互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)跌宕

如今，我們正處于 Web 2.0 的世界中，Internet是我們的平臺(tái)，而社交網(wǎng)站的崛起已呈燎原之勢(shì)。與此同時(shí)，惡意軟件的編寫者已將Internet這一平臺(tái)作為主要傳播工具，并挖空心思地利用 Web 2.0為其傳播惡意軟件。

惡意軟件的軟實(shí)例

互聯(lián)網(wǎng)向來(lái)是病毒和各種惡意程序可以肆意折騰的地方，從趨勢(shì)科技實(shí)驗(yàn)室整理分析的《2008年病毒威脅摘要暨——2009年病毒趨勢(shì)預(yù)測(cè)》中可以看出一些端倪。2008年亞洲地區(qū)的網(wǎng)絡(luò)罪犯紛紛使用新媒介或針對(duì)舊媒介進(jìn)行改良，用以謀取利益，網(wǎng)頁(yè)入侵、AUTORUN 惡意軟件、社交詐騙手法和區(qū)域性病毒威脅等構(gòu)成了四大類型網(wǎng)絡(luò)犯罪。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院計(jì)算機(jī)安全處統(tǒng)計(jì)數(shù)據(jù)表明，在過(guò)去 12 個(gè)月內(nèi)，形態(tài)各異的惡意軟件二進(jìn)制文件增加了 1000 多萬(wàn)個(gè)。

McAfee Avert Labs 產(chǎn)品開發(fā)高級(jí)副總裁Jeff Green認(rèn)為，無(wú)論是惡意軟件、網(wǎng)絡(luò)釣魚軟件、網(wǎng)頁(yè)掛馬、欺詐軟件、垃圾郵件，還是其他任何困擾企業(yè)和消費(fèi)者的威脅，我們都可以肯定：其中大部分威脅都以撈錢為核心，其目的都是為了填滿全球網(wǎng)絡(luò)犯罪分子的口袋。

進(jìn)入2009年，值得注意的是：Web 2.0社交網(wǎng)站的使用率大增，但是網(wǎng)站設(shè)計(jì)中卻存在安全弱點(diǎn)，而且用戶對(duì)Web 2.0認(rèn)知不足。因此，這類網(wǎng)站將成為 Web威脅繁衍的沃土。同時(shí)，2009年需特別留意的還有瀏覽器與其他Web 應(yīng)用程序，它們將成為黑客攻擊的首要目標(biāo)！

上海出入境檢驗(yàn)檢疫局科長(zhǎng)吳穗玲說(shuō)，去年我們單位中了PE_LOOKED病毒，幸虧在奧運(yùn)會(huì)前增強(qiáng)了系統(tǒng)巡檢的力度，把威脅撲滅在感染初期。盡管我們當(dāng)時(shí)在32個(gè)分支機(jī)構(gòu)的網(wǎng)絡(luò)出口上都部署了IPS，還部署了多臺(tái)防火墻及IDS。但還是受到了病毒或者惡意軟件的困擾。

病毒對(duì)企業(yè)業(yè)務(wù)的影響相當(dāng)大，南寧市財(cái)政信息中心主任劉波說(shuō)，曾經(jīng)因?yàn)槿湎x病毒造成整個(gè)業(yè)務(wù)網(wǎng)絡(luò)癱瘓了一整天，很多重要的事情都無(wú)法進(jìn)行下去。

趨勢(shì)科技資深產(chǎn)品技術(shù)顧問(wèn)徐學(xué)龍分析說(shuō)：“現(xiàn)今病毒感染途徑越來(lái)越多，僅靠單一防護(hù)措施已經(jīng)越來(lái)越難以防止，若是沒(méi)做好環(huán)節(jié)中的其中一項(xiàng)，將導(dǎo)致企業(yè)內(nèi)部用戶病毒感染率的上升?！?

云安全的硬指標(biāo)

IDC安全產(chǎn)品服務(wù)部門的研究總監(jiān)Charles Kolodgy表示：“基于特征碼的傳統(tǒng)惡意程序檢測(cè)方法已不能滿足要求。用戶的行為在改變，威脅也在不斷演變，然而惡意程序檢測(cè)技術(shù)卻沒(méi)有跟上?！?

在病毒制作的門檻在逐步降低，病毒、木馬的數(shù)量迅猛增長(zhǎng)，反病毒廠商與病毒之間的對(duì)抗日益激烈的大環(huán)境下，傳統(tǒng)“獲取樣本→特征碼分析→更新部署”的殺毒軟件運(yùn)營(yíng)模式，已無(wú)法滿足日益變化及增長(zhǎng)的安全威脅。在海量病毒、木馬充斥互聯(lián)網(wǎng)，病毒制作者技術(shù)不斷更新的大環(huán)境下，反病毒廠商必須要有更有效的方法來(lái)彌補(bǔ)傳統(tǒng)反病毒方式的不足，云安全應(yīng)運(yùn)而生。

鑒于Web威脅的數(shù)量與技術(shù)不斷提升，若要確保網(wǎng)絡(luò)安全，就必須采用多層架構(gòu)的實(shí)時(shí)防護(hù)系統(tǒng)。徐學(xué)龍指出：“嵌入云安全技術(shù)的趨勢(shì)科技產(chǎn)品與解決方案不僅具備以Web威脅數(shù)據(jù)庫(kù)為依據(jù)的信譽(yù)評(píng)級(jí)技術(shù)，還擁有威脅數(shù)據(jù)關(guān)聯(lián)比對(duì)功能。這個(gè)獨(dú)特的云安全防護(hù)技術(shù)，可以為用戶提供實(shí)時(shí)保護(hù)，防范最新的Web威脅?！?

鄭州輕工業(yè)學(xué)院工程師程源說(shuō)：“其實(shí)我覺(jué)得‘云安全’是一個(gè)老概念，以前我們都是用分布式架構(gòu)來(lái)做安全體系，這個(gè)理念一直都有，只不過(guò)現(xiàn)在叫‘云’了，但其實(shí)它的主要目的還是完善各個(gè)點(diǎn)、各個(gè)位置的防護(hù)措施。如果說(shuō)以前是單兵作戰(zhàn)的話，現(xiàn)在是一個(gè)集團(tuán)作戰(zhàn)，這算是個(gè)進(jìn)化，但不是個(gè)革命?！?

“我們要管理32個(gè)分支機(jī)構(gòu)和2000多個(gè)客戶機(jī)。當(dāng)時(shí)測(cè)試了很多設(shè)備，要能夠統(tǒng)一管理，還要防范流行的Web威脅。有些產(chǎn)品在進(jìn)行小規(guī)模測(cè)試時(shí)沒(méi)問(wèn)題，當(dāng)測(cè)試規(guī)模擴(kuò)大后，就不太好用了?！眳撬肓岙?dāng)初在部署防病毒系統(tǒng)時(shí)，出于對(duì)內(nèi)網(wǎng)安全和互聯(lián)網(wǎng)網(wǎng)關(guān)安全的考慮，采用軟硬兼施的策略分別實(shí)施了趨勢(shì)科技OfficeScan和IWSA。

#p#

用戶安全架構(gòu)的黏合劑

在IT可能帶來(lái)的各種風(fēng)險(xiǎn)中，各公司將敏感信息的保密性，IT信息、資產(chǎn)和控制的完整性，IT服務(wù)的可用性列為最重要的業(yè)務(wù)風(fēng)險(xiǎn)。

網(wǎng)絡(luò)傳輸速度和IT應(yīng)用效率，無(wú)疑是用戶最為關(guān)注的兩個(gè)實(shí)際問(wèn)題，因?yàn)檫@兩個(gè)問(wèn)題直接關(guān)系到企業(yè)業(yè)務(wù)的平滑程度。

有關(guān)云的猜疑

似乎實(shí)施云安全已經(jīng)成為應(yīng)對(duì)惡意軟件大規(guī)模爆發(fā)的重大轉(zhuǎn)折點(diǎn)。但是，年齡并不大的云安全在用戶眼中，并非選型評(píng)估時(shí)的關(guān)鍵因素，甚至有的用戶并不知道自己已經(jīng)應(yīng)用了云安全，他們更關(guān)心的是管理效果。

云安全雖然宣傳得轟轟烈烈，但根據(jù)記者的探訪調(diào)查，云安全作為一個(gè)不是很新的技術(shù)，很多用戶對(duì)此仍然不夠了解，只有少數(shù)用戶是因?yàn)楦杏X(jué)云安全很新而選擇了部署，進(jìn)行嘗試。但其在一定程度上，確實(shí)給用戶帶來(lái)了很多益處。

鄭州輕工業(yè)學(xué)院在選擇云安全之初抱著試試看的心態(tài)，想看看云安全對(duì)惡意軟件等風(fēng)險(xiǎn)防護(hù)的貢獻(xiàn)到底有多大價(jià)值。程源說(shuō)，畢竟現(xiàn)在到處都在說(shuō)云安全，我們也一直都在關(guān)注。看看是否能夠通過(guò)云安全實(shí)現(xiàn)一個(gè)相對(duì)完整的解決方案，將信息安全的防護(hù)和服務(wù)互聯(lián)網(wǎng)化。

安全并不是一個(gè)方面的部署就可以保障的，程源很有感觸，做安全不可能只做一個(gè)環(huán)節(jié)，安全存在于IT的各個(gè)環(huán)節(jié)之中，關(guān)系到方方面面。

例如用戶端的桌面防護(hù)，局域網(wǎng)對(duì)外的防護(hù)，這是由內(nèi)部到外部的全方位防護(hù)?，F(xiàn)在程源也在考慮對(duì)服務(wù)器的防護(hù)，防止外部攻擊，這樣一個(gè)整體全方位的防護(hù)，才可能起到真正的安全作用和效果。

陳波說(shuō)：“網(wǎng)絡(luò)暢通是我們最特殊的需求，由于我們的系統(tǒng)會(huì)涉及到一些部門的資金申請(qǐng)，所以我們特別注重網(wǎng)絡(luò)安全和數(shù)據(jù)安全。雖然目前在內(nèi)網(wǎng)上已經(jīng)做了很好的控制，但因?yàn)橛行┞毠ば枰B接外網(wǎng)，所以我們很擔(dān)心病毒會(huì)通過(guò)互聯(lián)網(wǎng)感染職工的終端。現(xiàn)在已經(jīng)通過(guò)部署IDS、防火墻、互聯(lián)網(wǎng)安全網(wǎng)關(guān)（IWSA）等硬件進(jìn)行綜合防護(hù)?！?

當(dāng)初陳波部署IWSA的時(shí)候，只是知道它具有云安全技術(shù)，也不是因?yàn)镮WSA用了云安全才選擇實(shí)施的，主要是通過(guò)測(cè)試評(píng)估后，在整體體驗(yàn)上效果不錯(cuò)才購(gòu)買的，因?yàn)樗粫?huì)影響網(wǎng)絡(luò)的使用。

如今，90% 以上的惡意軟件都包含竊取密碼的特洛伊木馬病毒，其制造者只有一個(gè)罪惡目的，就是挖出用戶有價(jià)值的數(shù)據(jù)。一些用戶也在猜疑，由于云安全會(huì)將一部分信息拿到云端進(jìn)行識(shí)別判斷，是否會(huì)造成隱私泄露，核心數(shù)據(jù)被盜等狀況。

南寧市財(cái)政信息中心主任劉波說(shuō)；“當(dāng)時(shí)是存在一些顧慮，畢竟我們作為政府信息中心，數(shù)據(jù)的保密性十分重要，因此保障數(shù)據(jù)的安全是一切工作的前提。我們擔(dān)心數(shù)據(jù)被抓走，放在云端進(jìn)行檢測(cè)。換句話說(shuō)，這叫泄密。但是經(jīng)過(guò)實(shí)際測(cè)試，讓我們對(duì)云安全的檢測(cè)和防御方式放心了?！?

徐學(xué)龍解釋說(shuō)：“云安全架構(gòu)提供了郵件信譽(yù)、Web信譽(yù)和文件信譽(yù)的云端查詢。以郵件信譽(yù)查詢?yōu)槔?，向云端遞交的信息僅限于發(fā)送郵件方的IP信息，不會(huì)記錄用戶端的IP信息。Web信譽(yù)查詢中，它只是將用戶要訪問(wèn)的URL送至云端查詢，并不涉及到用戶的機(jī)密數(shù)據(jù)，也不會(huì)記錄用戶的個(gè)人IP信息。而文件信譽(yù)向上遞交查詢的只是用戶數(shù)據(jù)的hash值，并不是真實(shí)的數(shù)據(jù)文件?！?

這也就意味著，云安全服務(wù)提供商并不獲取來(lái)自用戶的原始數(shù)據(jù)，相對(duì)于傳統(tǒng)的用戶遞交病毒樣本分析而言，用戶自己的私密信息的保護(hù)更具有安全性。

彌補(bǔ)安全的缺口

“長(zhǎng)期以來(lái)，一直吃病毒的苦頭，雖然一直在強(qiáng)調(diào)追求事前預(yù)防，但實(shí)際上總慢半拍。安全畢竟不是100%的，我們只能盡最大努力將病毒產(chǎn)生的威脅降到最低?！眳腔哿嵴f(shuō)。

縱觀2008年的一些流行病毒，如機(jī)器狗、磁碟機(jī)等，無(wú)一例外均為對(duì)抗型病毒。而且一些病毒制作者也曾揚(yáng)言“餓死殺毒軟件”。盡管對(duì)抗殺毒軟件和破壞系統(tǒng)安全設(shè)置的病毒以前也有，但2008年表現(xiàn)得尤為突出。

程源認(rèn)為：“信息安全不可能是無(wú)缺口的，安全不可能光靠軟件和人力去實(shí)現(xiàn)。這方面還需要企業(yè)員工行為的規(guī)范化。如果員工使用不當(dāng)，被惡意軟件攻擊，那么安全防護(hù)再好，也不夠。要將軟件和人結(jié)合得更好，如果能在軟件中給用戶使用習(xí)慣和規(guī)范有一些提示，那么就更好了，更加人性化了。我們?cè)诜?wù)方面的安全防護(hù)，也是耗費(fèi)人力比較多的，對(duì)內(nèi)的服務(wù)包括郵件服務(wù)、Web服務(wù)、主頁(yè)服務(wù)，還有對(duì)外提供的服務(wù)，例如招生、宣傳、名師推薦等?！?

上海出入境檢驗(yàn)檢疫局雖然只有4個(gè)人負(fù)責(zé)信息安全，但要管理32個(gè)分支機(jī)構(gòu)的整體安全策略。由于病毒千變?nèi)f化，人手又不足。通常遇到安全狀況時(shí)是發(fā)現(xiàn)一臺(tái)，處理一臺(tái)，都是事后操作。

吳慧玲說(shuō)：“幸好在2008年北京奧運(yùn)會(huì)前夕部署了IWSA，并且加強(qiáng)巡檢工作形成了立體的防護(hù)框架，才避免了PE_LOOKED病毒擴(kuò)散，提高了整體防護(hù)能力。而且要求內(nèi)部部分終端是不能連接外網(wǎng)的，我們通過(guò)為每個(gè)網(wǎng)段設(shè)置一臺(tái)種子機(jī)為不能上網(wǎng)的機(jī)器提供升級(jí)服務(wù)，還節(jié)省了帶寬資源。”

為了迎接2010年的上海世博會(huì)，上海出入境檢驗(yàn)檢疫局邀請(qǐng)了上海東吉數(shù)碼科技有限公司，進(jìn)一步將巡檢普及到32個(gè)分支機(jī)構(gòu)的更深處。讓第三方公司的人到分支機(jī)構(gòu)進(jìn)行巡檢，能夠更細(xì)致入微。而且改變了安全防護(hù)的策略部署方向，曾經(jīng)是從上往下統(tǒng)一部署，現(xiàn)在是從下往上排查。

事實(shí)上如今的惡意軟件已經(jīng)變得日益復(fù)雜和難以防御，而且安全防護(hù)工作正面臨著重大難題：

一是存在太多獨(dú)特的惡意軟件樣本。防惡意軟件引擎需要搜索上千萬(wàn)的簽名，以明確可疑文件沒(méi)有受到感染。但是，很多簽名可能從未使用過(guò)——由于清除這類簽名的風(fēng)險(xiǎn)太大，因此它們?nèi)匀皇翘卣鞔a文件。當(dāng)然，這意味著典型的特征碼文件變得越來(lái)越大、越來(lái)越笨重。從而在掃描和定期更新簽名方面對(duì)實(shí)際性能造成很大影響。

二是惡意軟件傳播判斷模式不易。當(dāng)遇到未知文件時(shí)，用戶需要用一種方法來(lái)做出最終判斷，該文件是不是惡意軟件。今天的惡意軟件從廣泛發(fā)布到第一次感染之間的間隔時(shí)間比以前大大縮短。這就意味著，簽名太慢而難以更新。

在公布和部署之間無(wú)可避免的延遲，為未探測(cè)到的惡意軟件感染計(jì)算機(jī)留出了時(shí)間。

徐學(xué)龍說(shuō)：“相同的分析工作，過(guò)去需要一天的運(yùn)算時(shí)間，改用云安全技術(shù)后，現(xiàn)在只需要幾秒鐘?？梢哉f(shuō)云安全使防御Web威脅不再是單一款產(chǎn)品做的事，而是和所有互聯(lián)網(wǎng)使用者一起和Web威脅做斗爭(zhēng)，云安全讓每個(gè)人都成為了識(shí)別安全威脅的貢獻(xiàn)者。”

陳波表示：“根據(jù)我們的經(jīng)驗(yàn)，在部署云安全之前，一定要經(jīng)過(guò)測(cè)試、評(píng)估、分析的一系列過(guò)程，最終生成一份詳細(xì)的報(bào)告。因?yàn)槠髽I(yè)的網(wǎng)絡(luò)結(jié)構(gòu)不同，管理管理方式也不同，要量身定制解決方案，以免影響防護(hù)效果。比如以前我們部署過(guò)一套網(wǎng)絡(luò)管理軟件，雖然產(chǎn)品本身沒(méi)問(wèn)題，在其他環(huán)境也能用，但是到我們這邊就不行。”

云安全（Cloud Security）是網(wǎng)絡(luò)時(shí)代信息安全的一種新形式，它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過(guò)網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件異常的行為監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到服務(wù)器端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。

云安全最強(qiáng)大的地方，就是拋開了單純的客戶端防護(hù)的概念。傳統(tǒng)客戶端被感染，殺毒完畢之后就完了，沒(méi)有進(jìn)一步的信息跟蹤和分享。而云所服務(wù)的所有節(jié)點(diǎn)，是與服務(wù)器共享信息的。

用戶中毒了，服務(wù)器就會(huì)記錄，在幫助用戶處理的同時(shí)，也把信息分享給其它用戶，他們就不會(huì)被重復(fù)感染。

#p#

云中攔截惡意軟件的競(jìng)賽

雖然國(guó)內(nèi)很多用戶在不知不覺(jué)中就部署了基于云安全的解決方案，但為了檢驗(yàn)云安全的真實(shí)作用，我們可以參考獨(dú)立實(shí)驗(yàn)室Cascadia Labs在2008年12月發(fā)布的《網(wǎng)絡(luò)安全測(cè)試》。該報(bào)告公布了對(duì)McAfee、Websense、BlueCoat、IronPort、趨勢(shì)科技和SurfControl六種市場(chǎng)上優(yōu)秀的URL過(guò)濾和網(wǎng)絡(luò)安全產(chǎn)品橫向測(cè)試的結(jié)果。

六款測(cè)試產(chǎn)品中包括網(wǎng)關(guān)設(shè)備和服務(wù)器軟件，趨勢(shì)科技的Web安全網(wǎng)關(guān)解決方案（IWSA）獲得了70%的加權(quán)得分獲得冠軍，而亞軍產(chǎn)品McAfee網(wǎng)絡(luò)安全設(shè)備3300分的加權(quán)得分則為64%，該產(chǎn)品配備了增強(qiáng)型URL過(guò)濾數(shù)據(jù)庫(kù)（Enhanced URL Filtering Database），這兩家廠商也都是云安全的代表廠商。

防范惡意軟件的第一道防線

防范惡意軟件，企業(yè)往往依賴URL過(guò)濾和網(wǎng)絡(luò)安全產(chǎn)品來(lái)保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)免受危險(xiǎn)的、不適當(dāng)?shù)暮筒皇軞g迎的網(wǎng)絡(luò)內(nèi)容的攻擊。除了攔截含有低俗、暴力或非法內(nèi)容的網(wǎng)頁(yè)外，這些產(chǎn)品還在保護(hù)企業(yè)網(wǎng)絡(luò)方面發(fā)揮著日益重要的作用——它們鑄成了防止惡意網(wǎng)頁(yè)的第一道防線，同時(shí)也可以對(duì)帶寬的流量實(shí)施管控。

盡管過(guò)濾低俗級(jí)別和浪費(fèi)生產(chǎn)力的網(wǎng)站是非常普通的一項(xiàng)功能，但是各個(gè)產(chǎn)品在應(yīng)對(duì)更具挑戰(zhàn)性的網(wǎng)絡(luò)內(nèi)容類型方面卻大為不同，而且攔截安全威脅時(shí)也有很大差異。

含有高效網(wǎng)絡(luò)安全功能的URL過(guò)濾產(chǎn)品可以提供第一道防線，保護(hù)用戶和公司不受惡意內(nèi)容的侵害。除了安全，URL過(guò)濾產(chǎn)品在增強(qiáng)企業(yè)的網(wǎng)絡(luò)使用政策方面還發(fā)揮著重要作用。Cascadia Labs的測(cè)試表明，所有產(chǎn)品都能攔截大多數(shù)低俗內(nèi)容和生產(chǎn)效率&娛樂(lè)URL，而且在帶寬占用、通信和責(zé)任方面的表現(xiàn)非常出色——盡管還有改進(jìn)空間。

Cascadia Labs通過(guò)對(duì)原始的攔截應(yīng)用得分加權(quán)而得出總分，Cascadia Labs認(rèn)為，原始得分反映了一般企業(yè)客戶心目中的相對(duì)重要性。由于Cascadia Labs每個(gè)季度都會(huì)重新評(píng)估加權(quán)結(jié)果，所以在過(guò)去幾年中，安全類測(cè)試的權(quán)重不斷增加。

在此次的測(cè)試中，安全類測(cè)試占總分的30%、低俗內(nèi)容測(cè)試占20%、帶寬占用測(cè)試占15%、責(zé)任測(cè)試占15%、通信測(cè)試占10%、生產(chǎn)效率&娛樂(lè)測(cè)試占10%。

盡管加權(quán)結(jié)果反映出作為深度防御安全戰(zhàn)略組成部分的URL過(guò)濾的重要性日益提升，但是它也表明企業(yè)需要不斷攔截可視內(nèi)容才能換取安全的環(huán)境，例如具有惡意代碼的攻擊性網(wǎng)頁(yè)。而趨勢(shì)科技在責(zé)任測(cè)試、通信測(cè)試和生產(chǎn)效率&娛樂(lè)測(cè)試方面表現(xiàn)不俗，SurfControl在帶寬測(cè)試方面表現(xiàn)最好，McAfee則在低俗內(nèi)容測(cè)試方面拔得頭籌。

此外，趨勢(shì)科技、McAfee、Blue Coat和IronPort的產(chǎn)品還結(jié)合了Web信譽(yù)功能。由于Web信譽(yù)主要是針對(duì)安全性URL，因此僅在安全類別中進(jìn)行了測(cè)試。

測(cè)試方法和測(cè)試數(shù)據(jù)庫(kù)

Cascadia Labs一直以來(lái)提供客觀而獨(dú)立的技術(shù)產(chǎn)品評(píng)估，此次測(cè)試更關(guān)注產(chǎn)品的URL數(shù)據(jù)庫(kù)的攔截有效性和Web信譽(yù)功能，因此并沒(méi)有評(píng)估產(chǎn)品的用戶界面、特征、功能或可擴(kuò)展性。

為了區(qū)分六大產(chǎn)品的核心URL過(guò)濾功能，Cascadia Labs測(cè)試的產(chǎn)品中沒(méi)有包括協(xié)議過(guò)濾、二進(jìn)制掃描、防病毒掃描或防間諜軟件掃描。雖然協(xié)議過(guò)濾可以有效攔截即時(shí)信息和其它不受歡迎的服務(wù)，但是由于用戶需要保障網(wǎng)絡(luò)的暢通更為重要，協(xié)議過(guò)濾對(duì)于HTTP顯得并不實(shí)用。

龐大的數(shù)據(jù)庫(kù)

Cascadia Labs主要依靠維護(hù)英語(yǔ)的URL數(shù)據(jù)庫(kù)來(lái)滿足企業(yè)市場(chǎng)的要求。該數(shù)據(jù)庫(kù)包括150多萬(wàn)個(gè)URL，被分成六組22個(gè)小類。Cascadia Labs為低俗內(nèi)容、帶寬占用、通信、責(zé)任和生產(chǎn)效率&娛樂(lè)中的每個(gè)組別隨機(jī)選擇至少1000個(gè)樣本，這樣足以得出重要的統(tǒng)計(jì)結(jié)論。

Cascadia Labs為權(quán)重最多的安全類測(cè)試專門選擇了1000個(gè)樣本、750個(gè)不同類型的惡意二進(jìn)制URL、100個(gè)漏洞利用程序、50個(gè)網(wǎng)絡(luò)釣魚URL、50個(gè)代理和50個(gè)潛在不受歡迎的應(yīng)用程序。

由于每個(gè)廠商都使用了其自己的數(shù)據(jù)庫(kù)分類集合來(lái)對(duì)URL進(jìn)行分類。Cascadia Labs根據(jù)自己的分類和廠商選擇的分類進(jìn)行配比創(chuàng)建了匹配的小類，確保對(duì)每個(gè)產(chǎn)品都擁有可對(duì)比的攔截配置。為此，Cascadia Labs執(zhí)行了初步測(cè)試，確保每個(gè)產(chǎn)品都有合適的類別映射。

配置與優(yōu)化

Cascadia Labs針對(duì)互聯(lián)網(wǎng)上的有效服務(wù)器測(cè)試攔截準(zhǔn)確性。在設(shè)置上，讓每個(gè)產(chǎn)品攔截各個(gè)小類組成的整個(gè)大類，這樣可以確保Cascadia Labs的攔截結(jié)果不會(huì)因廠商類別選擇的微小差異而受到影響。

例如，有些廠商可能把保齡球URL放入體育類別中，而其它廠商可能將其歸入業(yè)余愛(ài)好和娛樂(lè)類別中。在Cascadia Labs的測(cè)試中，兩種情況下的保齡球頁(yè)面分類都會(huì)遭到攔截，因?yàn)轶w育和業(yè)余愛(ài)好及娛樂(lè)都包括在Cascadia Labs的生產(chǎn)效率&娛樂(lè)組中。

在測(cè)試產(chǎn)品的配置方面，Cascadia Labs以代理的形式進(jìn)行配置。由于McAfee、趨勢(shì)科技、BlueCoat和IronPort都是網(wǎng)關(guān)設(shè)備，所以將SurfControl和Websense與Microsoft ISA服務(wù)器集成在一起。在測(cè)試過(guò)程中保障每天對(duì)所有產(chǎn)品至少更新一次，而且在測(cè)試期間為采用本地?cái)?shù)據(jù)庫(kù)的各個(gè)產(chǎn)品記錄所使用的數(shù)據(jù)庫(kù)的版本。

Cascadia Labs在測(cè)試中應(yīng)用了趨勢(shì)科技的防網(wǎng)絡(luò)釣魚模塊和Blue Coat的可疑URL分類。此外，趨勢(shì)科技、McAfee和IronPort都能提供Web信譽(yù)特征，Cascadia Labs在安全性測(cè)試中也使用了這一特征。

除了Amazon.com和espn.go.com等流量較大網(wǎng)站之外，Cascadia Labs在配置好的數(shù)據(jù)庫(kù)中，不斷排除使用過(guò)的URL，以防止任何廠商在后續(xù)的測(cè)試中獲得優(yōu)勢(shì)。

主要結(jié)果和分析

Cascadia Labs應(yīng)用各種向量而不僅僅是搜索引擎的結(jié)果來(lái)辨別其專用數(shù)據(jù)庫(kù)的候選網(wǎng)頁(yè)。Cascadia Labs應(yīng)用了嚴(yán)格的質(zhì)量保障流程以確保URL準(zhǔn)確適當(dāng)，因此可以獲得關(guān)于產(chǎn)品行為的有意義的結(jié)果和深刻了解。

傳統(tǒng)上，產(chǎn)品是應(yīng)用供應(yīng)商定期更新的本地?cái)?shù)據(jù)庫(kù)來(lái)攔截URL。近年來(lái)，越來(lái)越多的產(chǎn)品增加了遠(yuǎn)程數(shù)據(jù)庫(kù)查看功能，通常稱為在云安全或SaaS，可以更加及時(shí)地響應(yīng)快速變化的網(wǎng)絡(luò)，如趨勢(shì)科技、McAfee、Blue Coat和IronPort。

這些產(chǎn)品還增加了Web信譽(yù)和實(shí)時(shí)分類功能來(lái)補(bǔ)充基于數(shù)據(jù)庫(kù)的攔截方法，盡管Cascadia Labs分析了各種方法的益處，但是用戶最終關(guān)心的是產(chǎn)品對(duì)不受歡迎的URL的攔截能力而非其背后所采用的技術(shù)。測(cè)試結(jié)果如圖1所示，擁有Web信譽(yù)功能的產(chǎn)品，在各個(gè)內(nèi)容分類方面，其攔截有效性均表現(xiàn)很好。

1、安全性測(cè)試

Cascadia Lab的安全組包含五類實(shí)際威脅URL：惡意軟件、漏洞利用、網(wǎng)絡(luò)釣魚、代理和潛在不受歡迎的應(yīng)用程序。趨勢(shì)科技在安全測(cè)試中獲得了最高分，攔截了53%的威脅性URL，McAfee以42%的得分緊隨其后。其它產(chǎn)品得分在9%~31%之間。圖2說(shuō)明了各個(gè)產(chǎn)品在防范五大安全威脅中的表現(xiàn)。

惡意軟件：測(cè)試對(duì)象包括特洛伊木馬、蠕蟲和病毒等威脅。趨勢(shì)科技在這個(gè)分類中獲得了最高的攔截總分，攔截了49%的含有惡意軟件URL，為應(yīng)對(duì)指向惡意文件的URL構(gòu)筑了有用的第一道防線。McAfee以41%的攔截率排名第二。其它產(chǎn)品的表現(xiàn)并不理想，得攔截率從25%直至SurfControl的6%。

漏洞利用：攻擊者利用漏洞可以通過(guò)“即時(shí)下載”的方式給URL過(guò)濾產(chǎn)品帶來(lái)挑戰(zhàn)?！凹磿r(shí)下載”通常都是短暫的，甚至可以在高流量的信譽(yù)好的網(wǎng)站上突然出現(xiàn)突然消失。在測(cè)試100個(gè)被網(wǎng)絡(luò)漏洞利用的程序時(shí)，趨勢(shì)科技、Blue Coat和Websense表現(xiàn)搶眼，攔截了65%~68%的威脅。McAfee的得分為61%，IronPort攔截了53%的威脅，它們的表現(xiàn)均值得稱道，但是SurfControl僅攔截了0.3%的“即時(shí)下載”下載URL。

網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚測(cè)試結(jié)果的有效性可以表明產(chǎn)品在實(shí)時(shí)分析和公布網(wǎng)絡(luò)釣魚威脅的綜合能力。網(wǎng)絡(luò)釣魚URL的壽命一般都很短，這給URL過(guò)濾產(chǎn)品測(cè)試提出了一個(gè)實(shí)實(shí)在在的挑戰(zhàn)。Cascadia Labs收集了各種網(wǎng)絡(luò)釣魚威脅，包括網(wǎng)絡(luò)釣魚的目標(biāo)eBay和PayPal以及Abbey和Chase等銀行。IronPort在攔截這些URL時(shí)表現(xiàn)最為出色，攔截率達(dá)到了78%，趨勢(shì)科技的攔截率為76%，其它產(chǎn)品對(duì)這些威脅的攔截率均低于10%。

代理：提供代理服務(wù)或公布公開代理和匿名服務(wù)名單的網(wǎng)站可能成為企業(yè)的一大擔(dān)憂，因?yàn)檫@些網(wǎng)站允許員工改變URL過(guò)濾規(guī)則。在這些URL中，SurfControl和IronPort獲得了67%的最高分，其它產(chǎn)品攔截率則在52%~60%之間。

潛在不受歡迎的應(yīng)用程序：PUA（潛在不受歡迎的應(yīng)用程序）包括可疑但不一定是惡意的URL，例如廣告軟件下載。趨勢(shì)科技攔截了47%的此類應(yīng)用程序，相比該組30%的平均攔截率可謂遙遙領(lǐng)先。McAfee和Blue Coat并列第二名，攔截率為36%。

2、低俗內(nèi)容測(cè)試

URL過(guò)濾最初目的是用來(lái)攔截低俗內(nèi)容，對(duì)于這個(gè)相當(dāng)成熟的類別，六種產(chǎn)品均攔截了超過(guò)90%的低俗內(nèi)容URL，這樣的成績(jī)并不令人意外。沒(méi)有哪種產(chǎn)品可以攔截所有令人討厭的URL，但是如果產(chǎn)品都能達(dá)到80%或更好的水平，則可以認(rèn)為差異太小將不足以影響采購(gòu)決定。

3、帶寬占用測(cè)試

帶寬占用組由下載、P2P和流媒體URL組成，包括Torrent網(wǎng)站和網(wǎng)絡(luò)視頻內(nèi)容。SurfControl以大比分優(yōu)勢(shì)成為本組的獲勝者，得分為75%，而該組的平均分只有59%。IronPort和趨勢(shì)科技以62%和59%的得分分列其后。

需要注意的是，Cascadia Labs的帶寬占用測(cè)試所測(cè)試的是產(chǎn)品基于URL自身而非協(xié)議或文件類型的攔截URL的能力——國(guó)內(nèi)用戶在進(jìn)行評(píng)估測(cè)試時(shí)也可以使用后兩種方法作為補(bǔ)充。

4、通信測(cè)試

通信組包括電子郵件和聊天等個(gè)人通信以及博客和論壇等社區(qū)通信。在該組別中，趨勢(shì)科技以69%的攔截率奪冠——比第二名高出4個(gè)百分點(diǎn)，比該組平均攔截率高出7個(gè)百分點(diǎn)。趨勢(shì)科技在博客攔截方面表現(xiàn)尤為出色，攔截了80%的URL，比該組別平均攔截率高出12個(gè)百分點(diǎn)。

5、責(zé)任測(cè)試

Cascadia Labs的責(zé)任測(cè)試類別包括犯罪活動(dòng)、復(fù)仇和暴力以及非法藥品等——這些是企業(yè)需要攔截的高度關(guān)注的敏感內(nèi)容。該組中的URL通常是最難進(jìn)行分析攔截的，因?yàn)閁RL的創(chuàng)始人經(jīng)常試圖將其隱藏在時(shí)事新聞等主流內(nèi)容中。趨勢(shì)科技在該組中以微弱優(yōu)勢(shì)領(lǐng)先，攔截了71%的URL，緊隨其后的產(chǎn)品攔截率則為62%。

6、生產(chǎn)效率&娛樂(lè)測(cè)試

該組包括潛在的浪費(fèi)時(shí)間的類別，例如運(yùn)動(dòng)、游戲和娛樂(lè)。在低俗內(nèi)容組中，所有產(chǎn)品均獲得了高分。

#p#

揭開Web信譽(yù)的秘密——在云中攔截惡意軟件能否成功

傳統(tǒng)的惡意軟件嚴(yán)重依賴特征碼文件，其中包括已知惡意軟件樣本的獨(dú)特特征或“簽名”。隨著惡意軟件變得日益復(fù)雜和難以防御，防惡意軟件行業(yè)正面臨著“簽名泛濫”或“海量威脅”的難題。

最近，獨(dú)立研究機(jī)構(gòu)Richi Jennings Associates專門針對(duì)Web信譽(yù)攔截惡意軟件的能力進(jìn)行了研究，在Cascadia Labs的測(cè)試中Web信譽(yù)技術(shù)體現(xiàn)了更好的保護(hù)和更出色的性能，Web信譽(yù)技術(shù)將攔截對(duì)惡意網(wǎng)站的訪問(wèn)，從而防止用戶于無(wú)意中下載惡意軟件。該技術(shù)是通過(guò)實(shí)施審查目標(biāo)網(wǎng)頁(yè)的信譽(yù)而實(shí)現(xiàn)這一目標(biāo)的——即通過(guò)在云中信譽(yù)數(shù)據(jù)庫(kù)高效攔截與網(wǎng)站的URL。趨勢(shì)科技所謂的Web信譽(yù)是基于在云計(jì)算實(shí)現(xiàn)云安全技術(shù)的組成部分。

Web信譽(yù)的本質(zhì)

本質(zhì)上，Web信譽(yù)意味著需要掃描的文件減少，在延遲部署簽名方面，用戶的抵抗力得以增強(qiáng)?；谠频膼阂廛浖螺d攔截優(yōu)于傳統(tǒng)的基于簽名的攔截方法的四個(gè)主要原因羅列如下。

1.減少惡意軟件感染

最重要的工作就是免受惡意軟件感染。Web信譽(yù)在為已知惡意軟件部署簽名之前就消除了典型的時(shí)間延遲問(wèn)題。由于采用了基于云的方法，因此可以始終根據(jù)最新公布的信譽(yù)來(lái)驗(yàn)證下載來(lái)源。

這將有效提高判斷針對(duì)新生惡意軟件的準(zhǔn)確性。

2.降低管理費(fèi)用

由于必須的掃描工作減少，所以可以顯著改善內(nèi)存空間和磁盤輸入/輸出的使用?，F(xiàn)在這些資源可以用在實(shí)實(shí)在在的工作中，而不是執(zhí)行保護(hù)工作。

3.改善績(jī)效

總體績(jī)效應(yīng)該會(huì)因應(yīng)用Web信譽(yù)而得以改善。終端用戶的一個(gè)主要抱怨就是實(shí)施惡意軟件掃描減慢了計(jì)算機(jī)的運(yùn)行速度，降低了生產(chǎn)效率，壓力反而增加。減少掃描過(guò)程將會(huì)讓人感覺(jué)效率提高，從而讓用戶更加愉快。

假設(shè)安全廠商提供云安全的數(shù)據(jù)中心規(guī)模適當(dāng)，那么在審查合法下載的信譽(yù)方面就不會(huì)出現(xiàn)延遲或延遲不易察覺(jué)。

4.減少網(wǎng)絡(luò)占用

傳統(tǒng)的方法要求用戶在掃描之前下載惡意軟件，因此而浪費(fèi)的網(wǎng)絡(luò)帶寬令人吃驚?，F(xiàn)在這種共享資源可被用于實(shí)實(shí)在在的工作中，而不是傳輸惡意軟件。

Web信譽(yù)減少用戶來(lái)電

根據(jù)測(cè)試Web信譽(yù)部署前后用戶遷移數(shù)據(jù)的對(duì)比，可以得出產(chǎn)品支持電話數(shù)量和客戶數(shù)量的客觀數(shù)據(jù)。數(shù)據(jù)顯示，選擇遷移的客戶獲得了更好的體驗(yàn)。這些數(shù)據(jù)在三個(gè)月的時(shí)間中收集，評(píng)估了支持事件的數(shù)量。這些數(shù)據(jù)還根據(jù)支持電話是否與惡意軟件感染有關(guān)而進(jìn)行了劃分。

圖中顯示了客戶的相對(duì)數(shù)量、電話數(shù)量和與惡意軟件感染有關(guān)的電話的比例，并按照與惡意軟件相關(guān)的電話對(duì)兩組客戶進(jìn)行了比較。

平均來(lái)看，在采用了Web信譽(yù)的客戶中，與惡意軟件感染有關(guān)的支持電話大大減少。數(shù)據(jù)顯示，與使用舊版簽名類產(chǎn)品相比，電話數(shù)量下降了75%。數(shù)據(jù)在經(jīng)過(guò)標(biāo)準(zhǔn)化處理之后，僅有4%的支持電話與Web信譽(yù)的惡意軟件感染有關(guān)，而以前的產(chǎn)品中這一比例則高達(dá)16%。

但是，其它支持電話的總體數(shù)量增加了50%。數(shù)據(jù)在經(jīng)過(guò)標(biāo)準(zhǔn)化處理之后，21%的采用了Web信譽(yù)的客戶致電就非惡意軟件類事件請(qǐng)求支持，而使用舊版產(chǎn)品的客戶的這一比例則為14%。該比例的上升可能與正在遷移中的客戶的期望有關(guān)。

【編輯推薦】

1. 安全主流發(fā)展之各大“云安全”技術(shù)詳解
2. 金山：僅搭一個(gè)“云安全”殼子沒(méi)有用