【51CTO.com 綜合消息】華南某省運(yùn)營商業(yè)務(wù)支撐網(wǎng)自建網(wǎng)以來，對企業(yè)網(wǎng)絡(luò)安全建設(shè)的投入非常重視，除了部署了全省統(tǒng)一的防病毒軟件以外，還在各個網(wǎng)絡(luò)邊界部署高端防火墻等安全設(shè)備。一直以來，也起到了其應(yīng)有的作用。但隨著企業(yè)信息化建設(shè)日漸發(fā)展，業(yè)務(wù)系統(tǒng)的正常運(yùn)作已經(jīng)不能離開網(wǎng)絡(luò)、計(jì)算機(jī)的穩(wěn)定運(yùn)行。而這段時(shí)間，恰好是中國病毒行業(yè)進(jìn)入黃金發(fā)展時(shí)期，“偷窺病毒”在國內(nèi)肆虐，奧運(yùn)會也即將在中國北京舉辦。上級領(lǐng)導(dǎo)已經(jīng)明確表示：作為運(yùn)營商，在奧運(yùn)會期間不能出現(xiàn)任何斷網(wǎng)的情況，否則會產(chǎn)生非常不好的社會影響。鑒于這種情況，該運(yùn)營商的安全管理員李工認(rèn)為：是時(shí)候?qū)ΜF(xiàn)有的安全體系進(jìn)行一次加固，尤其是在病毒防護(hù)這一部分，以此應(yīng)對目前的狀況。下面我們就以此用戶為例，探討一下運(yùn)營商行業(yè)的網(wǎng)絡(luò)安全防護(hù)問題。

網(wǎng)絡(luò)病毒的爆發(fā)，會使主干網(wǎng)遭受大量的資源占用，業(yè)務(wù)無法正常運(yùn)行

省移動計(jì)費(fèi)網(wǎng)擁有四大業(yè)務(wù)系統(tǒng)，包括：Boss、營銷分析、客服中心、業(yè)務(wù)支撐。承載著省移動業(yè)務(wù)運(yùn)行所必需的計(jì)費(fèi)、數(shù)據(jù)分析、業(yè)務(wù)分析等重要業(yè)務(wù)。整體的邏輯網(wǎng)絡(luò)架構(gòu)如下： 

圖1 ：運(yùn)營商業(yè)務(wù)支撐網(wǎng)邏輯架構(gòu)圖

另外，經(jīng)過對用戶網(wǎng)絡(luò)內(nèi)部可能存在的終端設(shè)備進(jìn)行分析，主要存在以下幾類：

表1

可以看到，對省移動BOSS網(wǎng)潛在威脅最大的就是所有動態(tài)接入的終端設(shè)備，這類設(shè)備由于其動態(tài)接入的特性，所以對于安全管理來說是一個難題。因此，如何在這些終端上部署安全管理策略成為關(guān)鍵。

用戶與趨勢科技技術(shù)顧問經(jīng)過長時(shí)間的討論后，認(rèn)為可能會導(dǎo)致網(wǎng)絡(luò)故障的因素有以下幾個。同時(shí)，這也是眾多運(yùn)營商行業(yè)用戶所面臨的網(wǎng)絡(luò)安全問題： 

◆一是接入終端的安全級別無法得到保證。可能會存在大量設(shè)備在沒有更新病毒庫或系統(tǒng)補(bǔ)丁的情況下，接入網(wǎng)絡(luò)。造成網(wǎng)絡(luò)病毒爆發(fā)，并最終使網(wǎng)絡(luò)出現(xiàn)堵塞的情況； 

◆二是終端用戶接入網(wǎng)絡(luò)后，由于安全意識不足，隨意訪問非法網(wǎng)站，導(dǎo)致感染木馬而影響網(wǎng)絡(luò)； 

◆三是由于現(xiàn)在計(jì)算機(jī)病毒的發(fā)展過快導(dǎo)致，平均每秒鐘新增4支新病毒的速度，單靠客戶端病毒庫的更新是不能夠有效防止新形態(tài)病毒的入侵。（從下面的報(bào)告可以看到這一快速增長趨勢）

從2005年到2008年，TrendLabs報(bào)告網(wǎng)絡(luò)威脅增長 

圖2

趨勢科技“云安全”，讓用戶從此放心

在找到原因后，趨勢科技向用戶推薦了其歷時(shí)3年半，斥資4.5億美金研發(fā)地“云安全2.0 (Smart Protection Network,以下簡稱SPN)”及網(wǎng)絡(luò)準(zhǔn)入控制趨勢科技網(wǎng)絡(luò)病毒墻NVWE2500的組合方案。因?yàn)榭紤]到該用戶是全網(wǎng)統(tǒng)一Internet出口，通過對原有防病毒系統(tǒng)的日志分析得知，超過70%的病毒是通過Web進(jìn)入運(yùn)營商內(nèi)部網(wǎng)絡(luò)的。因此，我們在用戶網(wǎng)絡(luò)的Internet出口部署第一道防線：趨勢科技Web安全網(wǎng)關(guān)--IWSA。通過在IWSA上啟用業(yè)界唯一的云安全Web信譽(yù)技術(shù)（WRT），攔截了大量由內(nèi)部用戶發(fā)起的對可疑高風(fēng)險(xiǎn)URL的訪問，大大降低了用戶由于訪問URL帶來的風(fēng)險(xiǎn)，避免了因終端使用者安全意識不強(qiáng)，導(dǎo)致的Web訪問安全問題。

另外，通過有WRT對可疑網(wǎng)頁訪問的攔截，還可以將大部分病毒變種的下載阻斷，從而阻止新病毒的入侵，同時(shí)也使內(nèi)網(wǎng)已經(jīng)存在的病毒無法變種，降低了內(nèi)網(wǎng)OfficeScan客戶端的防毒壓力。由于IWSA部署是采用透明方式，所以，IWSA的運(yùn)行既不會對用戶日常使用習(xí)慣帶來影響，同時(shí)亦可以保障到用戶訪問網(wǎng)頁的安全。

同時(shí)，為了保障運(yùn)營商用戶主干道的帶寬不被網(wǎng)絡(luò)蠕蟲病毒占用，而影響業(yè)務(wù)的正常運(yùn)行。我們還建議在主干道上部署了8臺網(wǎng)絡(luò)病毒墻NVWE2500，以此來保障主干道的通暢無阻。

針對移動辦公設(shè)備的安全準(zhǔn)入，也通過NVWE2500來實(shí)現(xiàn)。當(dāng)移動辦公用戶接入網(wǎng)絡(luò)時(shí)，NVWE2500會對該設(shè)備的安全情況進(jìn)行檢查（防毒軟件更新情況、系統(tǒng)補(bǔ)丁更新情況等）。如果發(fā)現(xiàn)該設(shè)備不能滿足安全管理員定制的要求，NVWE2500將會把該設(shè)備強(qiáng)制修復(fù)了安全隱患后才能接入網(wǎng)絡(luò)，從而提高了內(nèi)網(wǎng)的安全程度。 

圖3  運(yùn)營商業(yè)務(wù)支撐網(wǎng)安全加固架構(gòu)圖—網(wǎng)絡(luò)病毒及準(zhǔn)入控制

由于用戶網(wǎng)絡(luò)規(guī)模非常龐大，而且各種類型的終端分布也極為分散。因此，用戶有兩個長期困擾的安全問題： 

◆有哪種解決方案能夠盡早告訴我，威脅從哪進(jìn)入我的網(wǎng)絡(luò)； 

◆如果能夠在威脅造成業(yè)務(wù)中斷前告訴我，并告訴我如何應(yīng)對。

對此，趨勢科技在充分了解用戶的網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)分布后，推薦了用戶使用趨勢科技最新的解決方案：威脅發(fā)現(xiàn)系統(tǒng)（Threat Discovery Suite 簡稱TDS）。

威脅發(fā)現(xiàn)系統(tǒng)，目的是識別和應(yīng)對下一代網(wǎng)絡(luò)威脅。其運(yùn)用云安全2.0的多協(xié)議關(guān)聯(lián)分析技術(shù)，通過監(jiān)控網(wǎng)絡(luò)，檢測傳統(tǒng)的安全產(chǎn)品無法偵測的84種常規(guī)協(xié)議，2-7層網(wǎng)絡(luò)架構(gòu)內(nèi)的惡意威脅和破壞性應(yīng)用，同時(shí)對威脅環(huán)境提供更詳細(xì)的分析，從而對感染終端提供更廣泛的清除和強(qiáng)制策略解決方案。這樣，TDS同用戶原有的終端防護(hù)軟件—OfficeScan相配合，形成了針對終端的多層次安全解決方案。#p#

威脅發(fā)現(xiàn)系統(tǒng)包括下面兩個組件： 

◆威脅發(fā)現(xiàn)設(shè)備—檢測企業(yè)內(nèi)部網(wǎng)絡(luò)中的安全威脅和破壞應(yīng)用,  

◆威脅發(fā)現(xiàn)報(bào)表服務(wù)—先進(jìn)的威脅相關(guān)性服務(wù)，發(fā)現(xiàn)隱藏威脅，提供個性化的威脅報(bào)告，事故分析以及威脅建議。

圖4

圖5  運(yùn)營商業(yè)務(wù)支撐網(wǎng)安全加固架構(gòu)圖—威脅發(fā)現(xiàn)&Web網(wǎng)關(guān)防毒

而實(shí)際在運(yùn)營商用戶環(huán)境使用，也體現(xiàn)這樣的效果： 

圖6  運(yùn)營商用戶威脅發(fā)現(xiàn)系統(tǒng)TDS使用效果

圖7  運(yùn)營商威脅發(fā)現(xiàn)系統(tǒng)TDS使用效果

表2

通過監(jiān)控網(wǎng)絡(luò)層的可疑活動定位惡意程序，威脅發(fā)現(xiàn)系統(tǒng)（TDS）集成趨勢科技“云安全”技術(shù)，可全面支持檢測2-7層的惡意威脅，以識別和應(yīng)對下一代網(wǎng)絡(luò)威脅。這是傳統(tǒng)的、基于代碼比對方式的安全產(chǎn)品所無法辦到的。

與趨勢科技“云安全2.0”技術(shù)配合，TDS可檢測基于Web威脅或郵件內(nèi)容的攻擊，如Web攻擊、跨站點(diǎn)腳本攻擊和網(wǎng)絡(luò)釣魚。另外，當(dāng)惡意程序在網(wǎng)絡(luò)中傳播感染其它用戶時(shí)，它們就會被打上標(biāo)記，其中就包括向外界傳送信息或從惡意的來源（如僵尸網(wǎng)絡(luò)）接收命令的隱藏型惡意軟件。TDS還能識別違反安全策略、中斷網(wǎng)絡(luò)以及消耗大量帶寬的或構(gòu)成潛在安全威脅的未經(jīng)授權(quán)應(yīng)用程序和服務(wù)程序。這些應(yīng)用程序和服務(wù)程序包括如即時(shí)通訊（Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger ）、P2P文件共享、流媒體，以及未授權(quán)服務(wù)如SMTP中繼和DNS欺騙。

TDA利用網(wǎng)絡(luò)內(nèi)容檢測技術(shù)偵測網(wǎng)絡(luò)流量以及趨勢科技病毒掃描引擎對其進(jìn)行內(nèi)容分析，并采用在網(wǎng)絡(luò)交換機(jī)上使用端口掃描并以創(chuàng)建網(wǎng)絡(luò)數(shù)據(jù)包的鏡像方式進(jìn)行內(nèi)容檢查，確保網(wǎng)絡(luò)服務(wù)不會被中斷。企業(yè)管理員可根據(jù)TDS收集提供的反饋報(bào)告信息制訂相應(yīng)的企業(yè)網(wǎng)絡(luò)安全規(guī)劃。 

圖8

至今為止，該運(yùn)營商使用趨勢科技整體防毒體系已經(jīng)有1年的時(shí)間，通過對用戶防毒體系的巡檢，可以發(fā)現(xiàn)IWSA+TDA_+ OfficeScan每周均能發(fā)現(xiàn)大量的威脅。另外，在NVWE2500的監(jiān)控日志上看到，大量的蠕蟲病毒（如速客一號、沖擊波等）在進(jìn)入核心主干道時(shí)即被NVWE2500所攔截，保重了內(nèi)部核心數(shù)據(jù)及帶寬的高可用性。對于用戶來講，最大的價(jià)值是在于：在奧運(yùn)會期間，從沒有出現(xiàn)因?yàn)椴《臼录鴮?dǎo)致網(wǎng)絡(luò)中斷或業(yè)務(wù)停頓的生產(chǎn)事故。

結(jié)語

在運(yùn)營商行業(yè)，終端用戶不規(guī)范的上網(wǎng)行為，是導(dǎo)致企業(yè)網(wǎng)絡(luò)感染病毒的最大風(fēng)險(xiǎn)之一，而且這個風(fēng)險(xiǎn)在現(xiàn)階段難以通過教育的方式來改善。另外，移動辦公的終端設(shè)備，也是對運(yùn)營商主干網(wǎng)危害最大的隱患。

趨勢科技的 IWSA+TDS+NVWE組合解決方案，恰恰是為運(yùn)營商用戶解決這兩個難題。

一、通過對用戶訪問網(wǎng)頁進(jìn)行風(fēng)險(xiǎn)度評估，減少用戶對高風(fēng)險(xiǎn)網(wǎng)頁訪問的幾率；

二、在IWSA的基礎(chǔ)上，結(jié)合TDS系統(tǒng)，對全網(wǎng)的威脅進(jìn)行實(shí)時(shí)管理；

三、通過NVWE對運(yùn)營商主干道網(wǎng)絡(luò)進(jìn)行病毒凈化，以及對移動辦公設(shè)備的接入進(jìn)行安全檢查，可以提高主干道網(wǎng)絡(luò)的穩(wěn)定性及高可用性。

所以，在運(yùn)營商行業(yè)用戶的網(wǎng)絡(luò)中部署趨勢科技整體防病毒解決方案，可以使運(yùn)營商用戶的網(wǎng)絡(luò)更加穩(wěn)定、更加安全。