周婧 刘黎辉 宋原 秦长征

摘要：公司本地运维系统包括综合关口局、城域网、移动通信网、DNS、WAP、短信、OSS云平台等20多个通信网络安全等级定级网元以及相应网管、监控、办公终端。随着系统和网络规模不断扩大，各网元系统的网络与信息安全检测和防护手段薄弱，简单的只有网络边界部署了防火墙。近年来，网络信息安全事件频发，如网络DDoS攻击、网站入侵篡改、僵尸木马主机、加密勒索病毒、用户个人敏感信息泄露等安全事件，都可能会导致系统故障和业务损失，严重的甚至造成业务中断。加强网络安全防护、提高技术手段能力来保障网络安全越来越重要。

关键词：网络与信息安全;防护手段;病毒;安全事件;能力

引言

为有效提升公司网络与信息安全检测和防护能力，提高对网络病毒以及攻击威胁检测分析能力、增强主机安全防护，应对上级业务主管部门基础电信企业网络与信息安全工作考核、应急演练以及其他各项安全检查工作，公司上线通信网络安全防护平台。

网络安全防护平台进行全方位部署，通过威胁主动监测分析安全事件、攻击IP，实时发现主机病毒并进行有效阻断，有效保障网络安全。

1威胁发现-TDA

系统通过获取智能防护网络（SPN）提供的全球C&C黑名单，以及共享的本地C&C黑名单，在网关位置侦测并拦截本地服务器与终端的C&C违规外联活动，阻断其与APT攻击者之间的恶意通讯。提交可疑文件、URL、IP及域對象至沙箱做联动分析。对病毒、木马、蠕虫、后门、加密勒索软件、间谍软件、灰色软件、Rootkits等恶意软件检测，对勒索病毒、挖矿病毒攻击、零日病毒与恶意文件黑客工具及系统应用漏洞检测，联动设备组件包括威胁检测和防御设备、沙盒、终端和服务器，从终端到网络实现已知、未知威胁全方位发现、拦截的功能。

2主机防病毒-DS

对木马程序、后门程序、蠕虫病毒、感染性病毒和漏洞攻击行程的检测与响应。通过预测性机器学习为未知威胁和零日攻击提供增强的恶意软件防护，阻止实施压缩可执行文件并匹配查杀，实现Office嵌入式对象防护，隔离可感染的虚拟机。

3威胁网关-AE

基于应用程序、源 IP 地址、源用户和源区域、指定目标 IP 地址和目标区域等进行访问控制，可以防病毒、木马、蠕虫、僵尸网络等恶意程序，防未知高级恶意程序及C&C违规外联，防加密勒索软件，URL过滤及分类。对漏洞侦测能力强，漏洞响应快，IPS规则全，性能高。

4沙箱-DDAN

定制化沙箱镜像，精确匹配桌面及服务器环境（语言，操作系统，配置，应用等），相对于普通沙箱而言，大大提升针对企业的定向威胁的侦测能力，减少威胁的沙箱逃逸。多重侦测引擎及关联规则可针对多种文件类型及URL提供全面的威胁侦测，不仅限于恶意程序，可以分析所有的文档文件、URL以及exe可执行文件。

5威胁感知运维中心-UAP

XDR联动监控，具备终端安全分析、网络安全分析、本地威胁情报管理及云端威胁情报联动管理能力，具有威胁概览、产品面板、外网威胁、内网威胁功能，支持日志记录、分类日志、日志关联分析及报表。

6结语

通信网络安全平台上线后，对可疑流量和内容进行模拟执行测试，实现威胁流量与协议异常检测;及时发现网络威胁，确认是否存在安全风险。通过监测攻击行为，识别攻击行为功能，实现病毒检测防护、虚拟防火墙、虚拟入侵检测和完整性审计功能等功能，极大地提升了公司安全防护能力。

系统自上线以来，每日可实时监测本地主机2000余台，自主监测发现攻击IP数量38次、处置事件215次，上报安全事件94次，迅速妥善处置各类突发安全事件，有效保障公司网络安全。

参考文献：

[1]中华人民共和国数据安全法

[2]中华人民共和国网络安全法

[3]中国网络安全产业白皮书

[4]信息安全等级保护管理办法