网络内容安全技术概述

网络内容安全技术概述
数据加密技术
内容完整性技术
PGP数据保护技术
邮件病毒及防范
内容过滤
内容备份
灾难恢复
第一章  网络内容安全技术概述
1 基本概念
内容安全：
内容安全本身这个定义某种程度上是有争议的，不同的人有不同的看法。以IDC（Internet Data Center）的定义来看，它管这个市场称为: Security Content Management，安全内容管理市场。
这个市场分成四个子市场：
第一个市场: 防毒杀毒市场这是以前最大的市场，现在所占的份额在下降。
第二个市场: 反间谍软件、反钓鱼软件，反恶意软件市场。
第三个市场: 网络安全管理市场。
第四个市场: 消息安全市场，涵盖了从用户层面、内容层面、应用层面定义安全管理市场。
IDC（Internet Date Center）的定义是互联网数据中心，就是电信部门利用已有的互联网通信线路、带宽资源，建立标准化的电信专业级机房环境，为企业、政府提供服务器托管、租用以及相关增值等方面的全方位服务。IDC服务商就是通过电子商务平台为需要全方位服务的企业或个人建立一个良好服务平台的商家。
2 内容安全的起源和发展历程
1998年美国开始出现网页过滤
2000年美国国会通过《儿童因特网保护法案》,要求所有接受政府资助的图书馆在其因特网上安装过滤软件
2003年中国出现“绿色上网”
2009年6月工信部下发的《关于计算机预装绿色上网过滤软件的通知》,要求自7月1日起,销售电脑将预装“***-花季护航”的绿色上网过滤软件
3 常见内容安全问题
恶意内容传播：色情、暴力、赌博、反动信息（网页过滤）
邮件过滤
游戏、聊天、P2P的控制
敏感访问的审计
4 内容安全核心技术
高速网络信息处理技术：仅利用软件方式进行网络数据处理无法满足在高带宽下的要求，必须利用底层的优化技术来应对高带宽的挑战。
如：硬件优化（例如Network Processor技术）、驱动优化（例如Zero Copy技术）等方式。
4 内容安全核心技术
协议还原技术：协议还原技术指对网络原始数据进行内容数据还原，从而获得用户应用层的数据，进而进行各种控制、审计动作。
协议还原技术需要从最底层的网络原始数据开始，通过软件实现一个模拟的TCP/IP协议栈，将这些原始数据进行重组和解码，得到相关的网页访问内容，邮件内容等应用层信息。
协议还原是内容安全的基础，只有通过进行快速、高效的协议还原才能将网络数据的控制和审计做到准确。
4 内容安全核心技术
网络控制技术：网络控制技术是指利用网络协议的特性，对色情、反动等站点访问的阻断手段。
包括：MAC地址欺骗技术、TCP阻断技术、DNS阻断技术等、HTTP欺骗等技术。
4 内容安全核心技术
内容安全管理技术：分为电子邮件过滤、网页过滤、反间谍软件三大技术。
5 内容安全产品的评价标准
封堵的准确率
对网络的影响程度
分析协议的数量：通常需要分析的协议包括：网页访问、各种邮件协议（SMTP，POP3）、Bt、QQ、Ftp、Telnet等协议。
是否可以分角色、分时段控制
6 内容安全相关设备
邮件安全网关：邮件安全网关是部署相应的反恶意攻击邮件、反垃圾邮件和邮件病毒过滤系统，从而防止垃圾邮件和病毒冲进企业内部。架设在邮件服务器之前、防火墙之后的垃圾邮件解决方案，主要用户是企业、电信运营商等用户。
如：梭子鱼垃圾邮件防火墙(Barracuda Spam Fireware )
6 内容安全相关设备
Web安全网关：实现对整个互联网资源访问过程的访问控制、策略管理、内容过滤、信息监控、统计报表、带宽控制等功能。
6 内容安全相关设备
即时通讯安全网关：检测并且处理所有即时通讯信息。
7 为什么需要内容安全管理
员工利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率；
??
员工访问不良网站，遭受恶意代码、间谍软件及钓鱼式攻击等，影响企业网络正常运行；
员工随意使用P2P下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源；
员工浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题；

员工随意通过EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生；

合规性管理要求。公安部82号令《互联网安全保护技术措施规定》中明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件，并对网络中的违法信息进行管理。
8 内容安全管理
内容安全管理必要性：
根据IDC《中国用户IT安全现状与发展趋势》报告显示，内容安全问题已经成为企业首要的威胁，其中由于网站访问、邮件收发、P2P下载、即时通讯、论坛、在线视频等正常网络行为导致的企业网络安全风险、员工工作效率低下、敏感信息外泄等网络安全事件呈急剧上升的形势；而且随着互联网应用的深入，越来越多的网络安全事件发生在应用层和内容层。

内容安全管理必要性：
配备传统的网络防护设备，是企业安全上网的前提。传统网络防护设备（如防火墙、入侵检测系统等）是解决网络安全问题的基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。然而，相对于网络层安全，由正常网络应用行为导致的安全事件，更加隐蔽，不易察觉，所以损失也更加巨大。
---------因此，我们还需要细粒度的应用层和内容层策略控制。
9 内容安全管理系统的特点：
基于目前内容安全管理的迫切需求，内容安全管理系统SCM（Security Content Management System）作为新一代内容安全管理产品应运而生。
内容安全管理系统作为一种在线部署的产品，其设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制，实现对网站访问、邮件收发、P2P下载、论坛、在线视频等事件的全面有效管理。内容安全管理系统的主要特点如下：
9 内容安全管理系统的特点：
①全面内容管理：SCM采用URL网页过滤数据库和内容关键字技术，对网络中各类高风险、不良、反动网站及敏感信息进行告警、过滤；
②规范网络行为：SCM采用多种网络控制策略，灵活监控网站访问、邮件收发、论坛、即时通讯、文件上传下载、网络游戏、炒股等网络应用行为；
③合理分配带宽资源：SCM可根据协议、内容等，制定流量管理策略，合理分配带宽资源。
10 内容安全管理系统的评价指标：
①提供全面准确的通信内容管理、网络行为管理及流量管理手段；
②满足高性能要求，提供强大的分析和处理能力，保证正常网络通信的质量；
③具备高可靠的自身安全性，保证网络、自身设备的高可用性；
④提供方便灵活的部署方式，丰富的系统管理能力。
11 网络内容安全的现状
防火墙：从用户角度来看，虽然系统中安装了防火墙，但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
入侵检测：未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足，且在精确定位和全局管理方面还有很大的空间。
防病毒技术：虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
12 网络内容安全的发展趋势
防火墙：在混合攻击肆虐的时代，单一功能得防火墙远不能满足业务的需要，而具备多种安全功能，基于应用协议层防御、低误抱率检测、高可靠高性能平台和统一组件化管理的技术，优势将得到越来越多的体现，UTM（UnifiedThreatManagement，统一威胁管理）技术应运而生。
入侵检测技术：将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS（IntrusionManagementSystem，入侵管理系统）具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征，将逐步成为安全检测技术的发展方向。
防病毒技术的趋势是SCM（SecurityComplianceManagement，安全合规性管理）。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点，精细化的内网管理可以使现有的内网安全达到真正的“可信”。
12 网络内容安全的发展趋势
基于内容的深度安全分析已经成为目前的热点方向，包括基于特征匹配的深度分析以及基于行为识别的内容分析技术等。
基于特征库签名的深度报文特征匹配是目前比较通用的一种方式，通过对报文的深度内容分析，获取安全攻击的典型特征，通过特征库匹配实现对网络攻击的入侵检测和防御；或者通过跟踪协议的状态交互，并通过和学习到的协议状态机模型来比对协议是否发生异常，从而检测出当前网络是否存在攻击发生。
此外，基于行为的模型学习和智能分析也成为目前最为有效的一种手段，通过对大量攻击行为的模拟和行为特征分析可以提前预知攻击行为的发生并及时告警和响应，从而规避风险。