網絡經濟時代,網絡技術加速資訊化發展,對市場的影響正在以颠覆性的形式與力量作用于企業生産效率的大幅提升,網絡的普及應用已滲透到生産關系的每個角落。而随着網絡普及,不法分子同樣利用網絡的便利性進行網絡入侵甚至犯罪,使得企業在高效使用網絡的同時存在諸多安全隐患。網絡入侵、malware、蠕蟲、勒索病毒,資料洩露事件層出不窮,給企業造成嚴重經濟損失。如何監控網絡活動,預防網絡安全事故一直是企業感覺捉襟見肘的頭疼問題。
自2016年11月7日中共中央政府通過《中華人民共和國網絡安全法》以來,特别是國務院在2020年4月9日釋出的《關于建構更加完善的要素市場化配置體制機制的意見》中将資料定義為繼土地、勞動力、資本、技術之後的第五大生産要素後,網絡資料安全逐漸變成了繼網絡安全以來的另一個剛性要求。如何在龐大的網絡流量裡,偵探可疑的網絡活動,預防網絡安全事件及資料洩露,溯源安全事件,網絡安全形成了一大産業鍊,催生出了品類繁多的網絡安全産品。
與網絡活動相關的參數很多,從網絡層的五元組(源IP、源端口、目的IP、目的端口和協定),再到應用層的相關參數,以及各種應用自定義擴充參數,如何監控網絡活動,并把這些參數關聯到IT從業人員可查可控,并能夠明确解釋和回答各種網絡安全事故和網絡資料安全事件,精準定義最小範疇核心參數,并把其它所有參數都關聯到這組核心參數上來,這實際上也是所有網絡安全産品的基礎。
在此我們引入與網絡安全和網絡資料安全有關的網絡活動的四個核心參數:
1. 使用者
在四通八達的網絡裡,如何定義一個使用者呢?實際上,答案就在大家常用的郵件裡。如果一個人能收到郵件,這個人在網絡世界裡就有一個獨一無二的郵箱位址,是以我們就把郵箱位址定義為使用者。事實上,一個人可以從不同的地方擁有好多個郵箱位址,甚至在同一個地方擁有多個郵箱位址,但這似乎給跟蹤監控使用者擺設了迷局。但在我們給企業機關解決網絡安全和資料安全問題的時候,企業使用者在企業裡的郵箱位址卻隻有一個。是以,企業郵箱是定義企業使用者的最佳選擇,且獨一無二,并且它易于在企業内部關聯到人事檔案資料。
2. 裝置
許多網絡安全産品都用裝置的IP來定義裝置,這在現代網絡中早已不實用了。企業為了減少操作成本,基本上都部署了DHCP伺服器,固定裝置的IP就不能保證不變了。筆記本電腦的流行及BYOD許可,公司多分支地點,無線網的普及……都使用裝置IP來跟蹤網絡裝置就變得失去意義。最新的做法是提倡用裝置指紋來定義裝置。裝置指紋的算法一般因網絡産品而異,在這裡我們提倡在特定的條件下,用裝置的BIOS序列号和裝置的網卡MAC位址來做裝置ID。
3. 應用
許多網絡安全産品都用應用伺服器的IP來定義應用。企業為降低成本,虛拟主機愈來愈普及,用伺服器IP就無法區分和界定不同應用了。用IP還不能為應用産生SSL加密證書,給資料傳輸造成安全隐患。我們建議用域名來定義應用。域名在網絡世界裡獨一無二,同樣适用于虛拟主機。
4. 資料
資料在網絡世界裡“看不到摸不着”。通過各種交織的技術手段把資料捕捉到後,還是沒有明顯的資料特征來為它定義。我們建議用資料指紋來定義資料,這樣便可以區分出不同的資料。
在此,我們把各種網絡活動參數變成圍繞在四個主軸核心參數的周邊的關系延展。當網絡活動日志都有這四個核心參數記錄的時候,網絡安全和網絡資料安全産品就很容易做了。比如,通過網絡活動日志,很容易得到使用者張三有幾台網絡裝置(例如電腦上網和手機上網);其他安全隐患也很容易發現,比如,李四有二十多個雅虎郵箱賬号,這是不是有問題?還有,同一資料(資料指紋相同),王五為何用不同的檔案名發送給不同的人?