用TDA破解威胁侦测难题

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:qingjietianjiao
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  在大型或者超大型网络中,必然存在一些信息安全威胁让企业的IT运维部门防不胜防。要在动态变化中找到这些威胁的来源绝非易事,这就如同“大海捞针”。
  近日,记者了解到,江苏移动呼叫中心作为一个典型的电信行业大型网络用户,正在努力进行“捞针”的工作。它试图在其拥有的大约1000~2000台终端、超过200 台服务器的网络中,全面消除异常流量和应用层漏洞,保障企业的网络稳定和应用安全,从而给客户带来更好的用户体验。
  传统IDS力不从心
  据了解,江苏移动呼叫中心为了保障业务的正常运营,突出网络的稳定性和安全性需求,投入巨大:所有的链路、核心层、汇聚层设备都是双冗余设计,建立备份中心并在边界增加多级防火墙设备,同时为了防止病毒在内网交叉感染,该中心在客户端部署了防毒软件,并购置了多台IDS (入侵检测)设备来保护其办公网络。
  然而,这些防护措施并没有减轻该中心IT运维人员的工作量,随着终端和安全设备数量的不断增加,带来IT运维管理难度的大幅增加。此外,传统的IDS面对电信行业的大型网络明显力不从心。由于无法满足数据流量巨大、网络覆盖范围和结构复杂带来的需求, IDS的误报和漏报问题开始显现出来。
  “由于我们的网络存在着庞大的客户端和服务器资源,网内高危漏洞监测的工作量极大,ERP、OCS、CRM、BSS、MSS 以及高清视讯等多域环境随时可能遭受到来自内部威胁的攻击。”江苏移动呼叫中心负责网络安全、不愿透露名字的王先生指出,“内网终端威胁不断变化,因此,传统的IDS 厂商必须为不同的业务平台开发不同的程序,这样这些威胁就可能造成进一步恶化。虽然构建了铜墙铁壁的外围,但内部威胁一旦未被发现并升级为‘事故’,全副武装的网络也抵挡不住病毒和恶意代码的攻击。”
  快速准确找到漏网之鱼
  为了迅速消除网络中的安全隐患,防患于未然,江苏移动呼叫中心邀请了数个网络安全厂商提供解决方案,并加入实地测试。据王先生介绍,在严格的测试环境中,一批“串”路的安全设备由于无法胜任该中心的大通信量负载而败下阵来,而在随后的实际环境试用中,很多厂商的产品由于无法做到第一时间预警最新的木马和变种病毒并且无法构建该中心的网络安全整体视图而被淘汰。
  “最后,我们根据综合测试结果选择了趋势科技的威胁发现设备TDA 6000,它集成了云安全技术、旁路设计并可检测应用层潜在威胁,帮助我们将威胁消灭在萌芽,为呼叫中心的业务发展提供了充分的安全保障。”王先生介绍。
  在试用过程中,王先生和趋势科技的工程师一起对TDA 6000的HTTP访问恶意代码检测、P2P会话流量管理、蠕虫漏洞扫描等非法流量检测功能都做了模拟攻击测试,而对于这些威胁的来源定位,TDA 基本上可以做到“秒”级的预警。
  此外,由于它集成了趋势科技云安全中的“多协议关联分析技术”,可全面支持检测2~7层网络的恶意威胁。TDA 可通过“数据包”和“会话”视图对网络内的主机通信数据进行自动关联分析,即从云端数据库进行比较,自动将占用网络带宽的应用和造成网络通信拥塞故障的信息建立威胁关联。
  “TDA 的严格控制功能也弥补了江苏移动呼叫中心之前部署防毒软件的不足。比如 Web病毒、跨站木马、视频嵌入恶意软件、非法流量、DNS劫持等尚未形成交叉感染的潜在威胁,在我们应用TDA之后,就可以从海量的数据流中迅速找到被防火墙放过来的漏网之鱼。”王先生补充说。
  提升安全评估和运维效率
  事实上,江苏移动呼叫中心对TDA的应用,不仅实现了全面的威胁侦测,还同时简化了运维管理,减少了运维人员的工作量,从而降低了运营成本。
  据了解,江苏移动呼叫中心的网络经过了几次重大的融合和升级,拥有较为复杂的网络结构和庞大的终端数量。王先生介绍,最终部署在该中心核心交换机上并执行网络全面覆盖的TDA,为该中心的网络安全评估和主动安全运维效率两个方面带来了极大的提升。
  一方面,TDA实现了动态的网络安全评估,将策略转化为行动。在部署TDA 之前,江苏移动呼叫中心已经对外网出口和各级网关设备进行了严格的安全评估工作,在使用TDA 之后,内网的安全评估(主要是威胁评估)完全交付给TDA 去自动执行。
  首先,TDA 无须安装代理程序便可自动对服务器和终端进行动态的监测,这大幅节省了运维人员为每台终端安装代理端的工作。其次,TDA可通过报表的形式显示客户端的即时通信(IM)、P2P 文件共享(BT)、流媒体以及未授权服务如SMTP中继和DNS欺骗现象,这是其他IPS(入侵防御)和IDS产品无法相比的。
  “对于我们这种电信行业的大型网络而言,TDA自动形成映射全中心安全形势的总体视图的强大能力,让我们非常受用。在日常工作中,TDA已经成为我们网络的‘策略执行中心’,它不但能够及时发现网络环境中的安全威胁,还能够将这些威胁转化为详细的处理措施并进行落实。”王先生说。
  另一方面,TDA让安全运维变被动为主动,运维水平大幅提升。据了解,江苏移动呼叫中心一共有十几位负责IT 运维的工程师,但要应对数千台客户终端、200多台服务器的运维需求。
  在部署 TDA之前,IT 运维部门只能在用户电话或者邮件通知后才能发现系统已经遭到病毒入侵的踪迹,这样的IT运维总是处于亡羊补牢的状态。Web 病毒、木马、邮件病毒、个人主机漏洞、移动设备交叉感染等时常搞得IT 部门无从应对。
  而现在,TDA通过集中管理界面帮助该中心应对紧急事件响应,并能在更详细的交互式报表中形成更加颗粒化的补救措施和改进建议。
  此外,江苏移动呼叫中心将TDA预警和报表信息都纳入到IT 服务流程中,一旦出现预警信息便立即启动设计好的事件流程。王先生介绍,如今江苏移动呼叫中心的包括TDA在内所有安全产品都配合使用了趋势科技提供的 PSP 服务(专属咨询服务),一旦发现未能处理的信息和可疑流量,都会得到趋势科技技术客户经理的电话和现场支持,让中心的IT服务水平和应急能力得到了进一步提升。
其他文献
2012年2月18日上午,北川羌族自治县电子信息产业推进会在新北川宾馆成功举办,会上还举行了中国电子信息产业发展研究院(赛迪集团)与北川羌族自治县战略合作正式签约仪式。  合作与支持  工业和信息化部软件服务业司司长陈伟到会指出,北川县委县政府发展电子信息产业的思路是切合实际的,国家软件和信息服务业的蓬勃增长将会给北川带来发展契机。希望合作双方能用战胜地震灾害、重建家园的精神来进行电子信息产业建设
两年多前,当重庆基本完成了“成为全国最大的笔记本电脑制造基地”的目标,进一步提出将向云计算产业进军,打造全国最大的离岸数据处理中心时,不少业内人士纷纷投来质疑的目光,有些人甚至对此嗤之以鼻。  10月24—26日,由重庆市人民政府举办的2013中国(重庆)国际云计算博览会(以下简称2013重庆云博会),不仅向世人展示了云计算产业在重庆市高速发展的态势,更让人们看到了云计算、大数据、智慧城市等新兴产
又是一年“两会”。   今年是“十二五”时期承前启后的重要一年,国务院总理温家宝在政府工作报告中指出,促进产业结构优化升级,推动战略性新兴产业健康发展。   战略性新兴产业健康发展的主要动力来源于可持续的创新能力,而健全的产业培育体系是战略性新兴产业发展的重要基础。如何保持可持续的创新能力,构筑完善的产业体系,是此次人大代表、政协委员们关注的焦点,也是“十二五”规划贯彻落实的关键。   为推
说到联想,你可能想到PC、平板电脑、智能手机。的确,在过去几年,联想凭借在硬件终端领域的长期耕耘,斩获多个名号:全球最大的PC厂商、全球第四大智能手机厂商、中国第二大安卓平板电脑厂商……如今的联想不再满足于硬件的成功,在云时代,它希望基于强大硬件终端能力,成为领先的IT基础架构解决方案提供商,为企业提供如服务器虚拟化、桌面虚拟化等服务。  和VMware的合作是联想实现这一目标的重要布局。近日,联
2013年5月,中国计算机报再次启动了“2013年度中国十大CTO”奖项的评选,经过推荐、初评、终审几个环节,最终评选出了今年的十大CTO,里面包括去年就获此殊荣的CTO,也有今年第一次入选的CTO。我们希望借此活动大力宣传那些在推动企业IT变革过程中做出突出贡献的技术领导和专家。  NEC大中国区副总裁  NEC中国研究院院长  杜军  十年前,杜军曾参与策划并建立NEC中国研究院。近年来,他直
IDC近期面向传统企业CIO所进行的一份调查显示,企业当前最关心的技术并不是云计算、大数据,而是与移动互联网相关的技术。该项调查收到的企业反馈表明,有34.2%的企业认为移动可以提升生产力,31.6%的企业认为移动可以加速决策制定,近16%的企业认为移动可以改善客户关系。  IDC中国行业研究与咨询服务部助理副总裁武连峰告诉记者,IDC预计,到2015年全球移动工作者将达到13亿。“移动工作者对整
记者近日从甲骨文公司了解到,甲骨文公司推出的第一款软硬件集成一体机——Oracle Exadata数据库云服务器的销售额已经接近20亿美元。这标志着甲骨文公司最近几年一直在强调的软硬件集成战略已经取得了显著成效。   而甲骨文公司全球副总裁、大中华区技术产品事业部林星华在接受记者采访时指出,几年前甲骨文公司提出软硬件一体化战略时还遭到业界的否定,但是随着甲骨文公司一体机的成功,越来越多企业开始向
随着云计算的兴起,人们开始享受随地都可以访问自己的应用和处理数据的服务。要做到这一点,不仅要求IT基础架构具有更高的性能,而且要求延迟尽量地缩短。从存储角度来看,无论是向第五代光纤(16Gb FC)迁移,还是闪存的应用,一个共同的目标就是提高性能,缩短延迟。  闪存应用多样化  2013年,闪存市场的并购潮汹涌澎湃:西部数据6.85亿美元收购PCIe闪存厂商Virident,思科花费4.15亿美元
信息化手段是缓解“看病难”、“提高患者满意度”、“提升医院管理水平”等问题的一个有效手段,已经成为业内共识。正因为如此,不久前举办的2013上海市医院协会第四次学术会议暨2013上海医院网络信息大会备受关注。当天的主题大会座无虚席,连走道中都站满了听众。  参加本次大会的,还有众多医疗行业信息化提供商。其中,专门针对医疗行业信息化需求专门推出了针对性解决方案万户ezOFFICE医疗版的万户网络技术
团购导航网站团800公布的数据显示,上半年团购成交额141.3亿元,为历史“最好半年”。  这个“最好”有两层含义:第一,总量最大;第二,扭转了颓势。但“最好半年”也有隐忧,代表团购用户规模的购买人次数量依然没有突破,还徘徊在4500万左右——让人们对团购业的发展远景产生了担忧。但用户的团购范围已经从“团吃喝”过渡到了“团吃喝玩乐”。休闲娱乐类团购的销售额已达35.3亿元,生活服务类团购的销售额达