终端流量异常风险：12个风险点及解决方案

2023-11-23 理论教育版权反馈

【摘要】：下面对终端流量异常风险进行详细的分解：相关风险点终端流量异常风险点详见表B-3。如果缺失有关的流量异常的监控措施，一旦网络出现拥塞，带宽下降，就将对业务的正常运行带来严重风险；另外如果缺少这类监控措施，就不能及时识别和控制网络中的P2P下载软件，一旦出现病毒蠕虫也不能及时发现。将终端流量异常风险按照终端使用人角色分析如下。而对于临时人员和外部人员，因无法事先作出基线，风险较大。

1.风险分析

（1）风险描述

现在的业务系统都严重依赖网络的系统，比如核心业务、管理办公业务等都需要运转正常的网络基础设施来支撑。一旦网络出现拥塞，就会导致网络带宽不足，出现数据传输速率下降，从而给业务的正常运行带来严重风险。在终端联网的过程中，个别人员违规通过迅雷、BT等P2P网络下载软件、在线播放流媒体以及玩网络游戏，这些非工作流量会抢占有限的带宽资源，影响网络传输性能，导致语音和视频会议、OA、ERP等业务系统运行不稳定；另外，客户端感染蠕虫病毒也会造成网络带宽的占用。如果对终端流量使用的情况包括流量大小、发包数、连接数等流量信息不及时监控、上报和采取有效措施，就会严重威胁业务持续有效的运行。因此这类风险的可知、可控、可管十分重要。

该类风险主要表现在于以下3个方面：

1）监控缺失风险。由于缺少对终端发送和接收数据包的数量以及连接数的监控，就会导致关键主机的保护失控的风险。

2）标准基线风险。由于事先没有对终端的正常业务流量（连接数）、异常流量（连接数）和非法流量（连接数）做出仔细分析得出流量（连接数）的白名单，就可能造成无法有效地识别终端的异常流量（连接数）从而不能有效监控的风险。

3）控制平台本身风险。出现了异常流量（连接数），但是技术措施不到位，不能及时、准确地处理，如采取告警、限制流量和连接数等控制措施，实现有效监控的风险。

下面对终端流量异常风险进行详细的分解：

（2）相关风险点

终端流量异常风险点详见表B-3。

表 B-3

以下将分别从资产使用生命周期、相关信息安全、资产使用人员和合规性4个方面对以上12个风险点进行详细描述。

（a）基于资产使用生命周期分析

资产使用生命周期包含入网前、运行阶段、维修阶段、报废阶段。网络设备运行风险按照资产使用生命周期的分析如下。

风险点（1-3）：涉及资产使用生命周期的运行阶段。如果缺失有关的流量异常的监控措施，一旦网络出现拥塞，带宽下降，就将对业务的正常运行带来严重风险；另外如果缺少这类监控措施，就不能及时识别和控制网络中的P2P下载软件，一旦出现病毒蠕虫也不能及时发现。

风险点（4-5）：涉及入网前、运行阶段。如果没有预先了解当前网络中的业务情况，包括业务高峰周期、每天的业务流量峰值、每个终端的流量模型、每个终端基于端口的流量模型，就不能准确地了解网络的态势，建立基于实际情况的并按照IP、时间、端口的连接白名单，也就不能提供当前终端流量是否异常的标准，这将对流量异常监控带来风险。

风险点（6-8）：涉及运行阶段，如果不能对所有的终端统一下发流量（连接数）的白名单策略，势必造成流量和连接数异常监控的不全面，造成遗漏；如果不能及时发现流量（连接数）的白名单策略停止或被删除的情况，或者发现了不能及时恢复，也会对统一的安全监控环境带来监控的缺失风险。

风险点（9）：涉及入网前和运行阶段。如果在入网前没有仔细测试下发策略与当前业务的兼容性，一旦加载可能给业务带来极大的风险；另外即使在入网前已经测试了策略与业务的兼容性符合，一旦业务发生改变，也有可能与策略不兼容导致业务连续性风险。

风险点（10-12）：涉及运行阶段。如果技术上监控有关流量或连接数变化的技术手段性能不足，不能及时发现所有的违规，或者不能对所有的违规及时告警或处理，造成安全策略执行不到位，将会给业务带来极大的安全隐患。

（b）基于相关信息安全关系分析

相关信息安全分为在线信息风险和存储信息风险，终端流量异常风险按照相关信息安全关系的分析如下。

风险点（1-3）：如果缺失有关的流量异常的监控措施，一旦网络出现拥塞，带宽下降，必将造成业务运行中的在线信息风险和存储信息风险。

风险点（4-5）：如果不能建立基于实际情况的并按照IP、时间、端口的连接白名单，也就不能提供当前终端流量是否异常的标准，这将对流量异常监控带来风险，必将造成业务运行中的在线信息风险和存储信息风险。

风险点（6-9）：如果没有一套闭环的，从下发、监控到恢复一系列的策略的监控机制，并且能够发现策略与业务的兼容性，可能会造成在线信息风险和存储信息风险。

风险点（10-12）：如果管理平台的技术能力不够，不能及时发现所有的违规，或者不能对所有的违规及时告警或处理，造成安全策略执行不到位。将会给业务带来在线信息风险和存储信息风险。

（c）基于资产使用人分析

资产（终端）使用人包括内部人员、临时人员和外部人员3大类，而内部人员可以再细分为高级管理者，关键业务人员和网络管理人3种角色，临时人员主要是辅助人员岗位（如食堂、车队、绿化等人员），而外部人员包括外来厂商运维人员和系统内外来人员。终端的使用者因为不同的角色和不同的操作意图，一个相同的风险点对应不同身份的终端使用人其风险级别也不同。将终端流量异常风险按照终端使用人角色分析如下。

风险点（1-3）：任何岗位角色都会使用网络，并涉及终端违规网络访问风险问题，因此，该风险与内部人员相关：

a）高级管理岗位，如区域负责人等高层领导，风险不大。

b）地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，风险较大。

c）网络管理员等。

该风险也与临时人员相关：辅助人员岗位（如食堂、车队、绿化等人员等），可能利用网络下载游戏，观看网络视频，造成带宽拥堵，其风险重大。

该风险与外来人员相关：外来厂家人员、特别是外来维护人员网络知识丰富，也有可能利用内部网络下载资料，造成流量异常，其风险重大。(www.chuimin.cn)

风险点（4-5）：内部人员在使用网络时，必须对其正常的网络应用流量做出详细的了解，作出正常的流量基线，否则，无法判断其流量是否属于异常，从而不能进行有效控制；重点需要了解高级管理岗位，如区域负责人等高层领导的流量情况和地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员的流量情况。而对于临时人员和外部人员，因无法事先作出基线，风险较大。

风险点（6-8）：对于高级管理岗位，如区域负责人等高层领导的流量策略需要重点保证，一旦策略不能及时有效下发，或不能了解当前策略是否有效，就会造成重要业务不能及时审批，给业务的有效性造成风险；对于地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，一旦策略不能生效或与业务冲突，就会对业务造成风险。

风险点（9）：该风险对于高级管理岗位较大，一旦策略与领导的业务冲突，导致不能上网，必然给业务带来严重风险；当然这个风险也会给内部管理人员如地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员的业务带来威胁；这个风险与临时人员和外来人员的风险级别不大。

风险点（10-12）：这个风险主要跟临时人员和外来人员有关，一旦发现辅助人员岗位，如食堂、车队、绿化等人员等，可能利用网络下载游戏，观看网络视频，造成带宽拥堵的情况，要首先采用技术措施去限制其利用带宽流量，一旦技术措施失效，可能对内部网络运行带来失控，给业务带来较大的风险。

（d）合规性要求

合规性要求见表B-4。

表 B-4

2.风险管控

每类风险在管控过程中，针对风险的事前、事中和事后3种状态进行监控，做到事前预防，事中控制、事后审计追查。下面风险管控处理流程，尽量从事前、事中和事后3方面对风险管控进行描述

（1）风险点（1-3）：终端流量异常监控缺失风险

事前处置：对于类似风险，需要制定一系列的管理措施，如《网络安全管理制度》，其中需要针对现有终端按照不同的使用角色做出不同的带宽策略，包括内部高级管理员、关键岗位业务人员、外部厂家人员、临时人员4种角色策略。

事中处置：加载策略后，需要定期轮询终端网卡流量，发现是否存在终端流量异常。一旦发现异常，需要及时报警。可以通过技术手段解决，上报管理中心或由管理员根据当时影响业务的重要情况决定采用是否及时阻断占用带宽的终端，或在终端桌面上弹出警告提示信息等措施。

事后处置：一旦技术手段采取后无法取得效果，或人工发现技术手段已经失效，需要通过人工流程去加以干涉。安全主管根据实际情况启动应急流程，通过管理和人工的办法消弭风险。

控制流程见图B-6。

图 B-6

（2）风险点（4-5）：终端流量异常基线风险

事前处置：通过事先建立的网络流量监控机制，以不同的业务为中心，来了解内部各个终端的正常的业务流量，即建立符合业务特色的流量管理制度，制定不同角色不同业务终端的正常的带宽流量标准。通过这类流量基线，建立流量策略。

事中处置：通过网络流量监控机制，定期评估当前的带宽策略是否符合当前的业务情况、是否会影响业务的正常进行、是否符合不同的角色情况、是否符合不同的时间段正常业务的变化情况，根据这些要素，及时调整策略。

事后处置：对于该类风险，需要按照有关管理制度和流程，定期审计评估，找出造成兼容性的原因，尽量规避直至消除，把因策略的因素导致业务的影响降到可以接受的范围。

控制流程见图B-7。

图 B-7

（3）风险点（6-12）：终端流量异常控制风险

事前处置：收集终端流量信息，定义终端流量的正常边界和连接黑白名单。需要制定有关的应急响应预案，一旦出现策略不能及时更新而技术手段无法实现时需要启动。

事中处置：通过分析实时的通信日志，来确认策略是否已经得到更新；及时了解流量和连接数白名单策略已经得到更新，或者及时发现流量和连接数白名单策略停止和被删除，或者了解流量和连接数白名单策略与某些业务是否冲突；如果在规定的时间内得不到反馈信息，需要启动应急预案。

一旦出现策略与业务的兼容性问题，就需要有逃生机制，即通过人工卸载策略，确保业务的顺利进行。

事后处置：一旦前面的技术手段都失效，就需要在安全主管的认可下启动应急预案。首先在确保业务顺利进行的前提下，人工在本地更新或卸载策略。在此基础上再考虑其他问题，如策略不能更新的故障原因、涉及的部门和人员、造成问题的是平台本身的性能原因还是其他问题，这些问题是否在管理制度中做出了相关规定，是否需要完善或补充等。

控制流程见图B-8。

图 B-8

3.风险控制效果

对于此类风险涉及的终端流量异常风险，通过采取管理、规范、流程、技术不同的措施，分别从事前、事中、事后3个方面来加以控制，可以基本达到风险管控的目的。

通过事前对不同角色的用户，不同时间的业务所需要的带宽调查，逐步建立标准流量基线，事中根据这个基线进行监控和事后效果的分析和改善，实现了PDCA的最佳实践，为有效控制网络流量异常风险达到了效果。事后通过日志审计，可以查找风险源，追溯到终端责任人，可以给后续的考评管理提供依据。

由于控制平台本身的性能可能会造成风险事件在采集、汇集、分析、展示等不同阶段的遗漏和误判，可能给业务带来风险，需要根据可能出现的场景，如策略与业务冲突，定制的技术处理手段失灵等，制定应急预案并做定期演练，以确保业务的连续性和可靠性。

终端流量异常风险：12个风险点及解决方案

相关推荐