網(wǎng)絡(luò)安全挑戰(zhàn)及技術(shù)與管理制衡

◆徐 明

網(wǎng)絡(luò)安全挑戰(zhàn)及技術(shù)與管理制衡

◆徐 明

（云南警官學(xué)院信息網(wǎng)絡(luò)安全學(xué)院 云南 650223）

隨著全球化與網(wǎng)絡(luò)服務(wù)需求的不斷強(qiáng)化，新的機(jī)遇與網(wǎng)絡(luò)安全挑戰(zhàn)如影隨形。企業(yè)與部門在享受網(wǎng)絡(luò)便利與效益的同時，面對著不斷變化與增強(qiáng)的網(wǎng)絡(luò)安全挑戰(zhàn)。本文從不同角度對網(wǎng)絡(luò)安全挑戰(zhàn)進(jìn)行分析,對當(dāng)前網(wǎng)絡(luò)安全防御領(lǐng)域的發(fā)展方向做了介紹，同時，以非系統(tǒng)化、代價可承受的安全技術(shù)手段做為技術(shù)制衡威脅的支撐點(diǎn),并進(jìn)一步從管理的角度闡述達(dá)成網(wǎng)絡(luò)安全所需采取的措施及建議。

網(wǎng)絡(luò)安全；企業(yè)與部門；技術(shù)應(yīng)對；管理措施；制衡

0 前言

網(wǎng)絡(luò)技術(shù)的空前發(fā)展使網(wǎng)絡(luò)承受了比以往更大的壓力。各種新技術(shù)、新設(shè)備，包括內(nèi)部人員所攜帶的智能電話、筆記本終端甚至智能眼鏡等都需要接入企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員往往疲于應(yīng)付多種多樣上述類似的接入請求授權(quán)和管理。與這些內(nèi)部壓力同時并存的是員工和客戶對網(wǎng)絡(luò)服務(wù)所提出的不間斷全天候在線要求，尤其是基于網(wǎng)絡(luò)平臺上提供中間交易平臺的服務(wù)提供商，其來自商品供應(yīng)方（賣方）和需求方（買方）的雙向壓力會越發(fā)凸顯出來，如淘寶、亞馬遜、當(dāng)當(dāng)網(wǎng)等。

當(dāng)前，一些企業(yè)，例如銀行，對因網(wǎng)絡(luò)服務(wù)中斷而引起的潛在成本非?？粗?；在線零售企業(yè)對服務(wù)器宕機(jī)的機(jī)會成本損失估計到達(dá)了數(shù)千萬元每小時數(shù)量級。同時，因為宕機(jī)而引發(fā)的企業(yè)信譽(yù)損失也同樣巨大，例如受影響的用戶立刻通過網(wǎng)絡(luò)社交平臺或交易類用戶反饋渠道對企業(yè)無法提供在線服務(wù)進(jìn)行抱怨，在某種情況下，這種抱怨和負(fù)面影響會因為網(wǎng)絡(luò)的便捷性和用戶的廣泛性，形成幾何級數(shù)的增長，與這些用戶相關(guān)聯(lián)的企業(yè)或個人就會馬上感受到可靠網(wǎng)絡(luò)服務(wù)的重要性，這也從側(cè)面體現(xiàn)了網(wǎng)絡(luò)服務(wù)安全與可靠的重要性。

無論是對于提供全球金融服務(wù)的銀行或是互聯(lián)網(wǎng)服務(wù)提供商，時間就是金錢。今天，如果你無法對顧客提供實時在線的服務(wù)，那么你將會實實在在的承受損失。

1 便捷性與安全性的危險平衡

對于如何解決這一棘手的問題，取決于網(wǎng)絡(luò)管理人員會從哪個角度來考慮什么是網(wǎng)絡(luò)安全這一命題。在最近的Intel Security（因特爾下屬的一家從事信息安全產(chǎn)品提供與研究的企業(yè)）研究中獲悉，有超過三分之一的網(wǎng)絡(luò)管理人員承認(rèn)曾經(jīng)借助包括關(guān)閉防火墻或減弱部分安全控制功能設(shè)置，用以換取網(wǎng)絡(luò)性能提升的經(jīng)歷。也就是說，網(wǎng)絡(luò)服務(wù)的性能在某種程度上需要通過降低網(wǎng)絡(luò)的安全性來換取。技術(shù)管理人員會認(rèn)為在可以控制的范圍內(nèi)找到所謂的便捷性和安全性的平衡點(diǎn)，并讓其一直存在，但是這個平衡點(diǎn)其實有極大的危險性。

根據(jù)這份報告，被網(wǎng)絡(luò)管理人員禁用最普遍的（因其對網(wǎng)絡(luò)性能影響較大）設(shè)置是深度包解析DPI（Deep Packet Inspection），承認(rèn)禁用這一功能的從業(yè)者比例近31%。緊隨其后被禁用的還包括反垃圾郵件（Anti-spam）29%，反病毒（Anti-virus）28%，以及VPN連接28%，如圖1所示[5]。

做為網(wǎng)絡(luò)安全管理的主要實施者，網(wǎng)絡(luò)管理員將如此核心的安全措施和功能關(guān)閉是一個非常觸目驚心的現(xiàn)象。DPI，這一最普遍被犧牲掉的設(shè)置，能夠在普通網(wǎng)絡(luò)負(fù)載中識別惡意行為，同時在不可挽回的破壞發(fā)生前通過自動阻斷攻擊數(shù)據(jù)流來阻止惡意攻擊。這個功能對于自動安全防御是非常重要的，也是新一代防火墻（Next Generation Firewall）的核心組件。同時，DPI也被視為提高網(wǎng)絡(luò)安全性的必備措施，當(dāng)禁用這項功能后，管理員不但犧牲了企業(yè)的安全，同時他自己也可能因為違反規(guī)定而面臨法律訴訟的風(fēng)險。

如此高比例的數(shù)據(jù)表明安全管理員抱有僥幸心理，在網(wǎng)絡(luò)的便捷性和安全性之間，相當(dāng)部分的技術(shù)管理人員選擇了犧牲網(wǎng)絡(luò)的安全性以提高網(wǎng)絡(luò)的便捷性。被禁用的網(wǎng)絡(luò)安全控制功能組件及調(diào)查比例如圖1所示（數(shù)據(jù)來源于2014年McAfee調(diào)查項目），這也是目前網(wǎng)絡(luò)安全挑戰(zhàn)面臨著的客觀事實。

圖1 被禁用功能統(tǒng)計圖示

1.1 內(nèi)部管理機(jī)制的滯后性

企業(yè)或部門管理者對于例如技術(shù)管理人員為了追求網(wǎng)絡(luò)的快捷性，導(dǎo)致網(wǎng)絡(luò)面臨極大的安全性的挑戰(zhàn)，因此導(dǎo)致網(wǎng)絡(luò)會陷入的危險的情況一無所知。根據(jù)調(diào)查顯示，近60%的IT從業(yè)者自己認(rèn)為網(wǎng)絡(luò)是運(yùn)行于安全策略管理之下的，但是，可能存在技術(shù)管理人員自作主張地放任前述威脅平衡的存在，以犧牲網(wǎng)絡(luò)安全性換取網(wǎng)絡(luò)性能的提升。同時，企業(yè)管理者又缺乏有效的渠道知曉這一情況，那么網(wǎng)絡(luò)就很有可能在安全負(fù)責(zé)人意識到之前已經(jīng)置于危險之中。實際情況往往是領(lǐng)導(dǎo)們很少會發(fā)現(xiàn)企業(yè)或部門所制定的安全策略正不斷的處于妥協(xié)、弱化之中，直到問題突然出現(xiàn)才意識到情況已經(jīng)如此嚴(yán)重。

常有這樣的現(xiàn)象，由于日常工作繁忙，主管人員會把包括重要的網(wǎng)絡(luò)安全策略管理等事物授權(quán)給助手或其它人員來操作和設(shè)置。由于防火墻安全設(shè)置是一項策略性的工作，往往需要有豐富經(jīng)驗的網(wǎng)絡(luò)管理負(fù)責(zé)人來執(zhí)行，也就是說，中層的系統(tǒng)管理員常會因低估風(fēng)險而輕易的關(guān)閉重要的安全功能，同時很自然的將這樣的安全設(shè)置信息放在例行安全報告之外，這樣做的結(jié)果就是企業(yè)或部門安全負(fù)責(zé)人無法掌握實時的安全策略狀況。

由于高層管理人員缺乏對于技術(shù)的了解，同時基于對于技術(shù)管理人員的信任，沒有實際的工作機(jī)制來保證網(wǎng)絡(luò)平臺的安全運(yùn)行，缺乏相應(yīng)的監(jiān)管和督導(dǎo)，沒有切實可行的保證網(wǎng)絡(luò)平臺安全運(yùn)行的運(yùn)作機(jī)制。

1.2 外部威脅的嚴(yán)峻性

隨著社會對智能終端日趨依賴,智能手機(jī)、筆記本電腦等可接入設(shè)備已經(jīng)成為個人的工作和生活的必須品。企業(yè)或部門在致力于提升內(nèi)部網(wǎng)絡(luò)能力的同時,不斷攀升的網(wǎng)絡(luò)接入數(shù)量預(yù)示著可能為惡意入侵者所利用風(fēng)險的持續(xù)加劇,這增加了網(wǎng)絡(luò)的脆弱性。

隨著黑客軟件與硬件水平的不斷提升，網(wǎng)絡(luò)所面臨的危險從未如此嚴(yán)峻。當(dāng)前炙手可熱的黑客技術(shù)--先進(jìn)規(guī)避技術(shù)AET（Ad vanced Evasion Technology）令很多當(dāng)下主流的防護(hù)手段一籌莫展。這一技術(shù)能夠非常巧妙的掩蓋正在實施的惡意攻擊行為，入侵者能夠在不被發(fā)現(xiàn)的情況下潛伏于目標(biāo)網(wǎng)絡(luò)中數(shù)周甚至數(shù)月的時間。可以想象，在如此長的靜默潛伏期內(nèi)，黑客能夠完成對欲攻擊目標(biāo)大量的信息收集與窺探。AET利用包括字段重組與偽裝復(fù)合技術(shù)，順利來往于網(wǎng)絡(luò)安全控制節(jié)點(diǎn)，如防火墻和入侵防御系統(tǒng)（IPSs）。AET利用將入侵特征包分拆為小的、分散的數(shù)據(jù)包，同時分散的使用數(shù)個不同的協(xié)議族，因而能夠起到很好的不為人注意的效果。而一旦分散的入侵?jǐn)?shù)據(jù)包注入到目標(biāo)網(wǎng)絡(luò)中，EAT會利用特有技術(shù)重組這些數(shù)據(jù)包，進(jìn)而完成對網(wǎng)絡(luò)的內(nèi)部攻擊。

當(dāng)前，這種悄悄而入的攻擊在所有發(fā)現(xiàn)的攻擊中所占的比例增長顯著，那些曾經(jīng)經(jīng)歷了網(wǎng)絡(luò)攻擊破壞的IT部門人員近半數(shù)相信EAT扮演了重要的角色。有關(guān)數(shù)據(jù)顯示，目前ETA攻擊已接近十億的數(shù)量級，而且數(shù)量仍在增長。這也正應(yīng)了那句老話，“堡壘最容易從內(nèi)部攻破”。

如果把上面提到的AET比作善于偽裝竊賊，那么拒絕服務(wù)攻擊DDoS（Denial-of-Service）可以算是地道的暴力入侵者。拒絕訪問攻擊并不是新進(jìn)出現(xiàn)的高端黑客攻擊方式，其攻擊原理非常簡單，即通過密集、巨量的應(yīng)用請求，耗盡被攻擊方的各種資源，例如：占據(jù)連接數(shù)、阻塞通信信道、耗盡服務(wù)器應(yīng)用資源及通信帶寬等。由于其不斷變化和強(qiáng)化的攻擊能力及所造成的巨大經(jīng)濟(jì)與社會的負(fù)面影響而不得不讓人另眼相看。2015年8月發(fā)生在荷蘭的黑客攻擊事件甚至造成了該國超過三分之二的網(wǎng)絡(luò)使用者無法訪問網(wǎng)絡(luò)的后果[1]。造成這一事件的原因是該國主要網(wǎng)絡(luò)服務(wù)提供商Zeggo公司的服務(wù)器遭受了持續(xù)的DDoS攻擊，并最終癱瘓。值得注意的是黑客選擇了一個非常巧妙的攻擊時間：Zeggo正在與收購方Liberty Global公司配合完成物理網(wǎng)絡(luò)和服務(wù)器并網(wǎng)的時間點(diǎn)。海量泛濫的數(shù)據(jù)與連接請求，配合精心策劃的攻擊時間節(jié)點(diǎn)，使得這次攻擊的效果令人異常心驚。

2 針對網(wǎng)絡(luò)安全挑戰(zhàn)的技術(shù)與管理應(yīng)對

2.1 技術(shù)防御

當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)在社會、個人及經(jīng)濟(jì)發(fā)展等多領(lǐng)域的不斷滲透，國際及國內(nèi)網(wǎng)絡(luò)安全挑戰(zhàn)的不斷增強(qiáng)，網(wǎng)絡(luò)安全技術(shù)防御手段也日趨強(qiáng)大。大規(guī)模網(wǎng)絡(luò)安全態(tài)勢分析與預(yù)測系統(tǒng)（YYS AS）是一種基于大規(guī)模網(wǎng)絡(luò)運(yùn)行環(huán)境的網(wǎng)絡(luò)維修評估與惡意信息采集預(yù)警系統(tǒng)，其應(yīng)用定位于國家骨干網(wǎng)絡(luò)以及大型網(wǎng)絡(luò)運(yùn)營商[4]；而針對企業(yè)級應(yīng)用，也有學(xué)者提出了基于網(wǎng)絡(luò)安全設(shè)備的管理方法，即動態(tài)獲取與收集互聯(lián)的網(wǎng)絡(luò)安全設(shè)備日志信息與事件信息，通過集成接口實現(xiàn)安全管理系統(tǒng)對全網(wǎng)安全情態(tài)的掌控與動態(tài)實時管理[3]。上述系統(tǒng)在維護(hù)網(wǎng)絡(luò)安全領(lǐng)域效果明顯，但最大的缺陷在于超出一般企業(yè)及部門所能承受的資本與人力投入。對于大多數(shù)的企業(yè)或部門，不可能寄希望于依靠研發(fā)自己的安全軟件或硬件來完成內(nèi)部網(wǎng)絡(luò)安全的提升，這也使得購買網(wǎng)絡(luò)安全產(chǎn)品成為必然的選擇。由于相對較低資金與管理的投入，適宜的費(fèi)效比，相當(dāng)比例的企業(yè)或部門選擇防火墻做為網(wǎng)絡(luò)安全核心設(shè)備，能否獲得效能良好并高效運(yùn)轉(zhuǎn)的防火墻往往能夠為這樣的企業(yè)或部門顯著的提高應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)的能力。

鑒于網(wǎng)絡(luò)環(huán)境的現(xiàn)狀，對防火墻的功能與能力有了更高的要求。當(dāng)前，安全防護(hù)領(lǐng)域提出了新一代防火墻（Next Generation Fire-wall）的概念。這一類的防火墻能夠保護(hù)企業(yè)或部門，使其免受日趨復(fù)雜的網(wǎng)絡(luò)安全威脅，與此同時為用戶提供可靠的網(wǎng)絡(luò)服務(wù)。除了傳統(tǒng)防火墻所具備的諸如包過濾、地址解析、URL攔截及虛擬個人專網(wǎng)（VPN）等功能外，新一代的防火墻普遍能夠提供額外的基于深度包偵測DPI的保護(hù)、欺騙保護(hù)、安全套接層（SSL）和安全層（SSH--Secure Shell）監(jiān)管，基于信用目錄的惡意軟件偵測等。目前，利用多核處理器的新型防火墻型號已經(jīng)將數(shù)據(jù)吞吐量提升到了100Gbps的水平。

為能確保防火墻產(chǎn)品能夠勝任當(dāng)前網(wǎng)絡(luò)保護(hù)的職責(zé)，企業(yè)或部門應(yīng)該在防火墻正式接入網(wǎng)絡(luò)前對其性能及防護(hù)效果進(jìn)行測試。測試應(yīng)更貼近于真實的網(wǎng)絡(luò)負(fù)載、網(wǎng)絡(luò)環(huán)境、通信協(xié)議環(huán)境等一系列環(huán)境變量。這類防火墻測試應(yīng)該包含下面的內(nèi)容：

（1）吞吐量測試：高性能的新一代防火墻應(yīng)該具有至少100 Gbps數(shù)據(jù)吞吐能力，但是當(dāng)防火墻處于峰值負(fù)載時，這個指標(biāo)也不能低于4Gbps。設(shè)置最低目標(biāo)數(shù)據(jù)吞吐量，開啟防火墻的所有功能，并確保設(shè)備能夠在上述情況下滿足保護(hù)應(yīng)用的需求。

DPI做為偵測惡意數(shù)據(jù)流的最重要工具，對新型防火墻進(jìn)行測試時，確保最少10Gbps的DPI吞吐量。

（2）專用協(xié)議測試：每個重視互聯(lián)網(wǎng)的企業(yè)都不得不面對針對TCP及HTTP協(xié)議的攻擊。新一代防火墻應(yīng)該能夠確保至少5 0000/秒的TCP/HTTP連接。

（3）智能防護(hù)：這一功能是新一代防火墻非常顯著的特征。通常情況下，安全人員利用已有的策略及預(yù)案針對未來可能出現(xiàn)的事件預(yù)設(shè)了安全組件。利用這個功能，一旦威脅被某個安全組件所截獲，那么整個網(wǎng)絡(luò)能夠通過特定的機(jī)制實時獲知這一威脅及其應(yīng)對，進(jìn)而對該威脅產(chǎn)生了免疫能力。擁有智能防護(hù)能力的防火墻就成為了將眾多安全組件與能力集合在一起的核心組件，為網(wǎng)絡(luò)提供能力更強(qiáng)的安全及性能保障。

2.2 管理制衡

（1）在性能與安全間進(jìn)行有側(cè)重的平衡

IT部門常常需要在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全性之間進(jìn)行痛苦的平衡，既要確保應(yīng)用的有效訪問和盡量高的應(yīng)用在線時間，又要采取會對上述性能產(chǎn)生負(fù)面影響的網(wǎng)絡(luò)安全措施以杜絕網(wǎng)絡(luò)惡意行為可能造成的破壞，這常常是一個非常困難的事情。

網(wǎng)絡(luò)性能與安全之間是一對矛盾體，企業(yè)上下，包括IT部門都有為完成企業(yè)及部門目標(biāo)而共同努力的心愿，而這樣的目標(biāo)必須保證高效的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)安全。網(wǎng)絡(luò)運(yùn)行不暢與企業(yè)核心數(shù)據(jù)失竊都同樣會威脅到最終目標(biāo)的完成。

企業(yè)及部門領(lǐng)導(dǎo)層的主要任務(wù)就是確保在技術(shù)團(tuán)隊和安全團(tuán)隊之間達(dá)成共識并通力協(xié)作，以期找到切實可行的性能與安全的平衡點(diǎn)。經(jīng)驗豐富的安全管理人員應(yīng)該將精力集中于對新進(jìn)人員的培訓(xùn)，使他們能夠?qū)T部門所面臨的安全威脅有全面的了解和認(rèn)識。

（2）有效的溝通機(jī)制及可靠的安全策略

網(wǎng)絡(luò)本身的生存和恢復(fù)能力首先來源于領(lǐng)導(dǎo)層的安全策略以及切實可行的安全危機(jī)預(yù)案。在測試中,當(dāng)發(fā)現(xiàn)隱患時要及時報告與溝通,并協(xié)調(diào)資源進(jìn)行彌補(bǔ),比如采購必要的軟件及設(shè)備等。

企業(yè)及部門管理層應(yīng)該考慮借助安全測試，包括第三方測試來檢驗其應(yīng)付當(dāng)前網(wǎng)絡(luò)威脅及性能需求的可靠性。當(dāng)進(jìn)行測試時，可以直接感受到新的防火墻技術(shù)對網(wǎng)絡(luò)安全起到的作用，進(jìn)而決定如何應(yīng)對未來可能的安全威脅。

（3）在投入與網(wǎng)絡(luò)安全間達(dá)到合理的平衡

由于設(shè)備與資源投入存在不斷更新?lián)Q代的要求，而這樣的更新往往意味著新的經(jīng)濟(jì)投入。出于成本最小化的考慮，企業(yè)及部門決策者會有不斷后延這樣更新的潛意識。此時，企業(yè)或部門安全負(fù)責(zé)人員就有義務(wù)向決策者提供有效的信息，并表明:合理、及時的升級換代投入能夠帶來的在運(yùn)營安全，例如提高網(wǎng)絡(luò)運(yùn)行效能、網(wǎng)絡(luò)維護(hù)效率等方面的有利之處，以及拖延所帶來的嚴(yán)峻后果。在溝通過程中，量化那些可能的資源投入以及由此而獲得的安全收益常常能起到很好的效果。

（4）重要節(jié)點(diǎn)的額外安全考慮

當(dāng)前，社會經(jīng)濟(jì)發(fā)展異常迅速,尤其在互聯(lián)網(wǎng)領(lǐng)域。服務(wù)提供商、互聯(lián)網(wǎng)及移動服務(wù)中間平臺、企業(yè)的網(wǎng)絡(luò)服務(wù)等存在頻繁的收購、兼并、升級等經(jīng)濟(jì)行為。在不同物理系統(tǒng)、服務(wù)器進(jìn)行組網(wǎng)、合并的時間節(jié)點(diǎn)，很有可能會使那些之前被置于各自企業(yè)安全策略保護(hù)之下的核心數(shù)據(jù)庫、服務(wù)器暴露在危險的網(wǎng)絡(luò)當(dāng)中.企業(yè)技術(shù)安全負(fù)責(zé)人應(yīng)該對該時間節(jié)點(diǎn)可能產(chǎn)生的安全隱患提前分析并設(shè)置合理的預(yù)案,確保在有效的防范措施之下完成上述切換。

3 結(jié)束語

不斷增強(qiáng)的外部威脅，超負(fù)荷工作的安全管理人員，困難重重的操作規(guī)程和長期得不到更新的過時的安全軟件與設(shè)備，這些因素極大的增加了企業(yè)或部門遭受網(wǎng)絡(luò)攻擊的可能性。在商業(yè)領(lǐng)域，類似的攻擊甚至可能源于競爭對手的惡意目的。根據(jù)Trend Micro Research咨詢公司的研究與調(diào)查，150美元就能夠在黑市購買針對特定服務(wù)器為時一周的DDoS攻擊。由McAfee資助的研究項目顯示，當(dāng)前與網(wǎng)絡(luò)犯罪相關(guān)聯(lián)的經(jīng)濟(jì)損失超過每年四千億美元，對未來損失趨勢的預(yù)測更是達(dá)到了萬億級規(guī)模。

網(wǎng)絡(luò)性能與核心數(shù)據(jù)安全必須兩手兼顧，這就要求在擬定安全策略時必須涵蓋該策略對操作性可能存在影響的分析與研判。在可承受的安全投入前提下，利用性能不斷提升的核心網(wǎng)絡(luò)安全設(shè)備,即新一代防火墻,借助本文推薦的方法與規(guī)則進(jìn)行測評及部署,最大限度的確保網(wǎng)絡(luò)性能與核心數(shù)據(jù)安全之間的合理平衡點(diǎn)。

企業(yè)及部門對所面臨的網(wǎng)絡(luò)安全威脅及性能要求是否有充分的認(rèn)識，是解決安全問題至關(guān)重要的前提條件。領(lǐng)導(dǎo)層需要多與IT人員就如何提高網(wǎng)絡(luò)可操作性的細(xì)節(jié)進(jìn)行交流，同時鼓勵應(yīng)用部門與安全部門通力協(xié)作，重視對關(guān)鍵節(jié)點(diǎn)期間的安全預(yù)案與規(guī)劃進(jìn)行合理、及時的部署。隨著企領(lǐng)導(dǎo)層對自身網(wǎng)絡(luò)狀況的不斷把控與掌握，相信在確保高效而安全的企業(yè)及部門網(wǎng)絡(luò)運(yùn)營之路上的決策將會更加有效。

[1]Mark Robichaux.BREACHED--What happened when hacker shot down Liberty Global’s broad band in Netherlan ds [N].Multichannel News,2016.

[2]Guillermo Lafuente.The big data security challenge [J]. Network Security,2015.

[3]李杰，柳影.企業(yè)網(wǎng)絡(luò)安全管理技術(shù)研究與應(yīng)用[C].電力行業(yè)信息化年會論文集.成都，2015.

[4]張建峰.網(wǎng)絡(luò)安全態(tài)勢評估若干關(guān)鍵技術(shù)研究[D].國防科學(xué)技術(shù)大學(xué)研究生院工學(xué)博士學(xué)位論文.長沙:國防科技大學(xué)研究生院，2013.

[5]McAfee/Intel Security.Network Performance and Securi ty [R].New York:McAfee/Intel Security,2015.

[6]匿名.IT Security.Next-generation firewalls:Security wit hout compromising performance[J].http://www.techrepublic.co m/blog/it-security/next-generation-firewalls-security-without -compromising-performance/.

[7]Eric Geier.Intro to Next Generation Firewalls[OL].http: //www.esecurityplanet.com/ security-buying-guides/intro-tonext-generation-firewalls.html,2011.

[8]胡建偉.網(wǎng)絡(luò)安全與保密[M].西安:西安電子科技大學(xué)出版社，2003.

（Foundation）:國家留學(xué)基金委西部人才培養(yǎng)特別項目。