2012年人類從世界末日的謠言中惶惑而過，在這不平凡的一年里，互聯(lián)網(wǎng)向人們展示了在各行各業(yè)里的巨大影響力。通過互聯(lián)網(wǎng)人們可以隨時(shí)移動(dòng)辦公、輕松網(wǎng)絡(luò)購物，但在這便捷的背后是越來越多的網(wǎng)絡(luò)安全威脅。首當(dāng)其沖的當(dāng)屬企業(yè)用戶，他們需要適應(yīng)辦公生態(tài)圈里爆發(fā)的移動(dòng)終端，還要迎戰(zhàn)各種應(yīng)用安全威脅以及數(shù)據(jù)泄露等。2012年是網(wǎng)絡(luò)安全領(lǐng)域值得紀(jì)念的一年，也是值得企業(yè)用戶驚醒的一年，因?yàn)閺拇似髽I(yè)網(wǎng)絡(luò)安全的概念已經(jīng)跨入了新的時(shí)代。

BYOD——促使網(wǎng)絡(luò)安全進(jìn)入新時(shí)代

截至2012年6月底，中國手機(jī)網(wǎng)民規(guī)模首次超越臺(tái)式電腦用戶，達(dá)到3.88億。2012年上半年與2011年下半年相比，手機(jī)上網(wǎng)用戶占網(wǎng)民比例由69.3%提升至72.2%。整個(gè)行業(yè)已經(jīng)注意到，消費(fèi)者采購移動(dòng)設(shè)備的速度比采用任何其他技術(shù)的速度都快。

順理成章的，自帶設(shè)備辦公BYOD(Bring Your Own Device)從一個(gè)概念進(jìn)入了人們的實(shí)際工作。能夠使用隨身的iPad和智能手機(jī)辦公，對(duì)員工而言無疑是一件非常便捷的事情。BYOD對(duì)企業(yè)來說，可以大幅降低設(shè)備的購置、升級(jí)和維護(hù)投入。但是，這看似雙贏的一個(gè)事情，卻埋藏著巨大的隱患。

隨著BYOD(Bring your own devices)現(xiàn)象的日趨風(fēng)行，以消費(fèi)者為主導(dǎo)的BYOD迅速在企業(yè)公司普及。進(jìn)而公司的網(wǎng)絡(luò)和數(shù)據(jù)的安全威脅主要來著于員工。IT管理員面對(duì)BYOD，不可麻痹大意。BYOD意味著，IT部門應(yīng)該比以往任何時(shí)候都更加提高警覺，以確保他們的公司的安全策略是最新的，同時(shí)還要處理企業(yè)網(wǎng)絡(luò)之外的數(shù)以百計(jì)的移動(dòng)設(shè)備。

實(shí)施BYOD之后，安全和數(shù)據(jù)流失是CIO們比較關(guān)心的問題。畢竟，BYOD之后企業(yè)對(duì)設(shè)備的可控度降低了。而過去，企業(yè)的信息安全是建立在設(shè)備可控的基礎(chǔ)上，也就是企業(yè)有哪些IT設(shè)備，其上運(yùn)行的是什么系統(tǒng)和應(yīng)用，都在IT部門的掌握之中，同時(shí)，企業(yè)的管理方式和流程都建立在這個(gè)前提之上，而如今這個(gè)前提不再有，為此企業(yè)的管理和流程也都需要進(jìn)行調(diào)整。

安全設(shè)備、安全數(shù)據(jù)、網(wǎng)絡(luò)保護(hù)三管齊下的辦法，可以有效防止BYOD的安全威脅。專家表示，在移動(dòng)設(shè)備上，有些設(shè)備本身就比其他設(shè)備更具有安全性?；诖说目紤]，有些公司甚至出臺(tái)政策，只允許員工攜帶特有品牌的移動(dòng)設(shè)備接入企業(yè)網(wǎng)絡(luò)。

比如說一些公司只允許iPhone和iPad接入網(wǎng)絡(luò)，而Android操作系統(tǒng)的設(shè)備不允許接入。為什么Android操作系統(tǒng)的設(shè)備不允許接入呢?因?yàn)锳ndroid是開放式開發(fā)平臺(tái)，這樣的手機(jī)更容易受到攻擊。

除此之外，企業(yè)還利用網(wǎng)絡(luò)管理做到安全把關(guān)，以確保員工遵守辦公規(guī)則。舉例來說，有些公司允許員工使用自己的移動(dòng)設(shè)備，但是必須在設(shè)備上安裝MDM安全策略。如果員工的手機(jī)丟失或者被盜，企業(yè)IT主管可以發(fā)送指令，遠(yuǎn)程鎖定設(shè)備或者遠(yuǎn)程擦除移動(dòng)設(shè)備上的信息。

不過MDM安全策略和擦除設(shè)備是不夠的，有專家表示，即使這樣，移動(dòng)設(shè)備仍有可能受到威脅，比如說通過訪問Web訪問電子郵件的內(nèi)容。因?yàn)镸DM產(chǎn)品可以提供設(shè)備的控制，但它并不能防止釣魚攻擊，惡意軟件，惡意的應(yīng)用程序或數(shù)據(jù)被竊取。IT管理人員應(yīng)該安裝一個(gè)設(shè)備管理解決方案相結(jié)合的數(shù)據(jù)丟失，動(dòng)態(tài)網(wǎng)頁威脅，移動(dòng)惡意軟件，惡意移動(dòng)應(yīng)用程序來做實(shí)時(shí)保護(hù)。

這時(shí)候，我們傳統(tǒng)的網(wǎng)絡(luò)安全提供商就迎來了跨時(shí)代的挑戰(zhàn)。他們需要在整個(gè)組織內(nèi)實(shí)施統(tǒng)一的安全策略、為各種用戶提供優(yōu)化的經(jīng)管體驗(yàn)，支持多種設(shè)備并符合安全和業(yè)務(wù)要求。需要確保用戶對(duì)資源的安全訪問，并提供針對(duì)任何移動(dòng)設(shè)備的高性能網(wǎng)絡(luò)連接。

下一代防火墻NGFW

自Gartner在2009年提出了下一代防火墻概念以來，眾多國內(nèi)外網(wǎng)絡(luò)安全廠商都陸續(xù)推出了下一代防火墻產(chǎn)品。另據(jù)Gartner的研究報(bào)告顯示，在2014年，60%的新購防火墻都將是下一代防火墻?？梢钥闯?，無論是企業(yè)用戶還是廠商，都在順應(yīng)IT趨勢(shì)的變革，也都看到了其中的機(jī)遇。

2012年，NGFW(Next generation firewall)即下一代防火墻已經(jīng)成為業(yè)界的熱點(diǎn)聲音。云計(jì)算、WEB2.0及移動(dòng)互聯(lián)網(wǎng)等一系列新應(yīng)用技術(shù)被廣泛使用，Gartner于2009年定義NGFW時(shí)的認(rèn)知已經(jīng)明顯不足。眾網(wǎng)絡(luò)安全廠商和相關(guān)機(jī)構(gòu)，紛紛為此下“定義”，但至今爭(zhēng)執(zhí)不下，足見此概念的熱度。

我們暫且這樣陳述，下一代防火墻并不是簡(jiǎn)單的功能堆砌和性能疊加，下一代防火墻以全局的視角，從解決用戶網(wǎng)絡(luò)面臨的實(shí)際問題出發(fā)來定義才更為妥當(dāng)。下一代防火墻并不是憑空而出的產(chǎn)品，也不會(huì)是防火墻的終極形態(tài)。下一代防火墻需要安全廠商不斷的關(guān)注IT環(huán)境和客戶需求的變化、持續(xù)專注的技術(shù)積累及創(chuàng)新，而厚積薄發(fā)的產(chǎn)品成果。

業(yè)界的主流觀點(diǎn)認(rèn)為，下一代防火墻應(yīng)該實(shí)實(shí)在在實(shí)現(xiàn)以下六大功能：

基于用戶防護(hù)

傳統(tǒng)防火墻策略都是依賴IP或MAC地址來區(qū)分?jǐn)?shù)據(jù)流，不利于管理也很難完成對(duì)網(wǎng)絡(luò)狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統(tǒng)，實(shí)現(xiàn)了分級(jí)、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求。此外還集成了安全準(zhǔn)入控制功能，支持多種認(rèn)證協(xié)議與認(rèn)證方式，實(shí)現(xiàn)了基于用戶的安全防護(hù)策略部署與可視化管控。

面向應(yīng)用安全

在應(yīng)用安全方面，下一代防火墻應(yīng)該包括“智能流檢測(cè)”和“虛擬化遠(yuǎn)程接入”兩點(diǎn)。一方面可以做到對(duì)各種應(yīng)用的深層次的識(shí)別;另外在解決數(shù)據(jù)安全性問題方面，通過將虛擬化技術(shù)與遠(yuǎn)程接入技術(shù)相結(jié)合，為遠(yuǎn)程接入終端提供虛擬應(yīng)用發(fā)布與虛擬桌面功能，使其本地?zé)o需執(zhí)行任何應(yīng)用系統(tǒng)客戶端程序的情況下完成與內(nèi)網(wǎng)服務(wù)器端的數(shù)據(jù)交互，就可以實(shí)現(xiàn)了終端到業(yè)務(wù)系統(tǒng)的“無痕訪問”，進(jìn)而達(dá)到終端與業(yè)務(wù)分離的目的。

高效轉(zhuǎn)發(fā)平臺(tái)

為了突破傳統(tǒng)網(wǎng)關(guān)設(shè)備的性能瓶頸，下一代防火墻可以通過整機(jī)的并行多級(jí)硬件架構(gòu)設(shè)計(jì)，將NSE(網(wǎng)絡(luò)服務(wù)引擎)與SE(安全引擎)獨(dú)立部署。網(wǎng)絡(luò)服務(wù)引擎完成底層路由/交換轉(zhuǎn)發(fā)，并對(duì)整機(jī)各模塊進(jìn)行管理與狀態(tài)監(jiān)控;而安全引擎負(fù)責(zé)將數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層安全處理與應(yīng)用層安全處理。通過部署多安全引擎與多網(wǎng)絡(luò)服務(wù)引擎的方式來實(shí)現(xiàn)整機(jī)流量的分布式并行處理與故障切換功能。

多層級(jí)冗余架構(gòu)

下一代防火墻設(shè)備自身要有一套完善的業(yè)務(wù)連續(xù)性保障方案。針對(duì)這一需求，必須采用多層級(jí)冗余化設(shè)計(jì)。在設(shè)計(jì)中，通過板卡冗余、模塊冗余以及鏈路冗余來構(gòu)建底層物理級(jí)冗余;使用雙操作系統(tǒng)來提供系統(tǒng)級(jí)冗余;而采用多機(jī)冗余及負(fù)載均衡進(jìn)行設(shè)備部署實(shí)現(xiàn)了方案級(jí)冗余。由物理級(jí)、系統(tǒng)級(jí)與方案級(jí)共同構(gòu)成了多層級(jí)的冗余化架構(gòu)體系。

全方位可視化

下一代防火墻還要注意“眼球經(jīng)濟(jì)”，必須提供豐富的展示方式，從應(yīng)用和用戶視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來，包括對(duì)歷史的精確還原和對(duì)各種數(shù)據(jù)的智能統(tǒng)計(jì)分析，使管理者清晰的認(rèn)知網(wǎng)絡(luò)運(yùn)行狀態(tài)。實(shí)施可視化所要達(dá)到的效果是，對(duì)于管理范圍內(nèi)任意一臺(tái)主機(jī)的網(wǎng)絡(luò)應(yīng)用情況及安全事件信息可以進(jìn)行準(zhǔn)確的定位與實(shí)時(shí)跟蹤;對(duì)于全網(wǎng)產(chǎn)生的海量安全事件信息，通過深入的數(shù)據(jù)挖掘能夠形成安全趨勢(shì)分析，以及各類圖形化的統(tǒng)計(jì)分析報(bào)告。

安全技術(shù)融合

動(dòng)態(tài)云防護(hù)和全網(wǎng)威脅聯(lián)防是技術(shù)融合的典范。下一代防火墻的整套安全防御體系都應(yīng)該是基于動(dòng)態(tài)云防護(hù)設(shè)計(jì)的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案，及時(shí)更新攻擊防護(hù)規(guī)則庫并以動(dòng)態(tài)的方式實(shí)時(shí)部署到各用戶設(shè)備中，保證用戶的安全防護(hù)策略得到及時(shí)、準(zhǔn)確的動(dòng)態(tài)更新;另一方面，通過 “云”，使得策略管理體系的安全策略漂移機(jī)制能夠?qū)崿F(xiàn)物理網(wǎng)絡(luò)基于“人”、虛擬計(jì)算環(huán)境基于“VM”(虛擬機(jī))的安全策略動(dòng)態(tài)部署。

Web應(yīng)用防護(hù)系統(tǒng)WAF

當(dāng)前網(wǎng)絡(luò)環(huán)境中，應(yīng)用已成為網(wǎng)絡(luò)的主要載體，而網(wǎng)絡(luò)安全的威脅更多的來源于應(yīng)用層，這也使得用戶對(duì)于網(wǎng)絡(luò)訪問控制提出更高的要求。如何精確的識(shí)別出用戶和應(yīng)用、阻斷有安全隱患的應(yīng)用、保證合法應(yīng)用正常使用、防止端口盜用等問題，已成為現(xiàn)階段用戶對(duì)網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。

Web應(yīng)用防護(hù)系統(tǒng)(也稱：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文：Web Application Firewall，簡(jiǎn)稱：WAF)應(yīng)運(yùn)而生。利用國際上公認(rèn)的一種說法，Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

WAF還具有多面性的特點(diǎn)。比如從網(wǎng)絡(luò)入侵檢測(cè)的角度來看可以把WAF看成運(yùn)行在HTTP層上的IDS設(shè)備;從防火墻角度來看，WAF是一種防火墻的功能模塊。還有人把WAF看作“深度檢測(cè)防火墻”的增強(qiáng)。(深度檢測(cè)防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次，而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。)

Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項(xiàng)。

修補(bǔ)Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。

基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。

WAF能夠判斷用戶是否是第一次訪問并且將請(qǐng)求重定向到默認(rèn)登錄頁面并且記錄事件。通過檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件(比如登陸失敗)，并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

WAF還有一些安全增強(qiáng)的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為，從而減小Web服務(wù)器被攻擊的可能性。

云安全服務(wù)——分享和共享

云安全服務(wù)的出現(xiàn)，徹底顛覆了傳統(tǒng)安全產(chǎn)業(yè)基于軟硬件提供安全服務(wù)的模式，降低了企業(yè)部署安全產(chǎn)品的成本，使更多的企業(yè)可以享受到安全服務(wù)。然而，云安全服務(wù)目前仍主要面向于中小企業(yè)，對(duì)于大型企業(yè)來說考慮使用云安全服務(wù)的還是很少。而云安全服務(wù)還有一個(gè)問題是關(guān)于隱私的問題，這也是很多企業(yè)在選擇云安全服務(wù)時(shí)最大的顧慮。

“云安全(Cloud Security)”計(jì)劃是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。

未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經(jīng)過時(shí)。云安全技術(shù)應(yīng)用后，識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)進(jìn)行采集、分析以及處理。

由安全服務(wù)器、數(shù)千萬安全用戶就可以組成虛擬的網(wǎng)絡(luò)，簡(jiǎn)稱為“云”。病毒針對(duì)“云”的攻擊，都會(huì)被服務(wù)器截獲、記錄并反擊。被病毒感染的節(jié)點(diǎn)可以在最短時(shí)間內(nèi)，獲取服務(wù)器的解決措施，查殺病毒恢復(fù)正常。這樣的“云”，理論上的安全程度是可以無限改善的。

“云”最強(qiáng)大的地方，就是拋開了單純的“客戶端”防護(hù)的概念。傳統(tǒng)客戶端被感染，殺毒完畢之后就完了，沒有進(jìn)一步的信息跟蹤和分享。而“云”的所有節(jié)點(diǎn)，是與服務(wù)器共享信息的。你中毒了，服務(wù)器就會(huì)記錄，在幫助你處理的同時(shí)，也把信息分享給其它用戶，他們就不會(huì)被重復(fù)感染。

于是這個(gè)“云”籠罩下的用戶越多，“云”記錄和分享的安全信息也就越多，整體的用戶也就越強(qiáng)大。這才是網(wǎng)絡(luò)的真諦，也是所謂“云安全”的精華之所在。要想建立“云安全”系統(tǒng)，并使之正常運(yùn)行，需要海量的客戶端(云安全探針)。只有擁有海量的客戶端，才能對(duì)互聯(lián)網(wǎng)上出現(xiàn)的病毒、木馬、掛馬網(wǎng)站有最靈敏的感知能力。

有了海量的客戶端的支持，還需要專業(yè)的反病毒技術(shù)和經(jīng)驗(yàn)，同時(shí)還要加上大量的資金和技術(shù)投入，而且這個(gè)云系統(tǒng)必須是開放的系統(tǒng)，可以同其他大量的相關(guān)合作伙伴共享探針。這樣的開放性系統(tǒng)，其“探針”與所有軟件完全兼容，即使用戶使用其他網(wǎng)絡(luò)安全產(chǎn)品，也可以共享這些“探針”，才能給整個(gè)網(wǎng)絡(luò)帶來最大的安全。

數(shù)據(jù)泄密(泄露)防護(hù)(Data leakage prevention, DLP)

數(shù)據(jù)泄密(泄露)防護(hù)(Data leakage prevention, DLP)，又稱為“數(shù)據(jù)丟失防護(hù)”(Data Loss prevention, DLP)，有時(shí)也稱為“信息泄漏防護(hù)”(Information leakage prevention, ILP)。數(shù)據(jù)泄密防護(hù)(DLP)是通過一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

隨著信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)已成為日常辦公、通訊交流和協(xié)作互動(dòng)的必備工具和途徑。但是，信息系統(tǒng)在提高人們工作效率的同時(shí)，也對(duì)信息的存儲(chǔ)、訪問控制及信息系統(tǒng)中的計(jì)算機(jī)終端及服務(wù)器的訪問控制提出了安全需求。

目前對(duì)內(nèi)外安全的解決方案，還停留在防火墻、入侵檢測(cè)、網(wǎng)絡(luò)防病毒等被動(dòng)防護(hù)手段上。在過去的一年中，全球98.2%的計(jì)算機(jī)用戶使用殺毒軟件，90.7%設(shè)有防火墻，75.1%使用反間諜程序軟件，但卻有83.7%的用戶遭遇過至少一次病毒、蠕蟲或者木馬的攻擊，79.5%遭遇過至少一次間諜程序攻擊事件。

據(jù)國家計(jì)算機(jī)信息安全測(cè)評(píng)中心數(shù)據(jù)顯示，由于內(nèi)部重要機(jī)密數(shù)據(jù)通過網(wǎng)絡(luò)泄露而造成經(jīng)濟(jì)損失的單位中，重要資料被黑客竊取和被內(nèi)部員工泄露的比例為1：99。也就是說重要資料的泄露只有1%是被黑客竊取造成的，而99%都是由于內(nèi)部員工有意或者無意之間泄露而造成的。

DLP數(shù)據(jù)泄漏防護(hù)系統(tǒng)的原理，是通過身份認(rèn)證和加密控制以及使用日志的統(tǒng)計(jì)對(duì)內(nèi)部文件經(jīng)行控制。數(shù)據(jù)泄漏防護(hù)技術(shù)(DLP)日漸成為目前市場(chǎng)上最為重要的安全技術(shù)之一。企業(yè)青睞數(shù)據(jù)泄漏防護(hù)技術(shù)，來保護(hù)所有權(quán)數(shù)據(jù)和滿足法規(guī)遵從。

根據(jù)所部署的位置的不同，數(shù)據(jù)泄漏防御方案可以分成基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案(NDLP)和基于主機(jī)的數(shù)據(jù)泄漏防御方案(HDLP)。大部分?jǐn)?shù)據(jù)泄漏防御方案是基于網(wǎng)絡(luò)類型，少部分是基于主機(jī)類型。

基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案通常部署內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接的出口處，所針對(duì)的對(duì)象是進(jìn)出單位內(nèi)部網(wǎng)絡(luò)的所有數(shù)據(jù)。基于主機(jī)的數(shù)據(jù)泄漏防御方案則部署在存放敏感數(shù)據(jù)的主機(jī)上，當(dāng)其發(fā)現(xiàn)被保護(hù)主機(jī)上的數(shù)據(jù)被違規(guī)轉(zhuǎn)移出主機(jī)時(shí)，HDLP會(huì)采取攔截或警報(bào)等行為。

DLP是一套完整的體系，也是多種系統(tǒng)的集成，用以解決不同類型的用戶的不同需求。國外DLP方案多數(shù)是基于網(wǎng)絡(luò)的，這主要是因?yàn)閲庥脩舻木W(wǎng)絡(luò)環(huán)境和信息化水平與國內(nèi)大不相同。這種基于網(wǎng)絡(luò)的DLP比較符合國外用戶的需求。而中國國內(nèi)的信息化現(xiàn)狀來看，比較適合采用基于主機(jī)的DLP解決方案。

高持續(xù)性威脅(APT)

高持續(xù)性威脅(APT)是以商業(yè)和政治為目的的一個(gè)網(wǎng)絡(luò)犯罪類別。APT需要長(zhǎng)期經(jīng)營(yíng)與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會(huì)追求短期的經(jīng)濟(jì)收益和單純的系統(tǒng)破壞，而是專注于步步為營(yíng)的系統(tǒng)入侵，每一步都要達(dá)到一個(gè)目標(biāo)，而不會(huì)做其他多余的事來打草驚蛇。

APT旨在突破企業(yè)防御系統(tǒng)的高明攻擊，今年，出現(xiàn)了許多針對(duì)公司和政府的高級(jí)攻擊(例如Gauss和Flame)。這些攻擊被稱為高級(jí)持續(xù)性威脅(APT)。他們高度復(fù)雜并經(jīng)過仔細(xì)構(gòu)建。APT攻擊背后的意圖是獲得網(wǎng)絡(luò)訪問權(quán)限并偷偷地竊取信息。高級(jí)持續(xù)性威脅(APT)采取low-and-slow的方式，常常難以被發(fā)現(xiàn)，成功率很高。

APT入侵客戶的途徑多種多樣，主要包括以下幾個(gè)方面。其一是以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。另外，社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一。

隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客剛一開始，就是針對(duì)某些特定員工發(fā)送釣魚郵件，以此作為使用APT手法進(jìn)行攻擊的源頭。

總之，高級(jí)持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，并更長(zhǎng)時(shí)間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測(cè)。“潛伏性和持續(xù)性”是APT攻擊最大的威脅。

高級(jí)持續(xù)性威脅(APT)的潛伏性，主要表現(xiàn)在這些新型的攻擊和威脅可能在用戶環(huán)境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報(bào)。而這些發(fā)動(dòng)APT攻擊的黑客目的往往不是為了在短時(shí)間內(nèi)獲利，而是把“被控主機(jī)”當(dāng)成跳板，持續(xù)搜索，直到能徹底掌握所針對(duì)的目標(biāo)人、事、物，所以這種APT攻擊模式, 實(shí)質(zhì)上是一種“惡意商業(yè)間諜威脅”。

APT的持續(xù)性則表現(xiàn)在，該類攻擊具有持續(xù)性甚至長(zhǎng)達(dá)數(shù)年的特征，這讓企業(yè)的管理人員無從察覺。在此期間，這種“持續(xù)性”體現(xiàn)在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏。

高級(jí)持續(xù)性威脅(APT)基本上都會(huì)鎖定明確目標(biāo)，針對(duì)特定政府或企業(yè)，長(zhǎng)期進(jìn)行有計(jì)劃性、組織性的竊取情報(bào)行為,針對(duì)被鎖定對(duì)象寄送幾可亂真的社交工程惡意郵件，如冒充客戶的來信，取得在計(jì)算機(jī)植入惡意軟件的第一個(gè)機(jī)會(huì)。

在成功侵入目標(biāo)系統(tǒng)以后，高級(jí)持續(xù)性威脅(APT)一般都會(huì)安裝遠(yuǎn)程控制工具。攻擊者建立一個(gè)類似僵尸網(wǎng)絡(luò)Botnet的遠(yuǎn)程控制架構(gòu)，攻擊者會(huì)定期傳送有潛在價(jià)值文件的副本給命令和控制服務(wù)器(C&C Server)審查。將過濾后的敏感機(jī)密數(shù)據(jù)，利用加密的方式外傳。

雖然APT的惡意軟件可以一直潛伏在主機(jī)里面，然而其遠(yuǎn)程控制等相關(guān)網(wǎng)絡(luò)活動(dòng)則相對(duì)容易被發(fā)現(xiàn)。所以，APT攻擊的有效防范就是在網(wǎng)絡(luò)層進(jìn)行控制和中斷。也有不少人認(rèn)為，數(shù)據(jù)盜竊者絕不可能完全不被看到。在輸出數(shù)據(jù)中查找異?，F(xiàn)象可能是管理員發(fā)現(xiàn)網(wǎng)絡(luò)成為APT目標(biāo)的最好方式。

編輯點(diǎn)評(píng)：

2012年是不平凡的一年，尤其對(duì)IT行業(yè)來說。智能手機(jī)普及、平板設(shè)備大量涌現(xiàn)、Win8發(fā)布等等，都給我們明確的啟示——移動(dòng)時(shí)代來了!終端的多樣化是這個(gè)時(shí)代的特征，企業(yè)、個(gè)人信息大量暴露在互聯(lián)網(wǎng)上是這個(gè)時(shí)代的巨大的隱患。如何有力的解決這個(gè)問題，不但要依靠強(qiáng)有力的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品，還要我們的用戶有足夠的安全意識(shí)和知識(shí)，在一定程度上更要依靠強(qiáng)力的法律作為保障，比如我們最新的個(gè)人信息保護(hù)法。