隨著上海檢驗檢疫局信息化應用水平的整體提升和業務系統的融合,客戶端和服務器的數量在近幾年中大幅增長,目前該局整個IT環境已經擁有近3000臺終端和由上百臺服務器組成的數據中心。該局所有的下屬分支機構、辦事處、口岸查驗點等都通過專線的方式連接到局本部的數據中心。為切實保證該局信息化業務系統能夠安全、持續、高效地運行,穩步推進和加大網絡信息安全的保障力度,該局自2009年底起開始啟用趨勢科技TDA(威脅發現系統)產品,并在2010年上海世博會期間利用TDA技術增強對內網終端漏洞與威脅的實時監管。
據該局信息中心的技術人員介紹:“為不斷提高網絡系統的安全防護能力,抵御推陳出新的網絡安全攻擊,信息中心在所有網絡專線的接入端增設了防火墻與IPS等安全控制設備。但由于網絡故障往往是客戶端病毒的交叉感染所致,加之部分員工的安全責任意識不到位,病毒很容易通過這些途徑入侵內網,致使傳統的安全設備無法全面確保網絡的信息安全。尤其是ARP蠕蟲病毒及其變種、ARP黑客攻擊等一并嚴重威脅著上海檢驗檢疫局及各分支機構網絡安全,此類病毒感染源大多較為活躍且安全攻擊行為較為分散,這不僅增加了該局尋找和查殺病源的難度,而且嚴重影響了上海檢驗檢疫業務的正常開展。”
針對這些威脅,為避免突發事件可能造成的嚴重影響和巨大損失,進一步確保網絡安全故障得到及時有效的處理,該局更需要一個較為全面的網絡安全檢測產品,以便增強對可疑威脅的檢測能力,還希望能夠通過病毒掃描分析可疑事件的內容,達到深層次的威脅檢測,獲得完備的安全防護解決方案。
當前,傳統殺毒軟件最大的問題就是“被動防護”。也就是說,殺毒軟件的病毒庫更新前,對于新的病毒或是病毒變種基本沒有查殺能力。同時,也有很多網絡版殺毒軟件在發現病毒無法清除時,缺少相應的應急與防護能力。因此,抑制新病毒特別是蠕蟲類病毒的爆發存在一定難度。對此,該局專家在對網絡安全市場上多個知名企業生產的NIDS(即網絡入侵檢測系統)產品和防毒軟件進行評估后認為:“安全設備的高防護性能是上海檢驗檢疫局的重要需求。以上海檢驗檢疫局的實際情況等多項因素為評估標準,趨勢科技的TDA和OfficeScan組合在實現與終端的防毒軟件的動態聯動,主動發現威脅并提前告警,快速調用和執行防毒軟件的配置策略等方面具備一定的優勢,使技術人員能夠更有針對性地開展積極的防御工作。”
該局信息中心技術人員告訴筆者:“從2009年底至今,通過使用趨勢科技的TDA產品,已經逐步改善了部分網絡應用的穩定性,由惡意軟件所引發的困擾也有所降低。因此,上海檢驗檢疫局分別在外高橋檢驗檢疫局等下屬分支機構的網絡中部署了TDA,用于對移動終端的威脅監測,及時升級系統漏洞補丁,為未安裝防毒軟件、防毒代碼過期的設備進行更新。”據悉,此舉在上海世博會期間發揮了實效,通過發現造成網絡中斷、消耗大量帶寬或未經授權應用程序和服務程序,阻斷了來自外網的病毒干擾,在滿足世博會大量業務安全保障需求的同時確保了世博會物資檢驗檢疫通關系統的運轉效率。“根據TDA提供的智能策略建議,通過與趨勢科技云安全產品OfficeScan的聯合使用,外高橋檢驗檢疫局在部署TDA的一個月里,日志報表中記錄的網絡高危行為和病毒數量統計由"5位數"下降到了"3位數"以內。”上海檢驗檢疫局信息中心有關人士表示。