趋势科技安全硬件组合方案为税务提供稳定的网络环境.pdfVIP

趋势科技安全硬件组合方案为税务提供稳定的网络环境 某地市税务局自加入全省数据大集中后，一直致力与建立稳定、高效的税务内网。为了能够保障各分支机构能通过市 局网络稳定、快速地访问省局的数据中心，市局逐步采购了各种网络安全产品，包括：防火墙、IDS以及全网统一的防病毒 软件。一直以来，这些安全设备均起到相应的效果，保障了地税网络的稳定。最近，该地税单位需要把当地的社保网站统 一纳入地税内网进行管理。这样，就使整个税务内网的安全风险有所增加。出于安全的考虑，该地税单位的安全管理员徐 工认为非常有必要在新增的社保网站网络进行安全加固，以规避安全风险。下面我们就以此用户为例，探讨一下税务行业 的网络安全防护问题。 新增的网络节点，给税务内网带来更多不确定的风险 2009年，社保网站正式纳入该地税内部网络，由于外联的节点有所增加，这样就为原来相对安全的税务内网带来不确 定的风险因素。以下是改变后的税务内部网络架构： 更改后的网络架构 从上图可以看出，更改后的网络架构会有以下几个隐患： 来自外部访问的安全风险。由于需要向公众开放社保记录的查询，必须要在社保网站与外部设备之间打开一个通 道，这样就出现一个外部威胁进入的通道； 来自社保网的数据交互风险。社保网站与社保局的网络存在数据交互，必须在税务内网开放与社保内网必要的访问 通道以确保数据能够正常同步； 社保网站服务器位于税务内网的服务器区。社保网站位于市局的服务器机房，与其他业务服务器共享同一套物理网 络，存在交叉感染的风险。 即使已经在社保网站相关的边界交换机上设定了严格的网络访问策略，同时也已经在社保网站服务器上部署了防病毒 等安全策略，但是一贯关注安全的用户徐工意识到仅仅这些尚未足够。为了能够更好地保护税务内网免受外部的攻击，徐 工联系到专注于内容安全20年的趋势科技 （中国）有限公司，希望可以通过趋势科技专业的安全知识，帮助其设计更加稳 固的防护架构，是税务内网保持一贯的稳定及快速。 分层防护、每日告警，让用户高枕无忧 经过对用户环境的深入分析，趋势科技安全专家已经明确用户的安全需求所在，特意推荐用户部署了以下的分层防护 体系： 第一道防线：社保服务器与Internet之间部署趋势科技防病毒网关IWSA5000 ，以拦截包含在合法访问中的恶意代 码； 第二道防线：在社保服务器与税务内网边界部署趋势科技网络防毒墙NVW E2500 ，过滤社保服务器与税务内网的通 讯数据包； 第三道防线：在核心交换机及服务器汇聚交换机部署趋势科技威胁管理方案T DA ，实时监控任何异常现象。 再结合新增的防火墙及IDS系统，把所有从社保网站进入税务内网的数据进行2-7层的扫描，确保了2个网络之间的合 法访问不包含恶意代码，提高了整体网络的安全性。 部署趋势科技组合硬件方案后的架构 经过长达半年的运行，管理员从T DA 中也的确发现了一些隐含在合法访问中的高危事件，如下图： 通过T DA独特的反向定位功能，管理员迅速找到了隐藏于网络中的高风险节点，并根据趋势科技整合在T DA报告中的 解决方案，在这些高危节点尚未造成大规模病毒爆发前就把病毒处理干净。对此，用户徐工表示： “趋势科技硬件组合方 案可以在病毒爆发前期提前告知我病毒源头在哪，结合趋势科技提供的配套解决方，可以大幅度降低内网病毒爆发的几 率。” T DA的技术优势 T DA利用网络内容检测技术侦测网络流量以及趋势科技病毒扫描引擎对其进行内容分析，并采用在网络交换机上使用 端口扫描并以创建网络数据包的镜像方式进行内容检查, 与趋势科技 “云安全”技术配合下,T DA可检测基于Web威胁或邮件 内容的攻击，如Web攻击、跨站点脚本攻击和网络钓鱼。另外，当恶意程序在网络中传播感染其它用户时，它们就会被打 上标记，其中就包括向外界传送信息或从恶意的来源 （如僵尸网络）接收命令的隐藏型恶意软件。T DA还能识别违反安全 策略、中断网络以及消耗大量带宽的或构