桂林移動攜手趨勢科技構建合規性威脅預警平臺

桂林移動攜手趨勢科技構建合規性威脅預警平臺

研究表明，遭遇“僵木蠕”入侵的機器主要分布在托管主機、家庭寬帶主機等安全防護手段較為薄弱的群體中。因此，工信部電信管理局在2012年已經針對運營商發文要求整治城域網的僵木蠕主機。針對廣西地區，廣西通信管理局在《桂通管安【2012】5號》文中提出了各運營商必須在2012年底完成對管轄區內僵尸、木馬主機的治理，并形成常態化的管理及清理手段。而作為桂林移動的上級單位中國移動集團，也針對該情況制定了統一的集團規范《中國移動互聯網安全防護技術要求V1.0.0》，該規范明確規定了各級別移動公司必須在城域網部署對僵尸、木馬主機的監控手段，提前預警及定位，降低“僵木蠕”威脅對城域網用戶及移動業務的影響。

對此，桂林移動城域網安全負責人秦工表示：“僵木蠕”威脅是城域網中流竄最多的威脅之一，對用戶及運行商的危害最大。但是由于僵尸、木馬的技術發展非常快，其行為非常隱蔽，常規的IDS、防火墻等安全設備根本無法發現這些威脅。同時，運營商城域網有別于常規企業的局域網，其流量非常巨大，僅桂林移動的城域網部分出口可達6G，遠遠超過了常規安全設備能夠承載的流量。基于上述原因，桂林移動一直無法有效落實通管局及中移動集團下發的相關法律法規，嚴重影響了桂林移動的安全考核上的評分。為此，桂林移動迫切希望找到一套運營商級別的“僵木蠕”威脅預警平臺，提升桂林移動城域網的抗攻擊能力，同時協助桂林移動遵從上級單位頒發的法律法規。

雙方在充分溝通之后，桂林移動邀請趨勢科技對城域網現有安全監控體系進行新一輪的改造，以提升城域網對“僵木蠕”的防治能力。經過對城域網環境的深入分析，雙方最后敲定使用趨勢科技獨有的TDA作為桂林移動城域網“僵木蠕”威脅預警平臺。

TDA作為本次“僵木蠕”威脅預警平臺改造的支撐系統，以旁路監聽的方式部署在桂林移動城域網核心交換機上。由于采用旁路的方式，再加上本次部署的TDA是趨勢科技專門針對運營商網絡環境提供的電信級設備，其單臺設備最大吞吐量可達1.5G，并且可以根據用戶環境的變化進行按需擴展。

為了最大化定位城域網中的“僵木蠕”高風險節點，部署TDA時主要針對桂林移動托管服務器區、VIP客戶、部分家庭寬帶區進行數據采集，并把采集到的數據復制到“僵木蠕”威脅預警平臺中進行深度分析。由于使用了趨勢科技獨有的“云安全”技術，TDA可檢測各種僵尸、木馬等基于應用層的威脅，如IRC僵尸活動、P2P僵尸活動、掛馬站點活動等。另外，當僵尸肉機、木馬主機在網絡中傳播感染其它用戶或與外界C&C服務器（僵尸控制服務器）通信時，TDA會通過深度包檢測技術發現該可疑請求，并對發起連接的源頭機器做標記，同時在管理控制臺上通過可視化的地圖展示高風險節點的物理位置、網絡位置及處理建議。

如今，通過TDA獨特的反向定位功能，桂林移動能夠迅速找到了隱藏于網絡中的高風險節點，并根據趨勢科技整合在TDA報告中的解決方案，在這些高危節點尚未造成大規模病毒爆發前就把病毒處理干凈。在降低“僵木蠕“威脅帶來各種經濟損失的同時，遵從了上級安全單位頒發的法律法規。

桂林移動“僵木蠕”威脅預警平臺在2012年開始進行研究，以桂林移動重點研發項目的形式開展。經過半年的研究及實施，展示出良好的效果，并在2013年通過了中國移動集團對全國各個研發項目的評審。

秦工表示：在TDA部署完成之后，桂林移動已經按照通管局要求，制定了一套常態化的“僵木蠕”管理及清理手段，從而實現了從對”僵木蠕”威脅全生命周期的管理。如今，桂林移動整個城域網的數據都可以利用TDA系統，進行2-7層的深度掃描，不但主動、實時的抓住了城域網中的僵木蠕高風險節點，更全面降低了“僵木蠕”威脅對用戶及桂林移動帶來的各種損失。與此同時，TDA還能夠協助桂林移動遵從通管局及中移動集團等上級單位發布的法律法規要求，提升了每季度的安全考核分數，并成為了市級移動公司在針對“僵木蠕”防治工作成功典范。（文/游建）