一、 目前影响最广泛的网络安全形势分析
“病毒”始终是最主要的安全威胁
据IDC调查分析报告,病毒、蠕虫、木马、间谍软件、垃圾邮件等威胁已成为计算机用户面临的最大威胁。其中,“病毒”危害的影响始终排在首位,这与广大计算机用户最关心的安全问题相一致。
 |
我们对计算机病毒如此重视,但防治效果却始终不尽人意。因此,如何才能够更加有效地防御病毒、解决这一最主要的安全问题,成为用户与业界既熟悉、又具有挑战性的课题。
电子邮件和互联网是“病毒”传播的绝对主要途径
病毒传播途径主要有:电子邮件、Internet互联网访问、网络共享、漏洞攻击、MSN/QQ等IM软件和P2P软件、U盘等移动介质,等等。那么,“病毒”如此肆无忌惮地泛滥,是不是说明我们在某些环节上的防御措施还不够?
据ICSA的病毒流行性调查结果表明,电子邮件和Internet互联网已成为病毒传播的绝对主要途径。
| |
“蠕虫”传播快、影响广,传统的防病毒技术难以根治
蠕虫(worm)与病毒(virus)不同,它是一个独立的破坏程序,通过网络或电子邮件自我复制,常常执行恶意代码,侵占网络资源、导致系统宕机等。典型的蠕虫有:尼姆达(Nimda)、蠕虫王(SQLSlammer)、冲击波(Blaster)、震荡波(Sasser)等。
“蠕虫攻击”防范难度很大,除了具有病毒的传播特性外,还具备“利用系统漏洞,.通过网络传播”的特征,往往造成全球范围的破坏影响。例如,仅冲击波(Blaster)蠕虫,在短短几小时内就通过互联网传遍全球,感染50万台电脑,造成近20亿美元的经济损失。
只要系统漏洞存在,蠕虫即便被防病毒软件“查杀”,它仍然会通过网络继续感染。因此,“防蠕虫”只有超越传统的“防病毒”技术,才能有效抑制蠕虫泛滥。
垃圾邮件继续泛滥,公众对其危害认识不足
垃圾邮件的泛滥程度人所共知,人们普遍认知的危害是“干扰”、“可疑”等等。实际上,对于企业级用户,垃圾邮件的危害远不止这些,具体表现为:(1)单位员工为处理大量烦人而无用的广告信息浪费时间,导致工作效率下降;(2)通过垃圾邮件传播的政治敏感信息、色情信息腐蚀人们的心理健康;(3)垃圾邮件经常携带病毒,导致病毒传播或自动发送垃圾邮件;(4)垃圾邮件是网络钓鱼(Phishing)的主要手段,不小心点击某个网络链接地址,就有可能“中招”;(5)个人邮箱空间被垃圾邮件塞满时,影响邮件正常接收,耽误的重要邮件很可能造成很大损失;(6)电脑系统和网络资源被大量占用,导致资源浪费和处理能力下降,对于邮件服务商,直接影响到收益;(7)企业邮件系统被利用滥发垃圾邮件,很可能被反垃圾邮件组织列入黑名单,影响正常通信;(8)管理员为减轻垃圾邮件对服务器的压力,不得不每天花费大量精力去处理……。
2004年初,国家四部委(公安部、教育部、信息产业部、国务院新闻办)曾联合发出了《关于开展垃圾电子邮件专项治理工作的通知》,经过运营商、邮件服务商、部分企业级用户数年的努力,取得了很大成效。但是,随着广告宣传、信息欺诈、信息窃取等利益驱使,垃圾邮件仍然在不断泛滥。因此,只有公众(特别是企业级用户)充分认识到垃圾邮件危害,积极应用反垃圾邮件技术,才能大幅降低垃圾邮件带来的危害。
“病毒”向混合型威胁方向发展
随着计算机网络的广泛应用,我们面临着越来越多的安全威胁 – 病毒破坏、木马植入、黑客入侵、信息监听、垃圾邮件、网络钓鱼、僵尸网络、非授权访问、违规操作、以至内部犯罪等等,层出不穷。这些威胁花样繁多、互相交叉,形成“混合型威胁”。例如:某些病毒可能造成滥发垃圾邮件,垃圾邮件可能携带病毒,蠕虫攻击可能植入木马,黑客入侵可能植入Botnet成为僵尸网络的一员,等等。
由于网络传播的快速性、威胁的多样性,使得混合型威胁更加难以防范,影响的范围也更大。因此,在技术上,综合防御成为一种趋势。
二、 内容安全网关的积极应对策略
防病毒策略:从“被动”走向“主动”
目前,最流行的防病毒措施是采用基于桌面的防病毒软件,可以部署于Windows系统、Linux/Unix系统、MS Exchange/Lotus Notes群件系统。对于企业级网络用户,还可以部署专业的网络防病毒系统,实现网络化病毒监控的管理。
由于当前能够成熟应用的主流防病毒技术是采用特征码识别技术,因而导致了出现“病毒”在前,识别“病毒”在后的局面,防病毒软件只能通将快速收的病毒特征码并纳入到特征库的方式来实现病毒查杀,始终无法摆脱“被动”查杀病毒的局面。另一方面,对于大量的桌面计算机,需要时刻准备应对可能来自各种途径的病毒(例如,电子邮件、网络文件等),也同样需要“被动”响应。
我们已经知道,电子邮件和互联网已经成为病毒传播的绝对主要途径。那么,对于企业级用户,一个最为有效的策略是:“切断传播途径,御敌于国门之外”;而实现这一策略所采用的最为直接的技术就是“防病毒网关”。
“防病毒网关”部署于网络流量必经的网关位置,可以对网络数据进行分析、识别和过滤处理,在危害数据进入网络前将其过滤,从而有效保障内部网络不受外部网络(通常为互联网)的侵害,使“病毒”不能抵达桌面计算机,创造一个“干净”的内部网络工作环境。此外,防病毒网关除了采用防病毒引擎和病毒库识别已知病毒外,还可依据网络数据内容、数据来源、协议特征等方式识别可疑病毒,实现对病毒的积极防御。
防蠕虫策略: 超越防病毒技术
实践表明,常规的防病毒技术只能查杀“蠕虫体”,并不能有效防范蠕虫通过网络攻击。蠕虫具有区别于一般病毒的特点,应该有针对性地开发新的技术来控制蠕虫攻击。因此,防病毒技术需要超越。
一方面,对于桌面计算机,尽可能提前掌握和修复系统漏洞,使蠕虫无可乘之机;另一方面,在网关位置,可采用专门的“抗蠕虫攻击”技术,深入分析数据包的蠕虫攻击特征、蠕虫行为特征、蠕虫爆发特征等,进行主动拦截,使蠕虫数据包不能到达内部网络。
反垃圾邮件策略:精确识别、高效过滤
近年来,垃圾邮件的散发方式不断翻新,伴随而来的有群发广告邮件、假冒邮件(Spoofing)、网络钓鱼(Phishing)、隐藏发件人邮件、OpenRelay转发邮件、DHA(邮件名单探测)邮件攻击、DoS(拒绝服务)邮件攻击、口令探测邮件、、空邮件攻击、大邮件攻击、字典攻击、多线程攻击等各种恶意攻击行为等。
为有效过滤垃圾邮件以及与此相关的邮件攻击、邮件欺诈,就必须深入发掘邮件安全技术,做到对垃圾邮件高效率、高准确率的识别拦截率和低误报率,缺一不可。
违规P2P限制策略: 保障网络带宽资源
随着MSN、QQ等IM聊天软件的普及和BT、电驴等P2P下载软件的广泛使用,企业员工因花费大量时间网上聊天而降低了工作效率,为业务服务的有限网络资源因大量的文件下载而导致通讯效率严重下降。企业虽然可能在制度上限制员工对P2P软件的滥用,但收效甚微。
为改善这一现状,我们可以逐步尝试一些网络限制技术,从网关位置检查P2P流量,对违反规定的P2P数据进行限制,灵活决定禁止还是允许,从而保障网络带宽资源,并且使制度落实到实处。
统一威胁管理策略:一夫当关,万夫莫开
面对当前危害最大、影响最为广泛的病毒、蠕虫、木马、垃圾邮件、黑客入侵等威胁,可以在网络数据必经之处部署“统一威胁管理网关”(UTM),对内、外网络之间的访问和数据传递进行分析处理,拦截和过滤危害数据,保障内部网络和系统安全。
“统一威胁管理网关”(UTM)是近年来兴起的一种网关组合技术,一般的做法是将防病毒、防火墙、防垃圾邮件等功能组合在一起,实现“all-in-ome”(多合一)的数据过滤。目前主流的UTM大体上可以分为:基于防火墙技术的UTM和基于内容过滤的UTM。前一类一般是防火墙厂商出身,突出防火墙、VPN、IDS功能,兼顾内容过滤;后一类一般是内容过滤网关出身,突出防病毒、防垃圾邮件功能,兼顾防火墙防御。
对于用户来讲,采用具有哪些功能的UTM,还需要根据自身实际情况进行选择。只有适合的才是最好的。
三、 KSG系列网关 – 网络内容安全的首选方案
在下面的篇幅里,我们将着重介绍国内极具影响力的内容过滤网关 – KSG系列网关。据CCID(赛迪顾问)研究报告,KSG系列网关在最近的三年里连续获得国内同类产品市场占有率第一的排名。主要特点主要有:
>> 冠群金辰是专业的防病毒厂商,其KSG系列网关所采用的杀毒引擎同时获得了病毒公告牌、西海岸实验室、ICSA实验室认证。防御病毒和服务能力值得信赖。
>> 冠群金辰独创的抗蠕虫攻击技术(anti-worm)功能强大,填补了国内空白。经过多年实践检验,始终在同类产品中占据技术领先地位。
>> KSG系列网关全面深入的邮件安全技术,不仅防御垃圾邮件、邮件病毒,还能够有效拦截欺诈邮件和邮件攻击,其过滤垃圾邮件的效果极佳。
>> KSG系列网关支持透明连接和路由连接方式,可以接入到各种复杂的网络环境中。用户不需修改原有网络结构和配置,接入后可以快速投入使用。
>> KSG系列网关具有断电保护和系统宕机容错能力。如果发生掉电,立即由Bypass卡旁路继续通讯,避免了单点故障。Watchdog模块监控系统状态,一旦发生意外宕机,同时系统在60秒内自动重启,快速恢复工作状态。
KSG系列网关包括:KILL过滤网关(KSG)、KILL统一威胁管理网关(KSG-U)、KILL过滤网关-防毒墙(KSG-V)、KILL邮件安全网关(KSG-M)。主要功能有:
病毒过滤
KSG系列网关通过在网关位置对网络数据的分析处理,全面过滤电子邮件、文件下载、网页访问等形式传播的病毒,确保网络数据安全传输,净化网络环境。KSG系列网关具有卓越的病毒查杀能力,能够对多种应用协议(SMTP、HTTP、POP3、FTP等)所传递的数据进行病毒过滤,其反病毒引擎同时获得了病毒公告牌(Virus Bulletin)、西海岸实验室(West coast Labs)、国际计算机安全协会(ICSA)等国际最权威的病毒检测认证,能够100%地检测出目前“in-the-wild”上的病毒。
蠕虫过滤
根据蠕虫的特点,KSG系列网关从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP等)传输的静态蠕虫代码。KSG系列网关所独有的抗蠕虫攻击技术(Anti-Worm)处于国际领先地位,能够全方位抵御所有已知蠕虫病毒的攻击,弥补了国内同类产品空白。
垃圾邮件过滤
KSG系列网关采用内置反垃圾邮件引擎,通过全面的反垃圾邮件技术,综合防范垃圾邮件扩散。KSG使用垃圾邮件特征分析、规则过滤、智能分析、黑名单控制、连接限制、关键字过滤、贝叶斯智能分析技术,对垃圾邮件进行全面高效过滤。此外,KSG不仅仅过滤邮件病毒和垃圾邮件,而且从行为、特征和内容等方面全面分析邮件传递可能引发的安全威胁因素,实现对邮件威胁的综合过滤。
防火墙控制
KSG系列网关基于防火墙技术实现网络连接合法性控制,可基于源/目的IP地址、源/目的端口、协议对网络数据包进行过滤控制,防止非法的网络访问活动。用户还可配置定义并发数以及占用带宽的限制,以此调整和优化网络性能。限制方式有:并发限制、连率限制、频率限制、IP/端口限制等。KSG-U还可实现NAT双向地址转换,并支持端口映射,通过支持NAT地址转换,用户网络可以无障碍地正常访问外部网络和传输网络业务数据。
P2P流量及违规内容过滤
随着P2P软件的广泛应用,企业网络带宽被大量占用,正常业务通讯效率受到严重影响。KSG系列网关提供了P2P通讯过滤功能,可对BT、电驴、Applejuice、DirectConnect、FastTrack、SKYPE、MSN、QQ、迅雷、KuGoo酷狗、Poco泡泡、点点通、100Bao百宝等进行过滤,有效保障网络带宽资源。对于要求过滤政治敏感信息、不良信息、机密信息的用户,KSG系列网关支持对邮件关键字、附件类型过滤,可定义信任/禁止的网址(URL)并进行过滤,可选择对网页脚本进行过滤,防止网络信息滥用。
流量整形与DDoS防御
当发生邮件风暴时,KSG系列网关根据垃圾邮件发送频率确定其信誉度,自动减缓其发信速度,实现自动流量整形。当发生大量的网络并发链接或DDoS攻击时(例如SYN Flooding),KSG系列网关会检测系统资源的消耗情况,在达到系统设置的阀值后,KSG系列网关将拒绝再接收,从而避免出现资源使用极限而造成网络中断。
容错保护
KSG系列网关提供多种容错保护,包括:硬件容错保护、软件容错保护。硬件容错保护通过Bypass卡实现。如果KSG系列网关设备出现意外宕机,网络通讯不会中断,Bypass卡接管网络通讯,确保用户网络业务连续运行。软件容错通过Watchdog模块监视系统状态,一旦发现系统工作揖常,系统可以在60秒内自动重启,快速恢复过滤处理的工作状态。
日志与报表
KSG系列网关完整的记录日志信息,提供丰富的过滤数据统计报告,对安全事件和违规行为进行报警,及时通知管理员进行处理。管理员通过统计分析报告,可及时发现安全风险,并依此不断改进网络和系统部署状况。
安全管理
对KSG系列网关的管理支持https加密通讯的Web管理方式,界面直观、操作简便、抑郁理解。此外还支持console方式的本地管理,以及ssh加密方式的远程维护管理。
为避免对KSG系列网关设备的管理权限滥用,增加安全性,可设定允许访问KSG系列网关设备的IP地址范围。管理员根据权限进行划分,管理用户按性质可划分为:系统维护员(超级用户)、配置管理员、策略审计员、日志审计员等。
在线更新
KSG系列网关通过互联网实现特征库和系统模块的在线升级,用户也可人工下载特征库后进行本地升级。KSG系列网关通过不断更新特征码保障识别最新威胁,包括蠕虫特征码、病毒特征码和垃圾邮件库。
KSG系列网关产品对照表
 |
四、 典型应用场景
应用场景:防御外部网络病毒入侵,保护内部网
 |
实现方式:将“KILL过滤网关-防毒墙(KSG-V)”部署于企业网络入口,所有经过的网络病毒(http、ftp、smtp、pop3等)、蠕虫攻击都将被有效过滤,从而保障内部网络不受外来侵害。
应用场景:隔离内部网络,保障业务安全
 |
实现方式:将“KILL过滤网关-防毒墙(KSG-V)”部署于办公网与业务网之间,对网络之间的通讯数据进行完全过滤,一旦发现病毒和蠕虫,立即进行拦截处理,从而最大限度地保障网络单元安全。
应用场景:预防垃圾邮件,保护邮件安全
 |
实现方式:将“KILL邮件安全网关(KSG-M)”以并联或串联的方式部署于邮件服务器相关位置(图示为并联方式),通过设置邮件服务优先级的方式,由“KILL邮件安全网关”截获所有的邮件并进行过滤处理 – 发现病毒时立即清除,发现垃圾邮件时根据事先设定的策略丢弃或隔离,发现邮件攻击时进行拦截,最后将安全的邮件转发到正常的邮件服务器。通过“KILL邮件安全网关”的保护,不仅保护了邮件的安全传递,同时还保护了网络带宽资源,大大减轻了邮件服务器的工作负荷。
应用场景:网络内容安全综合过滤(大中型企业)
 |
实现方式:将“KILL过滤网关(KSG)” 部署于大中型企业网络的入口,所有经过的网络病毒(http、ftp、smtp、pop3等)、蠕虫攻击、垃圾邮件、违规的P2P流量都将被有效过滤,从而保障内部网络不受外来侵害,实现对网络数据内容综合过滤。
应用场景:内部网络统一防御(中小型企业)
 |
实现方式:将“KILL统一威胁管理网关(KSG-U)”部署于中小型企业网络的入口,所有经过的网络病毒(http、ftp、smtp、pop3等)、蠕虫攻击、垃圾邮件、非法网络连接和访问、违规的P2P流量都将被有效过滤,从而保障内部网络不受外来侵害,实现对网络数据内容多合一(all-in-one)方式的统一威胁防御。
KILL统一威胁管理网关(KSG-U)集成了防病毒、防蠕虫、防垃圾邮件、防火墙、内容过滤的功能,是中小型企业的上佳选择。
五、 后记
病毒、蠕虫、垃圾邮件等网络内容安全已经成为企业级用户最关心、影响最广泛、也最不容易治理的安全问题。冠群金辰公司针对80%的安全问题提供了众多有效的安全解决方案,其中,KSG系列安全网关是国内同类产品的佼佼者。作为企业的IT管理者,您可以从KSG系列网关中考虑选择一款适合自己的产品,尽快提升企业自身网络的安全状况。
|
《变形金刚2》送票! 张元首透露戒毒生活 王岳伦爆李湘胎教 令人惊叹太空步下楼方式
