“中交第一航務工程勘察設計院”立體安全架構全解讀
【51CTO.com綜合報道】中交第一航務工程勘察設計院有限公司創建于1958年,現隸屬于中國交通建設股份有限公司,公司網絡包括了400多臺客戶端和將近20臺服務器,而大多用的操作系統都為Windows平臺,有著極大的相互交叉感染病毒的可能性。
2007年在公司上馬了自動化控制的系統,由于員工的可疑行為感染的病毒就曾經使得服務器遭遇了內部攻擊。而隨著終端設備的日益增加,網絡邊界安全管理受到了足夠的重視,面臨的問題也日漸增多,不但內部網絡要立出許多不同的隔離區域,外部網絡和分機構的邊界隱患也讓工程師們憂心重重。
網關端部署IWSA和IGSA——雙劍起舞 功效顯著
在當前的Web威脅的環境中,員工隨便瀏覽一下網頁,一些惡意軟件就會不知不覺地下載到電腦中,并在企業內部網絡中進行傳播。而且中交第一航務工程勘察設計院信息中心的IT維護人員數量非常的有限,有的時候很難照顧全面。隨著分支機構和遠程辦公用戶數量的增多,分公司的網絡安全問題更加凸顯,加之總公司網絡出口的安全問題,企業亟需一款既能保護總部網絡安全,又能將企業分支機構和遠程辦公用戶納入網絡安全體系的安全服務。
總公司、企業分支機構和遠程辦公的安全該怎樣防范呢?如何選擇一款功能全面、易于管理和部署的網關安全設備,能符合本身資金、IT人員相對短缺的實情呢?陳工表示,如果購買一款傳統的防火墻產品,由于只能在網絡層部署安全策略,還是無法針對間諜軟件等來自Web的網絡威脅,不能再應用層提供有力的安全保證;另外如果購買的產品需要對網絡拓撲進行“大手術”,變更網絡中的很多參數配置也需要很多的人力進行調整,所以,更青睞于“即插即用型”的安全設備來保障企業的網絡安全。
經過多方面的衡量,中交第一航務工程勘察設計院有限公司最終在總部選擇使用趨勢科技的IWSA,在分支機構則部署了IGSA,以此實現了立體化的整體解決方案。據了解,IGSA和IWSA都采用了趨勢科技領先的云安全技術,對于病毒防護的效果可以進行有效的衡量。從控制臺可以清楚地看見,憑借趨勢科技在全球5個數據中心的數據庫,阻止了哪些用戶下載和在線安裝間諜軟件。同時,還可以對已經感染間諜軟件的用戶設備,攔截其對外部惡意網站主動發送用戶信息。
在評估安全產品功效方面,負責安全的陳工指出,IGSA對分支機構安全管理方面的效果十分顯著:
第一, 基于Web的控制臺簡化了管理程序,為IT管理人員提供了一站式的服務平臺。
第二, 在分支機構缺少專業安全防護人員的情況下,可以自動清除桌面計算機中的間諜軟件和病毒,減少網絡管理人員的工作量。
第三, 具有高度的兼容性,可以配合總部部署的IWSA等產品,幫助公司將之前制定的大量網絡安全策略付諸于實踐。
現在,陳敏工程師一旦檢測到客戶端的間諜軟件行為,就可以在第一時間解決問題,極大地節省人力投入。自部署IWSA和IGSA之后,平均每個月阻擋的惡意攻擊和惡意代碼下載為1000條左右,而在這之前,到底有多少惡意代碼已經進入到企業當中,都是無法統計的。陳工還表示,使用這樣的網關安全防護設備,不但可以在第一時間內對各類Web流量內容進行掃描過濾,同時也可以大大減輕各應用服務器主機的負荷。這對于金融危機之下網絡安全建設,可謂是一舉多得的好事。
趨勢科技防毒墻(NVW)——重點防范 邊界管理
根據陳敏工程師的介紹,公司在選擇網關安全產品時充分借鑒了之前對NVW的采購經驗,采購時雖然也考慮了幾家入選的產品,考慮再三,還是由于趨勢科技NVW的優良性能,以及趨勢科技工程師良好服務品質影響了最終的采購結果。
之前,陳工和他們同事在規劃網絡區域結構時,對重要數據需要額外的呵護,經過重組之后,他們首先選擇在財務網絡中部署網絡安全系統。由于財務人員的網絡安全防護水平相對于IT技術人員較低,因此在網絡病毒橫行的應用環境下,需要一種能夠實現“即時發現”、“即時掌控”的綜合安全管理平臺,以實現對網絡安全狀況的整體監控、管理,從而體現信息安全建設中對技術、組織、管理三方面體系的合理調配。于是,來自國內外的多個安全廠商紛紛前來為該企業“會診”,拿出了相應的解決方案,經過一個多月分析、比較,最終趨勢科技的防毒墻Network VirusWall 2500(NVW 2500)脫穎而出。
在正式將NVW 2500安裝上線的第一天就讓陳工發現了一支狡猾的ARP病毒。這是一位員工不小心在家中的電腦上感染了針對USB移動設備的病毒,第二天直接插入到財務部辦公電腦造成的。陳工談到,在沒有NVW 2500之前,如果沒有及時發現,很可能造成交叉感染,造成財務部網絡的大混亂。
據介紹,NVW2500在中交第一航務工程勘察設計院應用,得到了意想不到的安全效果。
首先,針對財務專網中幾次極可能大規模爆發的病毒,實現了預警和監管的功效,降低了安全風險。
其次,采用了高效的漏洞簽名技術,成功阻止網絡蠕蟲和僵尸的攻擊,有效地保護了網絡流量。
最后,NVW2500還可以自動部署和集中管理,全面提升IT工作人員的工作效率。
基于NVW2500的成功應用,在使用了一段時間之后,陳工特別對此次網絡安全部署工程進行了全面總結,并對采購后期的運行和維護進行了整體評估,這也是今天利用IWSA + IGSA + NVW 能夠建成起來立體安全框架的緣由。
回故中交第一航務工程勘察設計院的網絡安全建設歷程時,陳敏工程師十分感慨,他表示,“我們在應對大量的網絡威脅與破壞型攻擊時,之所以可以游刃有余。完成得利于公司整體的信息化水平領先和趨勢科技IWSA + IGSA + NVW 的立體安全解決方案的保護。”
