高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)已成為最令企業(yè)和政府行業(yè)用戶擔(dān)心的危險(xiǎn)，如今你可以在每一篇網(wǎng)絡(luò)安全分析報(bào)告中都能發(fā)現(xiàn)它的“大名”。為了積極有效地應(yīng)對(duì)愈演愈烈的APT攻擊，云南無(wú)線電管理機(jī)構(gòu)與全球服務(wù)器安全、虛擬化安全及云安全領(lǐng)導(dǎo)廠商趨勢(shì)科技達(dá)成深度合作，采用多層次、全方位的安全加固解決方案以及TDA、NVWE等云安全產(chǎn)品，全面提升了網(wǎng)絡(luò)邊界防范和威脅預(yù)警的能力，在符合等級(jí)保護(hù)等政策要求的基礎(chǔ)上為政府行業(yè)用戶塑造了安全管理的典范。

傳統(tǒng)安全防護(hù)方案難以抵御APT攻擊

APT攻擊的背后一般都是優(yōu)秀技術(shù)、資金資源的黑客組織或集團(tuán)，他們對(duì)某些特定的用戶發(fā)起的有目的、長(zhǎng)時(shí)間的攻擊。由于其攻擊前期的準(zhǔn)備非常充足且攻擊時(shí)間、次數(shù)相對(duì)于傳統(tǒng)攻擊更多，因此發(fā)起的攻擊往往無(wú)法徹底防御。例如：2013年兩起針對(duì)韓國(guó)政府的APT攻擊、國(guó)內(nèi)針對(duì)金融業(yè)的“證券幽靈”等安全事件，都充分反映了APT這種特殊攻擊的特點(diǎn)。作為國(guó)內(nèi)政治敏感度最高的行業(yè)，政府單位歷來(lái)都是黑客首選的攻擊目標(biāo)。最近兩年，在我國(guó)政府行業(yè)發(fā)生的多起安全事件，充分證明網(wǎng)絡(luò)安全建設(shè)已日益成為政府單位形象及社會(huì)穩(wěn)定的關(guān)鍵。

2009年，云南省無(wú)線電管理行政職能劃入到云南省工業(yè)和信息化委員會(huì)，并成立了云南省無(wú)線電管理辦公室，負(fù)責(zé)該省無(wú)線電系統(tǒng)建立和管理工作。2013年，針對(duì)APT攻擊日趨嚴(yán)重的網(wǎng)絡(luò)環(huán)境，包括國(guó)家計(jì)算機(jī)病毒應(yīng)急中心等多家部委級(jí)單位發(fā)文，要求政府單位做好抵御APT的安全工作。對(duì)于云南無(wú)線電管理機(jī)構(gòu)的安全管理工作來(lái)講，既要符合上級(jí)單位規(guī)定要求，更需要提升自身網(wǎng)絡(luò)的威脅防范能力，那么就必須對(duì)分散在全省各分支機(jī)構(gòu)的終端提供實(shí)時(shí)的威脅管理。但由于國(guó)內(nèi)由于云南省無(wú)線電管理機(jī)構(gòu)日常辦公經(jīng)常使用U盤等外設(shè)，同時(shí)又與云南省信息中心這個(gè)政府大網(wǎng)有各種數(shù)據(jù)互通，非常容易遭受到APT的攻擊。而單純的網(wǎng)絡(luò)版防毒軟件根本無(wú)法從APT攻擊流程(圖1所示)中發(fā)現(xiàn)和攔截危險(xiǎn)，安全建設(shè)工作難以展開(kāi)。

【圖1：典型APT性攻擊流程】

結(jié)合上述需求，云南無(wú)線電管理機(jī)構(gòu)決定對(duì)整體安全架構(gòu)進(jìn)行全面的加固，提升自身對(duì)APT的防御及監(jiān)控能力。為此，云南無(wú)線電管理機(jī)構(gòu)與多家國(guó)內(nèi)外知名的安全廠家進(jìn)行了長(zhǎng)時(shí)間的技術(shù)交流及產(chǎn)品測(cè)試。最后，趨勢(shì)科技憑借其解決方案最為符合云南無(wú)線電管理機(jī)構(gòu)需求、以及在全國(guó)多個(gè)大型政府單位有豐富安全服務(wù)經(jīng)驗(yàn)的特點(diǎn)，成為本次安全加固項(xiàng)目的實(shí)施服務(wù)商。

圍繞APT威脅構(gòu)建“發(fā)現(xiàn)”和“阻斷”方案

結(jié)合云南無(wú)線電管理機(jī)構(gòu)現(xiàn)有的安全架構(gòu)，趨勢(shì)科技采用了一套從網(wǎng)關(guān)到網(wǎng)絡(luò)的全方位、多層次的APT疫情監(jiān)控及阻斷體系(如圖2所示)。

威脅發(fā)現(xiàn)層：在全網(wǎng)關(guān)鍵邊界部署趨勢(shì)科技威脅發(fā)現(xiàn)設(shè)備TDA，對(duì)網(wǎng)絡(luò)中流竄的數(shù)據(jù)進(jìn)行深度分析，一旦發(fā)現(xiàn)威脅，立刻通過(guò)控制臺(tái)為用戶提供預(yù)警，并配合趨勢(shì)科技EOG服務(wù)對(duì)分布在全省各地的威脅源頭進(jìn)行處理。

威脅阻斷層：為起到實(shí)時(shí)的APT阻斷效果，在全網(wǎng)關(guān)鍵的網(wǎng)絡(luò)邊界橋接處部署趨勢(shì)科技威脅阻斷設(shè)備NVWE。一旦TDA發(fā)現(xiàn)有APT行為出現(xiàn)，立刻聯(lián)動(dòng)NVWE對(duì)APT有害的網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)阻斷，最大限度降低APT的損害。

【圖2：趨勢(shì)科技威脅發(fā)現(xiàn)和阻斷方案】

據(jù)云南無(wú)線電管理機(jī)構(gòu)的安全管理專責(zé)工程師陳工介紹：APT就如疾病一樣，無(wú)法徹底杜絕，能夠做到“提前發(fā)現(xiàn)、快速修復(fù)”就是我們本次項(xiàng)目的目標(biāo)。之所以選擇趨勢(shì)科技作為本次安全項(xiàng)目的合作伙伴，主要看重了趨勢(shì)科技兩方面的優(yōu)勢(shì)。一是趨勢(shì)科技領(lǐng)先于業(yè)界的“云安全”技術(shù)，另一個(gè)則是趨勢(shì)科技提供優(yōu)質(zhì)的原廠高級(jí)服務(wù)。趨勢(shì)科技“云安全”技術(shù)和產(chǎn)品都是全球最領(lǐng)先的，在方案調(diào)研階段及產(chǎn)品測(cè)試階段，就已經(jīng)收到了良好的效果，能夠快速、準(zhǔn)確地發(fā)現(xiàn)來(lái)自外界的可疑APT攻擊并提供簡(jiǎn)單、直接的告警提示。

增強(qiáng)自身免疫力方可遠(yuǎn)離APT攻擊

如今，通過(guò)使用趨勢(shì)科技最新的全方位、多層次的APT疫情監(jiān)控及阻斷體系，云南無(wú)線電管理機(jī)構(gòu)能夠?qū)崟r(shí)發(fā)現(xiàn)并阻斷全網(wǎng)范圍內(nèi)所有的APT威脅事件，并能夠通過(guò)趨勢(shì)科技提供的原廠高級(jí)服務(wù)，快速消除APT威脅對(duì)云南無(wú)線電管理機(jī)構(gòu)的影響。

陳工認(rèn)為：“目前大部分政府單位所使用的網(wǎng)絡(luò)防病毒系統(tǒng)+防火墻方案，根本無(wú)法抵御這些APT的攻擊。必須建立一套全方位、多層次的APT疫情監(jiān)控及阻斷體系，才能保障政府單位的安全運(yùn)作。而趨勢(shì)科技的APT疫情監(jiān)控及阻斷體系，能夠?yàn)檎畣挝粡木W(wǎng)關(guān)到網(wǎng)絡(luò)提供一整套的APT攻擊防護(hù)體系，從而全方位地監(jiān)控到APT威脅在政府單位內(nèi)部的發(fā)展情況，進(jìn)而有效協(xié)助政府單位抵御APT攻擊，為政府單位的工作順利開(kāi)展保駕護(hù)航!”