在大型或者超大型網(wǎng)絡(luò)中��,必然存在一些信息安全威脅讓企業(yè)的IT運維部門防不勝防��。要在動態(tài)變化中找到這些威脅的來源絕非易事����,這就如同“大海撈針”���。
近日����,記者了解到����,江蘇移動呼叫中心作為一個典型的電信行業(yè)大型網(wǎng)絡(luò)用戶���,正在努力進行“撈針”的工作。它試圖在其擁有的大約1000~2000臺終端����、超過200 臺服務(wù)器的網(wǎng)絡(luò)中,全面消除異常流量和應(yīng)用層漏洞����,保障企業(yè)的網(wǎng)絡(luò)穩(wěn)定和應(yīng)用安全,從而給客戶帶來更好的用戶體驗�。
傳統(tǒng)IDS力不從心
據(jù)了解,江蘇移動呼叫中心為了保障業(yè)務(wù)的正常運營�����,突出網(wǎng)絡(luò)的穩(wěn)定性和安全性需求��,投入巨大:所有的鏈路����、核心層、匯聚層設(shè)備都是雙冗余設(shè)計�����,建立備份中心并在邊界增加多級防火墻設(shè)備,同時為了防止病毒在內(nèi)網(wǎng)交叉感染�����,該中心在客戶端部署了防毒軟件���,并購置了多臺IDS (入侵檢測)設(shè)備來保護其辦公網(wǎng)絡(luò)����。
然而�,這些防護措施并沒有減輕該中心IT運維人員的工作量,隨著終端和安全設(shè)備數(shù)量的不斷增加�����,帶來IT運維管理難度的大幅增加����。此外�,傳統(tǒng)的IDS面對電信行業(yè)的大型網(wǎng)絡(luò)明顯力不從心。由于無法滿足數(shù)據(jù)流量巨大�、網(wǎng)絡(luò)覆蓋范圍和結(jié)構(gòu)復(fù)雜帶來的需求, IDS的誤報和漏報問題開始顯現(xiàn)出來���。
“由于我們的網(wǎng)絡(luò)存在著龐大的客戶端和服務(wù)器資源��,網(wǎng)內(nèi)高危漏洞監(jiān)測的工作量極大�,ERP、OCS�、CRM、BSS���、MSS 以及高清視訊等多域環(huán)境隨時可能遭受到來自內(nèi)部威脅的攻擊����。”江蘇移動呼叫中心負責網(wǎng)絡(luò)安全�����、不愿透露名字的王先生指出���,“內(nèi)網(wǎng)終端威脅不斷變化���,因此,傳統(tǒng)的IDS 廠商必須為不同的業(yè)務(wù)平臺開發(fā)不同的程序����,這樣這些威脅就可能造成進一步惡化�����。雖然構(gòu)建了銅墻鐵壁的外圍���,但內(nèi)部威脅一旦未被發(fā)現(xiàn)并升級為‘事故’,全副武裝的網(wǎng)絡(luò)也抵擋不住病毒和惡意代碼的攻擊�。”
快速準確找到漏網(wǎng)之魚
為了迅速消除網(wǎng)絡(luò)中的安全隱患,防患于未然�,江蘇移動呼叫中心邀請了數(shù)個網(wǎng)絡(luò)安全廠商提供解決方案,并加入實地測試��。據(jù)王先生介紹���,在嚴格的測試環(huán)境中��,一批“串”路的安全設(shè)備由于無法勝任該中心的大通信量負載而敗下陣來�����,而在隨后的實際環(huán)境試用中��,很多廠商的產(chǎn)品由于無法做到第一時間預(yù)警最新的木馬和變種病毒并且無法構(gòu)建該中心的網(wǎng)絡(luò)安全整體視圖而被淘汰���。
“最后,我們根據(jù)綜合測試結(jié)果選擇了趨勢科技的威脅發(fā)現(xiàn)設(shè)備TDA 6000���,它集成了云安全技術(shù)�、旁路設(shè)計并可檢測應(yīng)用層潛在威脅�����,幫助我們將威脅消滅在萌芽���,為呼叫中心的業(yè)務(wù)發(fā)展提供了充分的安全保障�����。”王先生介紹����。
在試用過程中�����,王先生和趨勢科技的工程師一起對TDA 6000的HTTP訪問惡意代碼檢測���、P2P會話流量管理��、蠕蟲漏洞掃描等非法流量檢測功能都做了模擬攻擊測試���,而對于這些威脅的來源定位��,TDA 基本上可以做到“秒”級的預(yù)警�。
此外�,由于它集成了趨勢科技云安全中的“多協(xié)議關(guān)聯(lián)分析技術(shù)”,可全面支持檢測2~7層網(wǎng)絡(luò)的惡意威脅�。TDA 可通過“數(shù)據(jù)包”和“會話”視圖對網(wǎng)絡(luò)內(nèi)的主機通信數(shù)據(jù)進行自動關(guān)聯(lián)分析,即從云端數(shù)據(jù)庫進行比較���,自動將占用網(wǎng)絡(luò)帶寬的應(yīng)用和造成網(wǎng)絡(luò)通信擁塞故障的信息建立威脅關(guān)聯(lián)��。
“TDA 的嚴格控制功能也彌補了江蘇移動呼叫中心之前部署防毒軟件的不足��。比如 Web病毒���、跨站木馬、視頻嵌入惡意軟件�����、非法流量、DNS劫持等尚未形成交叉感染的潛在威脅����,在我們應(yīng)用TDA之后�����,就可以從海量的數(shù)據(jù)流中迅速找到被防火墻放過來的漏網(wǎng)之魚�。”王先生補充說。
提升安全評估和運維效率
事實上�,江蘇移動呼叫中心對TDA的應(yīng)用,不僅實現(xiàn)了全面的威脅偵測�����,還同時簡化了運維管理���,減少了運維人員的工作量����,從而降低了運營成本���。
據(jù)了解����,江蘇移動呼叫中心的網(wǎng)絡(luò)經(jīng)過了幾次重大的融合和升級,擁有較為復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和龐大的終端數(shù)量�����。王先生介紹���,最終部署在該中心核心交換機上并執(zhí)行網(wǎng)絡(luò)全面覆蓋的TDA��,為該中心的網(wǎng)絡(luò)安全評估和主動安全運維效率兩個方面帶來了極大的提升���。
一方面,TDA實現(xiàn)了動態(tài)的網(wǎng)絡(luò)安全評估��,將策略轉(zhuǎn)化為行動��。在部署TDA 之前����,江蘇移動呼叫中心已經(jīng)對外網(wǎng)出口和各級網(wǎng)關(guān)設(shè)備進行了嚴格的安全評估工作,在使用TDA 之后����,內(nèi)網(wǎng)的安全評估(主要是威脅評估)完全交付給TDA 去自動執(zhí)行���。
首先,TDA 無須安裝代理程序便可自動對服務(wù)器和終端進行動態(tài)的監(jiān)測�����,這大幅節(jié)省了運維人員為每臺終端安裝代理端的工作����。其次���,TDA可通過報表的形式顯示客戶端的即時通信(IM)�����、P2P 文件共享(BT)�、流媒體以及未授權(quán)服務(wù)如SMTP中繼和DNS欺騙現(xiàn)象�,這是其他IPS(入侵防御)和IDS產(chǎn)品無法相比的。
“對于我們這種電信行業(yè)的大型網(wǎng)絡(luò)而言�,TDA自動形成映射全中心安全形勢的總體視圖的強大能力,讓我們非常受用�����。在日常工作中,TDA已經(jīng)成為我們網(wǎng)絡(luò)的‘策略執(zhí)行中心’�,它不但能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全威脅,還能夠?qū)⑦@些威脅轉(zhuǎn)化為詳細的處理措施并進行落實����。”王先生說。
另一方面��,TDA讓安全運維變被動為主動����,運維水平大幅提升。據(jù)了解����,江蘇移動呼叫中心一共有十幾位負責IT 運維的工程師,但要應(yīng)對數(shù)千臺客戶終端��、200多臺服務(wù)器的運維需求��。
在部署 TDA之前�����,IT 運維部門只能在用戶電話或者郵件通知后才能發(fā)現(xiàn)系統(tǒng)已經(jīng)遭到病毒入侵的蹤跡����,這樣的IT運維總是處于亡羊補牢的狀態(tài)�����。Web 病毒���、木馬、郵件病毒����、個人主機漏洞、移動設(shè)備交叉感染等時常搞得IT 部門無從應(yīng)對�����。
而現(xiàn)在���,TDA通過集中管理界面幫助該中心應(yīng)對緊急事件響應(yīng),并能在更詳細的交互式報表中形成更加顆?���;难a救措施和改進建議。
此外����,江蘇移動呼叫中心將TDA預(yù)警和報表信息都納入到IT 服務(wù)流程中�,一旦出現(xiàn)預(yù)警信息便立即啟動設(shè)計好的事件流程�。王先生介紹,如今江蘇移動呼叫中心的包括TDA在內(nèi)所有安全產(chǎn)品都配合使用了趨勢科技提供的 PSP 服務(wù)(專屬咨詢服務(wù))��,一旦發(fā)現(xiàn)未能處理的信息和可疑流量���,都會得到趨勢科技技術(shù)客戶經(jīng)理的電話和現(xiàn)場支持���,讓中心的IT服務(wù)水平和應(yīng)急能力得到了進一步提升。
