精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

2012年人類從世界末日的謠言中惶惑而過，在這不平凡的一年里，互聯網向人們展示了在各行各業里的巨大影響力。通過互聯網人們可以隨時移動辦公、輕松網絡購物，但在這便捷的背后是越來越多的網絡安全威脅。首當其沖的當屬企業用戶，他們需要適應辦公生態圈里爆發的移動終端，還要迎戰各種應用安全威脅以及數據泄露等。2012年是網絡安全領域值得紀念的一年，也是值得企業用戶驚醒的一年，因為從此企業網絡安全的概念已經跨入了新的時代。

BYOD——促使網絡安全進入新時代

截至2012年6月底，中國手機網民規模首次超越臺式電腦用戶，達到3.88億。2012年上半年與2011年下半年相比，手機上網用戶占網民比例由69.3%提升至72.2%。整個行業已經注意到，消費者采購移動設備的速度比采用任何其他技術的速度都快。

順理成章的，自帶設備辦公BYOD(Bring Your Own Device)從一個概念進入了人們的實際工作。能夠使用隨身的iPad和智能手機辦公，對員工而言無疑是一件非常便捷的事情。BYOD對企業來說，可以大幅降低設備的購置、升級和維護投入。但是，這看似雙贏的一個事情，卻埋藏著巨大的隱患。

隨著BYOD(Bring your own devices)現象的日趨風行，以消費者為主導的BYOD迅速在企業公司普及。進而公司的網絡和數據的安全威脅主要來著于員工。IT管理員面對BYOD，不可麻痹大意。BYOD意味著，IT部門應該比以往任何時候都更加提高警覺，以確保他們的公司的安全策略是最新的，同時還要處理企業網絡之外的數以百計的移動設備。

實施BYOD之后，安全和數據流失是CIO們比較關心的問題。畢竟，BYOD之后企業對設備的可控度降低了。而過去，企業的信息安全是建立在設備可控的基礎上，也就是企業有哪些IT設備，其上運行的是什么系統和應用，都在IT部門的掌握之中，同時，企業的管理方式和流程都建立在這個前提之上，而如今這個前提不再有，為此企業的管理和流程也都需要進行調整。

安全設備、安全數據、網絡保護三管齊下的辦法，可以有效防止BYOD的安全威脅。專家表示，在移動設備上，有些設備本身就比其他設備更具有安全性。基于此的考慮，有些公司甚至出臺政策，只允許員工攜帶特有品牌的移動設備接入企業網絡。

比如說一些公司只允許iPhone和iPad接入網絡，而Android操作系統的設備不允許接入。為什么Android操作系統的設備不允許接入呢?因為Android是開放式開發平臺，這樣的手機更容易受到攻擊。

除此之外，企業還利用網絡管理做到安全把關，以確保員工遵守辦公規則。舉例來說，有些公司允許員工使用自己的移動設備，但是必須在設備上安裝MDM安全策略。如果員工的手機丟失或者被盜，企業IT主管可以發送指令，遠程鎖定設備或者遠程擦除移動設備上的信息。

不過MDM安全策略和擦除設備是不夠的，有專家表示，即使這樣，移動設備仍有可能受到威脅，比如說通過訪問Web訪問電子郵件的內容。因為MDM產品可以提供設備的控制，但它并不能防止釣魚攻擊，惡意軟件，惡意的應用程序或數據被竊取。IT管理人員應該安裝一個設備管理解決方案相結合的數據丟失，動態網頁威脅，移動惡意軟件，惡意移動應用程序來做實時保護。

這時候，我們傳統的網絡安全提供商就迎來了跨時代的挑戰。他們需要在整個組織內實施統一的安全策略、為各種用戶提供優化的經管體驗，支持多種設備并符合安全和業務要求。需要確保用戶對資源的安全訪問，并提供針對任何移動設備的高性能網絡連接。

下一代防火墻NGFW

自Gartner在2009年提出了下一代防火墻概念以來，眾多國內外網絡安全廠商都陸續推出了下一代防火墻產品。另據Gartner的研究報告顯示，在2014年，60%的新購防火墻都將是下一代防火墻?？梢钥闯觯瑹o論是企業用戶還是廠商，都在順應IT趨勢的變革，也都看到了其中的機遇。

2012年，NGFW(Next generation firewall)即下一代防火墻已經成為業界的熱點聲音。云計算、WEB2.0及移動互聯網等一系列新應用技術被廣泛使用，Gartner于2009年定義NGFW時的認知已經明顯不足。眾網絡安全廠商和相關機構，紛紛為此下“定義”，但至今爭執不下，足見此概念的熱度。

我們暫且這樣陳述，下一代防火墻并不是簡單的功能堆砌和性能疊加，下一代防火墻以全局的視角，從解決用戶網絡面臨的實際問題出發來定義才更為妥當。下一代防火墻并不是憑空而出的產品，也不會是防火墻的終極形態。下一代防火墻需要安全廠商不斷的關注IT環境和客戶需求的變化、持續專注的技術積累及創新，而厚積薄發的產品成果。

業界的主流觀點認為，下一代防火墻應該實實在在實現以下六大功能：

基于用戶防護

傳統防火墻策略都是依賴IP或MAC地址來區分數據流，不利于管理也很難完成對網絡狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統，實現了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環境下不同的用戶需求。此外還集成了安全準入控制功能，支持多種認證協議與認證方式，實現了基于用戶的安全防護策略部署與可視化管控。

面向應用安全

在應用安全方面，下一代防火墻應該包括“智能流檢測”和“虛擬化遠程接入”兩點。一方面可以做到對各種應用的深層次的識別;另外在解決數據安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬應用發布與虛擬桌面功能，使其本地無需執行任何應用系統客戶端程序的情況下完成與內網服務器端的數據交互，就可以實現了終端到業務系統的“無痕訪問”，進而達到終端與業務分離的目的。

高效轉發平臺

為了突破傳統網關設備的性能瓶頸，下一代防火墻可以通過整機的并行多級硬件架構設計，將NSE(網絡服務引擎)與SE(安全引擎)獨立部署。網絡服務引擎完成底層路由/交換轉發，并對整機各模塊進行管理與狀態監控;而安全引擎負責將數據流進行網絡層安全處理與應用層安全處理。通過部署多安全引擎與多網絡服務引擎的方式來實現整機流量的分布式并行處理與故障切換功能。

多層級冗余架構

下一代防火墻設備自身要有一套完善的業務連續性保障方案。針對這一需求，必須采用多層級冗余化設計。在設計中，通過板卡冗余、模塊冗余以及鏈路冗余來構建底層物理級冗余;使用雙操作系統來提供系統級冗余;而采用多機冗余及負載均衡進行設備部署實現了方案級冗余。由物理級、系統級與方案級共同構成了多層級的冗余化架構體系。

全方位可視化

下一代防火墻還要注意“眼球經濟”，必須提供豐富的展示方式，從應用和用戶視角多層面的將網絡應用的狀態展現出來，包括對歷史的精確還原和對各種數據的智能統計分析，使管理者清晰的認知網絡運行狀態。實施可視化所要達到的效果是，對于管理范圍內任意一臺主機的網絡應用情況及安全事件信息可以進行準確的定位與實時跟蹤;對于全網產生的海量安全事件信息，通過深入的數據挖掘能夠形成安全趨勢分析，以及各類圖形化的統計分析報告。

安全技術融合

動態云防護和全網威脅聯防是技術融合的典范。下一代防火墻的整套安全防御體系都應該是基于動態云防護設計的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案，及時更新攻擊防護規則庫并以動態的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態更新;另一方面，通過 “云”，使得策略管理體系的安全策略漂移機制能夠實現物理網絡基于“人”、虛擬計算環境基于“VM”(虛擬機)的安全策略動態部署。

Web應用防護系統WAF

當前網絡環境中，應用已成為網絡的主要載體，而網絡安全的威脅更多的來源于應用層，這也使得用戶對于網絡訪問控制提出更高的要求。如何精確的識別出用戶和應用、阻斷有安全隱患的應用、保證合法應用正常使用、防止端口盜用等問題，已成為現階段用戶對網絡安全關注的焦點。

Web應用防護系統(也稱：網站應用級入侵防御系統。英文：Web Application Firewall，簡稱：WAF)應運而生。利用國際上公認的一種說法，Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

WAF還具有多面性的特點。比如從網絡入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火墻角度來看，WAF是一種防火墻的功能模塊。還有人把WAF看作“深度檢測防火墻”的增強。(深度檢測防火墻通常工作在的網絡的第三層以及更高的層次，而Web應用防火墻則在第七層處理HTTP服務并且更好地支持它。)

Web應用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應用防火墻還可以嚴格限定HTTP協議中那些過于松散或未被完全制定的選項。

修補Web安全漏洞，是Web應用開發者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現，會為Web應用帶來什么樣的危害?，F在WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。

基于規則的保護可以提供各種Web應用的安全規則，WAF生產商會維護這個規則庫，并時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有的產品可以基于合法應用數據建立模型，并以此為依據判斷應用數據的異常。

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件(比如登陸失敗)，并且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數據帶來的問題。比如：隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。增強輸入驗證，可以有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入侵行為，從而減小Web服務器被攻擊的可能性。

云安全服務——分享和共享

云安全服務的出現，徹底顛覆了傳統安全產業基于軟硬件提供安全服務的模式，降低了企業部署安全產品的成本，使更多的企業可以享受到安全服務。然而，云安全服務目前仍主要面向于中小企業，對于大型企業來說考慮使用云安全服務的還是很少。而云安全服務還有一個問題是關于隱私的問題，這也是很多企業在選擇云安全服務時最大的顧慮。

“云安全(Cloud Security)”計劃是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經過時。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析以及處理。

由安全服務器、數千萬安全用戶就可以組成虛擬的網絡，簡稱為“云”。病毒針對“云”的攻擊，都會被服務器截獲、記錄并反擊。被病毒感染的節點可以在最短時間內，獲取服務器的解決措施，查殺病毒恢復正常。這樣的“云”，理論上的安全程度是可以無限改善的。

“云”最強大的地方，就是拋開了單純的“客戶端”防護的概念。傳統客戶端被感染，殺毒完畢之后就完了，沒有進一步的信息跟蹤和分享。而“云”的所有節點，是與服務器共享信息的。你中毒了，服務器就會記錄，在幫助你處理的同時，也把信息分享給其它用戶，他們就不會被重復感染。

于是這個“云”籠罩下的用戶越多，“云”記錄和分享的安全信息也就越多，整體的用戶也就越強大。這才是網絡的真諦，也是所謂“云安全”的精華之所在。要想建立“云安全”系統，并使之正常運行，需要海量的客戶端(云安全探針)。只有擁有海量的客戶端，才能對互聯網上出現的病毒、木馬、掛馬網站有最靈敏的感知能力。

有了海量的客戶端的支持，還需要專業的反病毒技術和經驗，同時還要加上大量的資金和技術投入，而且這個云系統必須是開放的系統，可以同其他大量的相關合作伙伴共享探針。這樣的開放性系統，其“探針”與所有軟件完全兼容，即使用戶使用其他網絡安全產品，也可以共享這些“探針”，才能給整個網絡帶來最大的安全。

數據泄密(泄露)防護(Data leakage prevention, DLP)

數據泄密(泄露)防護(Data leakage prevention, DLP)，又稱為“數據丟失防護”(Data Loss prevention, DLP)，有時也稱為“信息泄漏防護”(Information leakage prevention, ILP)。數據泄密防護(DLP)是通過一定的技術手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業的一種策略。

隨著信息技術的飛速發展，計算機和網絡已成為日常辦公、通訊交流和協作互動的必備工具和途徑。但是，信息系統在提高人們工作效率的同時，也對信息的存儲、訪問控制及信息系統中的計算機終端及服務器的訪問控制提出了安全需求。

目前對內外安全的解決方案，還停留在防火墻、入侵檢測、網絡防病毒等被動防護手段上。在過去的一年中，全球98.2%的計算機用戶使用殺毒軟件，90.7%設有防火墻，75.1%使用反間諜程序軟件，但卻有83.7%的用戶遭遇過至少一次病毒、蠕蟲或者木馬的攻擊，79.5%遭遇過至少一次間諜程序攻擊事件。

據國家計算機信息安全測評中心數據顯示，由于內部重要機密數據通過網絡泄露而造成經濟損失的單位中，重要資料被黑客竊取和被內部員工泄露的比例為1：99。也就是說重要資料的泄露只有1%是被黑客竊取造成的，而99%都是由于內部員工有意或者無意之間泄露而造成的。

DLP數據泄漏防護系統的原理，是通過身份認證和加密控制以及使用日志的統計對內部文件經行控制。數據泄漏防護技術(DLP)日漸成為目前市場上最為重要的安全技術之一。企業青睞數據泄漏防護技術，來保護所有權數據和滿足法規遵從。

根據所部署的位置的不同，數據泄漏防御方案可以分成基于網絡的數據泄漏防御方案(NDLP)和基于主機的數據泄漏防御方案(HDLP)。大部分數據泄漏防御方案是基于網絡類型，少部分是基于主機類型。

基于網絡的數據泄漏防御方案通常部署內部網絡和外部網絡連接的出口處，所針對的對象是進出單位內部網絡的所有數據?；谥鳈C的數據泄漏防御方案則部署在存放敏感數據的主機上，當其發現被保護主機上的數據被違規轉移出主機時，HDLP會采取攔截或警報等行為。

DLP是一套完整的體系，也是多種系統的集成，用以解決不同類型的用戶的不同需求。國外DLP方案多數是基于網絡的，這主要是因為國外用戶的網絡環境和信息化水平與國內大不相同。這種基于網絡的DLP比較符合國外用戶的需求。而中國國內的信息化現狀來看，比較適合采用基于主機的DLP解決方案。

高持續性威脅(APT)

高持續性威脅(APT)是以商業和政治為目的的一個網絡犯罪類別。APT需要長期經營與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會追求短期的經濟收益和單純的系統破壞，而是專注于步步為營的系統入侵，每一步都要達到一個目標，而不會做其他多余的事來打草驚蛇。

APT旨在突破企業防御系統的高明攻擊，今年，出現了許多針對公司和政府的高級攻擊(例如Gauss和Flame)。這些攻擊被稱為高級持續性威脅(APT)。他們高度復雜并經過仔細構建。APT攻擊背后的意圖是獲得網絡訪問權限并偷偷地竊取信息。高級持續性威脅(APT)采取low-and-slow的方式，常常難以被發現，成功率很高。

APT入侵客戶的途徑多種多樣，主要包括以下幾個方面。其一是以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。另外，社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一。

隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

總之，高級持續性威脅(APT)正在通過一切方式，繞過基于代碼的傳統安全方案(如防病毒軟件、防火墻、IPS等)，并更長時間地潛伏在系統中，讓傳統防御體系難以偵測。“潛伏性和持續性”是APT攻擊最大的威脅。

高級持續性威脅(APT)的潛伏性，主要表現在這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到能徹底掌握所針對的目標人、事、物，所以這種APT攻擊模式, 實質上是一種“惡意商業間諜威脅”。

APT的持續性則表現在，該類攻擊具有持續性甚至長達數年的特征，這讓企業的管理人員無從察覺。在此期間，這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網絡內部后長期蟄伏。

高級持續性威脅(APT)基本上都會鎖定明確目標，針對特定政府或企業，長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充客戶的來信，取得在計算機植入惡意軟件的第一個機會。

在成功侵入目標系統以后，高級持續性威脅(APT)一般都會安裝遠程控制工具。攻擊者建立一個類似僵尸網絡Botnet的遠程控制架構，攻擊者會定期傳送有潛在價值文件的副本給命令和控制服務器(C&C Server)審查。將過濾后的敏感機密數據，利用加密的方式外傳。

雖然APT的惡意軟件可以一直潛伏在主機里面，然而其遠程控制等相關網絡活動則相對容易被發現。所以，APT攻擊的有效防范就是在網絡層進行控制和中斷。也有不少人認為，數據盜竊者絕不可能完全不被看到。在輸出數據中查找異?，F象可能是管理員發現網絡成為APT目標的最好方式。

編輯點評：

2012年是不平凡的一年，尤其對IT行業來說。智能手機普及、平板設備大量涌現、Win8發布等等，都給我們明確的啟示——移動時代來了!終端的多樣化是這個時代的特征，企業、個人信息大量暴露在互聯網上是這個時代的巨大的隱患。如何有力的解決這個問題，不但要依靠強有力的網絡安全技術產品，還要我們的用戶有足夠的安全意識和知識，在一定程度上更要依靠強力的法律作為保障，比如我們最新的個人信息保護法。