XX移动全网风险监测平台解决方案

第页1XX移动ITC网建立有害程序事件监测中心解决方案趋势科技（中国）有限公司2012年4月第页2目录1国内大型成功案例–中国农业银行全网风险监控平台...................................................31.1客户面临的挑战..............................................................................................................31.2客户的需求......................................................................................................................31.3趋势科技全网风险监控平台解决方案...........................................................................31.4全网风险监控平台的效果..............................................................................................42构建监测中心达成的目标...................................................................................................53监测中心建设方案...............................................................................................................53.1监测中心平台建设方案..................................................................................................53.1.1总体部署说明.........................................................................................................53.1.2威胁发现系统TDA................................................................................................63.1.3威胁管理服务平台TMSP.....................................................................................73.1.4病毒地图CTIS.......................................................................................................83.1.5监测中心与厂家资源中心...................................................................................113.2监测中心人员培养........................................................................................................113.3监测中心流程建设........................................................................................................123.3.17×24威胁监测技术平台和主动式服务技术支撑..............................................124国内大型客户成功案例.....................................................................................................12第页31国内大型成功案例–中国农业银行全网风险监控平台1.1客户面临的挑战各省分行普遍存在无专职防病毒管理人员情况，很多问题解决不及时，缺乏对系统运行情况的有效监控；生产网/OA/终端风险：移动存储设备，未安装操作系统补丁，通过第三方网络传播这三种病毒威胁是我行系统面临的主要风险。1.2客户的需求全网防病毒系统采用“两级控制、多级管理”架构；总行设立全行威胁监控总中心，分行设立监控分中心，对生产系统、办公系统所有防病毒产品进行实时统一监控，及时发现病毒感染源并快速进行处理，避免病毒在网内大规模传播。1.3趋势科技全网风险监控平台解决方案第页41、分别在客服中心、数据中心以及一级分行部署12台威胁发现系统TDA，通过镜像的方法对生产网内部的数据进行监控；2、TDA实时发现在农行生产网内网的威胁信息，并把信息发送到总部的威胁管理服务平台，以地图信息实时展示；3、监控人员按照预定的监控流程进行处理。1.4全网风险监控平台的效果第一阶段建立生产网全网威胁监控平台，确保生产网的可用性；从运行的效果可以看到，实现从事后被动防护到事前主动风险管控；真正减少安全事件的停机时间、降低安全事件的发生频率、缩小安全事件波及的范围，让安全风险可接受、安全管理可控。更多的客户案例请参考最后一章《国内大型客户成功案例》。第页52构建监测中心达成的目标通过全省安全监测中心的建立，将达成如下目标：全面掌握全省ITC网的安全形势，做到安全问题早发现，将安全事件控制在萌芽状态；清晰识别全网安全问题源头，准确定位问题计算机，做到安全问题定点定人，将信息安全建设变被动式响应为主动服务；有助于分析外部威胁如何进入内网，并通过哪种方式进行内部扩散，根据这些信息，可以针对性地进行全网安全加固建设；全省监测中心的检测监测，推动各地市单位更好地提高信息安全建设水平；3监测中心建设方案为详细阐述在XX移动ITC网平台如何构建有害程序事件检测监测中心，下面从监测中心平台建设、监测中心人员培养、监测中心流程建设、监测中心运营服务四个方面详细描述。3.1监测中心平台建设方案3.1.1总体部署说明总体部署构架如下图（目前广州公司、深圳公司及清远公司已经实施）：为了有效检测监测全省XX移动ITC网全网的安全威胁，构建全省监测中心。整体方案包括趋势科技提供专业的威胁管理服务平台（TMSP）以及网络威胁发第页6现系统（TDA），全省监测平台从而能够实现从应用层及网络层寻找出潜在的威胁，同时可以生成详尽的专业报表，提供整体防护参考和防毒效果考评。总体部署包括两大部分：在全省21个地市分公司的局域网核心交换机上分别旁路部署威胁发现系统；构建的统一安全监测系统，将各个威胁发现系统的运行日志上传上去，经过二次挖掘分析，时时监测全省XX移动ITC网威胁情况并生成报告。3.1.2威胁发现系统TDA作为安全运行监测的关键的第一步，通过部署在各个地市分公司局域网核心交换机的威胁发现系统（软件版本，ThreatDiscoveryAppliance-简称TDVA）分析采集网络数据流量，通过监测网络层的可疑活动定位恶意程序，威胁发现设备集成趋势科技“云安全”技术，可全面支持检测2-7层的恶意威胁，以识别和应对下一代网络威胁。这是传统的、基于代码比对方式的安全产品所无法办到的。与趋势科技“云安全”技术配合，TDA可检测基于Web威胁或邮件内容的攻第页7击，如Web攻击、跨站点脚本攻击和网络钓鱼。另外，当恶意程序在网络中传播感染其它用户时，它们就会被打上标记，其中就包括向外界传送信息或从恶意的来源（如僵尸网络）接收命令的隐藏型恶意软件。TDA还能识别违反安全策略、中断网络以及消耗大量带宽的或构成潜在安全威胁的未经授权应用程序和服务程序。这些应用程序和服务程序包括如即时通讯（Bittorrent,Kazaa,eDonkey,MSN,YahooMessenger）、P2P文件共享、流媒体，以及未授权服务如SMTP中继和DNS欺骗。TDA利用网络内容检测技术侦测网络流量以及趋势科技病毒扫描引擎对其进行内容分析，并采用在网络交换机上镜像数据流的方式进行内容检查，确保网络运行不会被影响和中断。安全管理员也可根据TDA收集提供的反馈报告信息调整当前安全策略，并制订下一步网络安全建设规划。3.1.3威胁管理服务平台TMSP威胁管理服务平台TMSP（ThreatManagementServiceProtal，简称TMSP）是监测中心的重要组成部分，在建设时充分考虑了其运行的稳定性和扩展弹性。部署如下图：构建的威胁管理服务平台由六台服务器构成，分别是前端门户服务器、应用服务器、数据库服务器，它们分别通过双机热备方式实现高可用性。整个TMSP系统能够利用强大的“云安全”技术进行关联分析，以提高威胁检测及根源分析效率。先进的相关性逻辑分析日志文件将减少误报，从而发现隐藏的恶意威胁，确保更高的检测准确性。与趋势科技智能保护网络技术的整合将确保能对最新的恶意威胁行为进行第页8分析，从而发现恶意软件行为的最新趋势。智能保护网络将提供众多服务，如DNS，HTTP、文件信誉检查、网络钓鱼过滤等，从而可捕捉到多种威胁。通过趋势科技的全球安全情报中心可获取趋势科技二十年来的威胁研究成果以及详细、实时的最新威胁信息。TDA生成XX移动ITC网络内部安全状况的报表，通过集中式的威胁管理界面可帮助IT人员管理这些报表并组织事件信息。例如，管理日报表将说明事件响应并提供交互式的更详细的报表，可以浏览事件信息并提供详细的威胁情报，该报表还将包括采取何种适合的补救措施和响应建议。另外，每周或每月的执行总结可反映XX移动ITC网络整体的安全状况。详细的报表包括事件查看报表、比较报表和改进安全策略的建议。3.1.4病毒地图CTIS监测中心平台能够实时接受来自于部署在客户各台TDA发现的威胁数据，并通过最直观的地图坐标信息展示给用户。通过地图展示，用户可以非常简单地进行风险信息解读，并采取相应的处理流程与通报。点击风险图标后，更可以了解该区域附件相关联的威胁与感染信息。全网安全预警管理平台,采用多层次设定.区域管理平台与总公司管理平台.让客户不同的单位可以查看需要的信息.同时总公司监控中心也可以连入到区域管理平台.进行区域威胁内容解读.当进行威胁通报时,当地的威胁负责人在威胁发现设备中可以进行实时数据的查询,快速定位出感染源进行处理全网监测中心平台,可以接收到最实时的数据,威胁发现设备每10分钟或日志数量达到1000笔日志.将侦测到的威胁数据进行上传.进行实时的展现，展现功能如下：1.威胁事件实时地理定位能力：能够实时监控全国范围各分支机构威胁事件，同步在全国地图上动态展示，能精确定位指定威胁事件发生地的地理位置，威胁地图能缩放展示全国或任意分支机构范围内的威胁事件。第页92.威胁事件详细信息展示能力：可以按需展示指定威胁事件的详细数据，这些数据涵盖：发生时间，事件名称，事件类型，事件描述，威胁等级，源IP地址，目的IP地址，所属区域和监控设备。3.威胁事件展现能力:威胁可视化地图..可以依据客户需要将监控窗口固定在所需要的监控区域.同时可以对地图画面进行放大缩小.了解到威胁发生的地理地点.专注在客户关心的区域进行显示监控.4.威胁风险标示:不同颜色图目标威胁类型显示.可以让客户用最直观的方式了解到目前所侦测到的风险等级..进行相对的通告处理,例如红色图标代表高风险威胁,黄色图标代表中风险威胁,绿色图标