网络防护篇 - 中小企业IT网

首页 >> >> 报纸文章

责任编辑：中小企业IT采购

网络防护篇

发表时间：2008-01-14 14:24:46.0 作者：ISMB

　主动式防御主导2008年安全大局

随着移动办公的普及，令越来越多的企业员工把计算机带回家中工作，或者在公共场所接入互联网，他们成为当前Web威胁首先侵入的目标。而企业员工对互联网依赖性的加剧，也使得公司网络比以往更加容易受到将员工做为跳板的恶意程序的攻击。恶意程序的主要入侵途径已经转变为HTTP方式，而且病毒产生速度快、变种多，令本来就脆弱的企业网络雪上加霜。更为严峻的是，传统的仅针对终端设备的防病毒解决方案并不能应对当前变化多端的Web威胁。

目前，全球因特网用户已达13.5亿，大部分用户也都会利用网络进行购物、银行转账支付和各种软件下载。而近年来互联网的环境发生了很大的变化，Web2.0成为互联网热门的概念，包括博客（BLOG）、播客、RSS、百科全书(Wiki)、P2P、即时信息（IM）等Web 2.0相关技术和应用的发展使得在线协作、共享更加方便，但在我们享受便捷的网络同时，网络环境也变得越来越危险。

其中，Web威胁正在极力表现它的“逐利性”，成为当前网络威胁最突出的代表。近年来类似Melissa、I love You等这些扩散全球性的“大”病毒屈指可数，取而代之的是无声无息的Web 威胁，它们共同的特性是窃取数据加以贩卖。在中国本土更发展出区域性的病毒，如“熊猫烧香”、“灰鸽子”、“ANI蠕虫”，据了解，遭植入“灰鸽子”病毒的计算机，可能高达2000万台。

传统防护措施难防Web威胁

由于新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点，员工对互联网的依赖性使得公司网络比以往更加容易受到攻击。正因为如此，普通的浏览网页都变成了一件带有极大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入网络，从而对公司数据资产、行业信誉和关键业务构成极大威胁。据统计，到2009年，企业由于定向攻击遭受的损失将至少5倍于其它事件造成的损失。而面对Web威胁，传统的安全防护手段已经不能满足保护网络的要求了。

据了解，目前40%的病毒会自我加密或采用特殊程序压缩；90%的病毒以HTTP为传播途径；60%的病毒以SMTP为传播途径；50%的病毒会利用开机自动执行或自动联上恶意网站下载病毒。这些数据表明，威胁正往定向、复合式攻击发展，其中一种攻击会包括多种威胁，比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客等，造成拒绝服务、服务劫持、信息泄露或篡改等危害。另外，复合攻击也加大了收集所有“样本”的难度，造成的损害也是多方面的，潜伏期难以预测，甚至可以远程可控地发作。

随着多形态攻击的数量越来越多，传统防护手段的安全效果也越来越差，总是处于预防威胁－检测威胁－处理威胁－策略执行的循环之中。面对来势汹汹的新型Web威胁，传统的防护模式已经过于陈旧。比如沿袭多年的反病毒主流技术依然是“特征码查杀”，其工作流程是“截获-处理-升级”。虽然这种技术已经非常成熟可靠，但是随着病毒爆发的生命周期越来越短，传统的安全系统防御模型--被动式响应更是滞后于病毒的传播。即使利用市场上现有最快速的反病毒系统和服务机制，企业仍然会时刻面临较大的风险和损失。因为服务方往往无法及早和完整地介入整个新病毒事件。面对目前通过Web传播的复合式攻击，无论是代码比对、行为分析、内容过滤，还是端口封闭、统计分析，都表现的无能为力。单一的安全产品在对付复合攻击时也明显的力不从心

主动式防御
粉碎Web威胁迫害

很多企业都在抱怨：“我们已经安装了桌面防毒软件产品，但为什么仍饱受恶意威胁的侵害呢？”。事实上，桌面防病毒软件对于目前依靠多种途径入侵的病毒来说已经远远不够，它们只能在病毒进入企业网络之后再采取查杀措施。在当前企业桌面终端安全系统部署率达不到100%的情况下，安全事件将此起彼伏。在此过程中，还将浪费企业大量的网络资源。而由于病毒具有不可预知性，当有病毒攻击时，企业需要有能够缩短病毒响应时间、快速自动升级等一系列的必要措施。

趋势科技资深安全顾问徐学龙指出，面对日益泛滥的Web威胁，即便是稀松平常的点按鼠标的过程，都有可能无意间敞开企业网络大门，使得恶意威胁得以趁机而入。研究发现，96%的病毒都是在“用户端”这道最后安全防线才被发现，也印证了企业在网关安全控管的不足及员工对网络安全认知的缺乏。所以把好网关这道闸门，是应对目前Web威胁最有效的方式。

面对新型Web威胁，应该实时不间断地监测防病毒环境，从历史趋势和当前情况两个方面同时审视病毒的威胁和活动情况，以及防护的级别和有效性。

面对复杂的Web威胁，企业需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。这给了主动防御施展的空间。针对全新的各类安全威胁和攻击，主动式服务防护体系也将最终帮助客户有效监管和达到三个根本性的健康指标要求：灾情频率、停机时间、影响范围都将大幅度缩减。

主动式动态安全平台也会伴随着企业需求的增多，逐渐体现出它的威力。通过主动式服务防护体系的构建，企业可以获得的长期效果和回报是：无论是安全风险、损失，还是成本投入，还是业务连续性，都进入可控的、平缓的范围。众多安全厂商，都把2008年称作了“主动防御”年。主动防御技术在经过了几年的完善和成熟之后，在2008年也将最终爆发出自己巨大的能量。■

传统安全产品遭淘汰出局
　　一家来自欧洲瑞士卢赛恩市的信息安全公司--瑞士信息技术安全集团（iT_SEC SWiSS AG）的下属成员之一的信科德公司（SECUDE）在去年宣布正式进入中国市场时，其全球首席执行官亨纳@克罗姆博士表示，他坚信，未来5年内，中国的信息安全市场必将将超过美国。

让他作出如此判断的理由是，他认为未来5年内，全球所有的公司都将采用开放式的互联网架构，“一个公司的研究基地可能在中国，财务部门在印度，而运营总部在英国，员工都在基于Web的开放式架构下工作、互相沟通，这种趋势全球企业都一样，这就对信息安全技术和理念提出了新的挑战。过去，封闭的网络就像城堡，人们只需要安装防火墙等设备，保护好城堡，就能保护好住在城堡中的国王，而未来，城堡将消失，如何保护国王，就必须采用贴身的身份管理以及密码技术。”

无独有偶，在去年2月举办的全球顶级信息安全大会RSA Conference上，包括微软董事长比尔@盖茨、赛门铁克CEO辛普森在内的全球IT巨头的掌门人也都表达了类似观点。这几大掌门人纷纷预言，未来的网络边界即将消除，基于身份管理的技术将成为未来的主流安全技术。既然网络边界都不存在了，传统的保护网络边界的老三样信息安全技术和产品--防火墙、反病毒以及IDS等，已经成为明日黄花，即将被淘汰出局。

但与此形成鲜明对应的是，包括防火墙在内的老三样信息安全产品正在国内逐步占领市场。是什么原因导致了这样的反差出现？

“国外之所以形成防火墙过时的观点，是因为他们已经过了防火墙的大批量的采购期，目前到了进一步加强数据安全、尤其是保证应用系统安全的阶段。”网御神州公司总经理任增强认为，这是由国际上应用系统的成熟而决定的。在这方面，中国比国外晚了2～3年的时间。

另一位国内信息安全领域的专家也表示，信息化发展不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡信息安全风险和建设成本，合理配置信息安全资源，确保重点。
网络安全的解决是一个综合性问题，涉及到诸多因素，包括技术、产品和管理等。随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。

主动防御全面防护

据专家预测中小企业信息化应用已经成为带动中国IT整体市场快速增长的核心动力，未来3年将缔造高达5000亿元的市场。

迅速快捷的电子商务是一把双刃剑，它在带动中小企业增加经济效益的同时也带来了代价高昂的安全问题。每年，我国中小企业因安全问题而遭受的经济损失难以估量。对于中小企业而言，构建一个安全、可靠和实时可用的网络是关系到企业能否健康发展的关键因素之一。而对于资金、人才等各方面都显得势单力薄的中小企业而言，如何利用有限的资源，实现全面、主动的安全防护就显得十分重要。

中小企业信息安全
现状及需求

近年发生的种种信息安全问题表明，威胁中小企业信息安全的因素正变得越来越复杂。中国2007上半年度电脑病毒疫情和互联网安全报告显示：除了病毒和蠕虫之外，现代中小企业需要面对的安全威胁还包括：间谍软件、木马、拒绝服务攻击、端口扫描攻击、数据窃取和篡改、电子邮件威胁和网页仿冒以及来自内部的威胁等等。

面对复杂的安全威胁和个性的应用需求，传统的防病毒技术，已经远远不能保障中小企业运营环境的安全。国内中小企业往往由于成本和专业技术人员的限制，在安全防护策略选用、安全设备易用性、可用性及扩展性上明显迥异于传统的大型企业。因此，选择性价比高、针对性强、简单易用的主动而全面的防护信息安全解决方案对于中小企业来说显得尤为重要。

技术创新：
主动防御全力应对未知威胁

相对传统防病毒技术，主动防御技术是指对未知病毒的防范，在获得病毒样本之前阻止病毒的入侵行为。即通过病毒的行为特征来判别其是否为病毒并进行处理。

中小企业愿意采用多元化的一体防护措施，这就需要安全服务的提供商在每一独立部分的技术都相当过硬。

瑞星的安全专家认为：2008年中小企业防毒市场的技术看点主要有两点，一是主动防御，二是全面防御。这就要求中小企业在选择防范病毒在内的安全解决方案时，需要重点考察两点：一是方案是否具有对网络接入终端的检查、隔离、修复、管理和监控能力，能否保障有效管理网络安全，只有实现上述功能才能使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，最终得以构建一个全方位的安全网络；第二方案是否能有效防范除了病毒以之外的其他威胁，如间谍软件、木马程序、Web威胁等等，这些威胁正在继网络病毒、垃圾邮件之后成为威胁中小企业网络安全的重要破坏因素。

提速与安全是两个硬指标

　　嘉实基金是国内最早成立的10家基金管理公司之一，自1999年成立以来，凭借前瞻性的投资眼光和科学理性的投资运作，跻身于国内最优秀的基金管理公司行列。嘉实基金是目前国内最大的合资基金公司、首批全国社保基金管理人、首批企业年金投资管理人、首批获得基金公司开展境外证券投资管理业务资格。嘉实基金是中国基金业第一个管理资产规模超过千亿的基金公司。截至2007年10月31日资产净值规模超过2000亿元。

随着近一段时间国内基金业的持续升温，以及自身业务的快速成长，嘉实基金认为原有的网络基础设备有可能成为公司进一步发展的瓶颈，同时日益加大的网络流量和安全问题也将对日常办公业务造成很大影响。鉴于对网络基础设备在稳定性、处理能力和安全等方面的新需求，结合未来网络应用发展的趋势，嘉实基金决定以提升网络效率和安全管理为主要目标，建造业内领先的数据中心，其制定了5至10年的网络建设规划，并找到了思科公司共同设计网络建设解决方案。此次解决方案的目的在于采用先进的思科网路设备系统重新搭建一个包括基金业务、日常办公、数据分析等方面的全功能平台。

嘉实基金的一体化分层网络平台，其新网络的核心层采用思科公司的两台万兆交换机Catalyst 6509。每台核心交换机分别通过双链路连接数据中心的每个功能区。同时，针对基金管理公司需要高度网络安全以保障投资者利益的特点，思科公司通过部署高性能ASA系列防火墙，按照网络功能划分区域以严格控制访问，并且具备全网范围的主动安全防范能力。

“如果网络设备无法应对迅速膨胀的网络流量和安全遗患，就会严重影响基金行业的发展和投资者的财产交易安全。”嘉实基金信息技术部总监李松林表示，“随着业务的不断增多，基于网络层面的应用也呈现出了爆炸式的增长，因此提高网络性能以及加强网络安全性，已经成为我们目前最为关注的方面。”

“此次嘉实的新数据中心建设，主要是为了建立一套稳定、可靠、高速和安全的网络系统，保证我们的高效办公和安全的基金网上交易。在全新的网络基础设施搭建成功后，我们将把现有系统调整为嘉实基金网络架构中的灾难备份部分。这样一来，既保证了未来1至2年金地数据中心在行业内的绝对领先性，又提升了嘉实基金日常业务的容灾容错能力，从而为进一步提升嘉实基金未来的行业竞争力做足IT资源方面的准备。”李松林表示。

新年度应对安全威胁并不轻松

信息安全技术是服务于信息系统的技术，看清信息技术的发展，才能找到信息安全技术与产品的未来。目前信息技术向着多样化、网络化、移动和小型化的方向发展，并逐步深入到从政府办公到家庭生活的各个方面。

过去的一年间，包括电子商务、搜索引擎、视频网站、社交网络在内的互联网产业获得了飞速发展的同时，也将安全问题摆到了更多人面前。越来越多的黑客们凭借网页挂马、ARP欺骗、0Day漏洞、U盘病毒、Rootkit钩子等等技术手段谋取利益。

透过各家安全厂商近期发布的互联网安全报告可以看到，变化多端、针对性强的木马程序成为了安全威胁的主流，而其他蠕虫、漏洞病毒也几乎都是为木马来服务的，其目的就是通过自身传播能力、攻击能力，以自身为载体将木马安装到用户系统中。

去年上半年，仅金山毒霸就截获新增病毒样本十多万种，这还不包括那些小范围传播的木马、病毒，或者病毒作者为特定目标制作的定向感染病毒。安全厂商每天发现和未发现的病毒数量已经数以千计，病毒数量的激增导致传统病毒特征库越来越大，而杀毒引擎要在庞大的病毒库中准确的发现并查杀病毒，必然会消耗大量的系统资源。

随着软件漏洞的频频出现，尤其是0day漏洞的广为传播，再加上用户安全意识匮乏，常常出现反病毒软件查不到、杀不掉的病毒，用户怨声载道。为了查杀一个病毒，必需“耐心”等待反病毒厂商将相应病毒特征码加入病毒库中，升级了又发现无法彻底清除。

　　显然传统杀毒引擎的低效率和高能耗已经跟不上安全发展的步伐，于是在下半年推出的几款杀毒软件新品中，主动防御的功能成为最大亮点。这种技术比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。
但主动防御也并不见得就能一劳永逸。经过几个月的使用，很多杀毒软件用户都在反映一个问题：主动防御太过敏感，稍有动静就要用户判断是否把联网的程序、进程列入黑名单。可是起码有99%的杀毒软件用户是对电脑一知半解的初级用户，对网络的认识更只是停留于上网聊天、看新闻、玩游戏的阶段，要我们拥有孙悟空的火眼金睛显然是强人所难。但如果不加辨别把所有可疑程序、进程统统杀掉，大概也会让电脑里的大多数程序陷入瘫痪。

请您留言

热点新闻 | 头条回顾 | 热门案例 | 热门方案