扬州烟草构建“四层”安全防御体系

【.com 综合消息】扬州市烟草专卖局（公司）长期以来立足信息化建设，在功能和技术上的革新塑造了一个基础结构稳定、功能创新和执行高效的网络平台，通过近10年的努力，如今的扬州烟草已经取得了显著的成绩。拥有国际领先地位的网络安全厂商——趋势科技，针对扬州烟草的网络和应用特点，结合趋势科技多年在防病毒领域的成功经验、以及对烟草行业网络结构的深入剖析，在云安全（Smart Protection Network）全球防毒架构下，提供了针对烟草行业网络有效抵御病毒与黑客入侵的多层次安全解决方案。双方深入合作，在Internet边界、内部网络边界、终端边界上都分别配备了应对不同威胁的“守护神”，建造了一个病毒和木马都无法生存的真空地带。

安全是一个永恒的主题

据扬州烟草信息安全负责人张经理介绍：“随着十年来信息化进程的深入，以及互联网技术的迅速发展，扬州烟草的信息资源得到了最大程度的利用。从2000年建立的早期拨号网络、卷烟‘进、销、存’系统建设、到后来的呼叫中心（Call Center）、网上订货、电子计算，再到2005年就开始的资源整合中心建设，紧随信息化发展而来的网络安全问题日渐突出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。因此，安全防御对于我们来说，这将是一个永远不能停止的任务。”

经历数年的建设，扬州烟草已经实现业务网络数据的大集中，所有的日常办公、购销存流程等业务均实现信息化，并且建立了大型的物流中心，分拣到户、送货上门。如今的网络平台，已经包含了7台小型机、50台服务器分别承载着各自的业务系统，近千台终端也已经通过防火墙、入侵检测系统（IDS）、VLAN等安全技术分属在各个部门当中，承担重任。但是在信息化不断深入发展的同时，各种网络威胁也随之进入网络，原有的传统防病毒体系已经不能应对多变威胁来源。张经理对近年来的Web安全十分担忧，他表示：“由于烟草行业的特殊性，扬州烟草兼顾政府部门和企业运营的双重角色，企业性质的销售系统和政府行业中的烟草专卖管理、办公OA、邮件、网站都依赖网络而存在。但由于Web病毒本身的特性，早期建立的防火墙、VLAN、以及单机的防毒系统，都不能在应用层，彻底消除员工因为误点击某个恶意连接就遭遇病毒的情况发生。随着最近互联网威胁的复杂化，信息中心对单一的终端防毒体系是否能够很好地防护当前新形态威胁存在疑虑，因木马病毒爆发而导致的网络中断、系统崩溃的情况，时常让IT部门直忙得不可开交。

部署TDA  从坚守到主动出击

在业务系统和日常办公应用都存在的网络里面，不但要应对显性的病毒，还要应对无形的木马黑手，IT人员疲惫不堪，这些威胁无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。以前的“坚守原则”，可以应对企业信息化发展中的起步阶段，但如今仍然采用这个原则必然会坐以待毙。针对这些威胁，更需要一个能够支持从网络层至应用层的多种综合协议的网络流量检测产品，主动的探知相关事件的可疑威胁，还需要利用病毒扫描引擎分析文件内容，达到深层次的威胁检测。为了实现主动出击的策略，扬州烟草的IT部门开始广泛接触各个知名安全厂商。在经过需求量化、数据对比、现场测试、性能评估等一系列的动作之后，扬州烟草最终选择了趋势科技的威胁发现设备（Threat Discovery Appliance，简称TDA）。张经理表示：“针对我们当时提出来的‘第一时间发现，第一时间预警，第一时间消除’的原则，当试用阶段结束后，TDA几乎是我们唯一的选择。”

在部署趋势科技的TDA之前，最让IT部门头痛的是笔记本电脑，这些终端携带外出很容易受到感染，再加上频繁使用移动硬盘和U盘，病毒通过这些途径很容易进入到烟草局的内网。即使网络中已经部署了防火墙，内部计算机也都有安装客户端防毒软件，每天仍然会有计算机会中病毒。在部署TDA之后，发生在扬州烟草每一个网段的Web攻击、网络钓鱼行为、病毒攻击点和高危网络通讯行为都在第一时间得到解决，这也就杜绝了向外界泄露数据或从僵尸网络控制中心接收命令的木马行为，这是传统IDS和IPS安全产品所无法办到的。另外，TDA同时还提供完善的网络威胁日报、周报和月报信息，为计算运维成本、IT部门绩效管理等，都提供了数据依据。对于张经理带领的IT部门来说，TDA就像一部全能型的雷达，不仅仅接收来自网络上所有的讯号进行智能的分析，还能够评估企业业务的安全风险，把每个网段的每一个角落都安装了“放大镜”。

网关和终端的双重保障

随着将各地区的供销网络和办公网络统一之后，集中起来的网络更加难以管理。员工每天要接触大量的网页以获取信息，但如今的“网页挂马”非常流行，让这种正常访问变得十分凶险，在不知不觉中就将威胁下载到了本地，轻者造成系统损坏，重者则是机密资料泄露和丢失。应该说TDA的功能和效果让扬州烟草IT部门十分满意，这也就让大家对趋势科技提供的其他产品和解决方案更加信赖。在重新评估威胁来源之后，安全建设开始重新考虑如何从网络关口上防堵这些恶意的程序进入到企业的内网中，并且希望利用终端防毒和网关防毒联动起来，协作一致，在每个数据包通过的地方都拦截住病毒和木马的攻击。

在趋势科技工程师的协助下，双方一起对网关出的流量进行了细致的分析，并最终选择了IWSA 5000这款安全网关设备。根据张经理介绍：“与TDA一样，使用IWSA的效果是可以量化的。从控制台可以看见阻止了哪些用户下载和在线安装间谍软件，同时对已经感染间谍软件的用户设备，则可以拦截其对外部恶意网站主动发送用户信息，一旦检测到客户端的间谍软件行为在第一时间就能解决问题，极大的节省了人力投入。”部署IWSA之后，至少可以在网关阻挡住90%以上的Web威胁，这样的安全防护实力，即减轻了内网的负载，也减轻了管理人员的工作压力。根据扬州烟草的IWSA 5000报表显示，现在平均每个月阻挡的恶意攻击和恶意代码下载为1000条左右，而在这之前，到底有多少恶意代码已经进入到网络当中，是无从知晓的。

虽然两款硬件产品（TDA和IWSA）的结合，最少顶替了数十人的IT团队24小时监控网络，但每个终端的个体是否强壮,仍然是网络安全中的难题，这些终端也是病毒和木马的“最爱”。OfficeScan作为趋势科技企业防护策略的经典拳头产品，在云安全架构中可以利用Web信誉技术（WRT）、邮件信誉技术（ERT）、文件信誉技术（FRT）技术，不但可以检查位于终端、服务器的安全，最重要得一点是因为它可以与IWSA和TDA联动起来，进行统一安全策略的执行和部署。

三层防御体系之外还有一层

在部署了软、硬件结合的立体化安全解决方案后，扬州烟草的网络已经具备了网关层（IWSA）→网络层（TDA）→终端（OfficeScan）多层防护的功能。并且凭借着这样的三层体系结构，IT部门多次在上级单位检查中顺利通过评审，不过张经理提出“三层之后还有一层”的观点。他认为：“这个观点的基础就是趋势科技的云安全。绝大多数的组织和扬州烟草一样，我们都在感叹如今的网络安全管理难度越来越大，复杂多变的威胁让我无从应对，现在我们可以把更多的具体工作都交给云端处理，正是它让将难以驾驭的安全管理变得简单可控。”