信息安全威脅多樣化和復(fù)雜化的趨勢(shì)日益明顯,現(xiàn)有單一的安全防護(hù)體系及被動(dòng)的策略難以有效應(yīng)對(duì)。聯(lián)想網(wǎng)御集成所有已部署的病毒/攻擊檢測(cè)計(jì)算資源形成主動(dòng)云防御系統(tǒng),為用戶提供高效的整體網(wǎng)絡(luò)安全解決方案。
一、主動(dòng)云防護(hù)系統(tǒng)示意圖
二、基于安全設(shè)備云的安全防護(hù)
主動(dòng)云防御系統(tǒng)主要包含3個(gè)部分:安全防護(hù)集群、安全檢測(cè)集群、主動(dòng)云防御服務(wù)器。安全防護(hù)集群由連接到主動(dòng)云防護(hù)系統(tǒng)中的所有安全設(shè)備組 成,負(fù)責(zé)從服務(wù)器下載并執(zhí)行安全防護(hù)列表;安全檢測(cè)集群主要由分布式部署的UTM、IPS、AVG等設(shè)備和惡意網(wǎng)站探測(cè)服務(wù)器組成,負(fù)責(zé)實(shí)時(shí)檢測(cè)攻擊、病 毒、木馬等惡意行為,并上傳到服務(wù)器,安全檢測(cè)集群中設(shè)備也可能屬于安全防護(hù)集群;主動(dòng)云防御服務(wù)器負(fù)責(zé)采集信息,并自動(dòng)驗(yàn)證、歸并為安全防護(hù)列表下發(fā)到 安全防護(hù)集群。
整個(gè)系統(tǒng)工作流程可以劃分為安全防護(hù)列表收集流程和安全防護(hù)列表過(guò)濾流程,其中,安全防護(hù)列表收集流程執(zhí)行在惡意網(wǎng)站探測(cè)服務(wù)器、UTM、IPS、AVG設(shè)備群、主動(dòng)云防御服務(wù)器上,具體工作流程如下:
惡意網(wǎng)站探測(cè)服務(wù)器采用網(wǎng)絡(luò)爬蟲的方式,遍歷各個(gè)網(wǎng)站上的頁(yè)面,并下載頁(yè)面上鏈接指向的文件資源,然后利用商用病毒檢測(cè)工具進(jìn)行多重檢測(cè),如果在某個(gè)文件中檢測(cè)到病毒,則把該文件對(duì)應(yīng)鏈接的URL信息和病毒名稱傳送到主動(dòng)云防御服務(wù)器。
AVG和UTM設(shè)備中的病毒檢測(cè)模塊,對(duì)通過(guò)該設(shè)備的網(wǎng)絡(luò)流量進(jìn)行分析和應(yīng)用報(bào)文重組,然后進(jìn)行病毒檢測(cè),如果發(fā)現(xiàn)病毒,則把該病毒對(duì)應(yīng)的URL存入事件歸并與關(guān)聯(lián)模塊中的事件隊(duì)列中。最后定時(shí)向主動(dòng)云防御服務(wù)器提交已歸并的病毒名稱、URL等信息。
AVG和UTM設(shè)備中的入侵檢測(cè)模塊,對(duì)通過(guò)該設(shè)備的網(wǎng)絡(luò)流量進(jìn)行協(xié)議分析和統(tǒng)計(jì),判斷該流量中是否包含入侵攻擊行為,如果發(fā)現(xiàn)入侵攻擊,則 把該攻擊對(duì)應(yīng)的攻擊名稱、地址等信息存入事件歸并與關(guān)聯(lián)模塊中的事件隊(duì)列中。最后定時(shí)向主動(dòng)云防御服務(wù)器提交已歸并的入侵攻擊名稱、地址等信息。
主動(dòng)云防御服務(wù)器收集上述3種病毒和攻擊信息,首先進(jìn)行合并,剔出重復(fù)冗余的信息,然后進(jìn)行校驗(yàn),剔出老化或失效的地址、誤報(bào)信息、內(nèi)部網(wǎng)絡(luò) 地址等無(wú)效信息,最后整理成包含病毒或木馬的URL列表和發(fā)起攻擊的地址和服務(wù)端口的安全防護(hù)列表。主動(dòng)云防御服務(wù)器定時(shí)把該列表下發(fā)給所有云防護(hù)系統(tǒng)內(nèi) 的網(wǎng)關(guān)設(shè)備。
安全防護(hù)列表過(guò)濾流程包含兩個(gè)部分:網(wǎng)關(guān)設(shè)備從主動(dòng)云防御服務(wù)器上獲取安全防護(hù)列表,并在經(jīng)過(guò)該設(shè)備的流量中攔截針對(duì)惡意站點(diǎn)URL的資源請(qǐng)求,以及來(lái)自 具有攻擊企圖的IP地址的網(wǎng)絡(luò)訪問(wèn)。因?yàn)闄z查惡意站點(diǎn)URL所需要的計(jì)算和存儲(chǔ)空間遠(yuǎn)小于檢查整個(gè)文件是否包含病毒所用的資源,檢查攻擊企圖IP地址所需 要的計(jì)算和存儲(chǔ)空間遠(yuǎn)小于檢查整個(gè)報(bào)文是否包含入侵攻擊所用的資源,所以,通過(guò)云防護(hù)系統(tǒng),所有已部署的網(wǎng)關(guān)設(shè)備均具有病毒和攻擊防護(hù)功能,用戶網(wǎng)絡(luò)信息 安全可以得到最大化的保障。
三、基于全局和本地相結(jié)合的主動(dòng)防護(hù)
在云防護(hù)架構(gòu)的基礎(chǔ)上,通過(guò)全局惡意網(wǎng)站掃描和本地網(wǎng)絡(luò)系統(tǒng)漏洞掃描,整個(gè)系統(tǒng)實(shí)現(xiàn)了攻守兼?zhèn)涞闹鲃?dòng)防護(hù)功能。全局惡意網(wǎng)站掃描系統(tǒng)能主動(dòng)搜 索包含病毒的URL信息,并下發(fā)到各個(gè)設(shè)備中進(jìn)行提前阻斷。在本地,UTM、IPS、防火墻等產(chǎn)品均內(nèi)置漏洞掃描功能,在部署時(shí),可以通過(guò)針對(duì)用戶關(guān)鍵服 務(wù)器的主動(dòng)漏洞掃描,完成用戶安全狀態(tài)評(píng)估,并根據(jù)用戶環(huán)境自動(dòng)生成安全防護(hù)列表。
四、系統(tǒng)價(jià)值
首先,主動(dòng)云防御系統(tǒng)通過(guò)共享所有設(shè)備的檢測(cè)能力,提高了對(duì)網(wǎng)絡(luò)安全威脅的檢測(cè)效率。對(duì)于整個(gè)系統(tǒng)而言,一個(gè)“掛馬網(wǎng)頁(yè)”僅需要完整檢測(cè)一 遍,整個(gè)網(wǎng)絡(luò)中其他所有安全設(shè)備就會(huì)自動(dòng)阻斷該網(wǎng)頁(yè)的下載請(qǐng)求。被檢測(cè)到的網(wǎng)絡(luò)威脅越多,設(shè)備中可以節(jié)省的安全就越多,形成良性循環(huán),從而最終為用戶提供 更快的檢測(cè)速度和更好的網(wǎng)絡(luò)服務(wù)質(zhì)量。
其次,主動(dòng)云防御系統(tǒng)通過(guò)主動(dòng)掃描本地漏洞和全局的病毒、木馬網(wǎng)站,把病毒和入侵等安全防護(hù)由被動(dòng)轉(zhuǎn)變?yōu)橹鲃?dòng)。以入侵防護(hù)為例,傳統(tǒng)的入侵防 御功能必須要在包含入侵行為的數(shù)據(jù)報(bào)文部分或全部到達(dá)網(wǎng)關(guān)后,才能進(jìn)行檢測(cè)和阻斷,主動(dòng)云防御系統(tǒng)可以提前阻斷對(duì)可能發(fā)起攻擊的地址的網(wǎng)絡(luò)請(qǐng)求。
最后,主動(dòng)云防御系統(tǒng)整合了所有設(shè)備的檢測(cè)能力,消除了安全檢測(cè)的盲點(diǎn),提高了整體安全性。和執(zhí)行實(shí)時(shí)病毒掃描或攻擊行為分析相比,下載并執(zhí) 行安全防護(hù)列表所占用的計(jì)算資源基本可以忽略,對(duì)于配置很弱的低端防火墻和性能要求嚴(yán)格的高端安全設(shè)備,都可以通過(guò)這個(gè)系統(tǒng),獲得病毒和入侵的防護(hù)能力。
五、總結(jié)
聯(lián)想網(wǎng)御的云防御系統(tǒng),利用云中廣泛的信息反饋節(jié)點(diǎn),大范圍地跟蹤安全風(fēng)險(xiǎn),并將防護(hù)能力快速分發(fā)到各個(gè)防護(hù)節(jié)點(diǎn),集合其全局和本地兩種主動(dòng) 風(fēng)險(xiǎn)探測(cè)的功能,能夠?qū)崿F(xiàn)大范圍的主動(dòng)監(jiān)控和防護(hù),對(duì)各種威脅進(jìn)行實(shí)時(shí)響應(yīng),最終加強(qiáng)了對(duì)網(wǎng)絡(luò)攻擊、病毒/木馬、網(wǎng)絡(luò)釣魚等復(fù)雜網(wǎng)絡(luò)威脅的響應(yīng)能力,提高 了用戶的網(wǎng)絡(luò)整體安全性。
