助力“互联网+”行动：解读亚信安全的网络安全—— 基于“互联网+”行动背景下亚信安全的信息安全战略与布局

2016-11-22 01:40崔传桢

信息安全研究 2016年8期

□ 崔传桢

□ 崔传桢

亚信安全积极响应国家号召，成立虽然不到一年时间，但是已经取得了很好的成绩。亚信安全放眼全球，重视核心技术，构建新兴安全市场自主可控产品生态；亚信安全与有关政府和单位签署战略合作，全面拉开战略合作序幕；亚信安全发布勒索软件威胁报告并提出应对建议；亚信为政府、广电、金融等行业的客户提供了品质的安全服务；亚信安全帮助客户建立深层次的纵深防御和自主可控的安全体系。亚信安全为网络安全作出了重要的贡献，2015年全球共发现24个零日漏洞，亚信安全就贡献了11个，亚信安全的成立从整体上改变了全球网络安全技术的格局。凭借雄厚的技术实力，亚信安全在云计算、大数据、虚拟化、安全态势感知、移动安全及APT（高级持续性威胁）治理方面均实现了全球技术领先，也取得了云安全领域市场占有率第一的成绩。为了进一步了解亚信安全在信息安全的战略布局，本刊在炎炎的夏日，走近亚信安全深入了解。

中国从网络大国向强国迈进核心安全技术需要“弯道超车”

当今世界，互联网已经在人们的工作生活中占据了不可替代的地位，与此同时，网络安全性因为维系着人们的利益而备受关注。经过20多年的发展，中国已经成为世界网络大国，但在核心网络安全技术方面，还落后于发达国家。没有核心技术优势，网络安全将脆弱不堪一击。

2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出：20多年来，我国互联网发展取得的显著成就中，包括一批技术方面的成就。目前，在世界互联网企业前10强中，我们占了4席。在第二届世界互联网大会期间，笔者参观了“互联网之光”博览会，来自全球的250多家企业展出的1000多项新技术新成果中，我们也占了不少，这令人高兴。同时，我们也要看到，同世界先进水平相比，同建设网络强国战略目标相比，我们在很多方面还有不小差距，特别是在互联网创新能力、基础设施建设、信息资源共享、产业实力等方面还存在不小差距，其中最大的差距在核心技术上。互联网核心技术是我们最大的“命门”，核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国，供应链的“命门”掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。我们要掌握我国互联网发展主动权，保障互联网安全、国家安全，就必须突破核心技术这个难题，争取在某些领域、某些方面实现“弯道超车”。核心技术要取得突破，就要有决心、恒心、重心。有决心，就是要树立顽强拼搏、刻苦攻关的志气，坚定不移实施创新驱动发展战略，把更多人力物力财力投向核心技术研发，集合精锐力量，作出战略性安排。有恒心，就是要制定信息领域核心技术设备发展战略纲要，制定路线图、时间表、任务书，明确近期、中期、远期目标，遵循技术规律，分梯次、分门类、分阶段推进，咬定青山不放松。有重心，就是要立足我国国情，面向世界科技前沿，面向国家重大需求，面向国民经济主战场，紧紧围绕攀登战略制高点，强化重要领域和关键环节任务部署，把方向搞清楚，把重点搞清楚。否则，花了很多钱、投入了很多资源，最后南辕北辙，是难以取得成效的。

2015年12月15日，第二届世界互联网大会“互联网之光”博览会开幕式在浙江乌镇举行。中宣部副部长、中央网信办主任、国家网信办主任鲁炜在开幕式上发表了题为“中国正在从网络大国向网络强国迈进”的致辞，他说互联网在中国从无到有、从小到大、从大渐强，日益渗透到经济社会发展的方方面面，目前中国拥有6.7亿网民，超过世界网民总数的五分之一，已经成为名副其实的网络大国。中国互联网发展的辉煌成就，得益于中国改革开放的政策，得益于互联网人的拼搏奋斗，得益于依法有效的管理，得益于我们坚持中国特色社会主义道路，得益于中国共产党的坚强领导。

2016年4月25日下午，中央网络安全和信息化领导小组办公室组织召开企业家座谈会，畅谈习总书记在网络安全和信息化座谈会重要讲话的体会感想和对政府推进网信工作的建议意见。亚信集团董事长田溯宁应邀参会，并与来自各行业共22名企业家们一起对习总书记的讲话进行了回顾并分享了学习体会。会上，田溯宁代表亚信集团针对“谈话”发表了学习体会和建议。他表示：“我们这代人的责任，就是不断地丰富“网信事业”的内涵，对总书记的讲话不断地学习、理解和贯彻，有勇气和想法让中国成为网络安全和信息化国际话语权的提出者和国际标准的制定者。

图1 亚信集团执行董事长田溯宁先生

亚信积极学习总书记讲话践行“网信事业”旗帜下企业责任

亚信安全董事长何政说：正如习近平总书记讲到的，网络安全和信息化是相辅相成的，安全是发展的前提，发展是安全的保障。共筑网络安全防线，是全社会共同的责任，企业更应首当其冲。亚信安全成立后的核心任务就是推进云安全、APT治理、移动安全、大数据安全、安全态势感知等新兴安全关键技术的自主可控。掌控国际领先的云安全关键核心技术和产品，将使中国在世界云安全产业版图中占据重要位置，对于保障国家网络安全与云产业安全，实施自主可控战略，

具有重要和深远的意义。

图2 亚信安全董事长何政先生在研讨会上发言

何政认为作为“网信事业”的核心之一，在信息安全领域，亚信安全则是亚信集团“领航产业互联网”版图中的重要业务板块，尤其在其全面收购趋势科技中国区业务之后，更让亚信安全掌握了业界最高水平的网络威胁防御技术以及最顶级的研发团队。其意义和目标都对于推动亚信安全自可控的核心产品研发进程非常明确。亚信在通信行业具有领导者优势，早在1995年，亚信在规划第1代国内最早的互联网时，就开始为客户作网络安全方面的规划和集成服务。2015年通过对趋势中国核心技术的收购，亚信安全目前已形成共计88款安全产品及服务的产业互联网安全体系，构建了从终端到云端的安全可信链条。

与此同时，亚信安全在自控可控产业合作方面也迅速展开，与国家信息中心等单位达成战略合作，旗下的服务器深度安全防护系统（deep security）正式支持国产麒麟Linux操作系统等一系列业务进展。而这恰恰说明，亚信安全虽然成立不久，但在我国全力发展“网信事业”的伟大进程中，承担并践行一个企业的重要责任。

图3 亚信安全与国家信息中心战略合作签约仪式

重视核心技术构建新兴安全市场自主可控产品生态

2015年9月1日，亚信科技与趋势科技联合发布公告，亚信科技收购趋势科技在中国的全部业务，包括核心技术及知识产权100多项，同时建立独立安全技术公司——亚信安全。亚信科技是电信软件领域的领军者，趋势科技公司在安全方面则是全球企业，亚信安全由此正式诞生。

趋势科技是全球虚拟化及云计算安全的领导厂商，连续多年蝉联“全球虚拟化安全市场第一”，“全球服务器安全市场第一”以及“全球云安全市场第一”。在中国500强企业中，77%已经使用了趋势科技的解决方案，其中包括70%以上的银行、80%的证劵公司、65%的汽车制造商和50%的保险公司。趋势科技云安全已经在全球建立了五大数据中心，几万台在线服务器。云安全可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第1次命中率就可以达到99%以上。借助云安全，趋势科技现在每天阻断的病毒感染最高达1000万次。而亚信在给电信运营商、行业客户和政府客户服务过程中，已经积累了一套基于云计算的安全管理方案，可以很好地将趋势科技中国积累的专利和技术资源进行整合。

亚信安全目前已组建了超过2000人的专业团队，拥有超过2万家的客户，服务中国网络安全产业。而亚信则将安全作为了产业互联网战略布局的一个重要板块，亚信安全将独立运营。过去亚信的安全主要集中在通信领域，随着亚信进军产业互联网，向金融、医疗、制造、教育等板块进军是必然趋势，通过从安全角度切入，为向产业互联网进军找到了一个切口。

亚信作为一家本土公司，在通信行业具有领导者优势，非常重视自主可控技术的研发和创新。亚信于2013年提出产业互联网的理念，开始战略转型，致力于成为产业互联网的领航者。这与国家提出的“互联网+”行动计划高度吻合。

亚信安全的成立从整体上改变了全球网络安全技术的格局。凭籍雄厚的技术实力，亚信安全在云计算、大数据、虚拟化、安全态势感知、移动安全及高级持续性威胁（APT）治理方面均实现了全球技术领先，也取得了云安全领域市场占有率第一的成绩。

掌控国际领先的云安全关键核心技术和产品，将使中国在世界云安全产业版图中占据重要位置，保障国家网络安全与云产业安全，实施自主可控战略，为产业互联网时代保驾护航。

“核心技术是国之重器”，基础技术、通用技术，非对称技术、‘杀手锏’技术，前沿技术、颠覆性技术。这三大核心技术，在中国有很大发展空间，要想在未来实现中长期持续追赶，尤其要发展“杀手锏”技术。亚信安全的自主可控核心产品研发与产业合作迅速展开，核心任务就是发展着眼于未来的“杀手锏”，推进云安全、APT治理、移动安全、大数据安全、安全态势感知等新兴安全关键技术的自主可控。但是，光掌握了核心技术还不够，还需要与更多的合作伙伴合力同心，协同攻关，实现“命运共同体”的建设目标，进一步实现在前沿技术层面、在国际舞台上占有一席之地，实现根本上的自主可控。

图4 亚信安全董事长何政先生

目前，亚信安全通过团结更多安全力量，以开放的姿态建设云安全生态圈，已经与华为、浪潮、曙光、中电华云、红山、中标软件、VMware、Citrix、亚马逊AWS、微软、Dell等国内外顶级云计算产品及平台公司达成了战略合作伙伴关系，与合作伙伴形成合力，通过产品合作、渠道共建的方式，打造信息安全产业生态链。随着“互联网+”与传统产业的深入融合以及供给侧改革的持续推进，创新的信息化技术已经融入到政企单位的业务流程之中，网络安全领域的自主可控问题也随之凸显。要满足自主可控的需求，除了严格要求网络安全服务提供商的资质之外，关键是要做到核心技术的自主可控。亚信安全作为云与大数据安全的技术领导者从诞生之初，就已经拥有了纯正的自主可控之“心”。

（1）拥有中国最早最大的病毒响应中心，实现完全本地化安全服务

亚信安全从2015年完成对趋势科技中国区业务整合之后，不仅在企业内核上实现了完全的国产化，还对趋势科技在中国的全部业务、核心技术、产品著作权进行了完整收购，从本地化技术研发、安全服务、战略合作等多个层面着手，全面地推动自主可控进程。

目前，亚信安全拥有中国最大的病毒响应中心。早在2008年，原趋势科技中国就建立了中国病毒安全响应中心，可以让中国区病毒得到更快的响应和处理。同年，在国家计算机病毒应急处理中心也设立了专门办公室，为国内用户提供及时有效的安全病毒响应服务。考虑到病毒在各个国家和地区存在样本特殊性的问题，原趋势科技中国还专门设立了网络安全监测实验室，实现安全服务完全本地化。随着趋势科技中国业务并购，这些病毒响应中心和实验室全部并入到亚信安全。而截至目前，亚信安全在南京和北京的两大研发中心，已经吸纳了共2000多位专业安全工程师，实现了完全自主化的研发与管理。

亚信安全为网络安全作出了重要的贡献，2015年全球共发现24个零日漏洞，亚信安全就贡献了11个。亚信安全CEO张凡指出：“在亚信安全成立的这段时间，推进自主可控进程始终是我们的核心任务。我们不仅实现了核心网络安全技术的自主化，还与政府、本土教育和产业机构达成了广泛的合作。

（2）打造全球领先、自主可控的网络安全产品体系

亚信安全业务发展与产品研发总经理童宁谈到：“在大数据、云计算、物联网等创新技术的大规模落地过程中，网络安全威胁不仅没有消失，反而愈演愈烈，勒索软件、恶意移动软件、APT攻击等网络攻击对政企客户的网络安全防护能力构成了严重的考验。这就要求政企客户在确保IT设备与信息安全产品自主可控的前提下，准确识别云计算和大数据环境下的安全威胁，全力打造立体化、智能化安全架构，形成主动有效的纵深防御体系，才能有效地防范不断精进的网络安全威胁。”亚信安全基于在网络安全技术领域的深厚积累，以及领先的网络安全研发能力，可以在安全威胁日新月异的背景下，为政企客户提供全生命周期、与时俱进的安全防护能力。

目前，亚信安全已经拥有88款安全产品及服务的产业互联网安全体系，其独立研发的自主可控产品线可以构建从终端到云端的安全可信链条。

图5 亚信安全CEO张凡先生在发言

随着BYOD等移动化部署模式在更多组织的落地，如何防护移动安全威胁、保护机密数据就成为了棘手问题，亚信安全移动安全专家刘政平指出：“要想在BYOD模式下确保移动数据安全，关键是要做到企业数据与个人数据的分离，亚信安全虚拟手机（VMI）解决方案是一种基于服务器虚拟Android系统的内核级虚拟化技术，采用了虚拟移动基础架构（virtual mobile infrastructure），确保移动应用数据不出数据中心，移动办公数据不落地，可以为员工提供一个专为移动设备设计的安全虚拟工作区，从而有效保障企业数据的机密性，同时也能提升员工的工作满意度。”

为了给政企用户带来更强大的安全防护能力，亚信安全不断强化网络安全技术的创新。亚信安全网络安全事业部副总经理安轩晓荷介绍了在大数据安全方面的最新进展。他指出：亚信安全正在通过大数据存储的方式存储系统日志、网络信息等数据，建立数据底层构架，将亚信安全自身有关安全分析的经验、匹配规则和大数据技术结合形成一种分析体系，提升对于安全威胁的态势感知能力。

（3）打通产学研链条，巩固国家安全战略基石

信息安全已成为国家战略安全的核心要素，是产业互联网、中国制造2025、智慧城市等战略实施的坚强基石。企业是科技研发主体，为了推动我国网络安全技术水平的提升，亚信安全与国家信息中心达成战略合作，与成都市政府共同建设信息安全公共服务平台及云安全实验室、攻防实验室，与哈尔滨工业大学共同组建“亚信-哈工大安全攻防实验室”，强强联合，打通产学研链条。

2015年10月，国家信息中心与亚信安全达成战略合作，双方在信息安全研究、信息安全产品及服务、政务外网安全技术等方面展开全方位合作。此次合作象征着政企共同努力推动国家实现信息安全自主可控技术发展的重要实践。

2016年3月，成都市人民政府与亚信安全签署战略合作协议。成都市政府将大力支持亚信安全在成都的发展。双方未来将在网络安全、大数据、产业互联网领域开展多种形式的合作，共同建设信息安全公共服务平台及云安全实验室，着力开展社会服务，培育信息安全产业生态。

2016年4月，亚信安全与哈尔滨工业大学正式签署战略合作协议，双方将共同组建“亚信-哈工大安全攻防实验室”。实验室将以安全攻防技术为核心，围绕互联网攻防、域名体系安全、云计算安全、安全渗透与加固服务、大数据安全等方面进行深入的研究与合作，帮助企业与个人消费者更好地保护信息安全。

图6 亚信集团与成都市政府签署投资合作协议

（4）与合作伙伴协力打造自主可控市场生态

领先的网络安全产品与技术为亚信安全赢得了巨大的市场空间。统计数据显示，在虚拟化安全市场、服务器安全市场、云安全市场、电信运营商安全管理软件与服务市场，亚信安全已排名全国第一。在中国500强企业中，目前77%已经使用了亚信安全的网络安全解决方案。今年4月，英国著名品牌评估机构Brand Finance发布“全球银行品牌500强排行榜”，中国上榜银行为11家，其中采用亚信安全产品与解决方案的就达到了9家。

如今，云计算的快速发展，不但改变了科技行业原有的技术路线，更是改变了既有的产业格局。2016年7月19日，全球云与大数据安全领域领导者亚信安全与新IT解决方案领导者新华三集团（简称新华三）联合宣布，双方将在产品创新、技术服务、渠道营销等领域展开全面的战略联盟合作，积极提升我国云计算应用安全管理水平，共同帮助企业级用户应对不断演化的网络威胁。作为战略合作的重要开端，亚信安全服务器深度安全防护系统（Deep Security）已经成为H3C CAS虚拟化平台重要的核心管控模块，可为云计算租户提供了更加灵活、便捷、高效的云数据中心运行环境。

图7 亚信安全与新华三达成战略合作

亚信安全与新华三的合作，将对我国云计算产业健康发展意义重大。对此，亚信安全CTO张伟钦表示：新华三是全球领先的新IT解决方案领导者，云计算的实践步伐上也已经走在了市场的前列，不仅在计算虚拟化、网络虚拟化、存储虚拟化方面有着非常明显的创新技术能力，更是国内私有云和行业云方面的探索和实践者。通过产品融合，亚信安全的虚拟化和云安全技术，以及大数据网络风险治理能力，可以为H3C云基础设施提供安全与性能、规模和效率的统一，为更多的行业用户提供自主可控、安全可信的云数据中心运行环境。

随着国产化替代进程的不断深入，国内的自主可控市场逐步展现出蕴藏的巨大市场机遇。亚信安全积极地与业界安全厂商进行合作，希望可以与合作伙伴协力，通过产品合作、渠道共建的方式，打造信息安全产业生态链。将技术支持与配套服务覆盖全国，深入到每个行业用户的具体项目中，为用户提供更广泛的服务，共同打造零风险的网络世界。

图8 亚信安全与哈尔滨工业大学合作设立实验室

勒索软件增长超67倍亚信安全发布报告及应对建议

亚信安全近期发布了最新的勒索软件风险研究报告，其中分析了2015年9月至2016年6月的勒索软件增长以及防治态势。报告指出，在监测的10个月内，全球传播的勒索软件数量增长了15倍，中国勒索软件数量增长更是突破了67倍，这凸显了勒索软件日益严峻的威胁形态。亚信安全提醒企业用户，要将勒索软件治理策略摆在更重要的位置，并在电子邮件与网页、终端、网络、服务器等多个层面搭建完整的多层防护机制，以保护企业信息资产的安全不受侵犯。

（1）勒索软件出现爆发式增长，中国成为重灾区

报告显示，在2015年9月至2016年6月期间，勒索软件出现了爆发式增长，亚信安全在全球范围内监测到的勒索软件数量从不足100万增长到如今的1500万。对于国内用户来说，此报告还透露了一个尤为危险的信号：在中国传播的勒索软件已经从过去的可以忽略不计，增长到如今的数以万记，通过网页链接（URL）检测的勒索软件数量从283个增长到18990个，增长超过67倍，并成为勒索软件感染最严重的10个国家之一。如图9所示。

而且，勒索软件威胁有很大的可能在未来几个月继续蔓延，亚信安全技术总经理蔡昇钦说：与其他网络安全威胁一样，勒索软件在发展初期主要集中在欧美国家，但是随着中国互联网经济的繁荣，以及更多本地化勒索软件攻击套件的发布，会有更多的中国用户成为勒索软件的受害者。因此，国内企业用户需要密切关注网络威胁的发展动向，并提早部署安全有效的防御措施。

图9 中国区勒索软件的增长情况（URL检测）

（2）电子邮件与URL成为“最受欢迎”的传播方式

从报告中还可以发现，在过去10个月中，勒索软件主要是通过电子邮件、URL、文件这3种方式进行传播。其中，通过电子邮件传播的勒索软件数量出现了较为显著的增长，占比从不足5%增长到46%，仅次于通过URL传播的比例（52%）。

据亚信安全中国病毒监测实验室分析：电子邮件与URL是勒索软件传播者尤为喜欢的2种传播途径，主要是因为这2种方式简单有效，通过大规模群发的方式，不仅能够降低传播成本，还便于利用社交工程攻击的方式来吸引更多人点击。而且，这2种方式要比很多人想象中的更有效果，因为黑客会利用漏洞攻击套件(exploit kit)攻击操作系统及应用程序的漏洞，若用户电脑没有更新补丁，只是浏览一般网页就可能会被勒索软件感染。

（3）防范勒索软件威胁，多层防护机制是关键

由于勒索软件可以通过多种途径来传播，因此基于单一层面的防护机制都无法有效防范勒索软件。亚信安全发布的勒索软件风险研究报告同样显示，在综合部署电子邮件、URL、文件等多层防护机制之后，在防护边界对于勒索软件的检测率可以达到99%。如图10所示：

图10 多层防护机制可检测出99%的勒索软件示意图

勒索软件作者会不断改变程序代码来绕过过滤程序，并且尝试通过电子邮件、URL链接、文件等多种方式来入侵网络。同样，黑客也开始将恶意软件目标放到服务器基础设施上，与最近攻击医疗行业的‘SAMSAM’雷同，它们无需与C&C 服务器联系也能加密档案。简言之，并没有万灵丹来防止这类网络威胁，企业用户需要尽可能地降低风险，并通过多层防护机制来进行检查和拦截。

（4）亚信安全建议用户从以下几个维度入手，构建深层次的防御体系

文件：企业最好采取3-2-1规则对重要文件进行备份，即至少做3个副本，用2种不同格式保存，并将副本放在异地存储。此外，亚信安全还推出了针对勒索软件加密文件的解密工具，可以有效应对CryptXXX，TeslaCrypt，SNSLocker，AutoLocky等流行的勒索软件及其变种的加密行为。

电子邮件和网页：部署涵盖恶意软件扫描和文件风险评估、沙箱恶意软件分析技术、文件漏洞攻击码侦测、网页信誉评估技术在内的防护技术，侦测并封堵通过电子邮件和网页进行攻击的勒索软件。

终端：少部分勒索软件可能会绕过网络/电子邮件防护，这也是为什么终端安全防护十分重要的原因，终端防毒系统可以监视可疑行为、配置应用程序白名单和使用弱点防护来防止未经修补的漏洞被勒索软件利用。亚信安全防毒墙网络版（OfficeScan）的Aegis行为检测功能可以检测部分的勒索软件加密行为，并能够对未知勒索软件的防御起到积极作用。

网络：勒索软件也可能通过其他网络协议进入企业网络进行散播，因此，企业最好部署能够对所有网络流量、端口和协议进行高级侦测的网络安全防护系统，来阻止其渗透和蔓延。

服务器：通过虚拟补丁防护方案，来确保任何尚未修补漏洞的服务器，有效防范“零日攻击”。

网关：在网关层面进行有效拦截，是企业最经济型的防御体系。亚信安全深度威胁安全网关Deep Edge具有极其简洁的部署和管理方式，但却包含了最重要的勒索软件攻击抑制能力。其拥有专门针对加密勒索软件、C&C违规外联及可疑高级恶意程序的监控窗口，还改进了和亚信安全深度威胁发现设备（TDA）及亚信安全深度威胁分析设备（DDAN）的产品联动，能够通过侦测、分析和拦截功能的融合，建立针对加密勒索软件攻击路径的有效“抑制点”。

亚信安全的客户解决方案和案例

（1）政府行业电子政务外网网站系统安全解决方案

挑战：近年来政府大力推行“互联网+政务服务”，让居民和企业少跑腿、好办事、不添堵。网上信息发布、网上申请、网上受理、在线审批、在线咨询等网上业务快速发展，信息系统越来越与公民权益、社会秩序、公共利益紧密相关。然而，网站安全事件时有发生，一些政府网站时常被入侵、漏洞攻击导致网站页面被篡改，还受到SQL注入、跨站攻击等威胁导致被错误地重定向数据库或数据失窃。

2014年12月国办发〔2014〕57号文，国务院办公厅要求在中央和地方2个层级集约化建设统一的政府网站技术平台，新的技术平台上大量应用虚拟化资源池、云计算平台，这些网站系统更面临资源冲突、不同安全等级的虚拟机非法访问等新的风险。

解决方案：根据政府网站面向公众提供查询、交互等业务的特点，充分考虑到操作系统版本各异，混合了物理机、虚拟化平台的复杂环境，我们建议采用基于数据中心的统一的安全解决方案，即通过服务器深度安全解决方案Deep Security全覆盖数据中心业务系统。在物理机上部署代理客户端程序，在虚拟化平台上通过基于业务虚拟机无代理方式，实现防恶意软件、入侵防御、虚拟补丁、防火墙、完整性监控等功能，保障网站业务系统安全平稳运行。

解决方案的价值：基于Windows，Linux等多平台的网站系统全面覆盖、统一管理；通过虚拟补丁技术防范零日漏洞攻击，保障网站系统7X24h安全运行；基于虚拟化平台无代理的防护模式，减少资源占用、节省管理运维成本；防病毒、入侵防护、防火墙等功能有效地满足公安部提出的等级保护要求。

（2）金融行业ATM设备解决方案

面临的挑战：

1）ATM面临的病毒威胁

① Windows系统带来的病毒威胁。ATM系统全部都是基于微软的Windows系统，那么ATM的操作系统也会面临目前计算机所面临的病毒问题。特别是近年来针对Windows漏洞所进行的网络蠕虫攻击。

② 网络互连加速病毒传播。ATM系统本身就是一个网络，所以一旦某台ATM设备感染病毒，将有可能迅速感染到其他的ATM设备，这将起到连锁的破坏作用。

③ ATM维护带来的威胁。ATM设备需要定期进行维护，在维护的过程中，会进行数据交换，比如采用USB移动存储介质，或者是使用笔记本电脑直接连接等等，这些维护的方法都有可能导致自助机具感染病毒。

2)现有ATM防护方案的不足

①缺乏专门针对ATM的病毒防护产品。目前所有解决方案主要针对桌面PC操作系统，此方案很难保证其兼容性。

② 缺乏对ATM网络中病毒传播的控制。目前的防护体系没有针对每台ATM严格的访问控制策略，一旦有ATM或者业务网内的机器感染病毒就可能传播到其他ATM。

③ 缺乏智能化的ATM补丁更新系统。

● 操作系统有对应补丁：微软公布补丁之后到ATM获得防护需要非常长的时间，而在这段时间内，ATM系统无法防御针对这些漏洞攻击的病毒而存在严重的安全隐患；

● 操作系统无对应补丁：针对Windows XP等微软已经停止提供系统补丁的操作系统，ATM系统将无法防御针对这些漏洞攻击的病毒而长期存在严重的安全隐患。

解决方案：根据ATM的防御特性，亚信安全提出了自助机具深度防御架构体系。如图11所示：

图11自助机具深度防御架构体系图

自助机具深度防御系统由2部分组成：部署在总行数据中心的自助机具深度防御系统服务器和各ATM上部署的客户端程序。

解决方案的价值：

1）较小的系统资源占用

自助机具深度防御方案是特为ATM设计的定制方案，在确保为ATM提供全面防护的同时，系统内存的占用不超过50MB，完全可以部署在内存256MB及以上的ATM上。

2）良好的兼容性

自助机具深度防御方案为企业提供的病毒码是有别于标准的桌面病毒防御软件的病毒码，它更精准同时测试更为严格，可很大程度上地避免ATM的兼容性问题。

3）颗粒化更细的网络访问控制功能

自助机具深度防御方案能为每台ATM设计单独的访问控制列表，可确保每台ATM仅能与必须通信的其他机器通信而减少病毒感染的概率。同时通过集中的控制台部署也非常的简便。

4）强大的虚拟补丁功能

自助机具深度防御方案提供具有和安装补丁相同功效的虚拟补丁功能，可以使ATM获得补丁防护的同时也不改变系统文件。总部完成兼容性测试之后，可以通过控制台直接把策略推送到所有的ATM终端，策略大小仅为几KB，不会对现有的ATM通信产生影响，同时也不需要重启机器。

5）更专业的原厂服务

ATM作为金融行业提供对外服务的金融终端设备，时刻代表着相关银行的企业形象，任何和ATM相关的安全事件都应该第一时间得到解决。亚信安全是目前国内唯一能为用户提供原厂专属服务的防病毒厂商。

（3）客户应用案例

1）浙江广播电视集团构建移动应用平台 “安全第一”让云存储释放无限潜能——亚信安全企业安全云盘（SafeSync）满足广电行业音视频实时预览需求。

客户诉求：

● 构建出一套便捷、高效、安全的移动应用平台；

● 在确保数据安全性的前提下，发挥移动互联

技术的创新力。客户环境：

● 浙江广播电视集团正面临传统媒体和新兴媒体加速融合期，挖掘移动互联网资源成为突出需求；

● 由于广电业务的特殊性，“安全第一、应用

主导、利旧整合”成为建设总纲。使用产品：

亚信安全企业安全云盘SafeSync（SafeSync for enterprise）。

使用效果：

● 让集团内四处分散的文件集中至可控管的空间；

● 实现高清超大视音频数据的实时预览；

● 确保全面的数据安全。

随着新形态多媒体的崛起，广电行业不仅对数据容量的要求越来越高，数据的安全性也至关重要。为了在数据的处理能力上实现突破，浙江广播电视集团（以下简称：浙江广电）选择了亚信安全企业安全云盘SafeSync，构建出了一套支持手机与PC数据同步、大文件云端分享、团队协作共享、邮件附件云存储等便捷、高效、安全的移动应用平台（见图12）。

图12 浙江广电移动应用平台网络拓扑图

① “安全第一”的移动应用平台

随着无线网络技术的推进以及移动互联网终端不断普及，占领信息传播制高点，挖掘移动互联网资源成为当前广电行业的共识。在此大背景下，浙江广电决定进一步提升集团的信息化水平，打造符合时代和应用需求的移动应用平台。在对业内先进的云计算解决方案和产品进行充分调研之后，浙江广电信息中心为移动应用平台确定了“安全第一、应用主导、利旧整合”的建设总纲。

打造网络层的“安全地带”：由于广电业务的特殊性，浙江广电需要通过互联网接入区域设立DMZ高安全区，在无线互联网区和集团局域网不同安全域间构造一个“安全地带”。

框架兼顾“便捷与安全”：“安全第一”是建设总纲之首，移动应用平台需要从开发环境保障系统的数据安全。另外，浙江广电还考虑到公有云环境下运维管理的自主性、空间扩展等可能在后期遇到限制性问题。

② 在“公和私”之间的取舍

基于以上问题和风险的存在，新建立的移动应用平台，不但要实现支持大文件云分享、跨系统实时同步、团队协作，更应在网络架构加强访问控制，在数据存储上实现加密和防泄漏功能。在综合评估之后，浙江广电最终决定采用亚信安全企业安全云盘SafeSync，作为移动应用平台应用便捷、安全牢固的底层支柱。

首先，浙江广电借助亚信安全企业安全云盘SafeSync，构建了独立的私有云存储系统，可以让集团内四处分散的文件集中至一个控管的空间，并提供文件自动备份及随时随地的同步功能，这让集团的数据能力在云端得到成长。另外，浙江广电以亚信安全企业安全云盘SafeSync为数据存取基础平台，采用开源跨平台的技术组合，实现高清超大视音频数据的实时预览，可以让用户更便捷、实时地分享到视音频文件。最重要的一点，浙江广电移动应用平台采取了高安全性的加密设置，并在数据防泄密保护功能上实现了历史版本恢复和用户权限管理。同时，其独特的病毒防护和数据泄露保护技术，能防止因遗失、失窃、病毒或设备故障所造成的数据损失。

③ 无处不在的云存储

为了解决集团用户信息访问无处不在、安全无处不在的需求，云存储平台采用了“终端接入层+ 应用服务器云层+ 存储数据交换层+ 云存储数据单元层”核心硬件体系，以及亚信安全企业安全云盘SafeSync软件应用和防护体系。如图13所示：

图13 浙江广电云存储结构图

其中终端接入层包括有线接入和无线接入，可以将用户的需求提交给位于应用服务器云层的云盘；应用服务器云层用来支持云盘应用服务，提供上传下载、存储管理、对象操作等功能，同时对外提供访问接口；存储数据交换层采用双链路结构，存储交换机进行双点配置；云存储数据单元层可以对存储服务器组成的云存储集群池资源进行有效管理。

该平台建设完成之后，满足了集团用户对于通过移动类终端进行数据的传输、存放、迁移和备份等多种诉求。浙江广电可以充分发挥互联网资源和时空优势，推进节目形态及内容生产。而随时随地的办公，既提高了工作效率，更为浙江广播电视集团实现新一轮发展打下扎实的创新基础。

2）亚信安全服务器深度安全防护系统让虚拟化“既稳又快” 助力中信证券实现业务连续性管理

客户诉求：

● 全面化解虚拟机防毒扫描风暴（AV storms）难题；

● 让业务连续性管理水平不断提升。

客户环境：

● 信息技术中心对自身的IT 基础架构进行了虚拟化改造；

● 虚拟化安全变成网络中的防护弱点，影响业务连续性。

使用产品：亚信安全服务器深度安全防护系统（deep security）

使用效果：

● 消除防毒扫描风暴，可以最大限度地设计虚拟机密度；

● 解决防护间隙的难题，让更多的业务应用汇聚于虚拟化数据中心。

作为提升信息化效率、降低成本的重要手段，虚拟化是每一个企业在信息化道路上所必需跨过的一道门槛。为了全面推进虚拟化进程，避免安全失控的风险，中信证券股份有限公司（以下简称: 中信证券）携手中国云与大数据的安全技术领导者亚信安全，采用无代理特性的亚信安全服务器深度安全防护系统，全面化解虚拟机防毒扫描风暴难题，在虚拟化安全统一管理平台上实现了更稳、更快的目标，让业务连续性管理（business continuity management，BCM）水平不断提升。

① 稳定第一,但不能放弃“性能”

作为一家知名的全国性综合类证券公司，中信证券在统一营业部系统、开通网上交易、实现广域网连接、数据中心虚拟化等方面，都在我国证券行业处于“旗标”位置。随着中信证券对虚拟化技术的深入探究，信息技术中心对自身的IT 基础架构进行了虚拟化改造，在北京、深圳、青岛三大数据中心搭建了虚拟化平台，并将测试网中大部分服务器迁移到了VMware 虚拟化平台。

在坚持守法合规经营、严格控制各类风险的规划目标下，中信证券对应用测试环境的部署效率，以及测试与生产环境一致性的要求变得越来越高。而在40 多台VMware ESX 服务器上，既要实现1:50 的虚拟机密度，又要同时保护千余台虚拟机的安全运行，这让运维部门工作压力越来越重。

据中信证券信息技术中心的工程师介绍：虚拟化系统在响应速度和性能方面的表现，将直接关系到最终用户在使用相关服务时的用户体验，这可以说是中信证券服务质量中最重要的一环。但由于传统防病毒软件不是针对虚拟化而设计的，虚拟机上安装传统防病毒软件后，当所有的虚拟机进行预设扫描时，VMware 虚拟化平台的CPU 利用率、I/O读写等都变得非常高，访问延迟让人无法接受。因此，虚拟化安全已经变成了网络中的防护弱点，更是保障业务连续性不得不面对的挑战。

② 聚焦“无代理”特性,亚信安全服务器深度安全防护系统屡立战功

对中信证券来说，提前一步发现了虚拟化防毒可能带来的“性能锐减”问题，对全面推进并最终在生产网络上实现虚拟化架构则是“一件好事”。这可以提前把虚拟化安全风险降至最低，让安全策略与防毒管理提前适应架构的变化。

为此，中信证券对市场上所有防毒软件的功能进行了综合评估，同时也与VMware 厂商的资深工程师对原有传统病毒防护软件“不适应性”进行了分析。最终，中信证券信息技术中心将目光锁定在基于无代理特性的亚信安全服务器深度安全防护系统身上。

首先，亚信安全服务器深度安全防护系统的无代理防病毒解决方案集成了VMware 的vShield Endpoint 技术接口，使VMware 虚拟化平台上的所有虚拟机无需安装任何软件就能对病毒、间谍软件、木马等威胁进行查杀；

其次，亚信安全服务器深度安全防护系统有效降低了虚拟机并发全盘扫描、病毒库更新时对VMware 虚拟化平台产生的大量资源消耗，不存在防毒扫描风暴的问题；

最后，管理员不但可以利用亚信安全服务器深度安全防护系统发现藏匿在虚拟网络中的恶意流量，同时还可以利用 VMware的vShield 技术来保护处于运行状态和休眠状态的虚拟机。

据了解，中信证券为保障生产网万无一失，首先在测试网部署了亚信安全服务器深度安全防护系统，并对其防护效果、性能、稳定性及兼容性进行测试评估，为虚拟化推至生产网络做足了准备。从2012 年底至今，亚信安全服务器深度安全防护系统稳定运行并在测试网中屡次“杀毒立功”，而安全防护系统在进行杀毒时所占资源比使用传统防病毒软件有明显减低，随着虚拟机数量的增加，性能方面的优势则更加明显。

正因如此，中信证券信息技术中心对亚信安全服务器深度安全防护系统的防毒效果给出了极高的评价：“亚信安全服务器深度安全防护系统为我们提供了防恶意软件、Web 信誉、防火墙、入侵阻止、完整性监控和日志检查，在简化安全操作的同时，大幅提升了虚拟化项目的投资回报率。这些都帮助我们彻底走出虚拟化的尝试阶段，可以最大限度地设计虚拟机密度。未来，中信证券将采用亚信安全服务器深度安全防护系统的虚拟补丁功能，来解决防护间隙（instant-on gap）的难题，让更多的业务、更多的应用汇聚于新一代的虚拟化数据中心。”

纵深防御，自主可控让用户“安心”

在“互联网+”的发展大潮中，创新发展和信息安全保护是一体之两翼，遵循信息系统安全等级保护要求，实现关键系统与设备的自主可控对于维护国家信息主权，降低安全风险有着重要意义。目前，亚信安全通过对云安全、APT治理、移动安全等新兴安全关键技术的自主掌控，立体化的安全纵深防御解决方案，在安全等级保护市场不断拓展。

（1）安全威胁持续精进，等级保护建设亟待推进

如今是技术创新高速增长的时代，安全威胁的种类和数量不断刷新纪录。亚信安全发布的《2016年信息安全威胁预测报告》认为，2016 将是网络勒索之年，网络勒索集团将会想出更多新的方法来针对个别受害者的心理，每一次的攻击会变得更“个人化”。而激进主义黑客攻击、移动恶意程序在明年也将不断增长，网络不法分子将采取更先进、更具针对性的方式来进行网络攻击。互联网上的Web病毒和木马、APT攻击等威胁变幻莫测，给政府、企事业组织的信息系统带来了严重的安全隐患。

亚信安全研究院报告指出：在网络攻防中，黑客并非总是会采取固定不变的攻击套路，而是会根据企业的安全防御措施而改变攻击方式。因此，尽管网络安全技术在不断进步、网络安全投入迅速提升，但重大的安全事件仍然时有发生。

在当前安全威胁不断精进的环境下，加快推进信息安全等级保护工作就成为了当务之急，其面向政府、电力、石化、能源、金融等国内的信息敏感行业，要求不同安全等级的信息系统应具有不同的安全保护能力，为信息安全建设制定了一个明确的规范。通过进一步完善企业信息安全管理制度和技术措施，提高信息安全管理水平，增强安全防护能力，减少安全隐患。

为了形成信息系统的完整性可信链条，政府出台了大量引导政策，国家信息中心、公安部等单位也着手编订了《政务云安全技术要求与实施指南》、《信息系统安全等级保护基本要求云计算安全技术要求》等相关标准，这推动着等级保护市场的迅速扩展。有专家预测，等级保护市场的规模将达到数百亿，增长潜力巨大。

亚信安全CEO张凡表示：要满足等级保护的要求，不仅要实现信息设备的自主可控，还要将安全规划和建设整合到业务系统中，从结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备加固等方面同时着手。亚信安全的优势在于建立了非常完善的网络安全服务体系，可以从各种层面帮助用户防御网络安全威胁，让用户在系统上线的第一时间就能得到完整的安全防护。

（2）亚信安全为“等保”建设苦练“内功”

我国的信息安全等级保护制度在不断成熟的过程中，已经完善了网络安全顶层设计，加强了对国家级重要信息系统的安全保障。在自主可控的发展过程中，亚信安全不断修炼“内功”，体现出了在自主可控和安全技术2个层面的强大竞争优势，并不断拓展等级保护市场的能力和规模。

在自主可控层面，亚信安全通过收购全球最大的独立安全软件厂商趋势科技的中国业务后，迅速推动了关键技术与应用的本地化进程，不仅通过在南京、北京2个自主的研发中心来支撑完全本地化的安全服务，还与国家信息中心、成都市政府、哈尔滨工业大学等单位建立了密切的合作关系，在安全实验室以及基础研发层面进行了大量的落地工作，实现了核心技术的本土化，完全满足了自主可控的需求。

在安全技术与产品层面，作为中国领先的云与大数据安全技术、产品、方案和服务供应商，亚信安全在网络安全领域沉淀了丰富的研发经验，并拥有全球领先的云安全产品。通过亚信安全防毒墙网络版（OfficeScan）、定制化智能防御（custom defense from targeted attacks）、深度威胁发现平台（deep discovery，DD）等领先的产品，可以与亚信安全其他的网关、虚拟化、服务器以及终端安全防护产品整合,帮助用户全面防御网络中流窜的各种威胁，打造立体化的威胁防御体系。

（3）云安全技术为“等保”建设纵深防御体系

近年来，亚信安全在政府与行业市场的等级保护建设工作中取得了良好的进展。成功中标了中智集团、北医三院、广东移动等的等级保护项目，为用户的网络安全构建了纵深防御体系。

北医三院相关技术负责人表示：亚信安全具备独有的云安全技术架构和旗下众多云安全集成产品，可以帮助我们建立最可靠的信息安全威胁防御体系，我们采用了亚信安全的OfficeScan以及IWSA，其能够有效地在网络边界处对恶意代码进行检测和清除，维护恶意代码库的升级和检测系统的更新，产品的技术领先性、统一管理功能，以及相关人员的服务能力都得到了我们的认可。

亚信安全还为国家信息中心等政府单位提供了亚信安全4A统一安全管理平台（融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计），通过高度定制化的整体解决方案，涵盖单点登录（SSO）等安全功能，完成云管理系统和政务外网电子认证系统集成、密钥基础设施集成接口研制，既能够为实验室提供功能完善的、高安全级别的4A管理，也能够为各级电子政务外网用户提供符合信息安全等级保护的内控要求。

亚信安全积极构建安全防御体系和全球化的安全服务，以降低系统风险，应对全球网络威胁，将继续坚持以自主可控的核心技术为重点，并致力于全球的网络安全。

鸣谢：亚信安全公关总监刘婷婷女士、政府事务经理周华女士为本文提供支持。

崔传桢

《信息安全研究》杂志执行主编，主要研究方向为国家战略、财政金融管理与创新、网络空间安全、战略与管理创新。cctz@vip.sina.com

»本刊评论

核心技术——信息网络安全的守护神

习近平总书记指出：一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国，供应链的“命门”掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。我们要掌握我国互联网发展主动权，保障互联网安全、国家安全，就必须突破核心技术这个难题。

近年来，依靠中国这个全球最大市场，我国的信息与网络安全企业得到了快速发展和进步，展望未来，信息安全领域的市场空间更加巨大。但客观而言，具备核心安全技术企业并不多。中国的安全企业目前还存在系统防护水平不高、应急能力弱，专业人才缺乏、关键技术比较落后，缺乏核心优势的现实情况。

解决核心安全技术，需要信息安全企业充分重视并制定具体的计划。除了下大力气，研究国际同行的先进技术外，要及时针对网络市场和用户的新需求进行研发和设计，特别要有一定的前瞻能力，针对网络安全的新课题，集中力量进行快速反应和设计研发，力争短时间内有突破和成就，建立核心技术优势。2015年全球共发现24个零日漏洞，亚信安全就贡献了11个，亚信安全的成立从整体上改变了全球网络安全技术的格局，为我国的信息安全企业作出了表率。我们必须认识到，今天的核心技术必须具有时间领先优势，这样才能真正建立自己的差异化优势，成为信息安全的守护神，为社会和国家安全作出贡献。

“Internet +”Power: Overview of AsiaInfo Secruity’s Cyber Security

Cui Chuanzhen