信息安全威脅多樣化和復(fù)雜化的趨勢日益明顯,現(xiàn)有單一的安全防護體系及被動的策略難以有效應(yīng)對。聯(lián)想網(wǎng)御集成所有已部署的病毒/攻擊檢測計算資源形成主動云防御系統(tǒng),為用戶提供高效的整體網(wǎng)絡(luò)安全解決方案。
一、主動云防護系統(tǒng)示意圖
二、基于安全設(shè)備云的安全防護
主動云防御系統(tǒng)主要包含3個部分:安全防護集群、安全檢測集群、主動云防御服務(wù)器。安全防護集群由連接到主動云防護系統(tǒng)中的所有安全設(shè)備組 成,負責從服務(wù)器下載并執(zhí)行安全防護列表;安全檢測集群主要由分布式部署的UTM、IPS、AVG等設(shè)備和惡意網(wǎng)站探測服務(wù)器組成,負責實時檢測攻擊、病 毒、木馬等惡意行為,并上傳到服務(wù)器,安全檢測集群中設(shè)備也可能屬于安全防護集群;主動云防御服務(wù)器負責采集信息,并自動驗證、歸并為安全防護列表下發(fā)到 安全防護集群。
整個系統(tǒng)工作流程可以劃分為安全防護列表收集流程和安全防護列表過濾流程,其中,安全防護列表收集流程執(zhí)行在惡意網(wǎng)站探測服務(wù)器、UTM、IPS、AVG設(shè)備群、主動云防御服務(wù)器上,具體工作流程如下:
惡意網(wǎng)站探測服務(wù)器采用網(wǎng)絡(luò)爬蟲的方式,遍歷各個網(wǎng)站上的頁面,并下載頁面上鏈接指向的文件資源,然后利用商用病毒檢測工具進行多重檢測,如果在某個文件中檢測到病毒,則把該文件對應(yīng)鏈接的URL信息和病毒名稱傳送到主動云防御服務(wù)器。
AVG和UTM設(shè)備中的病毒檢測模塊,對通過該設(shè)備的網(wǎng)絡(luò)流量進行分析和應(yīng)用報文重組,然后進行病毒檢測,如果發(fā)現(xiàn)病毒,則把該病毒對應(yīng)的URL存入事件歸并與關(guān)聯(lián)模塊中的事件隊列中。最后定時向主動云防御服務(wù)器提交已歸并的病毒名稱、URL等信息。
AVG和UTM設(shè)備中的入侵檢測模塊,對通過該設(shè)備的網(wǎng)絡(luò)流量進行協(xié)議分析和統(tǒng)計,判斷該流量中是否包含入侵攻擊行為,如果發(fā)現(xiàn)入侵攻擊,則 把該攻擊對應(yīng)的攻擊名稱、地址等信息存入事件歸并與關(guān)聯(lián)模塊中的事件隊列中。最后定時向主動云防御服務(wù)器提交已歸并的入侵攻擊名稱、地址等信息。
主動云防御服務(wù)器收集上述3種病毒和攻擊信息,首先進行合并,剔出重復(fù)冗余的信息,然后進行校驗,剔出老化或失效的地址、誤報信息、內(nèi)部網(wǎng)絡(luò) 地址等無效信息,最后整理成包含病毒或木馬的URL列表和發(fā)起攻擊的地址和服務(wù)端口的安全防護列表。主動云防御服務(wù)器定時把該列表下發(fā)給所有云防護系統(tǒng)內(nèi) 的網(wǎng)關(guān)設(shè)備。
安全防護列表過濾流程包含兩個部分:網(wǎng)關(guān)設(shè)備從主動云防御服務(wù)器上獲取安全防護列表,并在經(jīng)過該設(shè)備的流量中攔截針對惡意站點URL的資源請求,以及來自 具有攻擊企圖的IP地址的網(wǎng)絡(luò)訪問。因為檢查惡意站點URL所需要的計算和存儲空間遠小于檢查整個文件是否包含病毒所用的資源,檢查攻擊企圖IP地址所需 要的計算和存儲空間遠小于檢查整個報文是否包含入侵攻擊所用的資源,所以,通過云防護系統(tǒng),所有已部署的網(wǎng)關(guān)設(shè)備均具有病毒和攻擊防護功能,用戶網(wǎng)絡(luò)信息 安全可以得到最大化的保障。
三、基于全局和本地相結(jié)合的主動防護
在云防護架構(gòu)的基礎(chǔ)上,通過全局惡意網(wǎng)站掃描和本地網(wǎng)絡(luò)系統(tǒng)漏洞掃描,整個系統(tǒng)實現(xiàn)了攻守兼?zhèn)涞闹鲃臃雷o功能。全局惡意網(wǎng)站掃描系統(tǒng)能主動搜 索包含病毒的URL信息,并下發(fā)到各個設(shè)備中進行提前阻斷。在本地,UTM、IPS、防火墻等產(chǎn)品均內(nèi)置漏洞掃描功能,在部署時,可以通過針對用戶關(guān)鍵服 務(wù)器的主動漏洞掃描,完成用戶安全狀態(tài)評估,并根據(jù)用戶環(huán)境自動生成安全防護列表。
四、系統(tǒng)價值
首先,主動云防御系統(tǒng)通過共享所有設(shè)備的檢測能力,提高了對網(wǎng)絡(luò)安全威脅的檢測效率。對于整個系統(tǒng)而言,一個“掛馬網(wǎng)頁”僅需要完整檢測一 遍,整個網(wǎng)絡(luò)中其他所有安全設(shè)備就會自動阻斷該網(wǎng)頁的下載請求。被檢測到的網(wǎng)絡(luò)威脅越多,設(shè)備中可以節(jié)省的安全就越多,形成良性循環(huán),從而最終為用戶提供 更快的檢測速度和更好的網(wǎng)絡(luò)服務(wù)質(zhì)量。
其次,主動云防御系統(tǒng)通過主動掃描本地漏洞和全局的病毒、木馬網(wǎng)站,把病毒和入侵等安全防護由被動轉(zhuǎn)變?yōu)橹鲃印R匀肭址雷o為例,傳統(tǒng)的入侵防 御功能必須要在包含入侵行為的數(shù)據(jù)報文部分或全部到達網(wǎng)關(guān)后,才能進行檢測和阻斷,主動云防御系統(tǒng)可以提前阻斷對可能發(fā)起攻擊的地址的網(wǎng)絡(luò)請求。
最后,主動云防御系統(tǒng)整合了所有設(shè)備的檢測能力,消除了安全檢測的盲點,提高了整體安全性。和執(zhí)行實時病毒掃描或攻擊行為分析相比,下載并執(zhí) 行安全防護列表所占用的計算資源基本可以忽略,對于配置很弱的低端防火墻和性能要求嚴格的高端安全設(shè)備,都可以通過這個系統(tǒng),獲得病毒和入侵的防護能力。
五、總結(jié)
聯(lián)想網(wǎng)御的云防御系統(tǒng),利用云中廣泛的信息反饋節(jié)點,大范圍地跟蹤安全風險,并將防護能力快速分發(fā)到各個防護節(jié)點,集合其全局和本地兩種主動 風險探測的功能,能夠?qū)崿F(xiàn)大范圍的主動監(jiān)控和防護,對各種威脅進行實時響應(yīng),最終加強了對網(wǎng)絡(luò)攻擊、病毒/木馬、網(wǎng)絡(luò)釣魚等復(fù)雜網(wǎng)絡(luò)威脅的響應(yīng)能力,提高 了用戶的網(wǎng)絡(luò)整體安全性。
