恶意软件防御能力
信息化的快速发展,使得企业与互联网之间的协作愈发紧密,威胁也随之而来。知名病毒研究机构ICSA的统计表明,93%的病毒来自网络传播。面对如此严峻的网络环境,您的企业是否还仅依靠反病毒软件苦苦支撑?
日益加剧的威胁让Web安全网关(Secure Web Gateway,SWG)逐渐成为企业边界网络安全防护的新宠。众所周知,基于OSI模型第七层(应用层)的Web安全网关具有反恶意软件、上网行为管理以及安全审计等诸多安全检测或管控能力。然而面对铺天盖地的广告和琳琅满目的Web安全网关设备,如何选购真正满足企业安全需求的Web安全网关?拨开迷雾,让我们一起来揭开SWG选购谜团。
这次主要向大家介绍Web安全网关中最重要的功能—防病毒
1.恶意软件防御能力
作为一款合格的企业级Web安全网关,强大的反病毒能力是必不可小的,但遗憾的是这也是制约Web安全网关性能突破的最关键因素之一。如何提升SWG的防病毒能力也成为各个主流厂商关注的焦点。
通常恶意软件特征检测手段从其工作原理上可以概括为:特征模式匹配,特殊病毒程序脚本处理。值得注意的是90%的恶意软件检测依托特征模式匹配来完成。但是以特征模式匹配为主的文件扫描会占用95%以上的CPU资源。对于企业而言,每天需要处理大量的文件和数据,这就对Web安全网关的病毒扫描能力提出了严峻的要求。
为了提升病毒扫描能力,大多数厂商都会增加CPU的数量,但即使用到8核CPU也很难支持2000以上用户,如何突破2000用户?目前主流解决方案主要有两种:一种是串流扫描技术;一种是借助ASIC加速卡来实现对恶意软件的深度内容检测与特征匹配。客观的讲,这两种扫描技术各有所长,但是对于企业而言,找寻性能和检测率、漏判之间的平衡,将成为企业防病毒成败的关键。
对于以上两种病毒扫描技术之间的取舍,业界领先的Web安全网关厂商Anchiva(安启华) 技术副总郑先生表示,“串流扫描方案由于优先考虑用户的网络使用体验,不得不简化病毒扫描流程,对一些较复杂的文件不能进行深入的检测,造成一些病毒的漏判;另外当网络流量较大时,很多扫描不能在文件传输之前完成,这就造成实际上的病毒扫描功能失效。2005年时我们Anchiva采用串流的病毒扫描技术,http吞吐量超过1G,但很快我们发现漏判漏查的问题无法避免,所以为了解决漏判漏查问题,从2006起,Anchiva开发了基于ASIC芯片的深度内容检测和特征匹配技术,深度内容检测提高了病毒的检测率,同时通过ASIC芯片的加速,成功的解决了扫描性能问题,大大减小了漏查的概率,http吞吐量亦可高达900M。”
图:硬件高速扫描
另一方面,长期以来Web安全网关在恶意软件防护方面一直存在一个误区,即以厂商的恶意软件特征数量来衡量其优劣。其实不然,不论恶意软件特征数百万还是千万数量级其实只是基础,更值得关注的应该是Web安全网关自身板载特征库容量以及威胁防御体系的建设。目前Anchiva板载特征库200多万,并且透过板载特征库能够检测的恶意软件数量超过800万。
网友评论