后，提供掃描報告詳情，用于查看漏洞明細、修復建議等信息。云漏洞掃描服務的功能比較全面，包括常規的Web網站掃描、主機掃描（包括本地主機和云主機掃描）、應用掃描、中間件掃描等多功能、全方位的安全漏洞掃描。

云WAF通過對HTTP（S）請求進行檢測，識別并阻斷SQL注入、跨站腳本攻擊、網頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊，保護Web服務安全穩定。云WAF具有配置簡單易用、防御功能全面、特征庫更新快等優勢。

在云安全中，云身份服務的重要性比在傳統數據中心要高。云身份服務通過統一賬號、統一認證、集中授權，結合操作權限和資源訪問權限管控，同時配合豐富的記錄和審計能力，提供完善的身份管理和鑒權服務。云身份服務采用多種認證策略，包括采用靜態和動態密碼的雙因子認證，并支持對接身份提供商，實現通過企業管理系統賬戶來認證和使用云服務。

此外，在云計算環境中，也提供傳統的安全服務，包括等保咨詢、安全評估、安全培訓、應急響應等服務。這些也是安全服務在云生態中的技術和業務延伸。

2.1.3 終端安全

前面講述的安全管理主要是從數據中心（包括傳統數據中心和云環境下的數據中心）的角度入手，通過控制網絡邊界以及結合上網行為和審計等操作來進行的安全管控。另外一個大的安全隱患是在終端上，終端包括個人計算機、移動終端和其他設備（比如POS機和物聯網設備等）。

隨著移動互聯網的成熟以及社會IT信息化水平的不斷進步，大量的終端出現并無時無刻不通過有線或無線網絡，從政企業務內網或互聯網，靈活地接入辦公網絡和訪問企業應用和資源。終端不是安全樂土，相反，終端的不安全因素，如病毒、系統漏洞等問題給網絡帶來越來越大的安全隱患，用戶手中的終端成了網絡攻擊者的溫床。

近年來，企業為保障各項工作不中斷，遠程協同辦公的模式成為優先選擇。遠程辦公帶來便利的同時，也意味著大量外網不可信終端會接入企業內網。在毫無安全防護的情況下，這些終端很容易成為網絡犯罪組織侵入企業內網的跳板，嚴重威脅企業內部網絡的安全。網絡犯罪組織會利用社會工程學及公眾的恐慌或從眾心理，通過APT、釣魚郵件、惡意鏈接、木馬后門、勒索病毒等方式發起攻擊，受害者往往無法感知到攻擊的存在，造成信息泄露等重大安全事件。

常用的終端安全產品和方案有：防病毒程序、終端接入控制系統、終端安全管理系統等。通過在終端上部署客戶端程序，把端點安全狀態與網絡準入控制技術相結合，阻止不安全或者不滿足企業安全策略的終端接入網絡。防病毒程序是最為常見的終端安全軟件，它伴隨著操作系統運行，基于病毒特征庫，對計算機上的可疑文件進行計算后與特征庫比對，得出判斷結果。

終端接入控制系統對接入企業網絡的終端身份進行合法性認證，只有合法用戶才允許接入。同時根據用戶身份、接入時間、接入地點、終端類型、終端來源、接入方式等信息精細匹配用戶，控制用戶能夠訪問的數據和資源。終端接入控制系統還對用戶終端的安全性（包括殺毒軟件安裝、補丁更新、密碼強度等）進行掃描，在接入網絡前完成終端安全狀態的檢查。對終端不安全狀態能夠與網絡準入設備進行聯動，當發現不安全終端接入網絡的時候，能夠對這些終端實現一定程度的阻斷，防止這些終端對業務系統造成危害。并結合終端安全管理系統提供的自動補丁管理、遠程管理等能力，主動幫助這些終端完成安全狀態的自修復。

物聯網和工業互聯網為未來IT產業發展提供了巨大的空間，大量的工業設備以及可穿戴設備接入網絡，IoT的數據在云平臺中保存和計算，針對IoT終端的安全防護是終端安全整體方案中的一個重要課題。

物聯網應用系統一般包括物聯網終端、通信網絡和物聯網服務端三部分。相比傳統個人計算機，物聯網終端通常資源有限，同時受成本、體積、功耗等影響，難以配置實施較為復雜的安全措施，安全防護能力較差，這是物聯網終端的先天缺陷。此外，物聯網終端使用周期較長，地理位置分布廣泛，廠商不能及時修復漏洞或更新系統，長期暴露在網絡中易于受到攻擊，這也是物聯網終端面臨的主要隱患。同時，一些物聯網終端和應用開發者缺乏安全意識，使用了不安全的系統配置，同時身份認證強度和訪問控制力度也存在差距，這也是物聯網終端存在的常見不足。某些物聯網終端遭到破壞后，完整性狀態發生變化，但未經過安全評估便接入網絡或服務端，這也給整個系統或平臺帶來安全風險。

由于物聯網終端數量龐大、種類繁多，覆蓋各領域，滲透各行業，同時安全防護能力不高，因此大部分攻擊都是從物聯網終端發起的。對于通用智能終端，一般硬件配置高，存儲空間大，具有操作系統，支持多種網絡接入方式。因此，可嵌入可信計算模塊，實施完整的可信計算功能，并結合機密計算等技術進一步提升其自身的安全防護能力。對于簡單功能終端，通常硬件配置不高，系統主頻和存儲受限，有的甚至沒有操作系統，僅支持有限的網絡接入方式。這類終端可以引入輕量級可信計算能力，實現完整性度量、遠程認證、安全更新等功能，有效提升系統安全防護水平。