【51CTO.com 综合消息】华南某省运营商业务支撑网自建网以来,对企业网络安全建设的投入非常重视,除了部署了全省统一的防病毒软件以外,还在各个网络边界部署高端防火墙等安全设备。一直以来,也起到了其应有的作用。但随着企业信息化建设日渐发展,业务系统的正常运作已经不能离开网络、计算机的稳定运行。而这段时间,恰好是中国病毒行业进入黄金发展时期,“偷窥病毒”在国内肆虐,奥运会也即将在中国北京举办。上级领导已经明确表示:作为运营商,在奥运会期间不能出现任何断网的情况,否则会产生非常不好的社会影响。鉴于这种情况,该运营商的安全管理员李工认为:是时候对现有的安全体系进行一次加固,尤其是在病毒防护这一部分,以此应对目前的状况。下面我们就以此用户为例,探讨一下运营商行业的网络安全防护问题。
网络病毒的爆发,会使主干网遭受大量的资源占用,业务无法正常运行
省移动计费网拥有四大业务系统,包括:Boss、营销分析、客服中心、业务支撑。承载着省移动业务运行所必需的计费、数据分析、业务分析等重要业务。整体的逻辑网络架构如下:
图1 :运营商业务支撑网逻辑架构图 |
另外,经过对用户网络内部可能存在的终端设备进行分析,主要存在以下几类:
表1 |
可以看到,对省移动BOSS网潜在威胁最大的就是所有动态接入的终端设备,这类设备由于其动态接入的特性,所以对于安全管理来说是一个难题。因此,如何在这些终端上部署安全管理策略成为关键。
用户与趋势科技技术顾问经过长时间的讨论后,认为可能会导致网络故障的因素有以下几个。同时,这也是众多运营商行业用户所面临的网络安全问题:
◆一是接入终端的安全级别无法得到保证。可能会存在大量设备在没有更新病毒库或系统补丁的情况下,接入网络。造成网络病毒爆发,并最终使网络出现堵塞的情况;
◆二是终端用户接入网络后,由于安全意识不足,随意访问非法网站,导致感染木马而影响网络;
◆三是由于现在计算机病毒的发展过快导致,平均每秒钟新增4支新病毒的速度,单靠客户端病毒库的更新是不能够有效防止新形态病毒的入侵。(从下面的报告可以看到这一快速增长趋势)
从2005年到2008年,TrendLabs报告网络威胁增长
图2 |
趋势科技“云安全”,让用户从此放心
在找到原因后,趋势科技向用户推荐了其历时3年半,斥资4.5亿美金研发地“云安全2.0 (Smart Protection Network,以下简称SPN)”及网络准入控制趋势科技网络病毒墙NVWE2500的组合方案。因为考虑到该用户是全网统一Internet出口,通过对原有防病毒系统的日志分析得知,超过70%的病毒是通过Web进入运营商内部网络的。因此,我们在用户网络的Internet出口部署第一道防线:趋势科技Web安全网关--IWSA。通过在IWSA上启用业界唯一的云安全Web信誉技术(WRT),拦截了大量由内部用户发起的对可疑高风险URL的访问,大大降低了用户由于访问URL带来的风险,避免了因终端使用者安全意识不强,导致的Web访问安全问题。
另外,通过有WRT对可疑网页访问的拦截,还可以将大部分病毒变种的下载阻断,从而阻止新病毒的入侵,同时也使内网已经存在的病毒无法变种,降低了内网OfficeScan客户端的防毒压力。由于IWSA部署是采用透明方式,所以,IWSA的运行既不会对用户日常使用习惯带来影响,同时亦可以保障到用户访问网页的安全。
同时,为了保障运营商用户主干道的带宽不被网络蠕虫病毒占用,而影响业务的正常运行。我们还建议在主干道上部署了8台网络病毒墙NVWE2500,以此来保障主干道的通畅无阻。
针对移动办公设备的安全准入,也通过NVWE2500来实现。当移动办公用户接入网络时,NVWE2500会对该设备的安全情况进行检查(防毒软件更新情况、系统补丁更新情况等)。如果发现该设备不能满足安全管理员定制的要求,NVWE2500将会把该设备强制修复了安全隐患后才能接入网络,从而提高了内网的安全程度。
图3 运营商业务支撑网安全加固架构图—网络病毒及准入控制 |
由于用户网络规模非常庞大,而且各种类型的终端分布也极为分散。因此,用户有两个长期困扰的安全问题:
◆有哪种解决方案能够尽早告诉我,威胁从哪进入我的网络;
◆如果能够在威胁造成业务中断前告诉我,并告诉我如何应对。
对此,趋势科技在充分了解用户的网络架构及业务分布后,推荐了用户使用趋势科技最新的解决方案:威胁发现系统(Threat Discovery Suite 简称TDS)。
威胁发现系统,目的是识别和应对下一代网络威胁。其运用云安全2.0的多协议关联分析技术,通过监控网络,检测传统的安全产品无法侦测的84种常规协议,2-7层网络架构内的恶意威胁和破坏性应用,同时对威胁环境提供更详细的分析,从而对感染终端提供更广泛的清除和强制策略解决方案。这样,TDS同用户原有的终端防护软件—OfficeScan相配合,形成了针对终端的多层次安全解决方案。#p#
威胁发现系统包括下面两个组件:
◆威胁发现设备—检测企业内部网络中的安全威胁和破坏应用,
◆威胁发现报表服务—先进的威胁相关性服务,发现隐藏威胁,提供个性化的威胁报告,事故分析以及威胁建议。
图4 |
图5 运营商业务支撑网安全加固架构图—威胁发现&Web网关防毒 |
而实际在运营商用户环境使用,也体现这样的效果:
图6 运营商用户威胁发现系统TDS使用效果 |
图7 运营商威胁发现系统TDS使用效果 |
表2 |
通过监控网络层的可疑活动定位恶意程序,威胁发现系统(TDS)集成趋势科技“云安全”技术,可全面支持检测2-7层的恶意威胁,以识别和应对下一代网络威胁。这是传统的、基于代码比对方式的安全产品所无法办到的。
与趋势科技“云安全2.0”技术配合,TDS可检测基于Web威胁或邮件内容的攻击,如Web攻击、跨站点脚本攻击和网络钓鱼。另外,当恶意程序在网络中传播感染其它用户时,它们就会被打上标记,其中就包括向外界传送信息或从恶意的来源(如僵尸网络)接收命令的隐藏型恶意软件。TDS还能识别违反安全策略、中断网络以及消耗大量带宽的或构成潜在安全威胁的未经授权应用程序和服务程序。这些应用程序和服务程序包括如即时通讯(Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger )、P2P文件共享、流媒体,以及未授权服务如SMTP中继和DNS欺骗。
TDA利用网络内容检测技术侦测网络流量以及趋势科技病毒扫描引擎对其进行内容分析,并采用在网络交换机上使用端口扫描并以创建网络数据包的镜像方式进行内容检查,确保网络服务不会被中断。企业管理员可根据TDS收集提供的反馈报告信息制订相应的企业网络安全规划。
图8 |
至今为止,该运营商使用趋势科技整体防毒体系已经有1年的时间,通过对用户防毒体系的巡检,可以发现IWSA+TDA_+ OfficeScan每周均能发现大量的威胁。另外,在NVWE2500的监控日志上看到,大量的蠕虫病毒(如速客一号、冲击波等)在进入核心主干道时即被NVWE2500所拦截,保重了内部核心数据及带宽的高可用性。对于用户来讲,最大的价值是在于:在奥运会期间,从没有出现因为病毒事件而导致网络中断或业务停顿的生产事故。
结语
在运营商行业,终端用户不规范的上网行为,是导致企业网络感染病毒的最大风险之一,而且这个风险在现阶段难以通过教育的方式来改善。另外,移动办公的终端设备,也是对运营商主干网危害最大的隐患。
趋势科技的 IWSA+TDS+NVWE组合解决方案,恰恰是为运营商用户解决这两个难题。
一、通过对用户访问网页进行风险度评估,减少用户对高风险网页访问的几率;
二、在IWSA的基础上,结合TDS系统,对全网的威胁进行实时管理;
三、通过NVWE对运营商主干道网络进行病毒净化,以及对移动办公设备的接入进行安全检查,可以提高主干道网络的稳定性及高可用性。
所以,在运营商行业用户的网络中部署趋势科技整体防病毒解决方案,可以使运营商用户的网络更加稳定、更加安全。