华南某省运营商业务支撑网自建网以来,对企业网络安全建设的投入非常重视,除了部署了全省统一的防病毒软件以外,还在各个网络边界部署高端防火墙等安全设备。一直以来,也起到了其应有的作用。但随着企业信息化建设日渐发展,业务系统的正常运作已经不能离开网络、计算机的稳定运行。而这段时间,恰好是中国病毒行业进入黄金发展时期,“偷窥病毒”在国内肆虐,奥运会也即将在中国北京举办。上级领导已经明确表示:作为运营商,在奥运会期间不能出现任何断网的情况,否则会产生非常不好的社会影响。鉴于这种情况,该运营商的安全管理员李工认为:是时候对现有的安全体系进行一次加固,尤其是在病毒防护这一部分,以此应对目前的状况。下面我们就以此用户为例,探讨一下运营商行业的网络安全防护问题。
网络病毒的爆发,会使主干网遭受大量的资源占用,业务无法正常运行
省移动计费网拥有四大业务系统,包括:Boss、营销分析、客服中心、业务支撑。承载着省移动业务运行所必需的计费、数据分析、业务分析等重要业务。整体的逻辑网络架构如下:
图1-1:运营商业务支撑网逻辑架构图
另外,经过对用户网络内部可能存在的终端设备进行分析,主要存在以下几类:
可以看到,对省移动BOSS网潜在威胁最大的就是所有动态接入的终端设备,这类设备由于其动态接入的特性,所以对于安全管理来说是一个难题。因此,如何在这些终端上部署安全管理策略成为关键。
用户与趋势科技技术顾问经过长时间的讨论后,认为可能会导致网络故障的因素有以下几个。同时,这也是众多运营商行业用户所面临的网络安全问题:
一是接入终端的安全级别无法得到保证。可能会存在大量设备在没有更新病毒库或系统补丁的情况下,接入网络。造成网络病毒爆发,并最终使网络出现堵塞的情况;
二是终端用户接入网络后,由于安全意识不足,随意访问非法网站,导致感染木马而影响网络;
三是由于现在计算机病毒的发展过快导致,平均每秒钟新增4支新病毒的速度,单靠客户端病毒库的更新是不能够有效防止新形态病毒的入侵。(从下面的报告可以看到这一快速增长趋势)
从2005年到2008年,TrendLabs报告网络威胁增长
趋势科技“云安全”,让用户从此放心
在找到原因后,趋势科技向用户推荐了其历时3年半,斥资4.5亿美金研发地“云安全2.0(SmartProtectionNetwork,以下简称SPN)”及网络准入控制趋势科技网络病毒墙NVWE2500的组合方案。因为考虑到该用户是全网统一Internet出口,通过对原有防病毒系统的日志分析得知,超过70%的病毒是通过Web进入运营商内部网络的。因此,我们在用户网络的Internet出口部署第一道防线:趋势科技Web安全网关--IWSA。通过在IWSA上启用业界唯一的云安全Web信誉技术(WRT),拦截了大量由内部用户发起的对可疑高风险URL的访问,大大降低了用户由于访问URL带来的风险,避免了因终端使用者安全意识不强,导致的Web访问安全问题。
另外,通过有WRT对可疑网页访问的拦截,还可以将大部分病毒变种的下载阻断,从而阻止新病毒的入侵,同时也使内网已经存在的病毒无法变种,降低了内网OfficeScan客户端的防毒压力。由于IWSA部署是采用透明方式,所以,IWSA的运行既不会对用户日常使用习惯带来影响,同时亦可以保障到用户访问网页的安全。
同时,为了保障运营商用户主干道的带宽不被网络蠕虫病毒占用,而影响业务的正常运行。我们还建议在主干道上部署了8台网络病毒墙NVWE2500,以此来保障主干道的通畅无阻。
针对移动办公设备的安全准入,也通过NVWE2500来实现。当移动办公用户接入网络时,NVWE2500会对该设备的安全情况进行检查(防毒软件更新情况、系统补丁更新情况等)。如果发现该设备不能满足安全管理员定制的要求,NVWE2500将会把该设备强制修复了安全隐患后才能接入网络,从而提高了内网的安全程度。
图1-2:运营商业务支撑网安全加固架构图—网络病毒及准入控制
由于用户网络规模非常庞大,而且各种类型的终端分布也极为分散。因此,用户有两个长期困扰的安全问题:
有哪种解决方案能够尽早告诉我,威胁从哪进入我的网络;
如果能够在威胁造成业务中断前告诉我,并告诉我如何应对。
对此,趋势科技在充分了解用户的网络架构及业务分布后,推荐了用户使用趋势科技最新的解决方案:威胁发现系统(ThreatDiscoverySuite简称TDS)。
威胁发现系统,目的是识别和应对下一代网络威胁。其运用云安全2.0的多协议关联分析技术,通过监控网络,检测传统的安全产品无法侦测的84种常规协议,2-7层网络架构内的恶意威胁和破坏性应用,同时对威胁环境提供更详细的分析,从而对感染终端提供更广泛的清除和强制策略解决方案。这样,TDS同用户原有的终端防护软件—OfficeScan相配合,形成了针对终端的多层次安全解决方案。
威胁发现系统包括下面两个组件:
威胁发现设备—检测企业内部网络中的安全威胁和破坏应用,
威胁发现报表服务—先进的威胁相关性服务,发现隐藏威胁,提供个性化的威胁报告,事故分析以及威胁建议。
而实际在运营商用户环境使用,也体现这样的效果:
图1-4:运营商用户威胁发现系统TDS使用效果
