|
现状分析
中国石油网络由总部、11个区域中心和90多个地区公司组成,总部由集团公司网络、股份公司网络、设计院三个部分组成。
目前中国石油网络在全网范围内都部署了某国外厂家的网络版杀毒软件,但仍然存在下面几个问题:
1、防毒手段单一:传统杀毒引擎不能处理网络数据,无法查获网络数据流中包含的病毒,传统杀毒软件对未知病毒和未知攻击无能为力。
2、不能汇总和分析病毒日志:该国外网络版杀毒产品的日志分析系统为英文,且为固有格式,病毒日志不能快速有效地统一汇总到网络管理人员处,无法提供针对整个中国石油网络的病毒日志分析系统。
3、无视全网病毒和安全事件趋势:该国外杀毒软件缺少对全网用户的病毒感染、违反安全策略行为、网络中的异常行为和攻击行为进行总体分析统计的能力,无法总览全网,从而及时发现病毒感染的薄弱环节、安全威胁形势、安全漏洞情况、异常行为源头。
需求分析
根据上面的分析,中国石油迫切需要构建完备、协调、高效的预警体系,帮助网络管理人员做到以下几点:
对中国石油网络中的病毒状况进行统一的病毒监测,及时汇总病毒信息,构建完备、协调、高效的病毒预警体系。
结合实时数据流监测,并通过对网络中目前总部和区域分公司所在网络范围内统一部署的防病毒系统日志的统一收集、汇总和分析,形成对中国石油网络中的病毒情况的总体报告和趋势分析,为宏观决策提供依据。
对网络中出现的病毒情况(新病毒出现、病毒大规模爆发等)进行统一的病毒报警,并具有多种病毒预警方式(声音提示、电子邮件、短信等),并能够进行快速应急响应。
对总部和区域分公司全网范围内统一部署的防病毒系统的代码、引擎和病毒库等实现与厂商同步的升级管理。
解决方案
瑞星公司建议使用三级病毒集中预警管理体系(两级部署)来进行监控和管理,具体:
在中国石油的网络信息中心建立一级病毒集中预警管理中心(总中心),同时在集团、股份、设计院三个网络核心交换机上部署三台千兆病毒实时数据流监测探针和三台预警分中心。
在区域分公司中网络中建立二级防病毒监控管理中心,各级中心主要负责监控和管理本级网络防病毒情况,同时上级中心可以监控管理下级中心的病毒情况。
中国石油网络部署示意拓扑
部署后的效果
整个系统经过部署后,对中石油网络的安全稳定运行起到了至关重要的作用,主要表现在:
1、病毒预警
实时掌控全网安全状况:通过总中心管理全网各分中心,总览全网的安全状况,可以清楚了解汇总各区域的病毒情况;对于病毒安全级别较高的区域,只需点击该区域,便可查看该区域病毒的详细情况。
掌握病毒发展趋势预测:根据全网的病毒历史数据,结合智能分析模型,预测各地病毒威胁的严重程度,提前调整防策略。同时对于每个区域每一天病毒情况进行分析,了解各个区域的实时的病毒爆发和感染的情况,生成该区域当前的病毒趋势预测,对应当前趋势预测表便可以分析出每个区域的病毒情况,是否处于安全区内。
2、挂马病毒监测
瑞星网络安全预警系统通过病毒探针监测网络内部终端访问互联网站的时间,对网站的网页中存在挂马病毒信息的进行汇总,并且记录存在挂马的网站名称。
3、病毒传播检测
网络传播病毒源:通过防病毒探针分析镜像口的每一条记录,准确定位病毒传播源地址和目的地址、病毒名称、使用的协议、时间,并且生成病毒日志上报到防毒系统中心。
病毒活跃度检测:通过病毒探针和网络版中心上报日志,瑞星网络安全预警系统对收集到的病毒信息进行分类汇总,对发作范围较广和比较频繁的病毒进行报警。通过这些信息,管理员能够及时了解网络内病毒感染的总体情况。
|
|