【成功案例-Y10Q4-ENT-TDA】吉林联通.pdfVIP

大海也能捞起针  ——趋势科技TDA 在吉林联通网络中构建全方位威胁预警系统  由于大型企业的业务运行多设定为“永不间断”的目标，这些企业的IT 部门的压力 如同肩挑泰山。同时，这些大型企业的网络结构也异常复杂，客户端、服务器加在一起， 少则数千，多则上万。虽然这些大型企业能够清楚地意识到各种安全威胁，并采用聘请 安全专家的方式来帮助他们抵御各种网络威胁，但如此庞大的网络必然还有一些威胁让 我们防不胜防，对于动态变化的威胁来源，要找到并阻断源头，就如同“大海捞针”一 般，绝非易事。  吉林联通作为非常典型的电信行业大型网络用户，充分利用了现有网络资源，加大 新业务的创新。在全面提高用户体验感受的同时，为全面消除异常流量和应用层漏洞， 与全球领先的网络安全产品和服务厂商——趋势科技联手，并使用趋势科技威胁发现设 备TDA  （Threat  Discovery Appliance ）在双核心交换机上执行全面覆盖，通过监控2‐7 层的可疑活动定位，将威胁消灭在萌芽状态。  网络全副武装仍然有机可乘  吉林联通作为电信行业的典型代表，其网络容量和网络负荷都非常之高，加上多业 务类型、多业务承载的特点，形成了复杂的网络结构。据了解，吉林联通的网络终端数 量大致在5000~6000 台左右，服务器超过200 台，为突出“稳定性”和“安全性”的需 求，所有的链路、核心层、汇聚层设备都是双冗余设计，并在吉林、长春两地都建立异 地容灾中心，形成了“口”字形的网络结构。  据负责吉林联通网络安全的金先生介绍：“为确保业务平台稳定和数据保密性的要 求，吉林联通在安全建设上投入巨大，不但采用双冗余设计、备份中心建立、为各个网 络出入口处增加多级防火墙设备，还购买过多台IDS 安全产品。但由于网络庞大的客户 端和服务器资源存在，对网内高危漏洞的发现工作量极大，ERP、OCS、CRM、BSS、MSS 以及高清视讯等多域环境中都可能随时遭受到来自内部威胁的攻击。”据了解，虽然吉 林联通在客户端部署了防毒软件，并购置了IDS 系统来保护办公网和DCN 网络。但传统 的IDS 对于电信行业独有的DCN 网络（已经实施了核心承载冗余互备）来说，无法满足 数据流量巨大、网络覆盖范围和结构复杂的需求，并且传统IDS 的通病（误报和漏报） 问题也开始显现出来。而面对日益变化的内网终端威胁，传统的IDS 厂商必须为不同业 务平台开发不同的程序，那么就会给这些威胁充足的恶化时间了。虽然构建了铜墙铁壁， 但等威胁一旦升级到“事故”，全副武装网络也架不住病毒和恶意代码的“闹腾”。  严格测试超小包难逃TDA 法眼  为迅速消除网络中的安全隐患，防患于未然，吉林联通邀请了数个网络安全厂商加 入进来。在严格的测试环境中，一批“串”路的安全设备由于无法胜任如此大的通信量 负载而败下阵来，而在随后的实际环境试用中，对于最新的木马和变种病毒，很多厂商 的产品无法做到第一时间预警，并且这些产品由于无法构建吉林联通的网络安全整体视 图，也纷纷被淘汰。趋势科技推出的TDA 由于集成云安全技术、旁路设计、可检测应用 层超小数据包，以及在两台核心交换机上可同时提供接入等功能，并因此受到了IT 部门 的认可。  金先生和趋势科技工程师一起，在试用过程中，对于TDA 功能中HTTP 访问恶意代 码检测、P2P 会话流量管理、蠕虫漏洞扫描等非法流量检测功能都作了模拟攻击测试， 而对于这些“超小数据包”来源定位，TDA 基本上做到“秒”级的预警功能。TDA 可通 过“数据包”和“会话”视图对这些主机通讯的数据进行自动关联分析，即从云端数据 库进行比较，自动将占用网络带宽的应用和造成网络通讯拥塞故障的信息建立威胁关 联。金先生还表示：“TDA 的严格控制功能也弥补了吉林联通之前部署防毒软件的不足， 这包括 Web 病毒、跨站木马、视频嵌入恶意软件、非法流量、DNS 劫持等尚未形成交 叉感染的潜在威胁，先在利用TDA 之后，我们可以从海量的数据流中迅速找到被防火墙 放过来的漏网之鱼。”  威胁一目了然安全交付云端  吉林联通经过了几次重大的网络融合和升级工作，那么在较为复杂的网络结构和庞 大的终端管理上，又应当如何简化管理，降低IT 维护人员的工作量，从而进一步减少运 营成本，提高资源使用效率呢？TDA 在网络安全评估和主动安全运维两大方面应该说符 合了大型网络在安全管理中的需求。  动态网络安全评估，将策略转化为行动