現(xiàn)狀分析
中國石油網(wǎng)絡(luò)由總部、11個區(qū)域中心和90多個地區(qū)公司組成,總部由集團公司網(wǎng)絡(luò)、股份公司網(wǎng)絡(luò)、設(shè)計院三個部分組成。
目前中國石油網(wǎng)絡(luò)在全網(wǎng)范圍內(nèi)都部署了某國外廠家的網(wǎng)絡(luò)版殺毒軟件,但仍然存在下面幾個問題:
1、防毒手段單一:傳統(tǒng)殺毒引擎不能處理網(wǎng)絡(luò)數(shù)據(jù),無法查獲網(wǎng)絡(luò)數(shù)據(jù)流中包含的病毒,傳統(tǒng)殺毒軟件對未知病毒和未知攻擊無能為力。
2、不能匯總和分析病毒日志:該國外網(wǎng)絡(luò)版殺毒產(chǎn)品的日志分析系統(tǒng)為英文,且為固有格式,病毒日志不能快速有效地統(tǒng)一匯總到網(wǎng)絡(luò)管理人員處,無法提供針對整個中國石油網(wǎng)絡(luò)的病毒日志分析系統(tǒng)。
3、無視全網(wǎng)病毒和安全事件趨勢:該國外殺毒軟件缺少對全網(wǎng)用戶的病毒感染、違反安全策略行為、網(wǎng)絡(luò)中的異常行為和攻擊行為進行總體分析統(tǒng)計的能力,無法總覽全網(wǎng),從而及時發(fā)現(xiàn)病毒感染的薄弱環(huán)節(jié)、安全威脅形勢、安全漏洞情況、異常行為源頭。
需求分析
根據(jù)上面的分析,中國石油迫切需要構(gòu)建完備、協(xié)調(diào)、高效的預警體系,幫助網(wǎng)絡(luò)管理人員做到以下幾點:
對中國石油網(wǎng)絡(luò)中的病毒狀況進行統(tǒng)一的病毒監(jiān)測,及時匯總病毒信息,構(gòu)建完備、協(xié)調(diào)、高效的病毒預警體系。
結(jié)合實時數(shù)據(jù)流監(jiān)測,并通過對網(wǎng)絡(luò)中目前總部和區(qū)域分公司所在網(wǎng)絡(luò)范圍內(nèi)統(tǒng)一部署的防病毒系統(tǒng)日志的統(tǒng)一收集、匯總和分析,形成對中國石油網(wǎng)絡(luò)中的病毒情況的總體報告和趨勢分析,為宏觀決策提供依據(jù)。
對網(wǎng)絡(luò)中出現(xiàn)的病毒情況(新病毒出現(xiàn)、病毒大規(guī)模爆發(fā)等)進行統(tǒng)一的病毒報警,并具有多種病毒預警方式(聲音提示、電子郵件、短信等),并能夠進行快速應急響應。
對總部和區(qū)域分公司全網(wǎng)范圍內(nèi)統(tǒng)一部署的防病毒系統(tǒng)的代碼、引擎和病毒庫等實現(xiàn)與廠商同步的升級管理。
解決方案
瑞星公司建議使用三級病毒集中預警管理體系(兩級部署)來進行監(jiān)控和管理,具體:
在中國石油的網(wǎng)絡(luò)信息中心建立一級病毒集中預警管理中心(總中心),同時在集團、股份、設(shè)計院三個網(wǎng)絡(luò)核心交換機上部署三臺千兆病毒實時數(shù)據(jù)流監(jiān)測探針和三臺預警分中心。
在區(qū)域分公司中網(wǎng)絡(luò)中建立二級防病毒監(jiān)控管理中心,各級中心主要負責監(jiān)控和管理本級網(wǎng)絡(luò)防病毒情況,同時上級中心可以監(jiān)控管理下級中心的病毒情況。
中國石油網(wǎng)絡(luò)部署示意拓撲
部署后的效果
整個系統(tǒng)經(jīng)過部署后,對中石油網(wǎng)絡(luò)的安全穩(wěn)定運行起到了至關(guān)重要的作用,主要表現(xiàn)在:
1、病毒預警
實時掌控全網(wǎng)安全狀況:通過總中心管理全網(wǎng)各分中心,總覽全網(wǎng)的安全狀況,可以清楚了解匯總各區(qū)域的病毒情況;對于病毒安全級別較高的區(qū)域,只需點擊該區(qū)域,便可查看該區(qū)域病毒的詳細情況。
掌握病毒發(fā)展趨勢預測:根據(jù)全網(wǎng)的病毒歷史數(shù)據(jù),結(jié)合智能分析模型,預測各地病毒威脅的嚴重程度,提前調(diào)整防策略。同時對于每個區(qū)域每一天病毒情況進行分析,了解各個區(qū)域的實時的病毒爆發(fā)和感染的情況,生成該區(qū)域當前的病毒趨勢預測,對應當前趨勢預測表便可以分析出每個區(qū)域的病毒情況,是否處于安全區(qū)內(nèi)。
2、掛馬病毒監(jiān)測
瑞星網(wǎng)絡(luò)安全預警系統(tǒng)通過病毒探針監(jiān)測網(wǎng)絡(luò)內(nèi)部終端訪問互聯(lián)網(wǎng)站的時間,對網(wǎng)站的網(wǎng)頁中存在掛馬病毒信息的進行匯總,并且記錄存在掛馬的網(wǎng)站名稱。
3、病毒傳播檢測
網(wǎng)絡(luò)傳播病毒源:通過防病毒探針分析鏡像口的每一條記錄,準確定位病毒傳播源地址和目的地址、病毒名稱、使用的協(xié)議、時間,并且生成病毒日志上報到防毒系統(tǒng)中心。
病毒活躍度檢測:通過病毒探針和網(wǎng)絡(luò)版中心上報日志,瑞星網(wǎng)絡(luò)安全預警系統(tǒng)對收集到的病毒信息進行分類匯總,對發(fā)作范圍較廣和比較頻繁的病毒進行報警。通過這些信息,管理員能夠及時了解網(wǎng)絡(luò)內(nèi)病毒感染的總體情況。