在大型或者超大型網絡中���,必然存在一些信息安全威脅讓企業(yè)的IT運維部門防不勝防��。要在動態(tài)變化中找到這些威脅的來源絕非易事����,這就如同“大海撈針”���。
近日,記者了解到��,江蘇移動呼叫中心作為一個典型的電信行業(yè)大型網絡用戶���,正在努力進行“撈針”的工作��。它試圖在其擁有的大約1000~2000臺終端����、超過200 臺服務器的網絡中��,全面消除異常流量和應用層漏洞��,保障企業(yè)的網絡穩(wěn)定和應用安全���,從而給客戶帶來更好的用戶體驗���。
傳統(tǒng)IDS力不從心
據了解�,江蘇移動呼叫中心為了保障業(yè)務的正常運營��,突出網絡的穩(wěn)定性和安全性需求����,投入巨大:所有的鏈路、核心層��、匯聚層設備都是雙冗余設計�,建立備份中心并在邊界增加多級防火墻設備,同時為了防止病毒在內網交叉感染�,該中心在客戶端部署了防毒軟件,并購置了多臺IDS (入侵檢測)設備來保護其辦公網絡��。
然而��,這些防護措施并沒有減輕該中心IT運維人員的工作量��,隨著終端和安全設備數量的不斷增加����,帶來IT運維管理難度的大幅增加�。此外��,傳統(tǒng)的IDS面對電信行業(yè)的大型網絡明顯力不從心�����。由于無法滿足數據流量巨大����、網絡覆蓋范圍和結構復雜帶來的需求�, IDS的誤報和漏報問題開始顯現出來。
“由于我們的網絡存在著龐大的客戶端和服務器資源���,網內高危漏洞監(jiān)測的工作量極大��,ERP����、OCS�����、CRM��、BSS、MSS 以及高清視訊等多域環(huán)境隨時可能遭受到來自內部威脅的攻擊����。”江蘇移動呼叫中心負責網絡安全、不愿透露名字的王先生指出��,“內網終端威脅不斷變化�,因此,傳統(tǒng)的IDS 廠商必須為不同的業(yè)務平臺開發(fā)不同的程序�,這樣這些威脅就可能造成進一步惡化。雖然構建了銅墻鐵壁的外圍�����,但內部威脅一旦未被發(fā)現并升級為‘事故’��,全副武裝的網絡也抵擋不住病毒和惡意代碼的攻擊�����。”
快速準確找到漏網之魚
為了迅速消除網絡中的安全隱患�,防患于未然,江蘇移動呼叫中心邀請了數個網絡安全廠商提供解決方案���,并加入實地測試�����。據王先生介紹�����,在嚴格的測試環(huán)境中����,一批“串”路的安全設備由于無法勝任該中心的大通信量負載而敗下陣來�,而在隨后的實際環(huán)境試用中,很多廠商的產品由于無法做到第一時間預警最新的木馬和變種病毒并且無法構建該中心的網絡安全整體視圖而被淘汰����。
“最后,我們根據綜合測試結果選擇了趨勢科技的威脅發(fā)現設備TDA 6000�����,它集成了云安全技術�、旁路設計并可檢測應用層潛在威脅,幫助我們將威脅消滅在萌芽����,為呼叫中心的業(yè)務發(fā)展提供了充分的安全保障�。”王先生介紹�����。
在試用過程中���,王先生和趨勢科技的工程師一起對TDA 6000的HTTP訪問惡意代碼檢測����、P2P會話流量管理�、蠕蟲漏洞掃描等非法流量檢測功能都做了模擬攻擊測試,而對于這些威脅的來源定位�����,TDA 基本上可以做到“秒”級的預警���。
此外�����,由于它集成了趨勢科技云安全中的“多協(xié)議關聯分析技術”��,可全面支持檢測2~7層網絡的惡意威脅�。TDA 可通過“數據包”和“會話”視圖對網絡內的主機通信數據進行自動關聯分析,即從云端數據庫進行比較�����,自動將占用網絡帶寬的應用和造成網絡通信擁塞故障的信息建立威脅關聯���。
“TDA 的嚴格控制功能也彌補了江蘇移動呼叫中心之前部署防毒軟件的不足�����。比如 Web病毒、跨站木馬���、視頻嵌入惡意軟件���、非法流量、DNS劫持等尚未形成交叉感染的潛在威脅�����,在我們應用TDA之后��,就可以從海量的數據流中迅速找到被防火墻放過來的漏網之魚。”王先生補充說�����。
提升安全評估和運維效率
事實上�,江蘇移動呼叫中心對TDA的應用,不僅實現了全面的威脅偵測�����,還同時簡化了運維管理�����,減少了運維人員的工作量����,從而降低了運營成本。
據了解����,江蘇移動呼叫中心的網絡經過了幾次重大的融合和升級,擁有較為復雜的網絡結構和龐大的終端數量��。王先生介紹����,最終部署在該中心核心交換機上并執(zhí)行網絡全面覆蓋的TDA�,為該中心的網絡安全評估和主動安全運維效率兩個方面帶來了極大的提升�����。
一方面����,TDA實現了動態(tài)的網絡安全評估,將策略轉化為行動�����。在部署TDA 之前���,江蘇移動呼叫中心已經對外網出口和各級網關設備進行了嚴格的安全評估工作,在使用TDA 之后����,內網的安全評估(主要是威脅評估)完全交付給TDA 去自動執(zhí)行。
首先��,TDA 無須安裝代理程序便可自動對服務器和終端進行動態(tài)的監(jiān)測���,這大幅節(jié)省了運維人員為每臺終端安裝代理端的工作�����。其次�,TDA可通過報表的形式顯示客戶端的即時通信(IM)、P2P 文件共享(BT)����、流媒體以及未授權服務如SMTP中繼和DNS欺騙現象,這是其他IPS(入侵防御)和IDS產品無法相比的��。
“對于我們這種電信行業(yè)的大型網絡而言��,TDA自動形成映射全中心安全形勢的總體視圖的強大能力�,讓我們非常受用。在日常工作中��,TDA已經成為我們網絡的‘策略執(zhí)行中心’�����,它不但能夠及時發(fā)現網絡環(huán)境中的安全威脅�����,還能夠將這些威脅轉化為詳細的處理措施并進行落實。”王先生說�����。
另一方面����,TDA讓安全運維變被動為主動,運維水平大幅提升��。據了解����,江蘇移動呼叫中心一共有十幾位負責IT 運維的工程師,但要應對數千臺客戶終端��、200多臺服務器的運維需求����。
在部署 TDA之前���,IT 運維部門只能在用戶電話或者郵件通知后才能發(fā)現系統(tǒng)已經遭到病毒入侵的蹤跡�,這樣的IT運維總是處于亡羊補牢的狀態(tài)�����。Web 病毒、木馬��、郵件病毒����、個人主機漏洞、移動設備交叉感染等時常搞得IT 部門無從應對���。
而現在����,TDA通過集中管理界面幫助該中心應對緊急事件響應����,并能在更詳細的交互式報表中形成更加顆粒化的補救措施和改進建議����。
此外,江蘇移動呼叫中心將TDA預警和報表信息都納入到IT 服務流程中��,一旦出現預警信息便立即啟動設計好的事件流程���。王先生介紹����,如今江蘇移動呼叫中心的包括TDA在內所有安全產品都配合使用了趨勢科技提供的 PSP 服務(專屬咨詢服務),一旦發(fā)現未能處理的信息和可疑流量���,都會得到趨勢科技技術客戶經理的電話和現場支持���,讓中心的IT服務水平和應急能力得到了進一步提升。
