近年來(lái)，以“僵木蠕”(僵尸網(wǎng)絡(luò)、木馬、蠕蟲)為代表的網(wǎng)絡(luò)威脅已對(duì)運(yùn)營(yíng)商線路租用客戶造成了巨大的經(jīng)濟(jì)損失。為此，中國(guó)移動(dòng)集團(tuán)在嚴(yán)格遵守工信部電信管理局要求的同時(shí)，努力通過創(chuàng)新網(wǎng)絡(luò)安全技術(shù)和制度的要求，指導(dǎo)全國(guó)各移動(dòng)公司有效應(yīng)對(duì)“僵木蠕”威脅。其中，桂林移動(dòng)公司(以下簡(jiǎn)稱：桂林移動(dòng))攜手全球服務(wù)器安全、虛擬化及云計(jì)算安全領(lǐng)導(dǎo)廠商——趨勢(shì)科技，采用趨勢(shì)科技威脅發(fā)現(xiàn)設(shè)備TDA和CTIS(地圖威脅信息展示系統(tǒng))組建了可視化威脅監(jiān)控平臺(tái)，通過實(shí)時(shí)展示、定位和治理移動(dòng)城域網(wǎng)中的高風(fēng)險(xiǎn)節(jié)點(diǎn)，有效提升了“僵木蠕”威脅的防治能力，為實(shí)現(xiàn)合規(guī)目標(biāo)提供了有力支撐。

“僵木蠕”分布廣泛 尋找合規(guī)性突破口

據(jù)了解，桂林移動(dòng)是廣西地區(qū)面向中小企業(yè)客戶提供寬帶租賃、機(jī)房空間租賃的運(yùn)營(yíng)商之一。截止至2013年，全市已經(jīng)有多家中小企業(yè)用戶、家庭寬帶用戶、VIP客戶利用桂林移動(dòng)城域網(wǎng)訪問Internt的網(wǎng)絡(luò)。同時(shí)，城域網(wǎng)還承載著桂林移動(dòng)多個(gè)對(duì)公服務(wù)的業(yè)務(wù)系統(tǒng)，接入的計(jì)算機(jī)達(dá)到數(shù)萬(wàn)臺(tái)的級(jí)別。但在最幾年，國(guó)內(nèi)僵尸肉機(jī)、木馬主機(jī)的數(shù)量激增。面對(duì)這種規(guī)模的大型網(wǎng)絡(luò)，如何進(jìn)行有效的監(jiān)管和威脅定位，是對(duì)運(yùn)營(yíng)商IT運(yùn)維管理與安全防護(hù)能力的挑戰(zhàn)。

研究表明，遭遇“僵木蠕”入侵的機(jī)器主要分布在托管主機(jī)、家庭寬帶主機(jī)等安全防護(hù)手段較為薄弱的群體中。因此，工信部電信管理局在2012年已經(jīng)針對(duì)運(yùn)營(yíng)商發(fā)文要求整治城域網(wǎng)的僵木蠕主機(jī)。針對(duì)廣西地區(qū)，廣西通信管理局在《桂通管安【2012】5號(hào)》文中提出了各運(yùn)營(yíng)商必須在2012年底完成對(duì)管轄區(qū)內(nèi)僵尸、木馬主機(jī)的治理，并形成常態(tài)化的管理及清理手段。而作為桂林移動(dòng)的上級(jí)單位中國(guó)移動(dòng)集團(tuán)，也針對(duì)該情況制定了統(tǒng)一的集團(tuán)規(guī)范《中國(guó)移動(dòng)互聯(lián)網(wǎng)安全防護(hù)技術(shù)要求V1.0.0》，該規(guī)范明確規(guī)定了各級(jí)別移動(dòng)公司必須在城域網(wǎng)部署對(duì)僵尸、木馬主機(jī)的監(jiān)控手段，提前預(yù)警及定位，降低“僵木蠕”威脅對(duì)城域網(wǎng)用戶及移動(dòng)業(yè)務(wù)的影響。

對(duì)此，桂林移動(dòng)城域網(wǎng)安全負(fù)責(zé)人秦工表示：“僵木蠕”威脅是城域網(wǎng)中流竄最多的威脅之一，對(duì)用戶及運(yùn)行商的危害最大。但是由于僵尸、木馬的技術(shù)發(fā)展非常快，其行為非常隱蔽，常規(guī)的IDS、防火墻等安全設(shè)備根本無(wú)法發(fā)現(xiàn)這些威脅。同時(shí)，運(yùn)營(yíng)商城域網(wǎng)有別于常規(guī)企業(yè)的局域網(wǎng)，其流量非常巨大，僅桂林移動(dòng)的城域網(wǎng)部分出口可達(dá)6G，遠(yuǎn)遠(yuǎn)超過了常規(guī)安全設(shè)備能夠承載的流量?；谏鲜鲈?，桂林移動(dòng)一直無(wú)法有效落實(shí)通管局及中移動(dòng)集團(tuán)下發(fā)的相關(guān)法律法規(guī)，嚴(yán)重影響了桂林移動(dòng)的安全考核上的評(píng)分。為此，桂林移動(dòng)迫切希望找到一套運(yùn)營(yíng)商級(jí)別的“僵木蠕”威脅預(yù)警平臺(tái)，提升桂林移動(dòng)城域網(wǎng)的抗攻擊能力，同時(shí)協(xié)助桂林移動(dòng)遵從上級(jí)單位頒發(fā)的法律法規(guī)。

全景地圖展現(xiàn)安全狀況 威脅無(wú)處藏身

趨勢(shì)科技作為全球知名的云安全廠商，一直致力于協(xié)助客戶搭建多層次的安全防護(hù)體系，目前已經(jīng)協(xié)助多家省級(jí)運(yùn)營(yíng)商搭建安全防護(hù)體系。雙方在充分溝通之后，桂林移動(dòng)邀請(qǐng)趨勢(shì)科技對(duì)城域網(wǎng)現(xiàn)有安全監(jiān)控體系進(jìn)行新一輪的改造，以提升城域網(wǎng)對(duì)“僵木蠕”的防治能力。經(jīng)過對(duì)城域網(wǎng)環(huán)境的深入分析，雙方最后敲定使用趨勢(shì)科技獨(dú)有的TDA作為桂林移動(dòng)城域網(wǎng)“僵木蠕”威脅預(yù)警平臺(tái)。

據(jù)了解，TDA作為本次“僵木蠕”威脅預(yù)警平臺(tái)改造的支撐系統(tǒng)，以旁路監(jiān)聽的方式部署在桂林移動(dòng)城域網(wǎng)核心交換機(jī)上。由于采用旁路的方式，再加上本次部署的TDA是趨勢(shì)科技專門針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)環(huán)境提供的電信級(jí)設(shè)備，其單臺(tái)設(shè)備最大吞吐量可達(dá)1.5G，并且可以根據(jù)用戶環(huán)境的變化進(jìn)行按需擴(kuò)展。因此，本次部署的方案解決了用戶初期擔(dān)憂的處理能力問題，成功踏出建設(shè)“僵木蠕”威脅預(yù)警平臺(tái)的第一步。

為了最大化定位城域網(wǎng)中的“僵木蠕”高風(fēng)險(xiǎn)節(jié)點(diǎn)，部署TDA時(shí)主要針對(duì)桂林移動(dòng)托管服務(wù)器區(qū)、VIP客戶、部分家庭寬帶區(qū)進(jìn)行數(shù)據(jù)采集，并把采集到的數(shù)據(jù)復(fù)制到“僵木蠕”威脅預(yù)警平臺(tái)中進(jìn)行深度分析。由于使用了趨勢(shì)科技獨(dú)有的“云安全”技術(shù)，TDA可檢測(cè)各種僵尸、木馬等基于應(yīng)用層的威脅，如IRC僵尸活動(dòng)、P2P僵尸活動(dòng)、掛馬站點(diǎn)活動(dòng)等。另外，當(dāng)僵尸肉機(jī)、木馬主機(jī)在網(wǎng)絡(luò)中傳播感染其它用戶或與外界C&C服務(wù)器(僵尸控制服務(wù)器)通訊時(shí)，TDA會(huì)通過深度包檢測(cè)技術(shù)發(fā)現(xiàn)該可疑請(qǐng)求，并對(duì)發(fā)起連接的源頭機(jī)器做標(biāo)記，同時(shí)在管理控制臺(tái)上通過可視化的地圖展示高風(fēng)險(xiǎn)節(jié)點(diǎn)的物理位置、網(wǎng)絡(luò)位置及處理建議。

如今，通過TDA獨(dú)特的反向定位功能，桂林移動(dòng)能夠迅速找到了隱藏于網(wǎng)絡(luò)中的高風(fēng)險(xiǎn)節(jié)點(diǎn)，并根據(jù)趨勢(shì)科技整合在TDA報(bào)告中的解決方案，在這些高危節(jié)點(diǎn)尚未造成大規(guī)模病毒爆發(fā)前就把病毒處理干凈。在降低“僵木蠕“威脅帶來(lái)各種經(jīng)濟(jì)損失的同時(shí)，遵從了上級(jí)安全單位頒發(fā)的法律法規(guī)。

順利實(shí)現(xiàn)合規(guī)要求 獲得集團(tuán)認(rèn)可

據(jù)了解，桂林移動(dòng)“僵木蠕”威脅預(yù)警平臺(tái)在2012年開始進(jìn)行研究，以桂林移動(dòng)重點(diǎn)研發(fā)項(xiàng)目的形式開展。經(jīng)過半年的研究及實(shí)施，展示出良好的效果，并在2013年通過了中國(guó)移動(dòng)集團(tuán)對(duì)全國(guó)各個(gè)研發(fā)項(xiàng)目的評(píng)審。

秦工表示：在TDA部署完成之后，桂林移動(dòng)已經(jīng)按照通管局要求，制定了一套常態(tài)化的“僵木蠕”管理及清理手段，從而實(shí)現(xiàn)了從對(duì)”僵木蠕”威脅全生命周期的管理。如今，桂林移動(dòng)整個(gè)城域網(wǎng)的數(shù)據(jù)都可以利用TDA系統(tǒng)，進(jìn)行2-7層的深度掃描，不但主動(dòng)、實(shí)時(shí)的抓住了城域網(wǎng)中的僵木蠕高風(fēng)險(xiǎn)節(jié)點(diǎn)，更全面降低了“僵木蠕”威脅對(duì)用戶及桂林移動(dòng)帶來(lái)的各種損失。與此同時(shí)，TDA還能夠協(xié)助桂林移動(dòng)遵從通管局及中移動(dòng)集團(tuán)等上級(jí)單位發(fā)布的法律法規(guī)要求，提升了每季度的安全考核分?jǐn)?shù)，并成為了市級(jí)移動(dòng)公司在針對(duì)“僵木蠕”防治工作成功典范。