【趋势云安全】从企业实际来看待云安全

sddmao

首先来个声明，猫猫写这个属于支持下版区活动，一等奖我坚决不要，机会留给大家。
至于剩下的如果多，看我码这么多字的份上，好歹给点吧~

趋势这次活动奖品很丰厚，参加的人却不多，主要是给的命题比较难啦，毕竟论坛里接触到企业级安全的很少，下次建议官方还是弄些简单些的活动，参与的人会更多哦~

声明：本文引用部分文字来源于趋势官方说明文档，图片也来自于趋势官方网站。版权归趋势所有，其他文字版权归我所有。由于是自己的一点不成熟的想法，本文除在卡饭论坛、猫猫之家发布外，禁止任何形式的复制或转载。




据说趋势科技是首先提出云安全概念的公司，不错不错，有远见啊，(此处省略赞美文字5000~~~)·······

但作为企业来说，我看中的只是我需要的功能是否都可以实现，而不在乎何时提出云安全，瑞星、诺顿也都有类似的技术提出，不是吗，呵呵。

先来说说我所在企业的情况吧，现在基本上有一套信息监控系统、数据采集系统、企业业务管理系统、企业邮件系统（采用notes），用的是华为和思科的服务器。

信息监控系统、数据采集系统（Sun平台）在一起组建一个内网；企业业务管理系统、企业邮件系统（微软平台）在一起组建另一个内网。2个网络物理隔离，保障安全。

前者一般不会出现什么问题，关键考虑的是后者的安全。

企业业务管理系统、企业邮件系统划分为多个安全区，区域之间使用专用设备和防火墙进行隔离，并部署了IDS、IP认证加密设备等进行隔离。
但事实上每个安全区内都有带病毒的主机，而且到目前还没有很好的解决办法。

采用“云计算”数据处理机制，动态评估Internet上数据风险，生成云端风险数据库，当用户访问Internet时，
安全子系统会自动查询云端数据库并阻止高风险信息侵入企业网络。
云安全2.0在原有Web信誉服务、邮件信誉服务基础上，增加了文件信誉服务和关联分析技术，
形成了新一代的防护体系—Smart Protection Network


现在让我们进一步了解构成趋势科技云安全的 Web、邮件和文件信誉技术。

看到这段介绍，我觉得关联分析技术是个亮点！文件信誉服务貌似就是将本来在客户端执行的扫毒工作移动到服务器端共同协作。当然看下去后，发现不仅仅这样啊~

01三种信誉服务：
Web 信誉技术
趋势科技 Web 信誉将分析网络流量并拦截进出网络的恶意流量。Web 信誉根据网站的存在时间、历史地址变动以
及可能暗示其它可疑行为的 50 余种因素对 URL 进行信誉评分，从而实现拦截目的。该技术通过恶件行为分析进
行评估，拦截危险的 URL 和／或合法网站内部受到攻击的网页、链接。由于仅仅拦截受到影响的网页而非整个网
站，趋势科技降低了误报率——确保用户能够访问需要访问的网站并保证企业运营。
每天趋势科技处理 5000 多万 IP 地址和 URL。

这点对于我们来说倒不是很关注，因为我们采用白名单，大多数区域的主机只开放几个工作需要的网站，其他一律屏蔽。当然，对于白名单内的网站，是一定要能正常访问的。
甚至于，如果某个白名单内的网站出现挂马等现象，我们希望的是网站能继续访问，而杀毒在客户端完成却不影响正常工作访问网站。
当然，出现这种情况应该即时的告警，以便及时处理；最好能有完整的服务器日志以便查询。还有就是对于某些类似卡饭go.php的链接，也应该可以正确识别并阻止访问。
部分web站点，可能就是因为系统配置的时候采用了默认密码，或者123456这样的简单密码而被入侵。这种人为的失误还是比较多的。曾经还接触过采用test/test的~~~

邮件信誉技术
趋势科技信誉技术拦截高达 80%的电子邮件威胁，其中包括含有危险网站链接的电子邮件，并且在这些威胁到达
网络或终端之前即予以拦截。邮件信誉技术根据已知垃圾邮件来源组成的信誉数据库和可以实时评估电子邮件发送
者信誉的动态服务来验证 IP 地址，从而达到拦截目的。依据发送者 IP 地址的信誉，恶意电子邮件在云中即遭拦截，
从而防止僵尸网络和其它威胁进入计算机。

目前使用notes，邮件病毒的问题也不是很突出。当然对于拦截，最好还是：

拦截带毒邮件-->对附件所带病毒进行排除修复-->将修复后的doc文档发送至收件人。（同时通知我们进行跟进处理）

单纯的拦截已经不适用于现在的工作要求了，特别是某些重要的文件，即使带毒，也应该发送至收件人。
对于无法修复的，应该通知原发件人和我们，一起处理。

文件信誉技术
由于保护企业机密数据极为重要，因此只有 Web 和邮件保护还远远不够。为了确保用户不会在无意中从受到攻击
的合法网站上下载受到感染的文件，趋势科技提供了文件信誉技术。文件信誉技术在允许用户下载文件之前根据广
泛的数据库检查每个文件的信誉。所有保存在网页中或附加在邮件中的文件及其信誉均需执行数据检查，并将检查
结果实时更新至文件信誉数据库。因此含有恶意内容的文件更不可能通过其它 80 端口。
趋势科技云安全每天处理 50 多亿次 URL、电子邮件和文件查询。

如果每个文件都要进行信誉检测，我在考虑是不是会浪费网络流量，有没有造成堵塞的可能。
当然，对于文件下载前的检测还是非常令人心动的。
这也就是可以在感染之前就进行预防了。
问题是如果用户下载的文件较大，比如500M，下载前的检查是否会让用户等待？而造成困惑。
因为可能同时需要检查文件的用户数目比较多，会不会网络堵塞，也是个问题。

02多协议关联分析：

关联分析技术和行为分析
除了 Web、邮件和文件信誉技术之外，趋势科技云安全（SPN-Smart Protection Network）还利用关联分析技术和
行为分析来观察多种活动，了解这些活动是否发出了恶意威胁信号。这种综合评估非常重要，因为单一活动自身对
预防或探测系统来说可能看似正常。例如，用户可能收到一封电子邮件，而邮件发送者的 IP 地址尚未被视为垃圾
邮件发送者 IP地址。该电子邮件中含有一个尚未被 Web 信誉数据库列为恶意的合法网站链接。点击该URL 地址时，
用户即被发送至恶意网站，然后数据窃取恶件就会被下载并安装到用户的计算机上。
趋势科技把网络威胁的不同组件联系起来，针对数据窃取恶件提供即时而自动的防护。
趋势科技维护位于全球 5 个地方的数据中心，每天处理的字节超过 1.2 千兆。

如果说对于文件下载前的检测是令人心动的，那么这个关联技术就很让我激动了。综合评估的防护体系是比较完美的。这也让我想起了网页防篡改系统。呵呵。
如果个人用户也能有这样的防护网，那就非常值得期待了！如果将来用的个人用户多了，趋势是不是要考虑新建数据中心呢？呵呵。

03智能型反馈系统：
云端威胁数据库与云安全2.0对应产品之间随时保持信息交流。云安全2.0所支持的产品将发现的各种威胁动向，回
报至云端威胁数据库，而各种威胁的最新防护策略再传送回云安全2.0所支持的产品中。这种信息的双向交流，称
之为Smart Protection Network。即使是以特定用户为目标进行的攻击信息，也会立刻反映到网络上的信誉评估数
据库，再根据关联分析进行调查，让全世界的用户皆可运用此信息进行安全防护。

及时的反馈应该说非常重要，比如多网段流量实时捕获和分析、可视化负载分析等，都有利于提高工作效率。
遇到紧急事件时，有时候很难很快找到问题所在之处。云安全应该可以在这方面大显身手。


总的来说，这是一个新的技术，一个令人期待的技术。趋势作为云安全的提出者，相信能做的更好，走的更远。

ps:猫猫一不小心唧唧歪歪了很多，说的不对的地方，还望指正。

novahy

排版不错
我喜欢

alexchen2008

支持参加活动

bb9.com

支持趋势云......他是真正的云

lylclyh

非常支持活动

Machine

知识陈旧梦想---多伟大的一句话啊!

zhonghuiping

云安全究竟是什么样的东东？请各位告之