背 景
网络带给我们的不仅仅是快乐,还有木马、恶意插件、间谍软件、僵尸网络缠身的烦恼。上网冲浪、浏览网页时,它们会在后台不知不觉地下载安装。运行于系统中的木马、恶意插件、间谍软件等不但占用系统资源,频频弹出广告、强行劫持浏览器,同时还可能泄漏个人隐私、将用户控制为“肉鸡”,成为僵尸网络的一部分。
据瑞星统计,今年一季度瑞星拦截到1亿9千多万个挂马网页,共有8亿人次网民遭木马攻击,平均每天有889万余人次网民访问挂马网站。McAfee的研究报告显示,今年一季度网络犯罪分子通过一系列新的恶意软件已经劫持了1200万新的电脑,相对于2008年该数字增长了50%;其中美国僵尸电脑数量世界最多,比例为18%;中国紧随其后,比例为13.4%。
挑 战
普通网民们通常认为只有不良网站才会带毒、才会被挂马、被安装恶意插件。但迅速兴起的门户、搜索引擎、SNS社交网站等,良好的信誉和对Web2.0应用的支持吸引了黑客的关注。尤其很多票务网站、电影下载网站、成人及色情网站已经成为黑客挂马、恶意插件的重灾区。
目前木马的“寿命”通常最短的1天,最长的是5天,这给木马的识别和防范提出巨大挑战。同时黑客为追逐利益最大化,不仅通过木马/恶意插件直接窃取用户网游帐号、网银帐号等信息(央视3?15曝光过网上出售个人信息),同时还会控制用户电脑以组成僵尸网络,只要付费,黑客即可调动僵尸主机对特定组织、特定网站等发动攻击。
用户电脑均安装杀毒软件、360安全卫士等并保持更新可以很大程度上避免这些风险,但企业、政府、学校等大型组织中并非每位用户都有足够的网络安全意识和IT能力,依赖于终端用户“自觉”的管理方法已经给众多组织带来了各式安全问题。
方 案
“没有哪种产品或方案可以解决所有安全问题”,我们采访国内最大的前沿网络设备供应商深信服科技副总裁张开翼先生时说到,“如何避免这些威胁,提升上网安全性?也是很多客户在选择上网行为管理产品时关注的问题之一。作为上网行为管理市场的领导者,我们认为有以下几步需要做”。
终端检查与网络准入。如果用户的电脑漏洞百出,那么他在上网时就更容易感染各种威胁,不仅导致个人信息被泄露,甚至感染内网更多用户。所以深信服上网行为管理要检查用户终端安全达标情况,是否安装、运行、更新指定的杀毒软件、防火墙软件等。安全不达标就不让上网。
识别和过滤互联网威胁。成人、色情网站是病毒、黑客挂马、恶意插件的重灾区,无论出于安全还是法律遵从的考虑,都要过滤掉这些网站。然而此类网站不仅数量多、而且新增速度快,传统的基于URL库的管理已经捉襟见肘,只有根据网页内容、特征等结合人工智能技术才能有效识别和过滤。从一些不知名网站下载软件并安装时,恶意插件、流氓软件等也会悄无声息抑或明目张胆地强行安装。比较理想的方案是只允许用户到新浪下载、华军软件园等大型知名网站下载软件,这可以将风险降到最低。另外看似正常的网页却挂载木马、恶意插件,如果组织互联网出口设备能识别和过滤此类威胁,结合用户终端的杀毒软件等,将为组织网络构筑更全面的安全防御体系。
出现问题后的被动处理。尽管采取各种安全防护措施,然而现实是我们无法确保100%安全,仍然会有木马、间谍软件等感染用户电脑,甚至被黑客远程控制,成为僵尸网络中的“肉鸡”。内网被感染的终端与外网黑客通信虽然经过组织的防火墙等安全设备,但黑客早已将通信流量伪装成HTTP、HTTPS、SMTP、POP3等协议传输,导致防火墙等传统安全设备束手无策。深信服上网行为管理产品基于数据包应用层数据的深层检测才能发现黑客通信并阻断,保护内网安全。
“深信服科技的上网行为管理产品可以通过以上几步提升组织的上网安全性,但技术只是一方面,IT管理制度及其严格执行也必不可少”,深信服科技副总裁张开翼如是说:“三技术、七分管理”才能让网络给我们带来更少的烦恼、更多的快乐。