内网隔离网络的病毒防护

传统开放式保护体系的问题

要想解决“高墙”下的安全保护，首先要解决保护体系的结构问题。目前的反病毒体系都是基于开放式网络的非对等式网络分布体系架构。这种架构是一种逻辑的CS或BS模式。这种模式由逻辑的AVSever、AVClient组成，按职能划分为Server端和Client端，但是与物理的CS模式并不相同，AVSever和AVClient都可以安装在普通PC上或者服务器上来为整个网络提供安全管理。AVSever是整个主机保护体系的管理模块，它负责接受网管员发出的各种指令，完成控制流和数据流的调度。AVClient是整个主机保护体系执行模块，它被安装在各个需要保护的物理的SERVER机和PC机上，在监控病毒的同时，接受着来自AVServer的调度指令。工作时AVSever以推的方式将全网病毒查杀指令、升级指令传送到每一个AVClient上，然后由AVClient进行执行。

而事实上，由于是基于开放式的网络，网络感染病毒的可能性就会大大增加，由于基于非对等式的网络分布体系，则在出现病毒风暴时就会产生升级危机，使整个网络承受着巨大的安全风险。因此，最好的方式引入一个闭合的保护体系结构。

闭合保护体系是未来方向

很明显，开放式的保护体系不再适应闭合型的物理隔离网络，而安天实验室在承担国家项目的过程中，提出的对等式分布协作结构，很能适合物理隔离网络的情况。

基于物理隔离网络，是一个相对闭合的网络，无法再通过互联网连通方式进行升级，虽然避免了公网上的病毒直接的侵害，有一定的安全性，但是，依然会面临着网络内部的病毒攻击，如果还采取目前的基于开放式网络的非对等式分布网络保护体系，一旦出现大规模病毒爆发堵死AVServer与AVClient的网络通道的话，就会使全网操作如全网升级等操作中断，从而无法遏制病毒事态。

对等式分布协作结构是把网络保护系统中的所有元素都视为平等的元素，虽然还存在AVServer和AVClient这样的元素，AVServer不但是指令的发送者，还是指令的执行者，重要的是，这些元素本身又被规划入了一个对等的概念之中，即在服务器端管理客户端这种单通道的方法之上，又建立了一个多通道的机制，保证了整个系统不会因为突发的大流量病毒事件而异常。

也即是，当AVServer和AVClient的通道被病毒堵死后，每一台AVClient机都可以临时承担起指令传递与文件分发的工作，即用户只要保证网络中的任何两台AVClient机之间有连通的可能，那么该计算机就会通过这种机制将数据或文件分发到相临的下一台计算机中去，在不用物理断网的情况下，就可以逐台恢复系统的控制权。

图：基于开放式网络的非对等式分布网络保护体系

图：基于闭合型网络的对等式保护体系

文章来源于领测软件测试网 https://www.ltesting.net/