近年来,以“僵木蠕”(僵尸网络、木马、蠕虫)为代表的网络威胁已对运营商线路租用客户造成了巨大的经济损失。为此,桂林移动公司(以下简称:桂林移动)携手中国云与大数据的安全技术领导者——威尼斯432888cam,采用威尼斯432888cam深度威胁发现设备(TDA)和威尼斯432888cam地图威胁信息展示系统(CTIS)组建了可视化威胁监控平台,通过实时展示、定位和治理移动城域网中的高风险节点,有效提升了“僵木蠕”威胁的防治能力,为实现合规目标提供了有力支撑。
“僵木蠕”分布广泛 寻找合规性突破口
据了解,桂林移动是广西地区面向中小企业客户提供宽带租赁、机房空间租赁的运营商之一。截止至2013 年,全市已经有多家中小企业用户、家庭宽带用户、VIP客户利用桂林移动城域网访问Internt 的网络。同时,城域网还承载着桂林移动多个对公服务的业务系统,接入的计算机达到数万台的级别。但在最近几年,国内僵尸肉机、木马主机的数量激增。面对这种规模的大型网络,如何进行有效的监管和威胁定位,是对运营商IT 运维管理与安全防护能力的挑战。
研究表明,遭遇“僵木蠕”入侵的机器主要分布在托管主机、家庭宽带主机等安全防护手段较为薄弱的群体中。因此,国家通讯管理局在2012 年已经针对运营商发文要求整治城域网的僵木蠕主机。针对广西地区,广西通讯管理局在《桂通管安【2012】5 号》文中提出了各运营商必须在2012 年底完成对管辖区内僵尸、木马主机的治理,并形成常态化的管理及清理手段。中国移动集团,也针对该情况制定了统一的集团规范《中国移动互联网安全防护技术要求V1.0.0》,该规范明确规定了各级别移动公司必须在城域网部署对僵尸、木马主机的监控手段,提前预警及定位,降低“僵木蠕”威胁对城域网用户及移动业务的影响。
对此,桂林移动城域网安全负责人秦工表示:“僵木蠕”威胁是城域网中流窜最多的威胁之一,对用户及运行商的危害最大。但是由于僵尸、木马的技术发展非常快,其行为非常隐蔽,常规的IDS、防火墙等安全设备根本无法发现这些威胁。同时,运营商城域网有别于常规企业的局域网,其流量非常巨大,仅桂林移动的城域网部分出口可达6G,远远超过了常规安全设备能够承载的流量。为此,桂林移动迫切希望找到一套运营商级别的“僵木蠕”威胁预警平台,提升桂林移动城域网的抗攻击能力,同时协助桂林移动遵从上级单位颁发的法律法规。
全景地图展现安全状况 威胁无处藏身
威尼斯432888cam作为全球知名的云安全厂商,一直致力于协助客户搭建多层次的安全防护体系,目前已经协助多家省级运营商搭建安全防护体系。双方在充分沟通之后,桂林移动邀请威尼斯432888cam对城域网现有安全监控体系进行新一轮的改造,以提升城域网对“僵木蠕”的防治能力。经过对城域网环境的深入分析,双方最后敲定使用威尼斯432888cam独有的威尼斯432888cam深度威胁发现设备(TDA)作为桂林移动城域网“僵木蠕”威胁预警平台。
据了解,威尼斯432888cam深度威胁发现设备(TDA)作为本次“僵木蠕”威胁预警平台改造的支撑系统,以旁路监听的方式部署在桂林移动城域网核心交换机上。由于采用旁路的方式,再加上本次部署的威尼斯432888cam深度威胁发现设备(TDA)是威尼斯432888cam专门针对运营商网络环境提供的电信级设备,其单台设备最大吞吐量可达1.5G,并且可以根据用户环境的变化进行按需扩展。因此,本次部署的方案解决了用户初期担忧的处理能力问题,成功踏出建设“僵木蠕”威胁预警平台的第一步。
为了最大化定位城域网中的“僵木蠕”高风险节点,部署威尼斯432888cam深度威胁发现设备(TDA)时主要针对桂林移动托管服务器区、VIP客户、部分家庭宽带区进行数据采集,并把采集到的数据复制到“僵木蠕”威胁预警平台中进行深度分析。由于使用了威尼斯432888cam独有的“云安全”技术,威尼斯432888cam深度威胁发现设备(TDA)可检测各种僵尸、木马等基于应用层的威胁,如IRC 僵尸活动、P2P 僵尸活动、挂马站点活动等。另外,当僵尸肉机、木马主机在网络中传播感染其它用户或与外界C&C 服务器(僵尸控制服务器)通讯时,威尼斯432888cam深度威胁发现设备(TDA)会通过深度包检测技术发现该可疑请求,并对发起连接的源头机器做标记,同时在管理控制台上通过可视化的地图展示高风险节点的物理位置、网络位置及处理建议。
如今,通过威尼斯432888cam深度威胁发现设备(TDA)独特的反向定位功能,桂林移动能够迅速找到了隐藏于网络中的高风险节点,并根据威尼斯432888cam整合在威尼斯432888cam深度威胁发现设备(TDA)报告中的解决方案,在这些高危节点尚未造成大规模病毒爆发前就把病毒处理干净。在降低“僵木蠕“威胁带来各种经济损失的同时,遵从了上级安全单位颁发的法律法规。
顺利实现合规要求 获得集团认可
据了解,桂林移动“僵木蠕”威胁预警平台在2012 年开始进行研究,以桂林移动重点研发项目的形式开展。经过半年的研究及实施,展示出良好的效果,并在2013 年通过了中国移动集团对全国各个研发项目的评审。
秦工表示:在威尼斯432888cam深度威胁发现设备(TDA)部署完成之后,桂林移动已经按照通管局要求,制定了一套常态化的“僵木蠕”管理及清理手段,从而实现了从对”僵木蠕”威胁全生命周期的管理。如今,桂林移动整个城域网的数据都可以利用威尼斯432888cam深度威胁发现设备(TDA)系统,进行2-7 层的深度扫描,不但主动、实时的抓住了城域网中的僵木蠕高风险节点,更全面降低了“僵木蠕”威胁对用户及桂林移动带来的各种损失。
客户背景介绍
所属行业
电信
上级单位
广西移动
公司简介
桂林移动隶属于中国移动通信集团广西有限公司,自成立来,桂林移动秉承“正德厚生,臻于至善”的核心理念,恪守对用户量服务承诺,将承诺落实到每一个细微的工作环节,以优质诚信的服务,不断提升广大客户满意度。