模板防毒墙采购充分必要性说明0807.docx
- 文档编号:6784993
- 上传时间:2023-05-10
- 格式:DOCX
- 页数:7
- 大小:336.46KB
模板防毒墙采购充分必要性说明0807.docx
《模板防毒墙采购充分必要性说明0807.docx》由会员分享,可在线阅读,更多相关《模板防毒墙采购充分必要性说明0807.docx(7页珍藏版)》请在冰点文库上搜索。
模板防毒墙采购充分必要性说明0807
防毒墙采购充分必要性说明
1网络病毒日益猖獗
近几年恶意程序数量呈爆炸式增长,计算机所面临的安全威胁已不再是传统的病毒,而是更加复杂的恶意程序(广义上的病毒)。
它们包括文件病毒、邮件病毒、网络蠕虫、木马、间谍程序、后门程序、广告软件、流氓软件、混合攻击程序,这些恶意程序通过网络漏洞、网页浏览、文件共享、邮件、文件下载等各种方式植入计算机和进行网络扩散,同时也给安全防御带来了极大的挑战。
据国际权威的第三方监测组织AV-Test统计数据看,当前互联网上已有超过1600万种恶意程序,并且还在不断激增,每小时有1883多种新病毒产生。
这些新型病毒具备以下特点:
攻击目标明确、恶意程序定制化,长期、不间断的潜伏;攻击者多使用未知恶意程序,以特征码对比为基础的安全产品无法辨识;恶意程序多由内向外发起恶意通讯,频率低,入侵防御设备难以发现异常。
目前建设的边界UTM正是采用特征码对比技术来拦截,对新型病毒攻击没有起到有效的防护作用。
2国家网络安全政策演变
《网络安全法》于2017年6月1日起正式实施,《网络安全等级保护》(等保2.0)也将于2018年底之前正式实施,这对保障我国网络安全、维护国家总体安全具有深远而重大的影响。
《网络安全法》第二十一条提到,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务:
采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
这说明网络安全等级保护制度已经上升为法律层面上的强制性义务,同时强调了计算机病毒防护是必要的技术措施之一,这包括了网络和主机的恶意代码防范两方面技术要求。
无独有偶,在即将实施的等保2.0征求意见稿中发现,安全区域边界设计技术要求在安全区域边界设置防恶意代码网关。
网络边界的访问控制扩展到应用层,网络边界的其他防护措施进一步增强,不仅能够被动的“防”,还应能够主动发出一些动作,如全面监控、报警、拦截。
从我国的法律法规的变化来看,病毒防护要求已不仅限于主机防病毒,还包括网络防病毒,同时对网络防病毒提出了更高的要求。
3内网不是绝对的安全
伊朗核电站“震网病毒”事件告诫我们,新型病毒攻击事件正在发生,内网不是绝对的安全。
物理隔离从理论上断绝了内部信息系统与外界的一切联系,使之成为“信息孤岛”,但实际上内网和互联网、地市二级单位内网一直通过某种逻辑关系来实现信息共享,这所谓的物理隔离网络与外界建立了通讯链接,有信息交互就有产生安全风险的可能。
据FBI和CSI曾对484家公司进行的网络安全调查结果显示:
超过85%的安全威胁来自内部网络,由于内部人员泄密所导致的资产损失高达6000多万美元,它是黑客所造成损失的16倍、病毒所造成损失的12倍。
以下是某中级人民法院业务内网在2017年10月19日至10月23日五天内发现的网络威胁情况:
类型
数量
恶意软件合计
3845
CONFICKER-SMB
3
DNSresponseofaqueriedmalwareCommandandControldomain
2586
MS08-067_NETAPI_SERVER_SERVICE_BUFFER_OVERRUN_EXPLOIT_EXTRACTED-TCP
28
NVP-ExploitOPS
1213
PotentialThreat(FilewasanalyzedbyVirtualAnalyzer)-HTTP(Response)
2
PotentialThreat(FilewasanalyzedbyVirtualAnalyzer)-SMB
8
W97M_MARKER.BO-HTTP(Response)
3
W97M_NSI.A-HTTP(Response)
2
其中内网服务器和终端分别感染病毒情况:
全省法院的业务内网是互通的,中院的服务器和终端在访问高院服务器应用时会把病毒传播到高院,若没有响应技术手段对病毒进行控制拦截,一旦病毒爆发将覆盖到全省范围内,严重的话甚至会传播到最高法,后果不堪设想。
所以,在内网需要加强病毒防范技术措施,包括:
应有完善的离线升级服务,使用户随时拥有最新的防病毒能力;不仅有传统的手动查杀与文件监控,还必须对网络层进行实时监控,防止病毒入侵;产品厂商应具备快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案。
4防病毒软件零散没有统一应用
内网原来部署的赛门铁克桌面防病毒软件已经超出服务期,赛门铁克属于国外品牌,不符合自主可控的安全原则,无法统一更新病毒特征码,导致大量新病毒出现的今天无法有效地抵御威胁,桌面计算机的病毒防护能力相对较低。
特别是个别用户自行安装互联网上的免费杀毒软件,这些非官方渠道提供的软件无法保证其自身的安全性,目前没有统一部署和统一管理,最终导致病毒、木马软件、间谍软件、僵尸程序等恶意程序经过U盘使用,网络共享等方式悄无声息的入侵到网络和计算机中来。
然而,依据信息安全建设的“木桶原理”,一台计算机不安全,就会降低整个企业的信息安全治理水平。
所以,只要还有未部署防病毒软件的不安全计算机存在,信息安全水平就会受到极大的影响。
5构建立体的防护架构
传统的病毒扫描和处理方式主要是通过客户端杀毒,通过防毒软件统一对已经进入业务内网的病毒进行处理,这是一种被动的防护方案。
目前,法院的服务器和终端上都部署了防病毒软件,在出现新的病毒时,管理员往往会发现他们分身乏术,需要确保网络中的每一台终端设备,不论是笔记本、PC机还是服务器都要升级到最新的病毒库,如果哪一个节点没有按要求进行更新,就会成为网络中的一块短板,病毒将会乘机而入,迅速对我们的系统造成影响,从而造成巨大破坏。
某垂直行业用户在省局互联网络边界部署了防毒墙、终端安装了防病毒软件,地市分局只在终端上安装了防病毒软件。
运行一年的统计结果如下图,南海分局在1月和3月出现过病毒爆发事件,省局部署的网络防毒墙有效地控制了病毒扩散,省局终端病毒查杀数量明显低于地市分局。
针对以上问题,业界提出需通过网关对内网的进站数据进行病毒扫描,把病毒完全拦截在数据中心的外部,以减少病毒渗入后造成的危害,同时降低服务器防病毒软件的防护压力,把服务器的性能释放出来用于承载更大的业务访问需求。
由“单兵作战”延伸到立体化防护架构,就好比古代军事防御战场上不仅需要英勇善战的士兵(防病毒软件),还需要坚固厚实的城墙(防毒墙),这才能守护好身后的家园(数据中心)。
6防病毒网关核心技术
之前提到的新型病毒的威胁严重性与防病毒网关的重要性,设备要达到有效的病毒防护功能与符合带宽要求的性能都与核心技术集成有密切的关系。
防病毒网关的核心技术是防病毒引擎,引擎可以理解为查杀机制,无论是检测还是拦截都依赖于引擎。
每个拥有独立引擎的网关供应商都有自己的病毒库收录系统,还包括防御查杀技术。
通过业界权威的安全机构调查数据发现,目前在国内拥有自主知识产权的防病毒引擎供应商屈指可数,国内供应商为了减轻开发的难度,大部分采用OEM引擎,OEM引擎一般来说不包括防御查杀技术。
大多UTM或下一代防火墙厂商选择不投资研发资源在病毒防护技术上而选择了集成第三方的技术,这种集成方式有三大问题:
1.第三方的技术需要额外购买,导致这些厂商无法降低成本或把病毒防护功能包括在基本功能模块里
2.网关厂商通常不了解第三方技术,后果是从技术或客户支持上无法提供最好的服务
3.第三方技术不允许公开程序代码无法让网关厂商做到最好的性能优化,这也是大多UTM病毒防护功能开起后性能大幅下降的原因之一
所以,选择专业的防病毒网关才能保障防病毒的功能和性能。
7防病毒网关对网络性能影响小
专业防毒墙均采用X86架构,由于Intel处理器内置了大容量的高速缓存,使得防毒墙系统频繁读取各类特征库时(如应用特征库、URL分类库、病毒特征等),能够极大的减少系统频繁访问内存的次数,从而避免其所带来的延迟,这样才能保证防毒墙在同时开启多种安全功能的情况下,性能依然可以维持在可用的范围。
国内研究机构在实验室搭建了一套仿真环境,模拟流量中有40%的恶意软件,检测部署国内知名品牌防毒墙(吞吐量1Gbps)产品后的性能数据。
其测试结果如下图:
可以看到,在开启防病毒扫描后,部署防毒墙后的最高性能可达:
1.吞吐量943Mbps,延时为0.249秒;
2.此时的设备CPU使用率为60%,内存使用率为73.28%;
3.持续1周的压力均无影响。
从此数据可以看到,部署防毒墙后网络延时可满足业务正常访问需求。
8专业防病毒网关解决方案
专业防病毒网关解决方案将为网络区域边界安全提供守卫,保护网络流量的安全,检测并拦截进出流量的病毒攻击和恶意行为。
1)设备使用高性能流扫描引擎技术:
一次性扫描(在数据流扫描的过程中,并发流扫描引擎无需将应用会话中所有数据包在内部进行重组缓存并对其内容进行扫描完成后再传送到客户端,而是将接收数据包重组缓存和数据包传输到终端并行处理,只是在扫描完成前留下几个特定字节,在确认未存在内容安全隐患后再发送到客户端,使得网关的内容安全处理能力得到大大的提升),不存在传统网关内容扫描所造成的性能瓶颈问题,从而在保证安全扫描的前提下,不减低原来的访问速度。
2)降低服务器及桌面端恶意软件清除成本,保证业务连续性。
防病毒网关部署在区域边界,用于检测并阻止恶意程序,如病毒,蠕虫,僵尸网络,间谍软件,网页木马,邮件病毒等;可拦截间谍软件的回拨企图,阻止间谍软件下载;阻止恶意程序通过即时通信程序进行扩散;防止访问与间谍软件或网络钓鱼有关的网站;阻止恶意程序通过邮件进行扩散。
3)病毒特征码采用大数据情报技术,既包含全球威胁情报数据库,还针对中国地区提供本地病毒特征码,确保中国地区特有的病毒能及时查杀。
4)防病毒分析探针具备识别和应对新型网络威胁能力,提高对由恶意威胁造成的数据丢失风险的响应速度,准确定位病毒源和病毒感染原因,检测传统的安全产品无法侦测的隐藏恶意威胁和破坏性的应用。
降低误判率,摆脱过于依赖人工处置、人力成本高的问题。
5)专业防病毒网关解决方案架构图
A.防病毒网关透明串联在网络中,下联服务器交换机,上联出口防火墙,负责对病毒流量进行过滤;
B.防病毒分析探针旁路部署在服务器交换机,分析防病毒网关无法判断的可疑病毒文件,并侦测网络中潜在的病毒行为;
C.防病毒管理平台(软件)建议部署于安全域中,或网络可达的计算资源上,集中管理防病毒网关和防病毒分析探针的安全日志,实现安全状态可视化。
9方案实践案例
在2017年7月,某省级垂直行业单位爆发了名为“WORM_WCRY.D”的病毒,该病毒利用了MS17-010漏洞进行传播,传染性极强;当天下午被发现,迅速通过防病毒分析探针确认病毒类型,确认感染源后通知网络科利用防毒墙限制感染源访问主机;同时安排工程师对感染源机器进行安装防病毒客户端和打系统补丁的操作,确认无病毒后恢复网络。
通过防病毒分析探针日志定位厅内感染源,得知感染源主要为县、市基层单位;迅速利用部署在纵向网络中的防病毒墙有效拦截永恒之蓝等新型病毒。
3天后防病毒分析探针监控到最后一条传播事件,当日处理了9台厅内的感染病毒的PC后,截止到8月底,厅内未再发生永恒之蓝的感染事件
以下为防病毒探针针对永恒之蓝病毒的检测统计(7月15日至7月31日)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 模板 防毒 采购 充分 必要性 说明 0807