【51CTO.com 綜合消息】華南某煙草企業(yè)自建網(wǎng)以來，對企業(yè)網(wǎng)絡(luò)安全建設(shè)的投入非常重視，2003年購買了趨勢科技客戶端防病毒軟件，并在各個網(wǎng)絡(luò)邊界部署防火墻等安全設(shè)備。一直以來，也起到了其應(yīng)有的作用。但隨著企業(yè)信息化建設(shè)日漸發(fā)展，業(yè)務(wù)系統(tǒng)的正常運作已經(jīng)不能離開網(wǎng)絡(luò)、計算機的穩(wěn)定運行。而這段時間，恰好是中國病毒行業(yè)進入黃金發(fā)展時期，“偷窺病毒”在國內(nèi)肆虐，該煙草企業(yè)也不能例外。鑒于這種情況，該煙草企業(yè)的管理員葉工認為，是時候?qū)ΜF(xiàn)有的防病毒體系進行一次加固，以此應(yīng)對互聯(lián)網(wǎng)高速發(fā)展的威脅狀況。下面我們就以此用戶為例，探討一下煙草行業(yè)的網(wǎng)絡(luò)安全防護問題。

“老病毒”反復(fù)感染，令管理員每天花80%的時間投入病毒處理的工作

隨著業(yè)務(wù)的發(fā)展，該用戶對自身的網(wǎng)絡(luò)也作了相應(yīng)的調(diào)整，把大部分的業(yè)務(wù)應(yīng)用服務(wù)器都集中在總部進行管理，使得整個煙草企業(yè)的業(yè)務(wù)應(yīng)用環(huán)境有了很大的改善，大部分的業(yè)務(wù)應(yīng)用都變得非常依賴網(wǎng)絡(luò)。因為用戶應(yīng)用環(huán)境和互聯(lián)網(wǎng)威脅的變化，在2年前設(shè)計的網(wǎng)絡(luò)版防毒體系開始顯示出被動的情況，用戶也認為，是時候為原有的防病毒體系進行加固的設(shè)計。為了更好地進行防病毒體系的加固設(shè)計，趨勢科技聯(lián)合用戶對煙草網(wǎng)絡(luò)內(nèi)部做了為期1個月的防病毒數(shù)據(jù)監(jiān)控。我們發(fā)現(xiàn)：修復(fù)內(nèi)部網(wǎng)絡(luò)反復(fù)感染的老病毒是日常工作中最為繁重的任務(wù)。防毒系統(tǒng)最近三個月的防毒日志超過34000條記錄，其中有超過80%是舊病毒重復(fù)感染。

圖一：前十位病毒分布

用戶與趨勢科技技術(shù)顧問經(jīng)過長時間的討論后，認為導(dǎo)致該現(xiàn)象的原因有以下幾個，同時，這也是眾多煙草行業(yè)用戶所面臨的網(wǎng)絡(luò)安全問題： 

一是終端使用者的安全意識嚴重薄弱，對計算機的安全使用根本不了解，導(dǎo)致用戶在訪問各種網(wǎng)頁時發(fā)生病毒的入侵； 

二是沒有配套完善的病毒響應(yīng)機制及服務(wù)流程，導(dǎo)致大量的重復(fù)性工作，嚴重占用日常的工作資源； 

三是由于現(xiàn)在計算機病毒的發(fā)展過快導(dǎo)致，平均每秒鐘新增4支新病毒的速度，單靠客戶端病毒庫的更新是不能夠有效防止新形態(tài)病毒的入侵。病毒的變種，導(dǎo)致用戶有反復(fù)處理“老病毒”的錯覺。（從下面的報告可以看到這一快速增長趨勢） 

圖二：從2005年到2008年，TrendLabs報告網(wǎng)絡(luò)威脅增長

趨勢科技“云安全”，讓用戶從此放心

在找到原因后，趨勢科技向用戶推薦了其歷時2年半，斥資3億美金研發(fā)地“云安全”智能網(wǎng)絡(luò)防護方案。因為考慮到該用戶是全網(wǎng)統(tǒng)一Internet出口，通過對原有OfficeScan的日志分析得知，超過80%的病毒是通過Web進入煙草內(nèi)部網(wǎng)絡(luò)的。因此，我們在用戶網(wǎng)絡(luò)的Internet出口部署第一道防線：趨勢科技Web安全網(wǎng)關(guān)--IWSA。通過在IWSA上啟用業(yè)界唯一的云安全Web信譽技術(shù)（WRT），攔截了大量由內(nèi)部用戶發(fā)起的對可疑高風(fēng)險URL的訪問，大大降低了用戶由于訪問URL帶來的風(fēng)險，避免了因終端使用者安全意識不強，導(dǎo)致的Web訪問安全問題。

另外，通過有WRT對可疑網(wǎng)頁訪問的攔截，還可以將大部分病毒變種的下載阻斷，從而阻止新病毒的入侵，同時也使內(nèi)網(wǎng)已經(jīng)存在的病毒無法變種，降低了內(nèi)網(wǎng)OfficeScan客戶端的防毒壓力。由于IWSA部署是采用透明方式，所以，IWSA的運行既不會對用戶日常使用習(xí)慣帶來影響，同時亦可以保障到用戶訪問網(wǎng)頁的安全。

而實際在煙草用戶環(huán)境使用，也體現(xiàn)這樣的效果： 

圖三：趨勢科技“云安全”控制平臺界面

趨勢科技“云安全”技術(shù)是通過多種方式收集數(shù)據(jù)信息并動態(tài)分析惡意威脅，生成動態(tài)的URL，郵件IP，文件信譽庫，并通過行為關(guān)聯(lián)分析技術(shù)，建立各種信譽庫的關(guān)聯(lián)，當(dāng)用戶訪問目標信息時，就可以在幾毫秒內(nèi)與信譽庫中的URL地址、郵件IP地址等進行比對，獲得安全訪問建議，從源端阻止對不良URL、郵件和文件的訪問，降低網(wǎng)絡(luò)風(fēng)險的侵入。目前，“云安全”技術(shù)每天接受的用戶查詢數(shù)量已達到50億次，而每日評估處理的URL、郵件IP地址等更達到1200G，與此同時，因為將70%威脅特征碼放在云端，因此它能夠減少企業(yè)PC 70%的核心內(nèi)存占用，這些是傳統(tǒng)的病毒代碼比對技術(shù)所無法比擬的。

WRT—Web信譽技術(shù)是“云安全”的關(guān)鍵組成部分，旨在當(dāng)Web威脅侵害網(wǎng)絡(luò)或用戶的計算機之前對其進行防御。Web信譽技術(shù)為用戶訪問的網(wǎng)頁指定相對的信譽分數(shù)，按照多種指標進行評分，包括網(wǎng)站網(wǎng)頁、歷史地址變化以及其它可能揭示可疑行為的因素。然后該技術(shù)通過惡意行為分析進行深入評估，監(jiān)督網(wǎng)絡(luò)流量，識別任何來自Web的惡意活動。趨勢科技Web信譽技術(shù)還執(zhí)行網(wǎng)站內(nèi)容爬行和掃描，補充對已知惡意或被感染網(wǎng)絡(luò)的分析結(jié)果。然后按照Web信譽評分封堵對惡意網(wǎng)頁的訪問。為了減少誤報率、提高準確性，趨勢科技的Web信譽技術(shù)采用細顆粒的評估技術(shù)，體現(xiàn)為對具體的網(wǎng)頁及其中涉及的各種鏈接的安全性進行評估，而非粗顆粒的對整個站點安全性一刀切的信譽評估，因為有時候合法網(wǎng)站中僅僅只有部分內(nèi)容遭到攻擊。目前，這一“云安全”的核心技術(shù)，已經(jīng)成功應(yīng)用于趨勢科技網(wǎng)關(guān)防護產(chǎn)品—Web安全網(wǎng)關(guān)（IWSA）和終端防護產(chǎn)品—趨勢科技防毒墻網(wǎng)絡(luò)版（OfficeScan）之中，成為“云安全”智能防護網(wǎng)絡(luò)的重要組成部分。 

圖四：趨勢科技“云安全”智能防護網(wǎng)絡(luò)圖例

在分析用戶環(huán)境的病毒數(shù)據(jù)后，趨勢科技還發(fā)現(xiàn)，用戶環(huán)境的另一個威脅傳播途徑是--USB。因此，除了在網(wǎng)關(guān)進行安全防護外，趨勢科技把用戶使用的OfficeScan從7.3升級到8.0，并啟動了OfficeScan8.0內(nèi)嵌的技術(shù)--USB病毒防御模塊，以此來控制U盤病毒在內(nèi)網(wǎng)的擴散。

另外，針對漫游客戶機（經(jīng)常出差的計算機），我們對此類客戶端也同樣激活WRT技術(shù)。這樣，即使用戶攜帶筆記本出差在外辦公，也能夠享受到趨勢科技提供的“云安全”技術(shù)，對訪問的可疑網(wǎng)頁進行攔截，保證用戶設(shè)備不受未知威脅的感染。

鑒于用戶對處理病毒時，經(jīng)常會有大量重復(fù)性工作的抱怨。趨勢科技除了在技術(shù)層面給用戶支持外，還為用戶設(shè)計了流程控制以及病毒響應(yīng)承諾的方案。通過防病毒流程的定制以及執(zhí)行，用戶現(xiàn)在可以通過規(guī)范的響應(yīng)機制，很輕松地處理了以往那些困擾他的老病毒清除工作。再結(jié)合趨勢科技的病毒響應(yīng)承諾服務(wù)（SLA），所有在煙草網(wǎng)絡(luò)內(nèi)部的新病毒，趨勢科技均在2小時內(nèi)生成針對性的病毒碼，解決了用戶的后顧之憂。 

圖五：趨勢科技技術(shù)支持保障體系

至今為止，該煙草企業(yè)使用趨勢科技整體防毒體系已經(jīng)有2年的時間，通過對用戶防毒體系的巡檢，可以發(fā)現(xiàn)IWSA每周均能攔截大量的網(wǎng)頁威脅。相對于部署網(wǎng)關(guān)之前，OfficeScan服務(wù)器上所看到的病毒日志下降了80%以上，大大降低了桌面的維護成本。對于用戶來講，最大的價值是在于：在病毒發(fā)展迅猛的時代，2年來，從沒有出現(xiàn)因為病毒事件而導(dǎo)致網(wǎng)絡(luò)中斷或業(yè)務(wù)停頓的生產(chǎn)事故。

結(jié)語

在煙草行業(yè)，終端用戶不規(guī)范的上網(wǎng)行為，是導(dǎo)致企業(yè)網(wǎng)絡(luò)感染病毒的最大風(fēng)險之一，而且這個風(fēng)險在現(xiàn)階段難以通過教育的方式來改善。另外，日益激增的Web威脅，使得傳統(tǒng)的病毒庫更新防護方案難以應(yīng)對。

趨勢科技的 “云安全”解決方案，恰恰是為煙草用戶解決這兩個難題。

一、通過對用戶訪問網(wǎng)頁進行風(fēng)險度評估，減少用戶對高風(fēng)險網(wǎng)頁訪問的幾率；

二、通過在云端服務(wù)器的海量計算，可以解決靜態(tài)病毒庫所不能解決的未知威脅風(fēng)險。再結(jié)合趨勢科技獨特的流程+服務(wù)的解決方案，可以大量的簡化用戶日常的防病毒工作。所以，在煙草行業(yè)用戶的網(wǎng)絡(luò)中部署趨勢科技整體防病毒解決方案，可以使煙草用戶的網(wǎng)絡(luò)更加穩(wěn)定、更加安全。