用TDA破解威胁侦测难题

在大型或者超大型网络中，必然存在一些信息安全威胁让企业的IT运维部门防不胜防。要在动态变化中找到这些威胁的来源绝非易事，这就如同“大海捞针”。

近日，记者了解到，江苏移动呼叫中心作为一个典型的电信行业大型网络用户，正在努力进行“捞针”的工作。它试图在其拥有的大约1000～2000台终端、超过200 台服务器的网络中，全面消除异常流量和应用层漏洞，保障企业的网络稳定和应用安全，从而给客户带来更好的用户体验。

传统IDS力不从心

据了解，江苏移动呼叫中心为了保障业务的正常运营，突出网络的稳定性和安全性需求，投入巨大：所有的链路、核心层、汇聚层设备都是双冗余设计，建立备份中心并在边界增加多级防火墙设备，同时为了防止病毒在内网交叉感染，该中心在客户端部署了防毒软件，并购置了多台IDS （入侵检测）设备来保护其办公网络。

然而，这些防护措施并没有减轻该中心IT运维人员的工作量，随着终端和安全设备数量的不断增加，带来IT运维管理难度的大幅增加。此外，传统的IDS面对电信行业的大型网络明显力不从心。由于无法满足数据流量巨大、网络覆盖范围和结构复杂带来的需求， IDS的误报和漏报问题开始显现出来。

“由于我们的网络存在着庞大的客户端和服务器资源，网内高危漏洞监测的工作量极大，ERP、OCS、CRM、BSS、MSS 以及高清视讯等多域环境随时可能遭受到来自内部威胁的攻击。”江苏移动呼叫中心负责网络安全、不愿透露名字的王先生指出，“内网终端威胁不断变化，因此，传统的IDS 厂商必须为不同的业务平台开发不同的程序，这样这些威胁就可能造成进一步恶化。虽然构建了铜墙铁壁的，但内部威胁一旦未被发现并升级为‘事故’，全副武装的网络也抵挡不住病毒和恶意代码的攻击。”

快速准确找到漏网之鱼

为了迅速消除网络中的安全隐患，防患于未然，江苏移动呼叫中心邀请了数个网络安全厂商提供解决方案，并加入实地测试。据王先生介绍，在严格的测试环境中，一批“串”路的安全设备由于无法胜任该中心的大通信量负载而败下阵来，而在随后的实际环境试用中，很多厂商的产品由于无法做到第一时间预警最新的木马和变种病毒并且无法构建该中心的网络安全整体视图而被淘汰。

“最后，我们根据综合测试结果选择了趋势科技的威胁发现设备TDA 6000，它集成了云安全技术、旁路设计并可检测应用层潜在威胁，帮助我们将威胁消灭在萌芽，为呼叫中心的业务发展提供了充分的安全保障。”王先生介绍。

在试用过程中，王先生和趋势科技的工程师一起对TDA 6000的HTTP访问恶意代码检测、P2P会话流量管理、蠕虫漏洞扫描等非法流量检测功能都做了模拟攻击测试，而对于这些威胁的来源定位，TDA 基本上可以做到“秒”级的预警。

此外，由于它集成了趋势科技云安全中的“多协议关联分析技术”，可全面支持检测2～7层网络的恶意威胁。TDA 可通过“数据包”和“会话”视图对网络内的主机通信数据进行自动关联分析，即从云端数据库进行比较，自动将占用网络带宽的应用和造成网络通信拥塞故障的信息建立威胁关联。

“TDA 的严格控制功能也弥补了江苏移动呼叫中心之前部署防毒软件的不足。比如 Web病毒、跨站木马、视频嵌入恶意软件、非法流量、DNS劫持等尚未形成交叉感染的潜在威胁，在我们应用TDA之后，就可以从海量的数据流中迅速找到被防火墙放过来的漏网之鱼。”王先生补充说。

提升安全评估和运维效率

事实上，江苏移动呼叫中心对TDA的应用，不仅实现了全面的威胁侦测，还同时简化了运维管理，减少了运维人员的工作量，从而降低了运营成本。

据了解，江苏移动呼叫中心的网络经过了几次重大的融合和升级，拥有较为复杂的网络结构和庞大的终端数量。王先生介绍，最终部署在该中心核心交换机上并执行网络全面覆盖的TDA，为该中心的网络安全评估和主动安全运维效率两个方面带来了极大的提升。

一方面，TDA实现了动态的网络安全评估，将策略转化为行动。在部署TDA 之前，江苏移动呼叫中心已经对外网出口和各级网关设备进行了严格的安全评估工作，在使用TDA 之后，内网的安全评估（主要是威胁评估）完全交付给TDA 去自动执行。

首先，TDA 无须安装程序便可自动对服务器和终端进行动态的监测，这大幅节省了运维人员为每台终端安装端的工作。其次，TDA可通过报表的形式显示客户端的即时通信（IM）、P2P 文件共享（BT）、流媒体以及未授权服务如SMTP中继和DNS欺骗现象，这是其他IPS（入侵防御）和IDS产品无法相比的。

“对于我们这种电信行业的大型网络而言，TDA自动形成映射全中心安全形势的总体视图的强大能力，让我们非常受用。在日常工作中，TDA已经成为我们网络的‘策略执行中心’，它不但能够及时发现网络环境中的安全威胁，还能够将这些威胁转化为详细的处理措施并进行落实。”王先生说。

另一方面，TDA让安全运维变被动为主动，运维水平大幅提升。据了解，江苏移动呼叫中心一共有十几位负责IT 运维的工程师，但要应对数千台客户终端、200多台服务器的运维需求。

在部署 TDA之前，IT 运维部门只能在用户电话或者邮件通知后才能发现系统已经遭到病毒入侵的踪迹，这样的IT运维总是处于亡羊补牢的状态。Web 病毒、木马、邮件病毒、个人主机漏洞、移动设备交叉感染等时常搞得IT 部门无从应对。

而现在，TDA通过集中管理界面帮助该中心应对紧急事件响应，并能在更详细的交互式报表中形成更加颗粒化的补救措施和改进建议。

此外，江苏移动呼叫中心将TDA预警和报表信息都纳入到IT 服务流程中，一旦出现预警信息便立即启动设计好的事件流程。王先生介绍，如今江苏移动呼叫中心的包括TDA在内所有安全产品都配合使用了趋势科技提供的 PSP 服务（专属咨询服务），一旦发现未能处理的信息和可疑流量，都会得到趋势科技技术客户经理的电话和现场支持，让中心的IT服务水平和应急能力得到了进一步提升。