“中交第一航务工程勘察设计院”立体安全架构全解读

【.com综合报道】中交第一航务工程勘察设计院有限公司创建于1958年，现隶属于中国交通建设股份有限公司，公司网络包括了400多台客户端和将近20台服务器，而大多用的操作系统都为Windows平台，有着极大的相互交叉感染病毒的可能性。

2007年在公司上马了自动化控制的系统，由于员工的可疑行为感染的病毒就曾经使得服务器遭遇了内部攻击。而随着终端设备的日益增加，网络边界安全管理受到了足够的重视，面临的问题也日渐增多，不但内部网络要立出许多不同的隔离区域，外部网络和分机构的边界隐患也让工程师们忧心重重。

网关端部署IWSA和IGSA——双剑起舞 功效显著

在当前的Web威胁的环境中，员工随便浏览一下网页，一些恶意软件就会不知不觉地下载到电脑中，并在企业内部网络中进行传播。而且中交第一航务工程勘察设计院信息中心的IT维护人员数量非常的有限，有的时候很难照顾全面。随着分支机构和远程办公用户数量的增多，分公司的网络安全问题更加凸显，加之总公司网络出口的安全问题，企业亟需一款既能保护总部网络安全，又能将企业分支机构和远程办公用户纳入网络安全体系的安全服务。

总公司、企业分支机构和远程办公的安全该怎样防范呢？如何选择一款功能全面、易于管理和部署的网关安全设备，能符合本身资金、IT人员相对短缺的实情呢？陈工表示，如果购买一款传统的防火墙产品，由于只能在网络层部署安全策略，还是无法针对间谍软件等来自Web的网络威胁，不能再应用层提供有力的安全保证；另外如果购买的产品需要对网络拓扑进行“大手术”，变更网络中的很多参数配置也需要很多的人力进行调整，所以，更青睐于“即插即用型”的安全设备来保障企业的网络安全。

经过多方面的衡量，中交第一航务工程勘察设计院有限公司最终在总部选择使用趋势科技的IWSA，在分支机构则部署了IGSA，以此实现了立体化的整体解决方案。据了解，IGSA和IWSA都采用了趋势科技领先的云安全技术，对于病毒防护的效果可以进行有效的衡量。从控制台可以清楚地看见，凭借趋势科技在全球5个数据中心的数据库，阻止了哪些用户下载和在线安装间谍软件。同时，还可以对已经感染间谍软件的用户设备，拦截其对外部恶意网站主动发送用户信息。

在评估安全产品功效方面，负责安全的陈工指出，IGSA对分支机构安全管理方面的效果十分显著：

第一， 基于Web的控制台简化了管理程序，为IT管理人员提供了一站式的服务平台。

第二， 在分支机构缺少专业安全防护人员的情况下，可以自动清除桌面计算机中的间谍软件和病毒，减少网络管理人员的工作量。

第三， 具有高度的兼容性，可以配合总部部署的IWSA等产品，帮助公司将之前制定的大量网络安全策略付诸于实践。

现在，陈敏工程师一旦检测到客户端的间谍软件行为，就可以在第一时间解决问题，极大地节省人力投入。自部署IWSA和IGSA之后，平均每个月阻挡的恶意攻击和恶意代码下载为1000条左右，而在这之前，到底有多少恶意代码已经进入到企业当中，都是无法统计的。陈工还表示，使用这样的网关安全防护设备，不但可以在第一时间内对各类Web流量内容进行扫描过滤，同时也可以大大减轻各应用服务器主机的负荷。这对于金融危机之下网络安全建设，可谓是一举多得的好事。

趋势科技防毒墙（NVW）——重点防范 边界管理

根据陈敏工程师的介绍，公司在选择网关安全产品时充分借鉴了之前对NVW的采购经验，采购时虽然也考虑了几家入选的产品，考虑再三，还是由于趋势科技NVW的优良性能，以及趋势科技工程师良好服务品质影响了最终的采购结果。

之前，陈工和他们同事在规划网络区域结构时，对重要数据需要额外的呵护，经过重组之后，他们首先选择在财务网络中部署网络安全系统。由于财务人员的网络安全防护水平相对于IT技术人员较低，因此在网络病毒横行的应用环境下，需要一种能够实现“即时发现”、“即时掌控”的综合安全管理平台，以实现对网络安全状况的整体监控、管理，从而体现信息安全建设中对技术、组织、管理三方面体系的合理调配。于是，来自国内外的多个安全厂商纷纷前来为该企业“会诊”，拿出了相应的解决方案，经过一个多月分析、比较，最终趋势科技的防毒墙Network VirusWall 2500（NVW 2500）脱颖而出。

在正式将NVW 2500安装上线的第一天就让陈工发现了一支狡猾的ARP病毒。这是一位员工不小心在家中的电脑上感染了针对USB移动设备的病毒，第二天直接插入到财务部办公电脑造成的。陈工谈到，在没有NVW 2500之前，如果没有及时发现，很可能造成交叉感染，造成财务部网络的大混乱。

据介绍，NVW2500在中交第一航务工程勘察设计院应用，得到了意想不到的安全效果。

首先，针对财务专网中几次极可能大规模爆发的病毒，实现了预警和监管的功效，降低了安全风险。

其次，采用了高效的漏洞签名技术，成功阻止网络蠕虫和僵尸的攻击，有效地保护了网络流量。

最后，NVW2500还可以自动部署和集中管理，全面提升IT工作人员的工作效率。

基于NVW2500的成功应用，在使用了一段时间之后，陈工特别对此次网络安全部署工程进行了全面总结，并对采购后期的运行和维护进行了整体评估，这也是今天利用IWSA + IGSA + NVW 能够建成起来立体安全框架的缘由。

回故中交第一航务工程勘察设计院的网络安全建设历程时，陈敏工程师十分感慨，他表示，“我们在应对大量的网络威胁与破坏型攻击时，之所以可以游刃有余。完成得利于公司整体的信息化水平领先和趋势科技IWSA + IGSA + NVW 的立体安全解决方案的保护。”