病毒自身的破坏性固然可怕,但最让人们"谈毒色变"的恐惧感还在于病毒的自我繁衍能力和传播能力。如果将计算机病毒的传播与人类的疾病传染相比,那么病毒的自我繁衍和传播能力就类似于人类疾病的扩散和传染。
扩散是指在一个系统内的发散,例如癌症,它之所以让人们望而生畏就是因为它强大的自我繁衍和扩散能力。病毒就如癌细胞的扩散一样,迅速地发散到整个业务系统,从而导致业务系统崩溃的严重后果。
传染是指在不同系统间的传播,例如传染病SARS,不但可以借助直接接触进行传播,而且可以借助于水、空气等转播,SARS给人们带来的恐惧不仅来源于病毒体本身,而且还来源于广泛的传播,只有有效地控制传播途径才是安全之本。
防病毒与安全网关结合的重要性
通过将计算机病毒的传播与人类疾病的传染相对比,可以更直观地了解计算机病毒对信息系统甚至整个互联网危害的严重性。然而不幸的是,计算机病毒 就是一种扩散性与传染性相结合的"信息化"疾病,要使病毒对信息系统的危害最小化,就必须既要做到对病毒查杀又要做到对病毒的隔离,这就自然而然地需要在 业务系统的关键位置设置病毒查杀与控制的"关卡",即防病毒网关。
防病毒网关充当着"一夫当关,万夫莫开"的角色,通过对网络数据流进行病毒扫描,可以有效地阻止病毒借助网络流量在网络中的扩散。一方面,通过 将防病毒网关部署于企业网络的互联网出口处,在病毒到达企业网之前就将其扼杀掉,可以有效地提高整个网络主机的病毒免疫力,还可以避免网络内部的主机成为 网络病毒的跳板,把病毒传播到网络外部的主机;另一方面,还可将防病毒网关部署在企业内部的各个关键业务区域的边界,避免病毒在内网中的扩散,保护关键系 统资源,将病毒危害降低到最小。
随着安全威胁的不断细化,安全网关的种类不断增加,包括防火墙、防垃圾邮件网关、防DDoS网关、VPN网关,UTM(统一威胁管理)等,那么究竟防病毒与哪种网关结合才能发挥防病毒的最大优势呢?
防病毒与UTM结合才能使优势最大化
防病毒引擎与不同的单一网关产品结合均可以满足一个层面的网关防病毒需求,如与防垃圾邮件网关结合可以实现邮件防病毒功能;与防火墙结合可以实 现HTTP网页浏览的病毒过滤。那么,有没有一种方法可以让防病毒引擎与网关产品的结合能够满足多个层面的网关防病毒需求,可更好地防范来自于互联网浏 览、文件共享、电子邮件等各种途径的病毒、蠕虫、木马及混合攻击的危害呢?
UTM是集多项安全功能于一体的统一威胁管理设备,防病毒引擎只有与UTM的结合才能使网关防病毒的优势最大化,才能最大地发挥网关防病毒的功效。下面将从几个方面来详细分析防病毒引擎与UTM设备结合的优势。
从病毒传播的途径看
病毒与防病毒的博弈从病毒产生的那一刻起就从未停止过,并且愈演愈烈,病毒技术发展呈现技术深入化和制作简单化的特点,即病毒的技术越来越深 入,危害越来越大,但是病毒的制作却越来越工具化,借助于编译好的病毒生成工具,任何人都有可能生产并传播病毒。对病毒而言,其赖以生存的基础是"传播" 性,"传播"已成为病毒发展的新的核心技术,因此对病毒的防范,首先要从其传播途径来考虑。
病毒的传播除了基本的HTTP网页浏览,还可通过电子邮件系统、即时通信软件(IM)、局域网共享、应用系统漏洞或移动介质(U盘)等多种方式 进行传播,甚至可以通过VPN隧道将病毒传播到企业内网的核心服务器上。可以说,什么样的网络应用,就会有什么样的病毒传播途径,因此防病毒技术与网关的 结合必须满足对多种途径病毒传播的控制,而UTM具备防火墙功能,VPN功能、邮件过滤功能,IM/P2P控制功能等多项功能,因此防病毒与UTM的结合 才能最完善地控制病毒传播的途径。
从病毒技术的发展看
病毒作为危害系统安全的"黑势力",它在自身不断发展壮大的同时也在积极寻求与其他"黑势力"的融合形成"黑势力联盟",目的就在于加深威胁的 破坏性。目前,病毒技术与黑客攻击技术的融合是病毒发展的技术趋势,因而需要一种防病毒技术与入侵防御技术相结合的网关产品来遏制这种趋势。而入侵防御功 能(IPS)本身就是UTM的一个基本模块,因此,防病毒与UTM的结合才最符合网关病毒防御技术的方向。
从病毒分析的有效性看
安全建设是一个"发现问题→分析问题→安全改造→降低风险"的轮回过程,因此网关防病毒的目标也不仅仅是为了能够发现并过滤病毒,而且还要通过对病毒的种类、传播方式、病毒源、病毒目标等一系列信息进行综合的分析,从而得出病毒防范的措施、指导安全改造建设。
对病毒的分析,主要依赖于病毒日志的分析,但仅仅依赖于病毒日志来分析安全威胁是远远不够的,病毒日志还需要与防火墙访问控制日志、入侵防御日 志、垃圾邮件过滤日志、VPN日志及IM/P2P控制日志等进行综合的交叉分析才能得到详细的关于病毒的类型、传播途径、病毒源、病毒目标,高风险资产等 详细的安全信息。因此,从病毒分析的有效性来看,防病毒与UTM的结合才最有利于网关安全防护的整体需求。
通过本节的分析得出,在当前病毒技术发展的前提下,防病毒与网关结合势在必行。而UTM是承载防病毒模块最为理想的网关平台,防病毒与UTM网 关的结合具备天然的优势。另外,当防病毒与UTM结合之后,还需要借助精确的病毒检测技术才能使作为防病毒网关的UTM发挥最大的优势。