XX供电TDA测试报告-TDA报告模板2013Q3.docxVIP

XX市供电公司TDA测试报告趋势科技（中国）有限公司2012年12月一、概述趋势科技于2012年12月7日15时-18时，在XX市供电公司部署了一台威胁发现系统（Threat Discovery Appliance-简称TDA设备）。该设备采用旁路的方式接入在中心交换网络上，将中心交换机的流量镜像到TDA设备上，由TDA来检测发现网络流量中病毒、木马、间谍、僵尸、信息窃取等恶意行为，定位存在威胁的计算机，监控网络安全问题。在这段接入期间共侦测到1826个事件，其中778个高威胁事件，1048的可疑事件 说明：High 高威事件主要产生的威胁为网络层攻击病毒如蠕虫、PE病毒典型病毒：熊猫烧香、冲击波、威金等。危害：可造成网络延迟、间歇性中断Informational 信息事件 此类事件产生的原因为网络中存在可以请求信息如：DNS劫持、网络探测请求、SMB请求等 。威胁：一般，不会对网络造成影响。可能会与其他威胁或者软件联动引发一些危害监控报告威胁协议TDA监控中发现XX供电网络层存在以下协议攻击：DNS：主要是DNS劫持，木马、BOT僵尸网络客户端对外网宿主的请求;MSSQL：针对SQL数据的注入、探测性扫描;Network Virus:网络病毒攻击;SMB:服务器一般请求协议，恶意软件针对服务器扫描主要的请求协议威胁类型说明检测到威胁类型经过TDA的监控，发现XX市供电公司主要的威胁类：MALWARE：灰色软件、恶意软件Netwok Virus: 网络病毒OTHERS:可疑攻击威胁分析 被攻击的目标IPTOP10说明：当网络中有威胁或者攻击包针对主机IP发起攻击一次，TDA就记录一次攻击源IPTDA可准确定位攻击源头，当攻击源发起一次网络威胁攻击时TDA可以迅速定位攻击，并准确记录总结：本次TDA通过三个小时针对XX市供电网络的监控，初步了解整个网络的整体安全状况，实时的对整个信息化网络达到提前预知、及时预防的效果。因为测试时间较短，本次测试效果只反映XX市供电公司网络安全状况中的一部分问题，通过本次测试发现XX市供电公司信息化网络还是存在一定的安全风险，如网络病毒的攻击可能引起网络的延迟和中断、网络中的扫描探测性的攻击包可能会引发一些安全问题。建议：为了保证XX市供电公司应用的可持续性、网络的稳定性，针对XX市供电公司目前的网络安全状况建议如下：加强系统补丁管理提高终端防毒部署率加固和优化现有网络安全系统加强管理人员网络安全技能提高使用人员网络安全意识附录 : TDA 说明TDA 是一个新世代的网络监控设备，结合趋势科技公司新研发网络内容过滤分析引擎，对于2～7层传输封包中各类型的恶意软件进行侦测与发掘。TDA 提供高效的流量处理,，提供IT 管理者恶意软件信息的通知以及相关报表，TDA 属于旁路设备可以在不影响客户本身网络架构环境.进行安装与布署。TDA 功能说明功能功能说明Malware detection at the Network LayerDetects new and known malwareDetects information stealing by malwareDetects Web Email attacks - phishing, web exploitsDisruptive network behavior detectionDisruptive Applications - P2P, IM etcDisruptive Services – SMTP relay, rogue DNS etcNetwork Content Inspection TechnologyLayer 2 to 7 protocol inspection Comprehensive application support ( 120 apps) Suspicious event correlationFile content level scanTotal Discovery SecureCloudServicesCollaboration with Threat Intelligence NetworkRoot-cause analysis CorrelationProtocol Application Reputation ServicesThreat Management Reporting. Daily administrative report - incident response. incident response. Executive report - overall security postureOut of band deploymentPassive network sniffing wi