安全防御主動出擊 IT環境高效運維
常熟市地稅局是我國稅務系統實現信息化管理的先行者之一,在階梯型的IT環境持續建設中,隨著網絡與業務越來越緊密的融合,對于網絡安全管理所投入的成本已經占據了整體IT成本的大幅比例。常熟市地稅局信息中心為擺脫"成本中心"的角色,實現主動運維目標,在充分評估信息安全市場的威脅發現產品后,最終選擇了集成趨勢科技"云安全"技術的威脅發現系統(Threat Discovery Appliance,TDA)。在經過一段時間的應用后,TDA不但證明了全面檢測2-7層的惡意威脅,同時還為IT部門大幅降低了網絡安全運維成本的投入。
"安全故障"是一個非常敏感的詞匯
常熟市地稅局的網絡結構和終端組成比較復雜,近30臺服務器組成的數據中心承擔著整體應用平臺的運行,而在大量的交換機和路由設備后面還聯接著500臺左右終端。如今,不單單只是簡單的OA辦公應用,隨著Internet接入與Web開發技術的普及,常熟地稅的業務系統大多已經成為網絡的"依存者"。然而,網絡這把"雙刃劍"也容易產生諸多負面的管理問題,越來越多的稅務運營數據已經存放在網絡之中,稅務的征收等工作也越來越依賴于穩健的網絡,一旦出現網絡安全事故,故障恢復成本和公眾形象勢必大打折扣。
常熟地稅的網絡工程師夏先生表示:"在之前加固網絡安全的工作中,我們已經部署了防火墻、終端防毒軟件等安全措施;同時為了將內、外網的安全分級管理,防止病毒交叉感染和數據泄露,地稅局還按照上級單位要求部署了網閘設備,但這并不能保證我們的安全配置固若金湯。對于絕大多數業務都依賴于信息系統的常熟地稅來說,能否發現網絡中已有的威脅、防止未知和潛在的威脅,將直接關系到稅收系統能否正常運作的關鍵。"在網絡安全管理和建設方面,不但夏先生這樣的一線工程師十分擔心,由于"病毒感染親身感受"的覆蓋面相當廣泛,這也引起了單位領導的高度重視。
常熟地稅的擔憂十分必要,據統計,全球惡意程序已超過1600萬個,而且每4秒鐘就產生一個新病毒,每個網絡都將迎來內外威脅的共同夾擊。同時,雖然每個園區網中的防火墻或殺毒軟件已經成為剛性需求,但是要面對日新月異的網絡威脅與黑客攻擊手法,這樣簡單的防御無疑是遠遠不夠的。"網絡安全事故"在稅務和金融行業中已經是一個非常敏感的詞匯,稅務工作是為國家創收從而為國家發展建設服務的,這是關系到國計民生的大事。另外,整個系統的文件和數據是需要絕對安全和保密的,如果標記了"絕密、機密、秘密"等級的數據遭到破壞,將直接引起的法律糾紛和重大經濟損失。
安全防御與主動運維并軌
稅務系統的網絡一般劃分為兩部分:稅務內網,它運行多個涉及稅務內部業務和辦公的應用系統,是稅務系統的重要業務網絡,需要進行高安全的防范,要求與互聯網物理隔離,該網還需要與各業務專網相連,例如商業銀行專網、海關專網等;稅務外網,則運行多個稅務外部業務,并通過互聯網提供網上報稅、便民服務,該網絡是稅務業務系統的外延,是對外服務的窗口。常熟地稅已經為內、外網系統和終端用戶運維投入了大量人力和財力,在制定了大量網絡安全防范制度的同時,常熟地稅信息中心還提出了:"IT主動運維,安全事故消滅在萌芽階段,先行一步發現異常"等具體實現目標。
而在選擇趨勢科技的威脅發現方案之前,最讓IT部門頭痛的是有很多員工都使用筆記本電腦,攜帶外出很容易受到感染,再加上頻繁使用移動硬盤和U盤,病毒通過這些途徑極易進入到內網。即便網絡中已經部署了網閘和防火墻,內部計算機也都有安裝客戶端防毒軟件,但防毒和系統修復工作卻占據了IT部門的大量人力資源。信息中心的陸強主任認為:"我們對網絡安全防護不斷投入,制度也越加完善,這使得網絡的穩定性開始逐步增強,大范圍的病毒感染已經非常少。但如果出現安全事件,IT部門的人員又要重新扮演'消防員'的角色,依靠個人經驗提出安全策略和補救措施,這與主動運維的策略背道而馳了。同時,這種方式容易拖延補救時間,也不能確保處理的效果。"
針對已經存在的顯性威脅和可能出現的隱形威脅,常熟地稅提出了進一步采購威脅防御產品的需求。具體來講,他們需要一個能夠支持從網絡層至應用層的多種綜合協議的網絡流量檢測產品,以便確定相關事件的可疑威脅,并且還要能利用病毒掃描引擎分析文件內容,達到深層次的威脅檢測。結合IT主動運維的思路,需求分析中更體現出單一集中式的記錄報告平臺,讓管理員輕松工作的同時,還能在發現威脅時提供出具有指導性的解決方案,建立配套的"安全威脅知識庫"。
利用TDA替代手工處理威脅
在充分評估信息安全市場的威脅發現產品后,常熟地稅最終選擇了集成趨勢科技"云安全"技術的威脅發現系統(Threat DiscoveryAppliance,TDA)。由于采用了旁路設計,通過鏡像端口的離線部署方式,常熟地稅在沒有中斷業務系統的狀態下快速完成TDA的部署。如今,TDA通過對每一臺終端計算機和網絡狀況的整體分析,針對一百多種協議進行深度關聯分析,可以識別違反安全策略,發現造成網絡中斷、消耗大量帶寬或未經授權應用程序和服務程序。陸強主任和IT部門的同事利用TDA提供的網絡威脅日報、周報和月報信息,并根據收集提供的反饋報告信息制訂了更加詳細的應急響應方案。夏工表示:"我們在部署TDA之后,通過控制臺將網絡中的可疑活動都看得一清二楚,從網絡層至應用層的多種協議流量情況盡在眼中。TDA不但像'放大鏡'一樣幫助我們發現網絡中的威脅問題,還可以在發現威脅之后,發揮'雷達儀表盤'功能迅速抓到這個違反策略的終端,將安全威脅轉化為詳細的處理措施并進行落實,這些都替代了之前我們需要手工排查故障原因的做法"。
由于稅務行業特殊的保密性需求,很多時候安全廠商也無法直接提供面對面的服務,但TDA由于采用了全球云安全架構的支撐,其"威脅處理知識庫"卻可以彌補服務上的特殊要求。TDA集成了云安全、行為分析、關聯分析技術,這與傳統的病毒代碼比對不同,對IT部門"拿不準"處理步驟,在部署了趨勢的TDA之后可以自動從"威脅處理知識庫"獲得了威脅處理建議。陸強主任認為:"正式這種知識庫的形式,讓我們在網絡安全工作中也體系了科學運維、標準運維的做法。在遇到實際威脅時,減少了對'人'的依賴性,做到有章可循,減少了重復的人力投入,降低了運維成本。"
趨勢科技作為全球領先的網絡安全產品和服務提供商,其核心產品TDA已經樹立了最新的網絡安全運維實踐,這使得企業不再會因為缺乏專業安全人員感到遺憾,也不會讓病毒和黑客成了影響業務拓展的絆腳石。通過TDA等安全產品的智能聯動功能,大幅降低人工和安全事故造成的運維成本,讓IT重新回到引領業務前行的方向上。
【編輯推薦】
