【51CTO.com 綜合消息】華南某煙草企業自建網以來，對企業網絡安全建設的投入非常重視，2003年購買了趨勢科技客戶端防病毒軟件，并在各個網絡邊界部署防火墻等安全設備。一直以來，也起到了其應有的作用。但隨著企業信息化建設日漸發展，業務系統的正常運作已經不能離開網絡、計算機的穩定運行。而這段時間，恰好是中國病毒行業進入黃金發展時期，“偷窺病毒”在國內肆虐，該煙草企業也不能例外。鑒于這種情況，該煙草企業的管理員葉工認為，是時候對現有的防病毒體系進行一次加固，以此應對互聯網高速發展的威脅狀況。下面我們就以此用戶為例，探討一下煙草行業的網絡安全防護問題。

“老病毒”反復感染，令管理員每天花80%的時間投入病毒處理的工作

隨著業務的發展，該用戶對自身的網絡也作了相應的調整，把大部分的業務應用服務器都集中在總部進行管理，使得整個煙草企業的業務應用環境有了很大的改善，大部分的業務應用都變得非常依賴網絡。因為用戶應用環境和互聯網威脅的變化，在2年前設計的網絡版防毒體系開始顯示出被動的情況，用戶也認為，是時候為原有的防病毒體系進行加固的設計。為了更好地進行防病毒體系的加固設計，趨勢科技聯合用戶對煙草網絡內部做了為期1個月的防病毒數據監控。我們發現：修復內部網絡反復感染的老病毒是日常工作中最為繁重的任務。防毒系統最近三個月的防毒日志超過34000條記錄，其中有超過80%是舊病毒重復感染。

圖一：前十位病毒分布

用戶與趨勢科技技術顧問經過長時間的討論后，認為導致該現象的原因有以下幾個，同時，這也是眾多煙草行業用戶所面臨的網絡安全問題： 

一是終端使用者的安全意識嚴重薄弱，對計算機的安全使用根本不了解，導致用戶在訪問各種網頁時發生病毒的入侵； 

二是沒有配套完善的病毒響應機制及服務流程，導致大量的重復性工作，嚴重占用日常的工作資源； 

三是由于現在計算機病毒的發展過快導致，平均每秒鐘新增4支新病毒的速度，單靠客戶端病毒庫的更新是不能夠有效防止新形態病毒的入侵。病毒的變種，導致用戶有反復處理“老病毒”的錯覺。（從下面的報告可以看到這一快速增長趨勢） 

圖二：從2005年到2008年，TrendLabs報告網絡威脅增長

趨勢科技“云安全”，讓用戶從此放心

在找到原因后，趨勢科技向用戶推薦了其歷時2年半，斥資3億美金研發地“云安全”智能網絡防護方案。因為考慮到該用戶是全網統一Internet出口，通過對原有OfficeScan的日志分析得知，超過80%的病毒是通過Web進入煙草內部網絡的。因此，我們在用戶網絡的Internet出口部署第一道防線：趨勢科技Web安全網關--IWSA。通過在IWSA上啟用業界唯一的云安全Web信譽技術（WRT），攔截了大量由內部用戶發起的對可疑高風險URL的訪問，大大降低了用戶由于訪問URL帶來的風險，避免了因終端使用者安全意識不強，導致的Web訪問安全問題。

另外，通過有WRT對可疑網頁訪問的攔截，還可以將大部分病毒變種的下載阻斷，從而阻止新病毒的入侵，同時也使內網已經存在的病毒無法變種，降低了內網OfficeScan客戶端的防毒壓力。由于IWSA部署是采用透明方式，所以，IWSA的運行既不會對用戶日常使用習慣帶來影響，同時亦可以保障到用戶訪問網頁的安全。

而實際在煙草用戶環境使用，也體現這樣的效果： 

圖三：趨勢科技“云安全”控制平臺界面

趨勢科技“云安全”技術是通過多種方式收集數據信息并動態分析惡意威脅，生成動態的URL，郵件IP，文件信譽庫，并通過行為關聯分析技術，建立各種信譽庫的關聯，當用戶訪問目標信息時，就可以在幾毫秒內與信譽庫中的URL地址、郵件IP地址等進行比對，獲得安全訪問建議，從源端阻止對不良URL、郵件和文件的訪問，降低網絡風險的侵入。目前，“云安全”技術每天接受的用戶查詢數量已達到50億次，而每日評估處理的URL、郵件IP地址等更達到1200G，與此同時，因為將70%威脅特征碼放在云端，因此它能夠減少企業PC 70%的核心內存占用，這些是傳統的病毒代碼比對技術所無法比擬的。

WRT—Web信譽技術是“云安全”的關鍵組成部分，旨在當Web威脅侵害網絡或用戶的計算機之前對其進行防御。Web信譽技術為用戶訪問的網頁指定相對的信譽分數，按照多種指標進行評分，包括網站網頁、歷史地址變化以及其它可能揭示可疑行為的因素。然后該技術通過惡意行為分析進行深入評估，監督網絡流量，識別任何來自Web的惡意活動。趨勢科技Web信譽技術還執行網站內容爬行和掃描，補充對已知惡意或被感染網絡的分析結果。然后按照Web信譽評分封堵對惡意網頁的訪問。為了減少誤報率、提高準確性，趨勢科技的Web信譽技術采用細顆粒的評估技術，體現為對具體的網頁及其中涉及的各種鏈接的安全性進行評估，而非粗顆粒的對整個站點安全性一刀切的信譽評估，因為有時候合法網站中僅僅只有部分內容遭到攻擊。目前，這一“云安全”的核心技術，已經成功應用于趨勢科技網關防護產品—Web安全網關（IWSA）和終端防護產品—趨勢科技防毒墻網絡版（OfficeScan）之中，成為“云安全”智能防護網絡的重要組成部分。 

圖四：趨勢科技“云安全”智能防護網絡圖例

在分析用戶環境的病毒數據后，趨勢科技還發現，用戶環境的另一個威脅傳播途徑是--USB。因此，除了在網關進行安全防護外，趨勢科技把用戶使用的OfficeScan從7.3升級到8.0，并啟動了OfficeScan8.0內嵌的技術--USB病毒防御模塊，以此來控制U盤病毒在內網的擴散。

另外，針對漫游客戶機（經常出差的計算機），我們對此類客戶端也同樣激活WRT技術。這樣，即使用戶攜帶筆記本出差在外辦公，也能夠享受到趨勢科技提供的“云安全”技術，對訪問的可疑網頁進行攔截，保證用戶設備不受未知威脅的感染。

鑒于用戶對處理病毒時，經常會有大量重復性工作的抱怨。趨勢科技除了在技術層面給用戶支持外，還為用戶設計了流程控制以及病毒響應承諾的方案。通過防病毒流程的定制以及執行，用戶現在可以通過規范的響應機制，很輕松地處理了以往那些困擾他的老病毒清除工作。再結合趨勢科技的病毒響應承諾服務（SLA），所有在煙草網絡內部的新病毒，趨勢科技均在2小時內生成針對性的病毒碼，解決了用戶的后顧之憂。 

圖五：趨勢科技技術支持保障體系

至今為止，該煙草企業使用趨勢科技整體防毒體系已經有2年的時間，通過對用戶防毒體系的巡檢，可以發現IWSA每周均能攔截大量的網頁威脅。相對于部署網關之前，OfficeScan服務器上所看到的病毒日志下降了80%以上，大大降低了桌面的維護成本。對于用戶來講，最大的價值是在于：在病毒發展迅猛的時代，2年來，從沒有出現因為病毒事件而導致網絡中斷或業務停頓的生產事故。

結語

在煙草行業，終端用戶不規范的上網行為，是導致企業網絡感染病毒的最大風險之一，而且這個風險在現階段難以通過教育的方式來改善。另外，日益激增的Web威脅，使得傳統的病毒庫更新防護方案難以應對。

趨勢科技的 “云安全”解決方案，恰恰是為煙草用戶解決這兩個難題。

一、通過對用戶訪問網頁進行風險度評估，減少用戶對高風險網頁訪問的幾率；

二、通過在云端服務器的海量計算，可以解決靜態病毒庫所不能解決的未知威脅風險。再結合趨勢科技獨特的流程+服務的解決方案，可以大量的簡化用戶日常的防病毒工作。所以，在煙草行業用戶的網絡中部署趨勢科技整體防病毒解決方案，可以使煙草用戶的網絡更加穩定、更加安全。