【51CTO.com 綜合消息】信息安全威脅多樣化和復(fù)雜化的趨勢日益明顯，現(xiàn)有單一的安全防護(hù)體系及被動的策略難以有效應(yīng)對。聯(lián)想網(wǎng)御集成所有已部署的病毒/攻擊檢測計算資源形成主動云防御系統(tǒng)，為用戶提供高效的整體網(wǎng)絡(luò)安全解決方案。

一、主動云防護(hù)系統(tǒng)示意圖

二、基于安全設(shè)備云的安全防護(hù)

主動云防御系統(tǒng)主要包含3個部分：安全防護(hù)集群、安全檢測集群、主動云防御服務(wù)器。安全防護(hù)集群由連接到主動云防護(hù)系統(tǒng)中的所有安全設(shè)備組成，負(fù)責(zé)從服務(wù)器下載并執(zhí)行安全防護(hù)列表；安全檢測集群主要由分布式部署的UTM、IPS、AVG等設(shè)備和惡意網(wǎng)站探測服務(wù)器組成，負(fù)責(zé)實(shí)時檢測攻擊、病毒、木馬等惡意行為，并上傳到服務(wù)器，安全檢測集群中設(shè)備也可能屬于安全防護(hù)集群；主動云防御服務(wù)器負(fù)責(zé)采集信息，并自動驗證、歸并為安全防護(hù)列表下發(fā)到安全防護(hù)集群。

整個系統(tǒng)工作流程可以劃分為安全防護(hù)列表收集流程和安全防護(hù)列表過濾流程，其中，安全防護(hù)列表收集流程執(zhí)行在惡意網(wǎng)站探測服務(wù)器、UTM、IPS、AVG設(shè)備群、主動云防御服務(wù)器上，具體工作流程如下：  

◆惡意網(wǎng)站探測服務(wù)器采用網(wǎng)絡(luò)爬蟲的方式，遍歷各個網(wǎng)站上的頁面，并下載頁面上鏈接指向的文件資源，然后利用商用病毒檢測工具進(jìn)行多重檢測，如果在某個文件中檢測到病毒，則把該文件對應(yīng)鏈接的URL信息和病毒名稱傳送到主動云防御服務(wù)器。  

◆AVG和UTM設(shè)備中的病毒檢測模塊，對通過該設(shè)備的網(wǎng)絡(luò)流量進(jìn)行分析和應(yīng)用報文重組，然后進(jìn)行病毒檢測，如果發(fā)現(xiàn)病毒，則把該病毒對應(yīng)的URL存入事件歸并與關(guān)聯(lián)模塊中的事件隊列中。最后定時向主動云防御服務(wù)器提交已歸并的病毒名稱、URL等信息。  

◆AVG和UTM設(shè)備中的入侵檢測模塊，對通過該設(shè)備的網(wǎng)絡(luò)流量進(jìn)行協(xié)議分析和統(tǒng)計，判斷該流量中是否包含入侵攻擊行為，如果發(fā)現(xiàn)入侵攻擊，則把該攻擊對應(yīng)的攻擊名稱、地址等信息存入事件歸并與關(guān)聯(lián)模塊中的事件隊列中。最后定時向主動云防御服務(wù)器提交已歸并的入侵攻擊名稱、地址等信息。

主動云防御服務(wù)器收集上述3種病毒和攻擊信息，首先進(jìn)行合并，剔出重復(fù)冗余的信息，然后進(jìn)行校驗，剔出老化或失效的地址、誤報信息、內(nèi)部網(wǎng)絡(luò)地址等無效信息，最后整理成包含病毒或木馬的URL列表和發(fā)起攻擊的地址和服務(wù)端口的安全防護(hù)列表。主動云防御服務(wù)器定時把該列表下發(fā)給所有云防護(hù)系統(tǒng)內(nèi)的網(wǎng)關(guān)設(shè)備。

安全防護(hù)列表過濾流程包含兩個部分：網(wǎng)關(guān)設(shè)備從主動云防御服務(wù)器上獲取安全防護(hù)列表，并在經(jīng)過該設(shè)備的流量中攔截針對惡意站點(diǎn)URL的資源請求，以及來自具有攻擊企圖的IP地址的網(wǎng)絡(luò)訪問。因為檢查惡意站點(diǎn)URL所需要的計算和存儲空間遠(yuǎn)小于檢查整個文件是否包含病毒所用的資源，檢查攻擊企圖IP地址所需要的計算和存儲空間遠(yuǎn)小于檢查整個報文是否包含入侵攻擊所用的資源，所以，通過云防護(hù)系統(tǒng)，所有已部署的網(wǎng)關(guān)設(shè)備均具有病毒和攻擊防護(hù)功能，用戶網(wǎng)絡(luò)信息安全可以得到最大化的保障。

三、基于全局和本地相結(jié)合的主動防護(hù)  

在云防護(hù)架構(gòu)的基礎(chǔ)上，通過全局惡意網(wǎng)站掃描和本地網(wǎng)絡(luò)系統(tǒng)漏洞掃描，整個系統(tǒng)實(shí)現(xiàn)了攻守兼?zhèn)涞闹鲃臃雷o(hù)功能。全局惡意網(wǎng)站掃描系統(tǒng)能主動搜索包含病毒的URL信息，并下發(fā)到各個設(shè)備中進(jìn)行提前阻斷。在本地，UTM、IPS、防火墻等產(chǎn)品均內(nèi)置漏洞掃描功能，在部署時，可以通過針對用戶關(guān)鍵服務(wù)器的主動漏洞掃描，完成用戶安全狀態(tài)評估，并根據(jù)用戶環(huán)境自動生成安全防護(hù)列表。

四、系統(tǒng)價值

首先，主動云防御系統(tǒng)通過共享所有設(shè)備的檢測能力，提高了對網(wǎng)絡(luò)安全威脅的檢測效率。對于整個系統(tǒng)而言，一個“掛馬網(wǎng)頁”僅需要完整檢測一遍，整個網(wǎng)絡(luò)中其他所有安全設(shè)備就會自動阻斷該網(wǎng)頁的下載請求。被檢測到的網(wǎng)絡(luò)威脅越多，設(shè)備中可以節(jié)省的安全就越多，形成良性循環(huán)，從而最終為用戶提供更快的檢測速度和更好的網(wǎng)絡(luò)服務(wù)質(zhì)量。

其次，主動云防御系統(tǒng)通過主動掃描本地漏洞和全局的病毒、木馬網(wǎng)站，把病毒和入侵等安全防護(hù)由被動轉(zhuǎn)變?yōu)橹鲃?。以入侵防護(hù)為例，傳統(tǒng)的入侵防御功能必須要在包含入侵行為的數(shù)據(jù)報文部分或全部到達(dá)網(wǎng)關(guān)后，才能進(jìn)行檢測和阻斷，主動云防御系統(tǒng)可以提前阻斷對可能發(fā)起攻擊的地址的網(wǎng)絡(luò)請求。

最后，主動云防御系統(tǒng)整合了所有設(shè)備的檢測能力，消除了安全檢測的盲點(diǎn)，提高了整體安全性。和執(zhí)行實(shí)時病毒掃描或攻擊行為分析相比，下載并執(zhí)行安全防護(hù)列表所占用的計算資源基本可以忽略，對于配置很弱的低端防火墻和性能要求嚴(yán)格的高端安全設(shè)備，都可以通過這個系統(tǒng)，獲得病毒和入侵的防護(hù)能力。

五、總結(jié)

聯(lián)想網(wǎng)御的云防御系統(tǒng)，利用云中廣泛的信息反饋節(jié)點(diǎn)，大范圍地跟蹤安全風(fēng)險，并將防護(hù)能力快速分發(fā)到各個防護(hù)節(jié)點(diǎn)，集合其全局和本地兩種主動風(fēng)險探測的功能，能夠?qū)崿F(xiàn)大范圍的主動監(jiān)控和防護(hù)，對各種威脅進(jìn)行實(shí)時響應(yīng)，最終加強(qiáng)了對網(wǎng)絡(luò)攻擊、病毒/木馬、網(wǎng)絡(luò)釣魚等復(fù)雜網(wǎng)絡(luò)威脅的響應(yīng)能力，提高了用戶的網(wǎng)絡(luò)整體安全性。