TDA在吉林联通网络中构建全范围威胁预警系统

　　由于大型企业的业务运行多设定为“永不间断”的目标，这些企业的IT部门的压力如同肩挑泰山。同时，这些大型企业的网络结构也异常复杂，客户端、服务器加在一起，少则数千，多则上万。虽然这些大型企业能够清楚地意识到各种安全威胁，并采用聘请安全专家的方式来帮助他们抵御各种网络威胁，但如此庞大的网络必然还有一些威胁让我们防不胜防，对于动态变化的威胁来源，要找到并阻断源头，就如同“大海捞针”一般，绝非易事。

 

　　吉林联通作为非常典型的电信行业大型网络用户，充分利用了现有网络资源，加大新业务的创新。在全面提高用户体验感受的同时，为全面消除异常流量和应用层漏洞，与趋势科技联手，并使用趋势科技威胁发现设备TDA (Threat Discovery Appliance)在双核心交换机上执行全面覆盖，通过监控2-7层的可疑活动定位，将威胁消灭在萌芽状态。

 

　　网络全副武装仍然有机可乘

 

　　吉林联通作为电信行业的典型代表，其网络容量和网络负荷都非常之高，加上多业务类型、多业务承载的特点，形成了复杂的网络结构。据了解，吉林联通的网络终端数量大致在5000~6000台左右，服务器超过200台，为突出“稳定性”和“安全性”的需求，所有的链路、核心层、汇聚层设备都是双冗余设计，并在吉林、长春两地都建立异地容灾中心，形成了“口”字形的网络结构。

 

　　据负责吉林联通网络安全的金先生介绍：“为确保业务平台稳定和数据保密性的要求，吉林联通在安全建设上投入巨大，不但采用双冗余设计、备份中心建立、为各个网络出入口处增加多级防火墙设备，还购买过多台IDS安全产品。但由于网络庞大的客户端和服务器资源存在，对网内高危漏洞的发现工作量极大，ERP、OCS、CRM、BSS、MSS以及高清视讯等多域环境中都可能随时遭受到来自内部威胁的攻击。”据了解，虽然吉林联通在客户端部署了防毒软件，并购置了IDS系统来保护办公网和DCN网络。但传统的IDS对于电信行业独有的DCN网络(已经实施了核心承载冗余互备)来说，无法满足数据流量巨大、网络覆盖范围和结构复杂的需求，并且传统IDS的通病(误报和漏报)问题也开始显现出来。而面对日益变化的内网终端威胁，传统的IDS厂商必须为不同业务平台开发不同的程序，那么就会给这些威胁充足的恶化时间了。虽然构建了铜墙铁壁，但等威胁一旦升级到“事故”，全副武装网络也架不住病毒和恶意代码的“闹腾”。

 

　　严格测试超小包难逃TDA法眼

 

　　为迅速消除网络中的安全隐患，防患于未然，吉林联通邀请了数个网络安全厂商加入进来。在严格的测试环境中，一批“串”路的安全设备由于无法胜任如此大的通信量负载而败下阵来，而在随后的实际环境试用中，对于最新的木马和变种病毒，很多厂商的产品无法做到第一时间预警，并且这些产品由于无法构建吉林联通的网络安全整体视图，也纷纷被淘汰。趋势科技推出的TDA由于集成云安全技术、旁路设计、可检测应用层超小数据包，以及在两台核心交换机上可同时提供接入等功能，并因此受到了IT部门的认可。

 

　　金先生和趋势科技工程师一起，在试用过程中，对于TDA功能中HTTP访问恶意代码检测、P2P会话流量管理、蠕虫漏洞扫描等非法流量检测功能都作了模拟攻击测试，而对于这些“超小数据包”来源定位，TDA基本上做到“秒”级的预警功能。TDA可通过“数据包”和“会话”视图对这些主机通讯的数据进行自动关联分析，即从云端数据库进行比较，自动将占用网络带宽的应用和造成网络通讯拥塞故障的信息建立威胁关联。金先生还表示：“TDA的严格控制功能也弥补了吉林联通之前部署防毒软件的不足，这包括Web病毒、跨站木马、视频嵌入恶意软件、非法流量、DNS劫持等尚未形成交叉感染的潜在威胁，先在利用TDA之后，我们可以从海量的数据流中迅速找到被防火墙放过来的漏网之鱼。”

 

　　威胁一目了然安全交付云端

 

　　吉林联通经过了几次重大的网络融合和升级工作，那么在较为复杂的网络结构和庞大的终端管理上，又应当如何简化管理，降低IT维护人员的工作量，从而进一步减少运营成本，提高资源使用效率呢?TDA在网络安全评估和主动安全运维两大方面应该说符合了大型网络在安全管理中的需求。

 

　　·动态网络安全评估，将策略转化为行动

 

　　在部署TDA之前，吉林联通已经对外网出口和各级网关设备进行了严格的安全评估工作，那么在使用TDA之后，内网的安全评估(主要是：威胁评估)完全可以交付给TDA去自动执行。TDA无须安装代理程序，自动对服务器和终端进行动态的监测，第一时间定位了可能构成潜在安全威胁的客户端。尤其是它可通过报表的形式显示客户端即时通讯(IM)、P2P文件共享(BT)、流媒体，以及未授权服务如SMTP中继和DNS欺骗现象，这是其它IPS和IDS产品无法相比的。TDA实际上为吉林联通网络中形成“策略执行中心”，它不但能够及时的发现网络环境中的安全威胁，还能够将这些威胁转化为详细的处理措施并进行落实。

 

　　·安全运维主动出击，服务水平大幅提升

 

　　吉林联通负责IT运维的工程师有十几位，但与数千台客户端和服务器数量比对起来还是显着捉襟见肘。在部署TIDA之前，IT部门也都只能在用户电话或者邮件的通知后才能发现已经遭遇病毒的踪迹，IT部门的服务水平无法得到认可。Web病毒、木马、邮件病毒、个人主机漏洞、移动设备交叉感染，非法个人通信设备接入等等，时常搞得IT部门无从应对。而现在由于在核心层部署了TDA，而TDA又与趋势科技的云安全中心连接，一旦上述威胁出现，第一时间都会被管理员知晓，在威胁升级之前，已经被管理员排除掉。据了解，利用TDA主动性开展运维工作已经有一段时间了，吉林联通的IT部门的服务水平大幅提升，并受到了上级领导和终端用户的好评。

 

　　TDA由于集成了趋势科技云安全中的“多协议关联分析技术”，因此可全面支持检测2-7层的恶意威胁。尤其是对电信企业这种大型网络而言，自动形成反映全公司安全形势的总体视图，通过集中管理界面帮助企业应对紧急事件响应，并能在更详细的交互式报表中形成更加颗粒化的补救措施和改进建议。