趋势中小企业防病毒方案

2013-3-24 17:47:34      点击:

防毒体系建设建议

网关防毒守住第一道防线

病毒大多数情况是从Internet传入公司内网,如网络入口不加以防范,则会出现如前文提及的风险,病毒会长驱直入。那么,又该如何选择网关防毒解决方案呢?目前市场上网关设备琳琅满目,该选择什么样的解决方案取决于网关处的风险何在,我们需要在网关处实现什么要的功能?同时遵循防毒体系建设目标和基本原则。

Web威胁防护

随着利用Web方式传播的恶意程序大量出现,内网各终端节点的防护压力越来越大,其中突出表现在以下方面:

下载文件造成病毒侵入----由于许多个人网站上的下载文件实际为伪装的木马程序,员工在访问时常常在不知不觉中将病毒下载并激活,造成终端节点频频病毒爆发。

网页内嵌恶意程序----当员工浏览内嵌有恶意程序的网站时,由于自身系统的安全漏洞,常常造成恶意程序自动执行,造成诸如强制修改IE设定、不断弹出窗口等后果,影响员工的正常工作;

恶意URL不能自动阻止----对于内嵌恶意程序的URL的访问,由于不能实施自动阻止策略,造成同一种恶意程序不断侵入企业网络;

间谍软件自动回拨----间谍软件进入内网发作后,会自动外联外部站点进行信息窃取,给企业信息资产造成巨大损失;

非工作相关站点的访问----员工在工作时间访问与业务无关的站点,如游戏、娱乐等网站,造成员工生产力下降。

基于xxxxWeb网关所面临的威胁分析,构建中的xxx Web网关防护系统要实现如下目标:

对基于Web应用的病毒传播进行网关层防护;

对基于Web应用的间谍软件进行网关层防护;

对基于Web应用的网络钓鱼行为进行阻断;

对基于Web应用的恶意URL地址进行阻挡;

对基于Web应用的非工作相关站点的访问进行控制。

考虑到Web扫描势必会对性能造成一定的影响,所以在选择Web网关设备时应充分考虑产品的性能,尤其是提升扫描效率的优化手段上。例如,趋势科技提供的网络信誉服务(Web Reputation Service)可以从源头处杜绝恶意站点对公司的影响,其基本原理如下图所示。传统的Web扫描技术需要等待用户去访问目的站点,并且下载了网页或文件,当这些网页和文件流经网关设备时,网关设备再对其进行扫描,这种扫描方式固然可以起到安全防护作用,但也会消耗大量的资源,且一定程度上影响到用户访问网页的速度。而基于网络信誉服务的过滤技术一旦发现用户访问的站点是恶意站点或者是由僵尸网络控制的站点,那么网关设备可以直接中断该连接,网页或文件也不会下载,这样就可以节约网络带宽以及网关设备宝贵的资源,从而获得很高的过滤效能。


在选择Web防毒网关时,在总体原则基础上还应该考虑到以下几个关键因素:

       第一,需要容易部署的设备,对现有的网络架构基本不产生影响;

       第二,不能造成单点故障,一旦网关设备不能正常提供Web防护时,网络不能中断;

 

邮件安全防护

邮件病毒过滤

 

自从1999年第一只通过邮件方式进行传播的Melissa病毒出现以来,越来越多的病毒作者采用了这种攻击方式,理由非常简单,因为电子邮件成为目前企业使用最多、最重要的信息交流工具,通过邮件为载体,恶意程序转播的速度就最快。

针对邮件病毒的产品很多,采用的方案分成两大类,一类是网关邮件解决方案,一类是内部邮件系统解决方案,两种方案互为补充为最佳选择。

就网关邮件防毒技术而言,最重要的莫过于“空中抓毒”技术,这项趋势科技首创且拥有专利的技术已经成为业界标准,包括趋势科技、赛门特克(Symantec)以及麦咖啡(McAfee)均在其网关解决方案中运用该技术,而目前这三家厂商占据了全球超过70%的网关防毒市场。

 

垃圾邮件过滤

 

关于SPAM的来历有很多不同的说法,其中最流行的莫过于是美国Hormel公司的一种肉质罐头:SPAM

如今的意思来源于一部讽刺剧。在这部戏中,有一场讲的是有对夫妻俩去餐馆就餐,妻子不想吃Spam,她坚持想点些别的,可是在餐馆里有一大群人,高声地唱着赞美"Spam"的歌,他们越唱越响,很快在这出戏里所能听到的唯一单词就是"Spam"了。从此人们将泛滥成灾、喧宾夺主、剥夺他人选择权利的行为称为Spam。随着国际互联网的普及,该单词又成了垃圾邮件的专用名词。

垃圾邮件逐年呈现上升趋势,已经成为企业最头痛的问题,垃圾邮件不但浪费公司资源,而且极易泄露公司机密信息。许多垃圾邮件内容过滤技术都会扫描电子邮件的内容,侦测其中是否有任何垃圾邮件特征。但垃圾邮件散发者也不断地改良其技术,避免被这些过滤器拦截。

       从垃圾邮件的监测技术而言大致分成三类:一是基于规则匹配,这些规则可以是用户自己定义的关键字也可以是防毒厂商预设的垃圾邮件关键字数据库,这种方式为用户自定义垃圾邮件提供了方便,但缺点在于这种监测技术是一种被动技术,无法监测到第一封垃圾邮件或者十分依赖安全厂商提供的数据库质量;二是启发式扫描技术,这类方法将综合评估邮件各项参数指标,然后智能的判断该邮件是垃圾邮件的可能性,根据用户定义的评判标准(阀值)最终断定是否为SPAM;另外一个最先进的垃圾邮件防护技术即为网络信誉服务-Network Reputation Services (NRS)NRS采用世界最庞大、最受信赖的数据库进行比对,可阻止垃圾邮件进入网关,并使用动态更新,在僵尸计算机与傀儡网络刚出现时便予以封锁,且可将垃圾邮件拦截在进入企业内部之前的交换阶段,也就是在进入网络之前,可先拦阻 80% 以上可能含有网络钓鱼的垃圾邮件。NRSWRS一样可以有效地帮助企业节省带宽和网关防护设备资源,更重要的是因为从源头处杜绝了垃圾邮件的扩散可以极大程度上降低公司存储方面的压力。

目前市场上仅少数几个产品具备这种从邮件源头阻挡垃圾邮件的高效率防护产品,大多数产品只是象征性的有部分功能与此相似,不过这项最新技术将是未来垃圾邮件防护产品最重要的一个发展方向。

网络信誉服务(Network Reputation Services, NRS)的前身便是在Internet最著名的RBL服务 -- MAPS(Mail Abuse Prevention System,  www.mail-abuse.org) MAPS即为垃圾邮件SPAM英文单词反过来写,从1995年便已创立,RBL整个技术概念便是由MAPS首先倡导,之后变为业界的标准MAPS母公司于20056月并入趋势科技。

从解决方案技术而言,所选设备应该同时具备这三类防护手段。

间谍软件防护

间谍软件的传播涉及Web威胁防护和邮件安全防护,因为间谍软件的危害性和防护的复杂性,有必要专门进行讨论。

间谍软件/灰色软件的入侵管道相当多样且泛滥,无论是电子邮件或实时通讯附文件、弹出式窗口、恶意或钓鱼网页,以及P2P下载的音乐、电影或非法软件之中,都可能潜藏间谍软件,一旦遭到入侵,最严重的结果,就是计算机内部的重要数据,甚至使用者在键盘上按下按键的动作或密码信息,都会在不知不觉当中外传出去;除此之外,间谍软件也会造成计算机系统效能下降。

关于间谍软件有效的防御措施是实施多层次的防护,从Web下载与访问、电子邮件过滤、垃圾邮件过滤、桌面防护等多方面入手才能有效地加以处理。

另外,因为间谍软件变种很多,防毒产品必须具备一定的智慧型扫描功能,能够在一定程度上应对病毒的变种问题。在桌面端防毒产品可以结合rootkit等深入检测技术,对于一些隐藏非常深的间谍软件加以检测。

为什么选择SCM

为了实现网关防毒功能,在技术方案上有众多的选择。

一是采用专门的Web防毒网关加邮件防毒网关,甚至垃圾邮件过滤网关相配合,完成上述防毒要求。这种技术方案的优点是每个设备都具备非常优越的性能和细致的管理功能,但是该种技术方案的成本很高,通常是大中型企业总部网络的选择。对本企业而言不符合经济实用和平衡性基本原则。

二是采用UTM(统一威胁管理设备,Utility Threat Management)设备,这类设备通常将防火墙、入侵监测、VPN、防病毒功能集中在一款设备上。因为存在以下几个缺陷,UTM肯定不是最好的选择:首先,UTM设备的性能表现不佳,在同时开启两项以上功能时性能下降迅速;其次,UTM在功能方面严重不足,每项功能都只是蜻蜓点水,不能满足公司的防毒需要;最后,公司已经有了防火墙,从保护投资角度出发UTM也不是好的选择。

最佳的解决方案就剩下内容安全管理(Security Content Management, SCM)设备了。 SCM设备集合了Web威胁防护、邮件安全防护、内容过滤、网页过滤、垃圾邮件过滤等功能于一体,可以有效应对病毒、间谍软件、钓鱼程序、垃圾邮件等威胁,充分起到网关防护作用,同时在性能和投入方面都非常适合本企业。

综合以上因素,SCM肯定是防毒体系中最恰当的选择和最重要的防护组件。