如何构建APT攻击发现和阻断方案

高级持续性威胁（APT）已成为最令企业和政府用户担心的危险，如今你可以在每一篇网络安全分析报告中都能发现它的“大名”。为了积极有效地应愈演愈烈的APT攻击，云南无线电管理机构花了很长时间寻求合作伙伴，而最终采用了多层次、全方位的趋势科技安全加固解决方案以及TDA、NVWE等云安全产品，全面提升了网络边界防范和威胁预警的能力，为政府用户塑造了安全管理的典范。

APT攻击的背后一般都是优秀技术、资金资源的黑客组织或集团，他们对某些特定的用户发起的有目的、长时间的攻击。由于其攻击前期的准备非常充足且攻击时间、次数相对于传统攻击更多，因此发起的攻击往往无法彻底防御。例如：2013年两起针对韩国政府的APT攻击、国内针对金融业的“证券幽灵”等安全事件，都充分反映了APT这种特殊攻击的特点。作为国内政治敏感度最高的行业，政府单位历来都是黑客首选的攻击目标。最近两年，在我国政府行业发生的多起安全事件，充分证明网络安全建设已日益成为政府单位形象及社会稳定的关键。

2009年，云南省无线电管理行政职能划入到云南省工业和信息化委员会，并成立了云南省无线电管理办公室，负责该省无线电系统建立和管理工作。2013年，针对APT攻击日趋严重的网络环境，包括国家计算机病毒应急中心等多家部委级单位发文，要求政府单位做好抵御APT的安全工作。对于云南无线电管理机构的安全管理工作来讲，既要符合上级单位规定要求，更需要提升自身网络的威胁防范能力，那么就必须对分散在全省各分支机构的终端提供实时的威胁管理。但由于国内由于云南省无线电管理机构日常办公经常使用U盘等外设，同时又与云南省信息中心这个政府大网有各种数据互通，非常容易遭受到APT的攻击。而单纯的网络版防毒软件根本无法从APT攻击流程中发现和拦截危险，安全建设难以展开。

结合上述需求，云南无线电管理机构决定对整体安全架构进行全面的加固，提升自身对APT的防御及监控能力。为此，云南无线电管理机构与多家国内外知名的安全厂家进行了长时间的技术交流及产品测试。最后，趋势科技凭借其解决方案最为符合云南无线电管理机构需求、以及在全国多个大型政府单位有丰富安全服务经验的特点，成为本次安全加固项目的实施服务商。

结合云南无线电管理机构现有的安全架构，趋势科技采用了一套从网关到网络的全方位、多层次的APT疫情监控及阻断体系。

威胁发现层：在全网关键边界部署趋势科技威胁发现设备TDA，对网络中流窜的数据进行深度分析，一旦发现威胁，立刻通过控制台为用户提供预警，并配合趋势科技EOG服务对分布在全省各地的威胁源头进行处理。

威胁阻断层：为起到实时的APT阻断效果，在全网关键的网络边界桥接处部署趋势科技威胁阻断设备NVWE。一旦TDA发现有APT行为出现，立刻联动NVWE对APT有害的网络行为进行实时阻断，最大限度降低APT损害。（姜姝）