技術領域

該公開涉及安全服務開通(security?provisioning)。

背景技術

計算機網絡的普及和訪問需要保護重要信息的安全措施。例如，企業(yè)能夠通過使用分層的安全系統(tǒng)來實現(xiàn)這樣的安全措施。這樣的分層的安全系統(tǒng)能夠在所述企業(yè)的網絡邊緣實現(xiàn)，所述網絡邊緣例如防火墻、網關安全代理等。此外，分層的安全系統(tǒng)還可以包括遍布企業(yè)實現(xiàn)的安全處理和代理，例如企業(yè)內每個計算機設備上的病毒掃描軟件、內容過濾軟件、內容監(jiān)視軟件等。

這樣的分層的安全系統(tǒng)傾向于處理效率低并且會需要企業(yè)內的許多資源來維護該系統(tǒng)。例如，公司可以具有部署在其網絡內的多層的安全系統(tǒng)。在公司計算機上所接收的文件可以由內容過濾系統(tǒng)、入侵檢測系統(tǒng)進行處理，并且通過公司的防火墻傳送到接收所述文件的每個計算機。此外，每個計算機可以包括可以在接收到文件時對其進行掃描的病毒掃描軟件。因此，無論文件完整性如何，每個文件潛在地可能被多個過程檢查多次，導致處理延遲。因此，雖然達到了保護企業(yè)的目標，但是這不過是以相對低效的方式所達到的。

此外，這些分層的防衛(wèi)中的許多獨立地進行操作并且不向不同的安全次提供反饋。例如，公司所使用的病毒掃描軟件可能無法與公司的防火墻進行通信。因此，所述防火墻可以繼續(xù)傳送被感染的文件，并且接收所述被感染文件的每個計算機將消耗執(zhí)行安全操作的資源，并且那些計算機的每個用戶同樣將響應于安全威脅花費時間來執(zhí)行手工補救動作。

許多分層的安全系統(tǒng)未實現(xiàn)分布基礎設施以通信和共享內容智能。這導致對好和壞的內容都進行重復處理。例如，與在企業(yè)位置中所檢測到的病毒發(fā)作相關的信息無法輕易傳播到企業(yè)的中央辦公室或其它分支；被發(fā)現(xiàn)包括惡意軟件(“malware”)或令人反感內容的統(tǒng)一資源定位符(URL)無法輕易傳播到企業(yè)的中央辦公室或其它分支。

許多分層的安全系統(tǒng)還無法輕易維護威脅數(shù)據(jù)的中央數(shù)據(jù)存儲，所述中央數(shù)據(jù)存儲根據(jù)安全分類(例如，病毒、惡意軟件、垃圾郵件等)對諸如文件、URL、電子郵件等的內容項目進行分類。

帶寬也是企業(yè)中所實現(xiàn)的分層的安全系統(tǒng)中的實際限制。通常在消耗了鏈路帶寬之后，在企業(yè)周邊以及企業(yè)網絡邊緣內部發(fā)生威脅檢測。例如，企業(yè)能夠通過在企業(yè)網關處檢查內容來停止下載音樂內容或新聞供給；然而，這樣的監(jiān)視必然要以至少將其識別為特定內容類型所需的帶寬量為代價。

此外，許多計算設備可能不具有足夠的資源來運行惡意軟件或病毒檢測軟件，諸如蜂窩電話、支持互聯(lián)網的裝置等。因此這些設備可能易于受到攻擊。

最后，生成企業(yè)的統(tǒng)一的安全觀點是一個困難的過程，原因在于這需要從不同位置和用戶群體收集數(shù)據(jù)并且在提取并生成報告之前以共用的時間順序對數(shù)據(jù)進行安排。由于跨位置的安全產品的不一致性，在將信息捕獲到共用格式方面存在困難。此外，實時通信這些記錄的成本是可觀的。例如，具有10個小分支以及一個總部的企業(yè)可以具有每秒鐘100次請求的平均交易率。每次交易產生512字節(jié)的日志記錄。這導致使用50K字節(jié)/秒(400kb每秒)的上行鏈路帶寬。通過DSL鏈路提供服務的小型位置具有300Kb/秒-500K?kb每秒的上行鏈路帶寬，因此日志記錄的傳輸將明顯影響系統(tǒng)的響應時間。帶寬約束僅對于具有數(shù)千用戶的較大型企業(yè)有所增長。

發(fā)明內容

本說明書中所描述的主題針對分布式安全服務開通。例如，可以在企業(yè)的網絡邊緣之外提供所述企業(yè)的安全處理。在一種實施方式中，一種包括內容處理節(jié)點的分布式網絡安全系統(tǒng)在惡意軟件、間諜軟件和其它不希望的內容到達目的地網絡和計算系統(tǒng)之前檢測并停止這樣的內容的分發(fā)。所述系統(tǒng)可以包括許多分布式處理節(jié)點以及一個或多個職權節(jié)點，所述職權節(jié)點向處理節(jié)點提供安全策略數(shù)據(jù)、威脅數(shù)據(jù)和其它安全數(shù)據(jù)。例如，所述系統(tǒng)能夠接近實時地跨處理節(jié)點共享防衛(wèi)事件以加固網絡中處理節(jié)點的防衛(wèi)能力。每個處理節(jié)點可以包括數(shù)據(jù)檢查引擎的集合，其中每個引擎專門檢測特定類型的威脅。多個引擎并行對數(shù)據(jù)進行操作。

通常，本說明書中所描述主題的一個方面可以實現(xiàn)為包括處理節(jié)點中的以下動作的方法：向多個外部系統(tǒng)提供數(shù)據(jù)通信；存儲從職權節(jié)點所接收的安全策略；監(jiān)視由外部系統(tǒng)所請求或者從外部系統(tǒng)所發(fā)送的內容項目；對內容項目進行威脅檢測以根據(jù)威脅類型對所述內容項目進行分類；以及在所述外部系統(tǒng)的網絡邊緣之外依據(jù)所述安全策略和內容項目的類型對多個外部系統(tǒng)實施(enforce)安全策略。該方面的其它實施方式包括相應的系統(tǒng)、裝置和計算機程序產品。