用户深受传统防病毒方案的困扰
广东省某地市供电局自成立以来,对企业自身的信息化投入从未间断。经历数年的建设,目前已经实现全市8个区/县供电局网络、数据的大集中,所有的日常办公、工作调度等业务均实现自动化。但是在信息化不断深入发展的同时,各种网络威胁也随之进入网络,原有的传统防病毒体系已经不能应对日益发展的网络威胁。因病毒爆发而导致的网络中断、系统崩溃时有发生,严重影响了该供电局的日常办公。在2004年,省电网公司对全网的防病毒软件进行了统一的部署,该地市供电局也随着这个项目,对自身的安全架构进行了改造。下面我们就以此用户为例,探讨一下电力行业的网络安全防护问题。
趋势“云安全”为电力用户提供从内到外的安全
——趋势科技全方位、多层次的防护方案使网络更加稳定、更加安全
病毒技术的发展及用户的行为习惯,使用户深受传统防病毒方案的困扰
该供电局用户自建网以来,就站在全省电网公司的前沿,在全网部署M牌网络版防毒软件。至2004年,由于震荡波在内网的大规模爆发,全网有超过70%的机器感染了该病毒,使业务在2天内根本无法正常运行。此时,该用户痛下决心,全网更换为趋势科技网络版OfficeScan和ServerProtect。
当时,由于病毒种类比较单一,再配合用户对人员的投入,病毒在2年内基本受到控制,在2007年前爆发的案例基本没有。但随着2007年“熊猫烧香”的扩散,再一次打破了用户原来稳定的网络。上百台设备感染了“熊猫烧香”,病毒不断地自我变种更使用户在修复问题的时候顾此失彼。经过1周的紧急修复工作,问题终于被解决,网络得以恢复正常。此时,负责安全的用户不禁向我们提出疑问:“为什么使用了网络版防毒软件(而且是经历2个知名品牌的防毒软件),病毒爆发的事件还是不断出现?我应该如何建设防毒体系才能使业务运行得更加稳定呢?”
用户与趋势科技技术顾问经过长时间的讨论后,认为导致该现象的原因有以下几个,同时,这也是众多电力行业用户所面临的网络安全问题:
- 一是终端使用者的安全意识严重薄弱,对计算机的安全使用根本不了解,导致用户在访问各种网页时发生病毒的入侵;
- 二是由于现在计算机病毒的发展过快导致,平均每秒钟新增4支新病毒的速度,单靠客户端病毒库的更新是不能够有效防止新形态病毒的入侵。(从下面的报告可以看到这一快速增长趋势)
从2005年到2008年,TrendLabs报告网络威胁增长
云安全让用户放心
趋势科技“云安全”,让用户从此放心
在找到原因后,趋势科技向用户推荐了其历时2年半,斥资3亿美金研发地“云安全”智能网络防护方案。因为考虑到该用户是全网统一Internet出口,通过对原有Officescan的日志分析得知,超过80%的病毒是通过Web进入供电局网络的。因此,我们在用户网络的Internet出口部署第一道防线:趋势科技Web安全网关--IWSA5000。通过在IWSA5000上启用业界唯一的Web信誉评估技术(WRT),拦截了大量由内部用户发起的对可疑高风险URL的访问,大大降低了用户由于访问URL带来的风险,避免了因终端使用者安全意识不强,导致的Web访问安全问题。
另外,通过有WRT对可疑网页访问的拦截,还可以将大部分病毒变种的下载阻断,从而阻止新病毒的入侵,同时也使内网已经存在的病毒无法变种,降低了内网OfficeScan客户端的防毒压力。由于IWSA5000部署是采用透明方式,所以,IWSA5000的运行既不会对用户日常使用习惯带来影响,同时亦可以保障到用户访问网页的安全。
而实际在电力用户环境使用,也体现这样的效果:
趋势科技“云安全”技术是通过多种方式收集数据信息并动态分析恶意威胁,生成动态的URL,邮件IP,文件信誉库,并通过行为关联分析技术,建立各种信誉库的关联,当用户访问目标信息时,就可以在几毫秒内与信誉库中的URL地址、邮件IP地址等进行比对,获得安全访问建议,从源端阻止对不良URL、邮件和文件的访问,降低网络风险的侵入。目前,“云安全”技术每天接受的用户查询数量已达到50亿次,而每日评估处理的URL、邮件IP地址等更达到1200G,与此同时,因为将70%威胁特征码放在云端,因此它能够减少企业PC 70%的核心内存占用,这些是传统的病毒代码比对技术所无法比拟的。
WRT—Web信誉技术是“云安全”的关键组成部分,旨在Web威胁侵害网络或用户的计算机之前对其进行防御。Web信誉技术为用户访问的网页指定相对的信誉分数,按照多种指标进行评分,包括网站网页、历史地址变化以及其它可能揭示可疑行为的因素。然后该技术通过恶意行为分析进行深入评估,监督网络流量,识别任何来自Web的恶意活动。趋势科技Web信誉技术还执行网站内容爬行和扫描,补充对已知恶意或被感染网络的分析结果。然后按照Web信誉评分封堵对恶意网页的访问。为了减少误报率、提高准确性,趋势科技的Web信誉技术采用细颗粒的评估技术,体现为对具体的网页及其中涉及的各种链接的安全性进行评估,而非促颗粒的对整个站点安全性一刀切的信誉评估,因为有时候合法网站中仅仅只有部分内容遭到攻击。目前,这一“云安全”的核心技术,已经成功应用于趋势科技网关防护产品—Web安全网关(IWSA)和终端防护产品—趋势科技防毒墙网络版(OfficeScan)之中,成为“云安全”智能防护网络的重要组成部分。
结语
在分析用户环境的病毒数据后,趋势科技还发现,用户环境的另一个威胁传播途径是--USB。因此,除了在网关进行安全防护外,趋势科技把用户使用的OfficeScan从7.3升级到8.0,并启动了OfficeScan8.0内嵌的技术--USB病毒防御模块,以此来控制U盘病毒在内网的扩散。
另外,针对漫游客户机(经常出差的计算机),我们对此类客户端也同样激活WRT技术。这样,即使用户携带笔记本出差在外办公,也能够享受到趋势科技提供的“云安全”技术,对访问的可疑网页进行拦截,保证用户设备不受未知威胁的感染。
最后,除了在技术层面给用户支持外,该电力用户还采用了趋势科技专家值守服务。采用了趋势科技专家值守服务后,趋势科技立刻安排在上海的MOC工程师为用户提供7*24小时的响应及支持,用户发生的所有产品以及病毒的问题,均能通过VIP通道直接提交给趋势科技的MOC中心。该问题由MOC中心的工程师进行直接处理,使该用户的问题能够在最短的时间解决,保障用户的业务不会再次出现长时间中断的情况。
至今为止,该供电局使用趋势科技整体防毒体系已经有1年半的时间,通过对用户防毒体系的巡检,可以发现IWSA5000每周均能拦截大量的网页威胁(包括可疑的网页、木马、间谍软件等)。相对于部署网关之前,OfficeScan服务器上所看到的病毒日志下降了70%以上,大大降低了桌面的维护成本。对于用户来讲,最大的价值是在于:在病毒发展迅猛的时代,1年半来,从没有出现因为病毒事件而导致网络中断或业务停顿的生产事故。
结语
在电力行业,终端用户的上网行为,是导致企业网络感染病毒的最大风险之一,而且这个风险在现阶段难以通过教育的方式来改善。另外,日益激增的Web威胁,使得传统的病毒库更新防护方案难以应对。
趋势科技的 “云安全”解决方案,恰恰是为电力用户解决这两个难题。一、通过对用户访问网页进行风险度评估,减少用户对高风险网页访问的几率;二、通过在云端服务器的海量计算,可以解决静态病毒库所不能解决的未知威胁风险。所以,在电力用户的网络中部署趋势科技整体防病毒解决方案,可以使电力用户的网络更加稳定、更加安全。
网友评论