病毒自身的破壞性固然可怕,但最讓人們"談毒色變"的恐懼感還在于病毒的自我繁衍能力和傳播能力。如果將計(jì)算機(jī)病毒的傳播與人類的疾病傳染相比,那么病毒的自我繁衍和傳播能力就類似于人類疾病的擴(kuò)散和傳染。
擴(kuò)散是指在一個(gè)系統(tǒng)內(nèi)的發(fā)散,例如癌癥,它之所以讓人們望而生畏就是因?yàn)樗鼜?qiáng)大的自我繁衍和擴(kuò)散能力。病毒就如癌細(xì)胞的擴(kuò)散一樣,迅速地發(fā)散到整個(gè)業(yè)務(wù)系統(tǒng),從而導(dǎo)致業(yè)務(wù)系統(tǒng)崩潰的嚴(yán)重后果。
傳染是指在不同系統(tǒng)間的傳播,例如傳染病SARS,不但可以借助直接接觸進(jìn)行傳播,而且可以借助于水、空氣等轉(zhuǎn)播,SARS給人們帶來(lái)的恐懼不僅來(lái)源于病毒體本身,而且還來(lái)源于廣泛的傳播,只有有效地控制傳播途徑才是安全之本。
防病毒與安全網(wǎng)關(guān)結(jié)合的重要性
通過(guò)將計(jì)算機(jī)病毒的傳播與人類疾病的傳染相對(duì)比,可以更直觀地了解計(jì)算機(jī)病毒對(duì)信息系統(tǒng)甚至整個(gè)互聯(lián)網(wǎng)危害的嚴(yán)重性。然而不幸的是,計(jì)算機(jī)病毒 就是一種擴(kuò)散性與傳染性相結(jié)合的"信息化"疾病,要使病毒對(duì)信息系統(tǒng)的危害最小化,就必須既要做到對(duì)病毒查殺又要做到對(duì)病毒的隔離,這就自然而然地需要在 業(yè)務(wù)系統(tǒng)的關(guān)鍵位置設(shè)置病毒查殺與控制的"關(guān)卡",即防病毒網(wǎng)關(guān)。
防病毒網(wǎng)關(guān)充當(dāng)著"一夫當(dāng)關(guān),萬(wàn)夫莫開(kāi)"的角色,通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行病毒掃描,可以有效地阻止病毒借助網(wǎng)絡(luò)流量在網(wǎng)絡(luò)中的擴(kuò)散。一方面,通過(guò) 將防病毒網(wǎng)關(guān)部署于企業(yè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口處,在病毒到達(dá)企業(yè)網(wǎng)之前就將其扼殺掉,可以有效地提高整個(gè)網(wǎng)絡(luò)主機(jī)的病毒免疫力,還可以避免網(wǎng)絡(luò)內(nèi)部的主機(jī)成為 網(wǎng)絡(luò)病毒的跳板,把病毒傳播到網(wǎng)絡(luò)外部的主機(jī);另一方面,還可將防病毒網(wǎng)關(guān)部署在企業(yè)內(nèi)部的各個(gè)關(guān)鍵業(yè)務(wù)區(qū)域的邊界,避免病毒在內(nèi)網(wǎng)中的擴(kuò)散,保護(hù)關(guān)鍵系 統(tǒng)資源,將病毒危害降低到最小。
隨著安全威脅的不斷細(xì)化,安全網(wǎng)關(guān)的種類不斷增加,包括防火墻、防垃圾郵件網(wǎng)關(guān)、防DDoS網(wǎng)關(guān)、VPN網(wǎng)關(guān),UTM(統(tǒng)一威脅管理)等,那么究竟防病毒與哪種網(wǎng)關(guān)結(jié)合才能發(fā)揮防病毒的最大優(yōu)勢(shì)呢?
防病毒與UTM結(jié)合才能使優(yōu)勢(shì)最大化
防病毒引擎與不同的單一網(wǎng)關(guān)產(chǎn)品結(jié)合均可以滿足一個(gè)層面的網(wǎng)關(guān)防病毒需求,如與防垃圾郵件網(wǎng)關(guān)結(jié)合可以實(shí)現(xiàn)郵件防病毒功能;與防火墻結(jié)合可以實(shí) 現(xiàn)HTTP網(wǎng)頁(yè)瀏覽的病毒過(guò)濾。那么,有沒(méi)有一種方法可以讓防病毒引擎與網(wǎng)關(guān)產(chǎn)品的結(jié)合能夠滿足多個(gè)層面的網(wǎng)關(guān)防病毒需求,可更好地防范來(lái)自于互聯(lián)網(wǎng)瀏 覽、文件共享、電子郵件等各種途徑的病毒、蠕蟲(chóng)、木馬及混合攻擊的危害呢?
UTM是集多項(xiàng)安全功能于一體的統(tǒng)一威脅管理設(shè)備,防病毒引擎只有與UTM的結(jié)合才能使網(wǎng)關(guān)防病毒的優(yōu)勢(shì)最大化,才能最大地發(fā)揮網(wǎng)關(guān)防病毒的功效。下面將從幾個(gè)方面來(lái)詳細(xì)分析防病毒引擎與UTM設(shè)備結(jié)合的優(yōu)勢(shì)。
從病毒傳播的途徑看
病毒與防病毒的博弈從病毒產(chǎn)生的那一刻起就從未停止過(guò),并且愈演愈烈,病毒技術(shù)發(fā)展呈現(xiàn)技術(shù)深入化和制作簡(jiǎn)單化的特點(diǎn),即病毒的技術(shù)越來(lái)越深 入,危害越來(lái)越大,但是病毒的制作卻越來(lái)越工具化,借助于編譯好的病毒生成工具,任何人都有可能生產(chǎn)并傳播病毒。對(duì)病毒而言,其賴以生存的基礎(chǔ)是"傳播" 性,"傳播"已成為病毒發(fā)展的新的核心技術(shù),因此對(duì)病毒的防范,首先要從其傳播途徑來(lái)考慮。
病毒的傳播除了基本的HTTP網(wǎng)頁(yè)瀏覽,還可通過(guò)電子郵件系統(tǒng)、即時(shí)通信軟件(IM)、局域網(wǎng)共享、應(yīng)用系統(tǒng)漏洞或移動(dòng)介質(zhì)(U盤)等多種方式 進(jìn)行傳播,甚至可以通過(guò)VPN隧道將病毒傳播到企業(yè)內(nèi)網(wǎng)的核心服務(wù)器上。可以說(shuō),什么樣的網(wǎng)絡(luò)應(yīng)用,就會(huì)有什么樣的病毒傳播途徑,因此防病毒技術(shù)與網(wǎng)關(guān)的 結(jié)合必須滿足對(duì)多種途徑病毒傳播的控制,而UTM具備防火墻功能,VPN功能、郵件過(guò)濾功能,IM/P2P控制功能等多項(xiàng)功能,因此防病毒與UTM的結(jié)合 才能最完善地控制病毒傳播的途徑。
從病毒技術(shù)的發(fā)展看
病毒作為危害系統(tǒng)安全的"黑勢(shì)力",它在自身不斷發(fā)展壯大的同時(shí)也在積極尋求與其他"黑勢(shì)力"的融合形成"黑勢(shì)力聯(lián)盟",目的就在于加深威脅的 破壞性。目前,病毒技術(shù)與黑客攻擊技術(shù)的融合是病毒發(fā)展的技術(shù)趨勢(shì),因而需要一種防病毒技術(shù)與入侵防御技術(shù)相結(jié)合的網(wǎng)關(guān)產(chǎn)品來(lái)遏制這種趨勢(shì)。而入侵防御功 能(IPS)本身就是UTM的一個(gè)基本模塊,因此,防病毒與UTM的結(jié)合才最符合網(wǎng)關(guān)病毒防御技術(shù)的方向。
從病毒分析的有效性看
安全建設(shè)是一個(gè)"發(fā)現(xiàn)問(wèn)題→分析問(wèn)題→安全改造→降低風(fēng)險(xiǎn)"的輪回過(guò)程,因此網(wǎng)關(guān)防病毒的目標(biāo)也不僅僅是為了能夠發(fā)現(xiàn)并過(guò)濾病毒,而且還要通過(guò)對(duì)病毒的種類、傳播方式、病毒源、病毒目標(biāo)等一系列信息進(jìn)行綜合的分析,從而得出病毒防范的措施、指導(dǎo)安全改造建設(shè)。
對(duì)病毒的分析,主要依賴于病毒日志的分析,但僅僅依賴于病毒日志來(lái)分析安全威脅是遠(yuǎn)遠(yuǎn)不夠的,病毒日志還需要與防火墻訪問(wèn)控制日志、入侵防御日 志、垃圾郵件過(guò)濾日志、VPN日志及IM/P2P控制日志等進(jìn)行綜合的交叉分析才能得到詳細(xì)的關(guān)于病毒的類型、傳播途徑、病毒源、病毒目標(biāo),高風(fēng)險(xiǎn)資產(chǎn)等 詳細(xì)的安全信息。因此,從病毒分析的有效性來(lái)看,防病毒與UTM的結(jié)合才最有利于網(wǎng)關(guān)安全防護(hù)的整體需求。
通過(guò)本節(jié)的分析得出,在當(dāng)前病毒技術(shù)發(fā)展的前提下,防病毒與網(wǎng)關(guān)結(jié)合勢(shì)在必行。而UTM是承載防病毒模塊最為理想的網(wǎng)關(guān)平臺(tái),防病毒與UTM網(wǎng) 關(guān)的結(jié)合具備天然的優(yōu)勢(shì)。另外,當(dāng)防病毒與UTM結(jié)合之后,還需要借助精確的病毒檢測(cè)技術(shù)才能使作為防病毒網(wǎng)關(guān)的UTM發(fā)揮最大的優(yōu)勢(shì)。