【51CTO.com 綜合消息】華南某省運營商業務支撐網自建網以來，對企業網絡安全建設的投入非常重視，除了部署了全省統一的防病毒軟件以外，還在各個網絡邊界部署高端防火墻等安全設備。一直以來，也起到了其應有的作用。但隨著企業信息化建設日漸發展，業務系統的正常運作已經不能離開網絡、計算機的穩定運行。而這段時間，恰好是中國病毒行業進入黃金發展時期，“偷窺病毒”在國內肆虐，奧運會也即將在中國北京舉辦。上級領導已經明確表示：作為運營商，在奧運會期間不能出現任何斷網的情況，否則會產生非常不好的社會影響。鑒于這種情況，該運營商的安全管理員李工認為：是時候對現有的安全體系進行一次加固，尤其是在病毒防護這一部分，以此應對目前的狀況。下面我們就以此用戶為例，探討一下運營商行業的網絡安全防護問題。

網絡病毒的爆發，會使主干網遭受大量的資源占用，業務無法正常運行

省移動計費網擁有四大業務系統，包括：Boss、營銷分析、客服中心、業務支撐。承載著省移動業務運行所必需的計費、數據分析、業務分析等重要業務。整體的邏輯網絡架構如下： 

圖1 ：運營商業務支撐網邏輯架構圖

另外，經過對用戶網絡內部可能存在的終端設備進行分析，主要存在以下幾類：

表1

可以看到，對省移動BOSS網潛在威脅最大的就是所有動態接入的終端設備，這類設備由于其動態接入的特性，所以對于安全管理來說是一個難題。因此，如何在這些終端上部署安全管理策略成為關鍵。

用戶與趨勢科技技術顧問經過長時間的討論后，認為可能會導致網絡故障的因素有以下幾個。同時，這也是眾多運營商行業用戶所面臨的網絡安全問題： 

◆一是接入終端的安全級別無法得到保證。可能會存在大量設備在沒有更新病毒庫或系統補丁的情況下，接入網絡。造成網絡病毒爆發，并最終使網絡出現堵塞的情況； 

◆二是終端用戶接入網絡后，由于安全意識不足，隨意訪問非法網站，導致感染木馬而影響網絡； 

◆三是由于現在計算機病毒的發展過快導致，平均每秒鐘新增4支新病毒的速度，單靠客戶端病毒庫的更新是不能夠有效防止新形態病毒的入侵。（從下面的報告可以看到這一快速增長趨勢）

從2005年到2008年，TrendLabs報告網絡威脅增長 

圖2

趨勢科技“云安全”，讓用戶從此放心

在找到原因后，趨勢科技向用戶推薦了其歷時3年半，斥資4.5億美金研發地“云安全2.0 (Smart Protection Network,以下簡稱SPN)”及網絡準入控制趨勢科技網絡病毒墻NVWE2500的組合方案。因為考慮到該用戶是全網統一Internet出口，通過對原有防病毒系統的日志分析得知，超過70%的病毒是通過Web進入運營商內部網絡的。因此，我們在用戶網絡的Internet出口部署第一道防線：趨勢科技Web安全網關--IWSA。通過在IWSA上啟用業界唯一的云安全Web信譽技術（WRT），攔截了大量由內部用戶發起的對可疑高風險URL的訪問，大大降低了用戶由于訪問URL帶來的風險，避免了因終端使用者安全意識不強，導致的Web訪問安全問題。

另外，通過有WRT對可疑網頁訪問的攔截，還可以將大部分病毒變種的下載阻斷，從而阻止新病毒的入侵，同時也使內網已經存在的病毒無法變種，降低了內網OfficeScan客戶端的防毒壓力。由于IWSA部署是采用透明方式，所以，IWSA的運行既不會對用戶日常使用習慣帶來影響，同時亦可以保障到用戶訪問網頁的安全。

同時，為了保障運營商用戶主干道的帶寬不被網絡蠕蟲病毒占用，而影響業務的正常運行。我們還建議在主干道上部署了8臺網絡病毒墻NVWE2500，以此來保障主干道的通暢無阻。

針對移動辦公設備的安全準入，也通過NVWE2500來實現。當移動辦公用戶接入網絡時，NVWE2500會對該設備的安全情況進行檢查（防毒軟件更新情況、系統補丁更新情況等）。如果發現該設備不能滿足安全管理員定制的要求，NVWE2500將會把該設備強制修復了安全隱患后才能接入網絡，從而提高了內網的安全程度。 

圖3  運營商業務支撐網安全加固架構圖—網絡病毒及準入控制

由于用戶網絡規模非常龐大，而且各種類型的終端分布也極為分散。因此，用戶有兩個長期困擾的安全問題： 

◆有哪種解決方案能夠盡早告訴我，威脅從哪進入我的網絡； 

◆如果能夠在威脅造成業務中斷前告訴我，并告訴我如何應對。

對此，趨勢科技在充分了解用戶的網絡架構及業務分布后，推薦了用戶使用趨勢科技最新的解決方案：威脅發現系統（Threat Discovery Suite 簡稱TDS）。

威脅發現系統，目的是識別和應對下一代網絡威脅。其運用云安全2.0的多協議關聯分析技術，通過監控網絡，檢測傳統的安全產品無法偵測的84種常規協議，2-7層網絡架構內的惡意威脅和破壞性應用，同時對威脅環境提供更詳細的分析，從而對感染終端提供更廣泛的清除和強制策略解決方案。這樣，TDS同用戶原有的終端防護軟件—OfficeScan相配合，形成了針對終端的多層次安全解決方案。#p#

威脅發現系統包括下面兩個組件： 

◆威脅發現設備—檢測企業內部網絡中的安全威脅和破壞應用,  

◆威脅發現報表服務—先進的威脅相關性服務，發現隱藏威脅，提供個性化的威脅報告，事故分析以及威脅建議。

圖4

 

圖5  運營商業務支撐網安全加固架構圖—威脅發現&Web網關防毒

而實際在運營商用戶環境使用，也體現這樣的效果： 

圖6  運營商用戶威脅發現系統TDS使用效果

 

圖7  運營商威脅發現系統TDS使用效果

 

表2

通過監控網絡層的可疑活動定位惡意程序，威脅發現系統（TDS）集成趨勢科技“云安全”技術，可全面支持檢測2-7層的惡意威脅，以識別和應對下一代網絡威脅。這是傳統的、基于代碼比對方式的安全產品所無法辦到的。

與趨勢科技“云安全2.0”技術配合，TDS可檢測基于Web威脅或郵件內容的攻擊，如Web攻擊、跨站點腳本攻擊和網絡釣魚。另外，當惡意程序在網絡中傳播感染其它用戶時，它們就會被打上標記，其中就包括向外界傳送信息或從惡意的來源（如僵尸網絡）接收命令的隱藏型惡意軟件。TDS還能識別違反安全策略、中斷網絡以及消耗大量帶寬的或構成潛在安全威脅的未經授權應用程序和服務程序。這些應用程序和服務程序包括如即時通訊（Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger ）、P2P文件共享、流媒體，以及未授權服務如SMTP中繼和DNS欺騙。

TDA利用網絡內容檢測技術偵測網絡流量以及趨勢科技病毒掃描引擎對其進行內容分析，并采用在網絡交換機上使用端口掃描并以創建網絡數據包的鏡像方式進行內容檢查，確保網絡服務不會被中斷。企業管理員可根據TDS收集提供的反饋報告信息制訂相應的企業網絡安全規劃。 

圖8

至今為止，該運營商使用趨勢科技整體防毒體系已經有1年的時間，通過對用戶防毒體系的巡檢，可以發現IWSA+TDA_+ OfficeScan每周均能發現大量的威脅。另外，在NVWE2500的監控日志上看到，大量的蠕蟲病毒（如速客一號、沖擊波等）在進入核心主干道時即被NVWE2500所攔截，保重了內部核心數據及帶寬的高可用性。對于用戶來講，最大的價值是在于：在奧運會期間，從沒有出現因為病毒事件而導致網絡中斷或業務停頓的生產事故。

結語

在運營商行業，終端用戶不規范的上網行為，是導致企業網絡感染病毒的最大風險之一，而且這個風險在現階段難以通過教育的方式來改善。另外，移動辦公的終端設備，也是對運營商主干網危害最大的隱患。

趨勢科技的 IWSA+TDS+NVWE組合解決方案，恰恰是為運營商用戶解決這兩個難題。

一、通過對用戶訪問網頁進行風險度評估，減少用戶對高風險網頁訪問的幾率；

二、在IWSA的基礎上，結合TDS系統，對全網的威脅進行實時管理；

三、通過NVWE對運營商主干道網絡進行病毒凈化，以及對移動辦公設備的接入進行安全檢查，可以提高主干道網絡的穩定性及高可用性。

所以，在運營商行業用戶的網絡中部署趨勢科技整體防病毒解決方案，可以使運營商用戶的網絡更加穩定、更加安全。