XX联通行业TDA方案模板

XX 联通趋势科技（中国）有限公司电话务热线：800-820-8876服务邮件：S江西联通 XX 联通网络出口防护建议书2 / 24目录第一章. XX 联通网络出口防护背景综述 31.1. XX 联通网络出口现状说明 31.2. XX 联通网络出口威胁分析 4第二章. XX 联通网络出口防护系统设计说明 62.1. XX 联通出口网关防护子系统 62.1.1. XX 联通出口网关防护子系统功能说明 72.1.2. XX 联通出口网关防护子系统部署方式 82.1.3. XX 联通出口网关防护子系统预期效果 92.2. XX 联通骨干接入防护子系统 102.2.1. XX 联通骨干接入防护子系统功能说明 102.2.2. XX 联通骨干接入防护子系统部署方式 172.2.3. XX 联通骨干接入防护子系统预期效果 18第三章. XX 联通网络出口防护系统总体效果预期 18附录：名词解释总表 21江西联通 XX 联通网络出口防护建议书3 / 24第一章. XX 联通网络出口防护背景综述1.1. XX 联通网络出口现状说明中国联合网络通信有限公司 XX 省分公司（以下简称“XX 联通” ）是中国联通在 XX 省内的分支机构，下辖 11 个市分公司、83 个县（市）分公司，服务网络遍布全省每一个角落。现有员工 4000 多名，固定资产原值 77 亿元。近几年来，公司以向用户提供放心、可靠的通信网络为目标，不断加大网络投资力度。2008 年 10 月 15 日，中国联通与中国网通融合成立新联通，全称为中国联合网络通信有限公司，简称中国联通。刚刚完成重组融合的中国联通江西省分公司刚刚完成重组融合的中国联通 XX 省分公司，实现了全业务经营，建立了技术、产品、服务的综合领先优势，是一家可以向客户提供丰富多彩、优质高效服务的宽带与信息服务提供商，经营范围包括移动通信业务、固话业务、宽带业务、互联网接入及应用、数据通信及增值业务等全方位、多层次的综合电信服务。目前已形成了世界风、如意通、新势力、新时空、亲情 1+、116114 电话导航等主要业务和客户品牌。在公司网络规模逐渐壮大，业务模式逐渐丰富的背景下，对于 XX 联通的网络安全建设提出了新的要求，本方案书主要针对 XX 联通网络出口的安全防护提出建议，基于业界领先的趋势科技网络安全解决方案，为 XX 联通日后的安全建设提供参考，最大程度降低恶意威胁可能对 XX 联通造成的影响，使得 XX 联通出于业务应用稳定而提出的对于计算机系统、网络系统、应用系统持续不中断的要求得到有效保证。江西联通 XX 联通网络出口防护建议书4 / 241.2. XX 联通网络出口威胁分析自中国联通与中国网通融合成立新联通（全称为中国联合网络通信有限公司，简称中国联通） ，XX 联通通过利旧建新，构建起通融联通与网络的业务网络，并将通融后的业务网络连入中国联通骨干网络。XX 联通网络组成：1. 骨干由 2 台 NE40E-8 衔接所有地市（原联通业务以及网通业务）的接入；2. 网关架设硬件防火墙、ISA 等访问控制设备出 Internet，提供终端用户（约4000 用户）Internet 访问服务；3. 省骨干网络同时连入中国联通骨干网，进行业务数据交换。完成通融后的 XX 联通网络目前面临的新课题：1. 目前仅完成了路由交换、访问控制等基础网络建设；2. 未对通用协议端口设置过滤手段，如 HTTP 等；3. 尚未建立层次化防护体系，使终端计算机暴露在威胁前沿；4. 未提供终端计算机前置防护手段，使终端用户需要更多的参与日常威胁防护工作；5. 通融网络节点（原网通业务新联通）未设置威胁侦测江西联通 XX 联通网络出口防护建议书5 / 24防护设备，无法侦测或定位内部风险6. 未对通融网络节点间（原网通业务新联通）的数据交换设置过滤手段，如 TCP 等。江西联通 XX 联通网络出口防护建议书6 / 24第二章. XX 联通网络出口防护系统设计说明本章节针对 XX 联通所部署的产品及如何部署、如何管理和所能达到的效果做出详细的说明。趋势科技非常期望能够通过双方密切的合作，在 XX 联通内构建起严密的防护系统，切实提升全网恶意威胁防范水平。综上，趋势科技为 XX 联通设计的威胁防护系统由如下子系统组成： 出口网关防护子系统 骨干接入防护子系统2.1. XX 联通出口网关防护子系统趋势科技建议 XX 联通通过部署趋势科技 web 安全防护设备（以下简称IWSA6000）构建完善、高效的出口网关威胁过滤子系统，提供终端前置防线，为终端提供安全的信息访问，缓解终端压力。趋势科技互联网网关安全设备InterScan Web Security Appliance 趋势科技互联网网关安全设备（简称 IWSA)是一套针对 HTTP/FTP 应用进行安全防护和策略控制的综合性网关解决方案。硬件规格 IWSA 6000可扩展性网络接口 千兆铜口、千兆光口端口数量 4 个铜口或（2 个铜口2 个光口）硬盘 2 x 146GB( RAID1)、热插拨高可用性设备故障检测 是硬盘 热插拨、RAID1处理器 双 2.66G（4 核）链接失败检测 是LAN Bypass(故障直通) 是（铜口、光口均支持）硬件状态检测 是管理内嵌 Web 界面管理 用于单台设备管理控制中心 TMCM 集中管理 可选，建议用于多台设备管理支持在线更新 是自动策略/服务更新 是江西联通 XX 联通网络出口防护建议书7 / 242.1.1. XX 联通出口网关防护子系统功能说明IWSA 能够在一个硬件设备中对 HTTP/FTP 数据流实现如下几大功能： 威胁防护 防病毒 防间谍软件 防网络钓鱼 防 JaveApplet&ActiveX 恶意插件 流量配额管理 恶意 URL 阻止 URL 过滤功能 Web 信誉服务 流量及硬件状态实时动态图形IWSA 不仅具备全面的安全防护功能，同时由于采用多种智能分析与扫描处理技术，在性能表现上优于同类产品，是企业网络安全防护的重要防线。IWSA 支持多种配置运行模式，支持多种未来新的应用系统的设计架构，与趋势科技业界领先的企业安全防护策略(EPS)相结合，扩展了趋势科技关于 Web安全的病毒爆发生命周期管理理念，从而保证用户获取最大的投资回报率。 集成 Web 信誉服务云安全技术：Web 安全网关 IWSA 集成的 Web 信誉服务云安全技术是下一代内容安全防护技术，它与病毒代码比对技术同时为用户提供安全保护，但在防护的效果上云安全技术表现得更动态、更主动和更节省系统资源。趋势科技通过在 Internet 上构建多达几万台的服务器群，实时动态地收集 Internet 上的风险，生成恶意信息数据库。当用户需要访问 Internet 资源时，安全子系统会自动到趋势科技服务器群上针对数据源的安全性进行查询，如果数据安全，则用户就可以正常访问；如果数据风损害清除服务 可选URL 过滤和Applet&ActiveX 安全 是物理/运行参数设备规格 2U 高度 3.4 英寸（8.656 厘米）宽度 17.6 英寸（44.7 厘米）深度 29.79 英寸（75.68 厘米）重量 59 磅（26.76 公斤）运行环境 50 95F（10 35）非运行（存储）环境 -40 149F （-40 65）江西联通 XX 联通网络出口防护建议书8 / 24险很高，则用户的访问就会被自动阻止，实现恶意程序在侵入网络或计算机前就被阻止掉。 综合性的安全管理能力：IWSA 针对 Web 威胁提供综合性的安全管理能力，全面地解决了当前客户环境所面临的复杂的 Web 安全问题，特别是在恶意程序源头对 Web 威胁进行快速阻止； 高性能、高可用性：IWSA 集合趋势科技多年来 Web 安全解决方案的经验与技术，具备高可靠性和高可用性，具备灵活的扩展能力； 管理方便，配置灵活：IWSA 基于策略制定安全措施，管理人员可以灵活地定制个性化的安全规则； 极低的运维成本：IWSA 从整体上对 Web 应用进行了全面的防护，帮助管理人员快速地构建起 Web 防线，从根本上扭转 Web 安全防护的被动局面，提高了管理效率，降低了运维成本。XX 联通出口网关防护子系统部署方式IWSA6000 采用透明交接模式接入 XX 联通网络 Internet 出口。对于进出的HTTP 流量进行过滤，侦测双向数据交换中的恶意威胁。将 IWSA6000 的 EXT 口与 ISA 的内网口相连、INT 口与 NE40E-8 的外网口相连，达到过滤网络出入口处 HTTP 流量中的恶意代码的目的。同时，将IWSA6000 的 MGT 管理口与相关交换机相连，通过另外配置的管理 IP 进行管理、维护，并完成组件更新。江西联通 XX 联通网络出口防护建议书9 / 24I N T E X TM G R1. 将 IWSA 的 Internal 口与核心交换机 NE40E-8 的外网口相连接2. 将 IWSA 的 External 口与 ISA 的内网口相连接3. 将 IWSA 的 MGT 管理口与相关交换机相连，并配置管理 IP由于江西联网网络出口处由 2 条并行线路构成，建议用户设置 2 台IWSA6000 分别保护 2 条线路。2.1.3. XX 联通出口网关防护子系统预期效果通过部署该子系统，使 XX 联通具备如下威胁防护能力： 具备在传播途径上基于 HTTP 的实时防护能力； 具备基于 Web 应用的实时病毒防护能力，对间谍软件、网络钓鱼等新型威胁进行防护 提供终端计算机额外的前置防护江西联通 XX 联通网络出口防护建议书10 / 24 侦测并清除终端用户 Internet 访问过程中出现的恶意威胁 防止内部终端的恶意外拨，杜绝带宽无效开销 防止网站漏洞攻击 防止钓鱼攻击 过滤 HTTP 协议中的威胁攻击2.2. XX 联通骨干接入防护子系统趋势科技建议 XX 联通在省骨干网络连接中国联通骨干网络的通融节点上部署趋势科技威胁发现设备（以下简称 TDA） 。通过部署 TDA 构建基于协议分析的威胁发现系统，提供对于新生/未知威胁的识别能力，快速定位新生威胁源头，并能够对来自 XX 联通向中国联通的恶意威胁传播流量进行阻止，同时能够对于内部感染源、传播源进行处理。趋势科技威胁发现设备 TrendMicro Threat Discovery Appliance（以下简称 TDA）是一套作用于 2-7 层协议的威胁侦测与定位设备，通过与趋势科技威胁监控中心的联动，能够提供用户全网威胁定位，并予以报告化。指标 威胁发现设备 6000性能 最大吞吐量 800Mbps最高并发连接 100,000可连接性 监听端口 7 x Gigabit 以太网 10/100/1000 铜缆管理端口 1 x Gigabit 以太网 10/100/1000 铜缆硬盘 2X 250GB 硬盘,支持 RAID 1 热插拔命令行管理接口 1 x RS232运行模式 SPAN 端口监控 是高可用性 处理器 2 x 四核 Xeon 处理器 内存 8G冗余电源 是设备故障检测 是硬件状态监控 是物理/运行参数 设备规格 2U 机架 高度 3.4 英寸宽度 17.5 英寸厚度 26.8 英寸江西联通 XX 联通网络出口防护建议书11 / 242.2.1. XX 联通骨干接入防护子系统功能说明 对由恶意威胁造成的数据丢失风险的响应速度更快 清晰的安全状态可见性所带来的主动安全架构规划 尽早发现新威胁并做出响应，从而节省了损害清除费用 破坏性应用程序检测，从而节省网络资源 灵活的离线部署将网络中断降到最低 个性化的威胁管理经验带来更高的客户满意度 在网络探测恶意威胁 探测未知和已知恶意威胁 发现恶意威胁的信息窃取 探测网络和电子邮件攻击网络钓鱼和网络漏洞利用 探测网络中断行为 中断性应用P2P、即时讯息等管理 基于网络的集中管理控制台 是实时更新 是SSH 安全管理控制台 是串口管理控制台 是江西联通 XX 联通网络出口防护建议书12 / 24 中断性服务SMTP 中继、流氓 DNS 等 网络内容检测技术 2-7 层协议检测，80 种以上协议 全面的应用支持（超过 120 种应用） 可疑活动关联性 文档内容扫描 联动云安全服务 与 Internet 云安全数据库链接 对数据进行根源分析&关联性 对协议和应用进行名誉分析 恶意事件管理和汇报 面向客户的恶意事件分析 每日管理报告事故响应 执行报告整体安全情况 旁路部署 通过镜像数据进行分析，不会中断服务 人性化的 Web 管理界面在 Web 管理界面的 Summary 中可以清晰的体现出当前内网的威胁等级、各种安全威胁事件的计数等信息，并且可以根据安全威胁的种类以及外部、内部攻击分类。 可以提供对各种即时通讯软件的扫描江西联通 XX 联通网络出口防护建议书13 / 24 可以提供对各种 P2P 软件的监测 可以提供对各种流媒体数据的监测 TDA 内建 24 小时 report 内容，可以按照协议、侦测种类分类显示各类已知、未知安全隐患江西联通 XX 联通网络出口防护建议书14 / 24 趋势科技 SecureCloud 提供的每日管理报表。通过报表可以清晰了解当前存在的安全隐患、感染客户机、以及提供处理建议趋势科技 TDA 威胁管理平台提供的每日管理报表。通过报表可以清晰了解当前存在的安全隐患、感染客户机、以及提供处理建议日报表: 提供每日安全事件处理资讯 统计 TDA 每日的日志的危险程度 , 恶意程序类型,通信协议分布 经由 TMSP 定义出高中低 危险等级事件 前 10 名已知病毒与客户端统计 江西联通 XX 联通网络出口防护建议书15 / 24江西联通 XX 联通网络出口防护建议书16 / 24 周/月报表: 提供管理性数据,加强资安防护管理 总体风险等级,基于信息丢失,系统风险,网路中断,感染风险等 4 个指标进行评比 感染原统计 威胁统计 潜在风险江西联通 XX 联通网络出口防护建议书17 / 24江西联通 XX 联通网络出口防护建议书18 / 24江西联通 XX 联通网络出口防护建议书19 / 24江西联通 XX 联通网络出口防护建议书20 / 242.2.2. XX 联通骨干接入防护子系统部署方式TDA 采用旁路镜像侦听方式接入 XX 联通网络，通过设置 NE40E-8 的镜像配置，将 NE40E-8 与中国联通相连的 EXT 口的数据镜像到一本地接口，然后将该本地接口与 TDA 的镜像口相连。设备会实时对双向流量进行检测，过滤其中的恶意威胁。同时，将 TDA 的 MGT 管理口与相关交换机相连，通过另外配置的管理 IP 进行管理、维护，并完成规则更新。镜像口M G R1. 将 TDA 的镜像口与核心交换机 NE40E-8 的镜像口相连接2. 将 TDA 的 MGT 管理口与相关交换机相连，并配置管理 IP由于江西联网网络出口处由 2 条并行线路构成，建议用户设置 2 台 TDA 分别保护 2 条线路。江西联通 XX 联通网络出口防护建议书21 / 242.2.3. XX 联通骨干接入防护子系统预期效果通过部署该子系统，使 XX 联通具备如下威胁防护能力： 具备对于新生威胁的识别能力； 具备对于未知威胁的识别能力； 具备基于协议的威胁分析能力； 具备对于被识别的威胁进行源地址和目标地址的定位能力； 侦测、定位、终端 XX 联通至中国联通的威胁流量 提供对于 XX 联通内部威胁源的处理手段 对于来自 XX 联通向中国联通的威胁传播能够做到： 定位威胁源 阻断威胁数据流 具备对于已被识别的威胁的处理能力，给予告警和处理方法与建议。第三章. XX 联通网络出口防护系统总体效果预期通过在网络出口处部署如上所述的防护系统，希望达到如下预期效果： 提供终端整体防护以及威胁侦测 防止外部威胁侵入 防止内部感染源、传播源占用网络资源 提供骨干链路整体防护以及威胁侦测 防止 XX 联通内部威胁传入中国联通主干链路 定位 XX 联通内部感染源、传播源 对于已经定位的内部感染源、传播源提供有效的处理办法和建议从如下性能上进行整体提升。1-完整性 从终端，到应用系统，邮件系统，到 Web 互联网关，甚至 ISO2-7层多达 80 多种协议的侦测。彻底阻断的恶意威胁可能入侵和传播江西联通 XX 联通网络出口防护建议书22 / 24的途径。2-有效性 多层次安全解决方案彻底杜绝了恶意威胁重复感染，恶意威胁源头无法定位的弊端。使得 XX 联通在恶意威胁防护系统有了质的飞跃。3-智能性 利用趋势科技未知威胁侦测系统 TDA,能够 7*24 小时主动发现和定位 XX 联通网络环境中的未知和已知的威胁攻击。彻底解决了传统防病毒体系无法有效防护新的未知威胁。4-可靠性 趋势科技能够为 XX 联通提供 7*24 小时恶意威胁防护系统主动监控，确保整个恶意威胁系统不间断的进行运作5-稳定性 考虑到 XX 联通的计算机可用资源率，内部系统应用和网络架构，趋势科技提出的多层次安全解决方案能够最大程度的减少对 XX联通各种资源的消耗，并且确保整个解决方案的兼容性。6-管理性 趋势科技多层次安全解决方案能够单点登陆(SSO),进行全局的管理，能够对终端，服务器，邮件安全的设定，Web 网关安全的设定和网络层策略设定，日志查询，并且能够统一生成全局报表。进行横向和纵向的安全情况分析，得出相应的加强措施。7-扩展性 趋势科技多层次安全解决方案能够连接趋势科技云安全平台，利用趋势科技全球云安全技术平台的海量安全数据，彻底帮助 XX联通提升现有的安全级别。8-节省人力资源多层次的安全防护系统，因为具有以上特性，故能够让 XX 联通完全摆脱先前的被动式的防护，最大程度的减少 XX 联通之前的防病毒系统需要大量人力资源去维护，去终端查杀病毒等等繁琐的工作，提升 XX 联通安全项目组人均生产力。也侧面提升了所有终端用户的人均生产力。江西联通 XX 联通网络出口防护建议书23 / 24附录：名词解释总表术语. 中文名字 英文名字 备注AVE 反病毒专家 Anti-virus Expert BDC 备份域控制器 Backup Domain Controller BPR 临时特征码Bandage Pattern Release为单个样本特殊准备的快速特征码CPR 控制特征码文件 Control Pattern Release是趋势科技防毒数据库的 pre-release 版本。目的在于病毒威胁与发作时，快速提供电脑病毒防护和紧急修正档。此版本只完成基本测试，尚未经过趋势科技完整的品质测试流程，达到产品上市的标准。CSI 客户满意度指数Customer Satisfaction IndexIMSS 防毒墙-邮件安全版InterScan Messaging Security SuiteKPI 关键业绩指标Key Performance IndicatorMIS 信息管理系统Management Information Systems MOC 监测响应中心Monitoring Operation Center提供 7*24 小时监测和响应的中心，由趋势科技自身或是授权合作伙伴运营。MOE MOC 监测工程师Monitoring Operation Engineer监控服务工程师MSAR 恶意软件安全分析报告 Antiviru