周婧 劉黎輝 宋原 秦長征

摘要：公司本地運維系統(tǒng)包括綜合關(guān)口局、城域網(wǎng)、移動通信網(wǎng)、DNS、WAP、短信、OSS云平臺等20多個通信網(wǎng)絡(luò)安全等級定級網(wǎng)元以及相應(yīng)網(wǎng)管、監(jiān)控、辦公終端。隨著系統(tǒng)和網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，各網(wǎng)元系統(tǒng)的網(wǎng)絡(luò)與信息安全檢測和防護(hù)手段薄弱，簡單的只有網(wǎng)絡(luò)邊界部署了防火墻。近年來，網(wǎng)絡(luò)信息安全事件頻發(fā)，如網(wǎng)絡(luò)DDoS攻擊、網(wǎng)站入侵篡改、僵尸木馬主機、加密勒索病毒、用戶個人敏感信息泄露等安全事件，都可能會導(dǎo)致系統(tǒng)故障和業(yè)務(wù)損失，嚴(yán)重的甚至造成業(yè)務(wù)中斷。加強網(wǎng)絡(luò)安全防護(hù)、提高技術(shù)手段能力來保障網(wǎng)絡(luò)安全越來越重要。

關(guān)鍵詞：網(wǎng)絡(luò)與信息安全;防護(hù)手段;病毒;安全事件;能力

引言

為有效提升公司網(wǎng)絡(luò)與信息安全檢測和防護(hù)能力，提高對網(wǎng)絡(luò)病毒以及攻擊威脅檢測分析能力、增強主機安全防護(hù)，應(yīng)對上級業(yè)務(wù)主管部門基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核、應(yīng)急演練以及其他各項安全檢查工作，公司上線通信網(wǎng)絡(luò)安全防護(hù)平臺。

網(wǎng)絡(luò)安全防護(hù)平臺進(jìn)行全方位部署，通過威脅主動監(jiān)測分析安全事件、攻擊IP，實時發(fā)現(xiàn)主機病毒并進(jìn)行有效阻斷，有效保障網(wǎng)絡(luò)安全。

1威脅發(fā)現(xiàn)-TDA

系統(tǒng)通過獲取智能防護(hù)網(wǎng)絡(luò)（SPN）提供的全球C&C黑名單，以及共享的本地C&C黑名單，在網(wǎng)關(guān)位置偵測并攔截本地服務(wù)器與終端的C&C違規(guī)外聯(lián)活動，阻斷其與APT攻擊者之間的惡意通訊。提交可疑文件、URL、IP及域?qū)ο笾辽诚渥雎?lián)動分析。對病毒、木馬、蠕蟲、后門、加密勒索軟件、間諜軟件、灰色軟件、Rootkits等惡意軟件檢測，對勒索病毒、挖礦病毒攻擊、零日病毒與惡意文件黑客工具及系統(tǒng)應(yīng)用漏洞檢測，聯(lián)動設(shè)備組件包括威脅檢測和防御設(shè)備、沙盒、終端和服務(wù)器，從終端到網(wǎng)絡(luò)實現(xiàn)已知、未知威脅全方位發(fā)現(xiàn)、攔截的功能。

2主機防病毒-DS

對木馬程序、后門程序、蠕蟲病毒、感染性病毒和漏洞攻擊行程的檢測與響應(yīng)。通過預(yù)測性機器學(xué)習(xí)為未知威脅和零日攻擊提供增強的惡意軟件防護(hù)，阻止實施壓縮可執(zhí)行文件并匹配查殺，實現(xiàn)Office嵌入式對象防護(hù)，隔離可感染的虛擬機。

3威脅網(wǎng)關(guān)-AE

基于應(yīng)用程序、源 IP 地址、源用戶和源區(qū)域、指定目標(biāo) IP 地址和目標(biāo)區(qū)域等進(jìn)行訪問控制，可以防病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)等惡意程序，防未知高級惡意程序及C&C違規(guī)外聯(lián)，防加密勒索軟件，URL過濾及分類。對漏洞偵測能力強，漏洞響應(yīng)快，IPS規(guī)則全，性能高。

4沙箱-DDAN

定制化沙箱鏡像，精確匹配桌面及服務(wù)器環(huán)境（語言，操作系統(tǒng)，配置，應(yīng)用等），相對于普通沙箱而言，大大提升針對企業(yè)的定向威脅的偵測能力，減少威脅的沙箱逃逸。多重偵測引擎及關(guān)聯(lián)規(guī)則可針對多種文件類型及URL提供全面的威脅偵測，不僅限于惡意程序，可以分析所有的文檔文件、URL以及exe可執(zhí)行文件。

5威脅感知運維中心-UAP

XDR聯(lián)動監(jiān)控，具備終端安全分析、網(wǎng)絡(luò)安全分析、本地威脅情報管理及云端威脅情報聯(lián)動管理能力，具有威脅概覽、產(chǎn)品面板、外網(wǎng)威脅、內(nèi)網(wǎng)威脅功能，支持日志記錄、分類日志、日志關(guān)聯(lián)分析及報表。

6結(jié)語

通信網(wǎng)絡(luò)安全平臺上線后，對可疑流量和內(nèi)容進(jìn)行模擬執(zhí)行測試，實現(xiàn)威脅流量與協(xié)議異常檢測;及時發(fā)現(xiàn)網(wǎng)絡(luò)威脅，確認(rèn)是否存在安全風(fēng)險。通過監(jiān)測攻擊行為，識別攻擊行為功能，實現(xiàn)病毒檢測防護(hù)、虛擬防火墻、虛擬入侵檢測和完整性審計功能等功能，極大地提升了公司安全防護(hù)能力。

系統(tǒng)自上線以來，每日可實時監(jiān)測本地主機2000余臺，自主監(jiān)測發(fā)現(xiàn)攻擊IP數(shù)量38次、處置事件215次，上報安全事件94次，迅速妥善處置各類突發(fā)安全事件，有效保障公司網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1]中華人民共和國數(shù)據(jù)安全法

[2]中華人民共和國網(wǎng)絡(luò)安全法

[3]中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書

[4]信息安全等級保護(hù)管理辦法