XX移动全网风险监测平台解决方案.docx

XX移动ITC网建立有害程序事件监测中心解决方案趋势科技（中国）有限公司2012年4月目录1国内大型成功案例– 中国农业银行全网风险监控平台31.1客户面临的挑战31.2客户的需求31.3趋势科技全网风险监控平台解决方案31.4全网风险监控平台的效果42构建监测中心达成的目标53监测中心建设方案53.1监测中心平台建设方案53.1.1总体部署说明53.1.2威胁发现系统TDA63.1.3威胁管理服务平台TMSP73.1.4病毒地图CTIS83.1.5监测中心与厂家资源中心113.2监测中心人员培养113.3监测中心流程建设123.3.17×24威胁监测技术平台和主动式服务技术支撑124国内大型客户成功案例12国内大型成功案例– 中国农业银行全网风险监控平台客户面临的挑战各省分行普遍存在无专职防病毒管理人员情况，很多问题解决不及时，缺乏对系统运行情况的有效监控；生产网/OA/终端风险：移动存储设备，未安装操作系统补丁，通过第三方网络传播这三种病毒威胁是我行系统面临的主要风险。客户的需求全网防病毒系统采用“两级控制、多级管理”架构；总行设立全行威胁监控总中心， 分行设立监控分中心，对生产系统、办公系统所有防病毒产品进行实时统一监控， 及时发现病毒感染源并快速进行处理， 避免病毒在网内大规模传播。 趋势科技全网风险监控平台解决方案3 台TDA 3台TDA 6 台TDA 客服中心数据中心1 级分行分别在客服中心、数据中心以及一级分行部署12台威胁发现系统TDA，通过镜像的方法对生产网内部的数据进行监控；TDA实时发现在农行生产网内网的威胁信息，并把信息发送到总部的威胁管理服务平台，以地图信息实时展示；监控人员按照预定的监控流程进行处理。全网风险监控平台的效果第一阶段建立生产网全网威胁监控平台，确保生产网的可用性；从运行的效果可以看到，实现从事后被动防护到事前主动风险管控； 真正减少安全事件的停机时间、降低安全事件的发生频率、缩小安全事件波及的范围，让安全风险可接受、安全管理可控。更多的客户案例请参考最后一章《国内大型客户成功案例》。构建监测中心达成的目标通过全省安全监测中心的建立，将达成如下目标：全面掌握全省ITC网的安全形势，做到安全问题早发现，将安全事件控制在萌芽状态；清晰识别全网安全问题源头，准确定位问题计算机，做到安全问题定点定人，将信息安全建设变被动式响应为主动服务；有助于分析外部威胁如何进入内网，并通过哪种方式进行内部扩散，根据这些信息，可以针对性地进行全网安全加固建设；全省监测中心的检测监测，推动各地市单位更好地提高信息安全建设水平；监测中心建设方案为详细阐述在XX移动ITC网平台如何构建有害程序事件检测监测中心，下面从监测中心平台建设、监测中心人员培养、监测中心流程建设、监测中心运营服务四个方面详细描述。监测中心平台建设方案总体部署说明总体部署构架如下图（目前广州公司、深圳公司及清远公司已经实施）：深圳清远XX广州广东省移动威胁管理中心XXXX为了有效检测监测全省XX移动ITC网全网的安全威胁，构建全省监测中心。整体方案包括趋势科技提供专业的威胁管理服务平台（TMSP）以及网络威胁发现系统（TDA），全省监测平台从而能够实现从应用层及网络层寻找出潜在的威胁，同时可以生成详尽的专业报表，提供整体防护参考和防毒效果考评。总体部署包括两大部分：在全省21个地市分公司的局域网核心交换机上分别旁路部署威胁发现系统；构建的统一安全监测系统，将各个威胁发现系统的运行日志上传上去，经过二次挖掘分析，时时监测全省XX移动ITC网威胁情况并生成报告。威胁发现系统TDA作为安全运行监测的关键的第一步，通过部署在各个地市分公司局域网核心交换机的威胁发现系统（软件版本，Threat Discovery Appliance-简称TDVA）分析采集网络数据流量，通过监测网络层的可疑活动定位恶意程序，威胁发现设备集成趋势科技“云安全”技术，可全面支持检测2-7层的恶意威胁，以识别和应对下一代网络威胁。这是传统的、基于代码比对方式的安全产品所无法办到的。与趋势科技“云安全”技术配合，TDA可检测基于Web威胁或邮件内容的攻击，如Web攻击、跨站点脚本攻击和网络钓鱼。另外，当恶意程序在网络中传播感染其它用户时，它们就会被打上标记，其中就包括向外界传送信息或从恶意的来源（如僵尸网络）接收命令的隐藏型恶意软件。TDA还能识别违反安全策略、中断网络以及消耗大量带宽的或构成潜在安全威胁的未经授权应用程序和服务程序。这些应用程序和服务程序包括如即时通讯（Bittorrent, Kazaa, eDonkey, msn, Yahoo Messenger ）、P2P文件共享、流媒体，以及未授权服务如SMTP中继和DNS欺骗。TDA利用网络内容检测技术侦测网络流量以及趋势