安全防御主动出击 IT环境高效运维

常熟市地税局是我国税务系统实现信息化管理的先行者之一，在阶梯型的IT环境持续建设中，随着网络与业务越来越紧密的融合，对于网络安全管理所投入的成本已经占据了整体IT成本的大幅比例。常熟市地税局信息中心为摆脱”成本中心”的角色，实现主动运维目标，在充分评估信息安全市场的威胁发现产品后，最终选择了集成趋势科技”云安全”技术的威胁发现系统（Threat Discovery Appliance，TDA）。在经过一段时间的应用后，TDA不但证明了全面检测2-7层的恶意威胁，同时还为IT部门大幅降低了网络安全运维成本的投入。

“安全故障”是一个非常敏感的词汇

常熟市地税局的网络结构和终端组成比较复杂，近30台服务器组成的数据中心承担着整体应用平台的运行，而在大量的交换机和路由设备后面还联接着500台左右终端。如今，不单单只是简单的OA办公应用，随着Internet接入与Web开发技术的普及，常熟地税的业务系统大多已经成为网络的”依存者”。然而，网络这把”双刃剑”也容易产生诸多负面的管理问题，越来越多的税务运营数据已经存放在网络之中，税务的征收等工作也越来越依赖于稳健的网络，一旦出现网络安全事故，故障恢复成本和公众形象势必大打折扣。

常熟地税的网络工程师夏先生表示：”在之前加固网络安全的工作中，我们已经部署了防火墙、终端防毒软件等安全措施；同时为了将内、外网的安全分级管理，防止病毒交叉感染和数据泄露，地税局还按照上级单位要求部署了网闸设备，但这并不能保证我们的安全配置固若金汤。对于绝大多数业务都依赖于信息系统的常熟地税来说，能否发现网络中已有的威胁、防止未知和潜在的威胁，将直接关系到税收系统能否正常运作的关键。”在网络安全管理和建设方面，不但夏先生这样的一线工程师十分担心，由于”病毒感染亲身感受”的覆盖面相当广泛，这也引起了单位领导的高度重视。

常熟地税的担忧十分必要，据统计，全球恶意程序已超过1600万个，而且每4秒钟就产生一个新病毒，每个网络都将迎来内外威胁的共同夹击。同时，虽然每个园区网中的防火墙或杀毒软件已经成为刚性需求，但是要面对日新月异的网络威胁与黑客攻击手法，这样简单的防御无疑是远远不够的。”网络安全事故”在税务和金融行业中已经是一个非常敏感的词汇，税务工作是为国家创收从而为国家发展建设服务的，这是关系到国计民生的大事。另外，整个系统的文件和数据是需要绝对安全和保密的，如果标记了”绝密、机密、秘密”等级的数据遭到破坏，将直接引起的法律纠纷和重大经济损失。

安全防御与主动运维并轨

税务系统的网络一般划分为两部分：税务内网，它运行多个涉及税务内部业务和办公的应用系统，是税务系统的重要业务网络，需要进行高安全的防范，要求与互联网物理隔离，该网还需要与各业务专网相连，例如商业银行专网、海关专网等；税务外网，则运行多个税务外部业务，并通过互联网提供网上报税、便民服务，该网络是税务业务系统的外延，是对外服务的窗口。常熟地税已经为内、外网系统和终端用户运维投入了大量人力和财力，在制定了大量网络安全防范制度的同时，常熟地税信息中心还提出了：”IT主动运维，安全事故消灭在萌芽阶段，先行一步发现异常”等具体实现目标。

而在选择趋势科技的威胁发现方案之前，最让IT部门头痛的是有很多员工都使用笔记本电脑，携带外出很容易受到感染，再加上频繁使用移动硬盘和U盘，病毒通过这些途径极易进入到内网。即便网络中已经部署了网闸和防火墙，内部计算机也都有安装客户端防毒软件，但防毒和系统修复工作却占据了IT部门的大量人力资源。信息中心的陆强主任认为：”我们对网络安全防护不断投入，制度也越加完善，这使得网络的稳定性开始逐步增强，大范围的病毒感染已经非常少。但如果出现安全事件，IT部门的人员又要重新扮演’消防员’的角色，依靠个人经验提出安全策略和补救措施，这与主动运维的策略背道而驰了。同时，这种方式容易拖延补救时间，也不能确保处理的效果。”

针对已经存在的显性威胁和可能出现的隐形威胁，常熟地税提出了进一步采购威胁防御产品的需求。具体来讲，他们需要一个能够支持从网络层至应用层的多种综合协议的网络流量检测产品，以便确定相关事件的可疑威胁，并且还要能利用病毒扫描引擎分析文件内容，达到深层次的威胁检测。结合IT主动运维的思路，需求分析中更体现出单一集中式的记录报告平台，让管理员轻松工作的同时，还能在发现威胁时提供出具有指导性的解决方案，建立配套的”安全威胁知识库”。

利用TDA替代手工处理威胁

在充分评估信息安全市场的威胁发现产品后，常熟地税最终选择了集成趋势科技”云安全”技术的威胁发现系统（Threat DiscoveryAppliance，TDA）。由于采用了旁路设计，通过镜像端口的离线部署方式，常熟地税在没有中断业务系统的状态下快速完成TDA的部署。如今，TDA通过对每一台终端计算机和网络状况的整体分析，针对一百多种协议进行深度关联分析，可以识别违反安全策略，发现造成网络中断、消耗大量带宽或未经授权应用程序和服务程序。陆强主任和IT部门的同事利用TDA提供的网络威胁日报、周报和月报信息，并根据收集提供的反馈报告信息制订了更加详细的应急响应方案。夏工表示：”我们在部署TDA之后，通过控制台将网络中的可疑活动都看得一清二楚，从网络层至应用层的多种协议流量情况尽在眼中。TDA不但像’放大镜’一样帮助我们发现网络中的威胁问题，还可以在发现威胁之后，发挥’雷达仪表盘’功能迅速抓到这个违反策略的终端，将安全威胁转化为详细的处理措施并进行落实，这些都替代了之前我们需要手工排查故障原因的做法”。

由于税务行业特殊的保密性需求，很多时候安全厂商也无法直接提供面对面的服务，但TDA由于采用了全球云安全架构的支撑，其”威胁处理知识库”却可以弥补服务上的特殊要求。TDA集成了云安全、行为分析、关联分析技术，这与传统的病毒代码比对不同，对IT部门”拿不准”处理步骤，在部署了趋势的TDA之后可以自动从”威胁处理知识库”获得了威胁处理建议。陆强主任认为：”正式这种知识库的形式，让我们在网络安全工作中也体系了科学运维、标准运维的做法。在遇到实际威胁时，减少了对’人’的依赖性，做到有章可循，减少了重复的人力投入，降低了运维成本。”

趋势科技作为全球领先的网络安全产品和服务提供商，其核心产品TDA已经树立了最新的网络安全运维实践，这使得企业不再会因为缺乏专业安全人员感到遗憾，也不会让病毒和黑客成了影响业务拓展的绊脚石。通过TDA等安全产品的智能联动功能，大幅降低人工和安全事故造成的运维成本，让IT重新回到引领业务前行的方向上。

【编辑推荐】