常熟市地稅局是我國稅務(wù)系統(tǒng)實現(xiàn)信息化管理的先行者之一，在階梯型的IT環(huán)境持續(xù)建設(shè)中，隨著網(wǎng)絡(luò)與業(yè)務(wù)越來越緊密的融合，對于網(wǎng)絡(luò)安全管理所投入的成本已經(jīng)占據(jù)了整體IT成本的大幅比例。常熟市地稅局信息中心為擺脫"成本中心"的角色，實現(xiàn)主動運維目標，在充分評估信息安全市場的威脅發(fā)現(xiàn)產(chǎn)品后，最終選擇了集成趨勢科技"云安全"技術(shù)的威脅發(fā)現(xiàn)系統(tǒng)（Threat Discovery Appliance，TDA）。在經(jīng)過一段時間的應(yīng)用后，TDA不但證明了全面檢測2-7層的惡意威脅，同時還為IT部門大幅降低了網(wǎng)絡(luò)安全運維成本的投入。

"安全故障"是一個非常敏感的詞匯

常熟市地稅局的網(wǎng)絡(luò)結(jié)構(gòu)和終端組成比較復雜，近30臺服務(wù)器組成的數(shù)據(jù)中心承擔著整體應(yīng)用平臺的運行，而在大量的交換機和路由設(shè)備后面還聯(lián)接著500臺左右終端。如今，不單單只是簡單的OA辦公應(yīng)用，隨著Internet接入與Web開發(fā)技術(shù)的普及，常熟地稅的業(yè)務(wù)系統(tǒng)大多已經(jīng)成為網(wǎng)絡(luò)的"依存者"。然而，網(wǎng)絡(luò)這把"雙刃劍"也容易產(chǎn)生諸多負面的管理問題，越來越多的稅務(wù)運營數(shù)據(jù)已經(jīng)存放在網(wǎng)絡(luò)之中，稅務(wù)的征收等工作也越來越依賴于穩(wěn)健的網(wǎng)絡(luò)，一旦出現(xiàn)網(wǎng)絡(luò)安全事故，故障恢復成本和公眾形象勢必大打折扣。

常熟地稅的網(wǎng)絡(luò)工程師夏先生表示："在之前加固網(wǎng)絡(luò)安全的工作中，我們已經(jīng)部署了防火墻、終端防毒軟件等安全措施；同時為了將內(nèi)、外網(wǎng)的安全分級管理，防止病毒交叉感染和數(shù)據(jù)泄露，地稅局還按照上級單位要求部署了網(wǎng)閘設(shè)備，但這并不能保證我們的安全配置固若金湯。對于絕大多數(shù)業(yè)務(wù)都依賴于信息系統(tǒng)的常熟地稅來說，能否發(fā)現(xiàn)網(wǎng)絡(luò)中已有的威脅、防止未知和潛在的威脅，將直接關(guān)系到稅收系統(tǒng)能否正常運作的關(guān)鍵。"在網(wǎng)絡(luò)安全管理和建設(shè)方面，不但夏先生這樣的一線工程師十分擔心，由于"病毒感染親身感受"的覆蓋面相當廣泛，這也引起了單位領(lǐng)導的高度重視。

常熟地稅的擔憂十分必要，據(jù)統(tǒng)計，全球惡意程序已超過1600萬個，而且每4秒鐘就產(chǎn)生一個新病毒，每個網(wǎng)絡(luò)都將迎來內(nèi)外威脅的共同夾擊。同時，雖然每個園區(qū)網(wǎng)中的防火墻或殺毒軟件已經(jīng)成為剛性需求，但是要面對日新月異的網(wǎng)絡(luò)威脅與黑客攻擊手法，這樣簡單的防御無疑是遠遠不夠的。"網(wǎng)絡(luò)安全事故"在稅務(wù)和金融行業(yè)中已經(jīng)是一個非常敏感的詞匯，稅務(wù)工作是為國家創(chuàng)收從而為國家發(fā)展建設(shè)服務(wù)的，這是關(guān)系到國計民生的大事。另外，整個系統(tǒng)的文件和數(shù)據(jù)是需要絕對安全和保密的，如果標記了"絕密、機密、秘密"等級的數(shù)據(jù)遭到破壞，將直接引起的法律糾紛和重大經(jīng)濟損失。

安全防御與主動運維并軌

稅務(wù)系統(tǒng)的網(wǎng)絡(luò)一般劃分為兩部分：稅務(wù)內(nèi)網(wǎng)，它運行多個涉及稅務(wù)內(nèi)部業(yè)務(wù)和辦公的應(yīng)用系統(tǒng)，是稅務(wù)系統(tǒng)的重要業(yè)務(wù)網(wǎng)絡(luò)，需要進行高安全的防范，要求與互聯(lián)網(wǎng)物理隔離，該網(wǎng)還需要與各業(yè)務(wù)專網(wǎng)相連，例如商業(yè)銀行專網(wǎng)、海關(guān)專網(wǎng)等；稅務(wù)外網(wǎng)，則運行多個稅務(wù)外部業(yè)務(wù)，并通過互聯(lián)網(wǎng)提供網(wǎng)上報稅、便民服務(wù)，該網(wǎng)絡(luò)是稅務(wù)業(yè)務(wù)系統(tǒng)的外延，是對外服務(wù)的窗口。常熟地稅已經(jīng)為內(nèi)、外網(wǎng)系統(tǒng)和終端用戶運維投入了大量人力和財力，在制定了大量網(wǎng)絡(luò)安全防范制度的同時，常熟地稅信息中心還提出了："IT主動運維，安全事故消滅在萌芽階段，先行一步發(fā)現(xiàn)異常"等具體實現(xiàn)目標。

而在選擇趨勢科技的威脅發(fā)現(xiàn)方案之前，最讓IT部門頭痛的是有很多員工都使用筆記本電腦，攜帶外出很容易受到感染，再加上頻繁使用移動硬盤和U盤，病毒通過這些途徑極易進入到內(nèi)網(wǎng)。即便網(wǎng)絡(luò)中已經(jīng)部署了網(wǎng)閘和防火墻，內(nèi)部計算機也都有安裝客戶端防毒軟件，但防毒和系統(tǒng)修復工作卻占據(jù)了IT部門的大量人力資源。信息中心的陸強主任認為："我們對網(wǎng)絡(luò)安全防護不斷投入，制度也越加完善，這使得網(wǎng)絡(luò)的穩(wěn)定性開始逐步增強，大范圍的病毒感染已經(jīng)非常少。但如果出現(xiàn)安全事件，IT部門的人員又要重新扮演'消防員'的角色，依靠個人經(jīng)驗提出安全策略和補救措施，這與主動運維的策略背道而馳了。同時，這種方式容易拖延補救時間，也不能確保處理的效果。"

針對已經(jīng)存在的顯性威脅和可能出現(xiàn)的隱形威脅，常熟地稅提出了進一步采購威脅防御產(chǎn)品的需求。具體來講，他們需要一個能夠支持從網(wǎng)絡(luò)層至應(yīng)用層的多種綜合協(xié)議的網(wǎng)絡(luò)流量檢測產(chǎn)品，以便確定相關(guān)事件的可疑威脅，并且還要能利用病毒掃描引擎分析文件內(nèi)容，達到深層次的威脅檢測。結(jié)合IT主動運維的思路，需求分析中更體現(xiàn)出單一集中式的記錄報告平臺，讓管理員輕松工作的同時，還能在發(fā)現(xiàn)威脅時提供出具有指導性的解決方案，建立配套的"安全威脅知識庫"。

利用TDA替代手工處理威脅

在充分評估信息安全市場的威脅發(fā)現(xiàn)產(chǎn)品后，常熟地稅最終選擇了集成趨勢科技"云安全"技術(shù)的威脅發(fā)現(xiàn)系統(tǒng)（Threat DiscoveryAppliance，TDA）。由于采用了旁路設(shè)計，通過鏡像端口的離線部署方式，常熟地稅在沒有中斷業(yè)務(wù)系統(tǒng)的狀態(tài)下快速完成TDA的部署。如今，TDA通過對每一臺終端計算機和網(wǎng)絡(luò)狀況的整體分析，針對一百多種協(xié)議進行深度關(guān)聯(lián)分析，可以識別違反安全策略，發(fā)現(xiàn)造成網(wǎng)絡(luò)中斷、消耗大量帶寬或未經(jīng)授權(quán)應(yīng)用程序和服務(wù)程序。陸強主任和IT部門的同事利用TDA提供的網(wǎng)絡(luò)威脅日報、周報和月報信息，并根據(jù)收集提供的反饋報告信息制訂了更加詳細的應(yīng)急響應(yīng)方案。夏工表示："我們在部署TDA之后，通過控制臺將網(wǎng)絡(luò)中的可疑活動都看得一清二楚，從網(wǎng)絡(luò)層至應(yīng)用層的多種協(xié)議流量情況盡在眼中。TDA不但像'放大鏡'一樣幫助我們發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅問題，還可以在發(fā)現(xiàn)威脅之后，發(fā)揮'雷達儀表盤'功能迅速抓到這個違反策略的終端，將安全威脅轉(zhuǎn)化為詳細的處理措施并進行落實，這些都替代了之前我們需要手工排查故障原因的做法"。

由于稅務(wù)行業(yè)特殊的保密性需求，很多時候安全廠商也無法直接提供面對面的服務(wù)，但TDA由于采用了全球云安全架構(gòu)的支撐，其"威脅處理知識庫"卻可以彌補服務(wù)上的特殊要求。TDA集成了云安全、行為分析、關(guān)聯(lián)分析技術(shù)，這與傳統(tǒng)的病毒代碼比對不同，對IT部門"拿不準"處理步驟，在部署了趨勢的TDA之后可以自動從"威脅處理知識庫"獲得了威脅處理建議。陸強主任認為："正式這種知識庫的形式，讓我們在網(wǎng)絡(luò)安全工作中也體系了科學運維、標準運維的做法。在遇到實際威脅時，減少了對'人'的依賴性，做到有章可循，減少了重復的人力投入，降低了運維成本。"

趨勢科技作為全球領(lǐng)先的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)提供商，其核心產(chǎn)品TDA已經(jīng)樹立了最新的網(wǎng)絡(luò)安全運維實踐，這使得企業(yè)不再會因為缺乏專業(yè)安全人員感到遺憾，也不會讓病毒和黑客成了影響業(yè)務(wù)拓展的絆腳石。通過TDA等安全產(chǎn)品的智能聯(lián)動功能，大幅降低人工和安全事故造成的運維成本，讓IT重新回到引領(lǐng)業(yè)務(wù)前行的方向上。

【編輯推薦】

1. 傳趨勢科技已接到收購要約：推動股價大漲21%
2. 趨勢科技為社保信息化建設(shè)一路“擋風遮雨”
3. 面對跨站腳本攻擊XSS的安全防御的有價值的建議
4. 趨勢科技鄭弘卿：云安全和法規(guī)遵從挑戰(zhàn)&解決方案