随着运营终端数量的增加、网络规模的扩张,全网威胁管理正在成为广西移动公司安全部门最为关注的问题。为了更有效、快速地掌握全网威胁分布、威胁发展态势,广西移动公司携手全球服务器安全、虚拟化及云计算安全领导厂商——趋势科技,通过安全监控平台TDA(应用层威胁监控设备)+CTIS(地图威胁信息展示系统)组建了一套可视化威胁监控平台,并通过可视化的地图信息,实时定位和展示业务网中的高危行为,为广西移动业务稳定运行提供了坚实基础。
大量终端分布各地安全监管压力巨大
据了解,广西移动公司是华南地区信息化建设最为领先的运营商之一。2011年,二级分公司达到了13家,营业厅更是遍布全区。散落在各个子网中的终端已经过万台,这给日常的管理维护工作和安全管理带来较大的压力。现如今的网络威胁境越来越复杂多变,必须要能实现第一时间发现和处理,但由于广西移动营业厅地域分布广泛,无法及时排查出威胁源头,这导致了终端病毒感染事件频繁发生。并且,由于大部分新型病毒具备破坏网络及信息泄密的风险,因此广西移动公司对这种新形态威胁在内部网络的监控也非常关注。
据了解,之前广西移动公司能够做到的是网络层监控以及网络防病毒系统的监控,在应用层数据的监控还是空白。另外,之前的监控系统所呈现的数据还是以原始IP地址或主机名信息为主,无法直接关联感染源头物理位置,降低了故障处理效率。广西移动的工程师表示:“除了数据泄露的风险,我们最担心则是IT部门无法第一时间知道这一事件的产生,以及感染事件是否会带来后续的威胁。往往是因为用户告知系统出现故障,或是几台主机被交叉感染之后,网络开始变得缓慢时,我们只能被动的去修复这些终端。病毒事件可能随时扩大,IT工程师手工定位病毒源头的方式,将会失去阻断病毒的最佳时机,而且这些恶意代码是否从一个子网泛滥到另一个子网,将是一件十分可怕的事情。”因此,广西移动公司内部网络信息安全部分希望在原有的安全体系上进行加固改造,以此建立全方位、可视化的安全监控平台。
全景地图展现安全状况威胁无处藏身
趋势科技作为全球知名的内容安全厂商,一直致力于协助客户搭建多层次的安全防护体系,目前已经协助多家省级运营商搭建安全防护体系。在得到充分认可的前提下,广西移动邀请趋势科技对现有安全监控体系进行新一轮的改造。经过对用户环境的深入分析,趋势科技安全专家杨嗣鹍与广西移动的IT部门安全监控需求再度明确,在此基础上,双反最后敲定使用趋势科技独有的可视化安全监控平台TDA(应用层威胁监控设备)+CTIS(地图威胁信息展示系统)组合的安全监控解决方案。
据了解,TDA作为本次安全监控平台改造的支撑系统,以旁路监听的方式部署在广西移动公司核心交换机上,对广西移动运营服务器区进行数据采集,并把采集到的数据复制到安全监控平台中进行深度分析。由于使用了趋势科技独有的“云安全”技术,TDA可检测基于Web威胁或邮件内容的攻击,如Web攻击、跨站点脚本攻击和网络钓鱼。另外,当恶意程序在网络中传播感染其它用户时,它们就会被打上标记,其中就包括向外界传送信息或从恶意的来源(如僵尸网络)接收命令的隐藏型恶意软件。通过TDA独特的反向定位功能,广西移动公司能够迅速找到了隐藏于网络中的高风险节点,并根据趋势科技整合在TDA报告中的解决方案,在这些高危节点尚未造成大规模病毒爆发前就把病毒处理干净。
在TDA部署完成之后,趋势科技的工程师与广西移动携手,将其与原有的防火墙及入侵防御系统进行了联动配合。如今,广西移动整个内网的数据都可以利用TDA系统,进行2-7层的深度扫描,不但主动、实时的抓住了网络之间相互访问的恶意代码,还对业务系统以及办公网络实现了真实可见的安全护航。如果发现可疑事件,管理人员够通过CTIS系统,在威胁源头的物理位置在监控地图上实时展现,全面提高故障处理效率。
对此,广西移动安全专职工程师杨明表示:“之前我们针对病毒事件,完全处于一种蒙着眼睛找毒、杀毒的状态,难以有效发现安全威胁问题。而大量无用信息,使得我们定位攻击源头和阻断恶意代码的工作就如同大海捞针。本次采用的趋势科技TDA+CTIS组合,则可以让我们在应用层对网络中流动的数据进行深度分析,不但可以把内网安全问题看清、看透,还可以通过监控地图实时定位,第一时间抓出攻击源头。另外,趋势科技提供的威胁可视化监控系统可以与广西移动的ISMP无缝兼容,配合工单系统,让我们极大的提供了威胁处理流程。”
关于趋势科技(Trend Micro)
趋势科技是全球虚拟化及云计算安全的领导厂商,致力于保障企业及消费者交换数字信息环境的安全。趋势科技始终秉持技术革新的理念,基于业内领先的云计算安全技术(Smart Protection Network)核心技术架构,为全世界各地用户提供领先的整合式信息安全威胁管理技术能防御恶意软件、垃圾邮件、数据外泄以及最新的Web信息安全,保障信息与财产的安全。同时,遍布全球各地的1,200余名趋势科技安全专家可为各国家和地区的企业级个人用户提供7×24的全天候响应及技术支持服务。更多关于趋势科技公司及最新产品信息,请访问: www.trendmicro.com.cn。请访问Trend Watch:www.trendmicro.com/go/trendwatch查询最新的信息安全威胁的详细资讯。
厦门理工学院
背景
厦门理工学院位于中国东南海滨城市——厦门。1981年建校,是福建省属公立本科大学,实行省市共建、以市为主的管理体制。前身鹭江职业大学是福建省最早的全日制职业技术大学。2003年筹建升本并试招7个专业的本科生,2004年经教育部批准升本并更名为“厦门理工学院”。2005年3月,升本后的首届校领导班子到任;2007年5月,通过学士学位授权单位及专业评估;2009年10月,在中国大陆高校中第一个提出建设“亲产业大学”;2011年9月,成为教育部“卓越工程师教育培养计划”高校;2011年10月,成为国家首批“服务国家特殊需求专业硕士学位研究生教育试点高校”。
需要解决的问题
1)外部攻击:虚拟服务器同样面临物理环境中存在的安全风险,例如恶意软件感染、漏洞利用和SQL注入。
2)即时启动间隔:在短时间内激活并取消激活虚拟机时,快速且一致性地为这些虚拟机配置安全策略且保持它们为最新是不可能的。
3)虚拟机内部攻击:传统的网络安全设备无法查看虚拟机内的网络通信,因而无法检测或抑制源于同一主机上的虚拟机的攻击。
4)资源争夺:在主机的虚拟机上同时执行病毒扫描或防病毒更新等占用资源较多的操作时会快速导致系统(CPU、内存和磁盘I/O)负荷激增。
5)管理的复杂度:在动态数据中心中,新的虚拟机自动进行设置、重新配置,甚至自动迁移。这使得管理员在追踪、维护和实施一致的安全策略时变得异常困难。
6)审计检查合规性/不足:在虚拟环境中保持符合行业规定变得更加复杂。这是虚拟化数据中心的动态特性。
方案选型
通过与用户的前期沟通,金融行业对于信息的安全性尤为重视。特别是在进行了虚拟化之后,面临了更多的安全方面的挑战。针对在虚拟化环境中遇到的各种安全挑战,通过部署与虚拟环境底层系统无缝集成的无代理安全解决方案Deep Security,能够实现基于ESXi底层的安全防护,而无需在虚拟机上单独部署代理软件。
方案架构
方案优势和效益
1)与VMware vShield集成提供“无代理”安全防护,并最大化虚拟机密度。将安全性最大化的同时,还能提升虚拟服务器、虚拟机的性能。
2)处于休眠状态的虚拟机在激活后能立即受到保护。
3)解决了虚拟资源争夺。
4)侦测并阻止虚拟机互相攻击。
5)无论虚拟机上运行的是何种操作系统或应用,无代理部署模式减轻了IT多个客户端版本的管理复杂性。
6)运用虚拟补丁技术,屏蔽了易受攻击的应用程序和操作系统,同时免去了在操作系统上安装真实补丁的一切问题。
Deep Security有助于节省更多的运营成本和资本自出。可以减少与服务器补丁安装和保护相关的个人工作负荷和成本。由于具有虚拟化感知能力的安全性可以产生较高的虚拟化率,因此虚拟化项目的投资收益率(ROI)较高。
恒安集团
项目背景
恒安集团创立于1985年,是最早进入中国卫生巾市场的企业之一,是目前国内最大的妇女卫生巾和婴儿纸尿裤生产企业,经营领域涉及妇幼卫生用品和家庭生活用纸两大块,总资产40多亿元,员工一万余人,在全国14个省、市拥有40余家独立法人公司,销售和分销网络覆盖全国。恒安国际集团有限公司于1998年在香港成功上市。主导产品安乐、安尔乐卫生巾,安儿乐婴儿纸尿裤,心相印纸品市场占有率连续多年位居全国第一。2006年,恒安集团销售收入突破50亿元,上缴税款6亿多元。
需要解决的问题
1)垃圾邮件问题:75-90% 的邮件是垃圾邮件
2)病毒问题:邮件病毒只占邮件量的2-6%。但是,其危害还是很严重的。
3)钓鱼邮件问题:欺诈性邮件占邮件总数的4%,钓鱼邮件通过伪装尝试窃取信息,钓鱼邮件的攻击目标除了公司、企业外,还有个人用户,公司、组织需要保护其机要信息和信息安全。
方案选型
通过了解用户现在遇到的垃圾邮件的问题,针对用户亟待解决的垃圾邮件,钓鱼邮件等问题。趋势科技邮件安全网关IMSA (Interscan Message Security Appliance)是一款高性能、高可靠性的企业级SMTP/POP3应用防护设备,为企业网络的邮件应用提供快速、稳定、全面的安全保护。
方案架构
部署IMSA之前,邮件由路由方式直接到达SMTP服务器。部署了IMSA之后,邮件会先交由IMSA做过滤,再由IMSA交付给SMTP服务器。
方案优势
1)IMSA邮件安全网关解决方案以硬件的形式提供给用户,该设备是一款即插即用的设备,软件预装在设备中,确保了软件的兼容性,可以快速、便捷的安装部署。
2)经过安全与性能方面的优化,IMSA具备更高的稳定性和可靠性。设备提供了硬件和软件监控,冗余电源、风扇、双热插拔硬盘。
3)IMSA邮件网关采用趋势科技定制开发的精简Linux专用加固平台,从基础系统平台上保证了系统的安全性,支持强大的自身防御攻击功能,提供DoS/Ddos、Land、Franggle、WinNuke 、Ping of Death 、IP Spoofing 、SYS Flood、ICMP Flood 、UDP Flood、ARP 欺骗等恶性攻击,确保自身网络安全。
4)IMSA 5000提供每小时15万封邮件的极高邮件吞吐量,而IMSA 5000-E提高了近一倍。
5)同时IMSA可对每一封邮件提供强制内容符合检查,高识别率、低误判率的垃圾邮件和钓鱼邮件识别。
6)无需更改客户内部网络结构、终端用户邮件收发不受影响、不存在故障点(IMSA如果出现故障,公网MX记录将选择原有邮件服务器MX记录进行邮件传递)