专家谈：当前网络风险分析与应对策略(3)

作者: 赵毅 出处:51CTO.com　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2007-04-19 20:15
关 键 词：风险分析  策略  徐学龙  趋势科技
阅读提示：2007年4月19日下午，由51CTO.COM网站主办的“51CTO技术沙龙—企业病毒管理讲座”在北京理工国际教育交流大厦召开。本次技术技术论坛吸引了近百名网络工程师、项目经理、网络管理员等技术人员的关注。 短短的3个多小时里，来自趋势科技三位专家从多方面对企业病毒管理和防范从进行了技术分析和实例讲解，并详细解答了与会技术人员提出的技术问题。

多层次Web威胁防护部署
安全子系统来讲包括网关、网络程序、终端多层次的防护，这样各个防护层面上都有网络信誉服务，和它进行挂接。我们把整个的信誉服务，包括Web信誉服务和邮件信誉服务嵌入到各个安全子系统里面去。以Web威胁为例，我不仅是要在网关上做一个防护，同时我在所有的节点上，包括我的网络版、单机版都做信誉的评估，来保证用户不管是在在线的状态还是宕机机器的状态都可以进行防护。
Web 信誉评估系统
在多层次的Web威胁我们来看一个案例，我们在这个部署里面，不管是在终端、服务器、网管上，它同时在启用信誉检查，然后与我们的Web信誉服务进行沟通，对整个节点的访问行为进行控制，及时阻断风险目的地，提高主动性和及时性。
Web信誉的优势，首先Web信誉服务是跟踪3亿多个全球域名的生命周期，从它的出现到结束，我们都会进行站点的记录。同时，对新的站点我们进行实时的更新和动态的评估。在邮件里面，比如我们前面讲到很多恶意程序是通过邮件链接进行潜入的，这个时候我们就可以在邮件网关上调用Web信誉服务，对邮件中的URL地址进行信誉评估。假如超过我们设定的级别，我们就把它阻止掉。
终端的防护部署
还有在终端上面，我们用自动的位置感应式的，不管你在什么样的位置，都能够及时的获得服务。同时，由于这种服务不是对信息进行扫描，而是在申请建立链接的时候，我进行评估。所以这种防护方式对资源的消耗非常小，用户的保护效果更快、更早。整个趋势方案是潜入到所有的产品中，来实现信誉跟内容的全面检查。
我们举个例子，在北京的一个能源行业的用户，它的背景是已经部署了终端和邮件的防护系统，它部署的安全子系统是另外一家厂商的产品。但是他感觉到网络病毒事件不断出现，不断有用户爆事件，而且去年有一次他们的总经理级别的人员对他们提出了很严厉的批评，因为病毒爆发会影响很多客户资源。还有他们感觉人员安全意识不够，所以希望从产品层面、服务层面提出解决方案，希望在这一块做提高。
我们简短介绍一下这个解决方案，实际我们用到了两个硬件产品，一个是NVW，一个是IWSA。NVW它是一个网关准入控制的产品，它部署在每个分公司的网关处，对每个节点进行监控和过滤。另外，IWSA对整个网关和Web访问监控。这是我们当时帮用户制定的一个方案。我们的这个产品部署之后，这是七天后的一个统计结果。我们从第一天来看，整个间谍软件、灰色软件、木马数值是比较高的，随着时间的推移，你看到第六天、第七天的时候，你会看到数值开始减少。中间有一天是因为有一个垃圾邮件没有防护住，用户点击网络钓鱼的一个链接，造成一个突发。但是后来在这个过程里面，慢慢的它会比原来的侵入次数少很多。假如我在没有部署之前，内部的机器不断去外面获得新的变种，它拦截之后慢慢的病毒减少。
我们看到通过挡掉的URL来看，这个量是非常大的。我们来看网站，就会看到这些站点不是一些正常的、善意的网站，一看这些站点就是非常具有攻击性和欺骗性的。我们看到挡掉的访问次数非常多，最多的是3658，都是下载REL文件。假如所有的这些东西都下来，光前面的4个就是1000多个病毒潜入到网络当中，这样造成的破坏力和你要去完全清除掉，所投入的人力几乎是非常巨大的。
还有，我们可以从日志报表看到，网络这些节点到底哪些是经常访问恶意站点，经常访问信誉等级不高的站点。这里面前5位的人就比别人多很多，代表这些人的安全意识很差，他的访问行为没有得到有效的控制，使得他们在恶意站点上访问的次数越来越多。所以这是一个具体的案例，这个案例我们可以看到，通过Web信誉服务可以有效的降低风险的侵入和引入内部用户访问安全意识不强引入的侵入。
所以我们总结一下，前面的同事讲到了整个来看安全怎么做，这会涉及到几个层面。假如我们把安全再往小来看，单就威胁和技术来看，目前的Web是主要防护的传播途径，是我们要重点提高的方面。第二点，Web的威胁防护，假如是依靠代码式的防护，这种防护常常是被动的。因为恶意程序存在的时间，可能仅仅是一个小时或者两个小时，最多也就是一两天的时间。这时候，对安全厂商来讲，假如还用代码的方式解决的话，就非常被动。第三点，代码级的服务再加上Web信誉服务，能够使得Web威胁防护起来更及时、更全面，使我们的防护能力进一步提高。所以我今天讲的内容，实际上是从技术角度来讲我们目前针对威胁、风险，我们要在哪一方面做进一步的提高。

 徐学龙简介

95—2001年任职北大方正公司，07年担任趋势科技安全顾问，曾组织参与中国财政部、科技部、水利部等中国工商银行等大型网络安全项目。

【相关文章】

• 专家谈:如何判断我的网络是否安全

共3页: 上一页 [1] [2] 3

【内容导航】

滚动新闻　术语词典　问题悬赏

我也说两句