SYGATE安全策略保证系统某电信运营商成功案例

该用户是基础电信运营商省级分支机构，经营的电信业务种类包括：移动通信（GSM和 CDMA）、本地电话、国内国际长途、数据通信、IP电话、互联网、无线寻呼及网络元素出租等。公司拥有众多的市、县两级下属分支机构，这些分支机构远程用户需要访问公司总部网络。

用 户 需 求

用户内部网络连续两周出现间歇性瘫痪的症状，平均每天瘫痪4次左右，每次时间长达几个小时。症状较轻时，网络尚可联通，但网速异常慢，让人无法忍受。症状较重时，则网络彻底瘫痪，子网之间均不可达，且同一子网内丢包率很高。

用户内部细分了40多个VLAN，上面仅节选了其中5个，简单统计就不难发现在10，12，16，18，20，22这几个时间段流量出现异常，以上时间段间隔很有规律，流量统计在600M— 1G范围以内。

因为这次网络瘫痪时间长达两周，严重影响到用户业务网和办公网的正常运行，牵涉众多部门。所以关注领导的层级越来越高。分公司从各部门抽调骨干人员组成了应急事件响应小组，且下达命令各部门须无条件配合，要求在3天之内找出原因并彻底解决网络故障。

技 术 路 线

网络运维部在前二周内通过排查，基本上排除了如下原因：

1. 在上述时间段，并没有海量业务数据需要传送

2. 网络会自动恢复稳定，内部路由表无可疑之处，路由追踪也没有出现过循环，排除三层路由问题

3. 瘫痪前后，网络拓扑结构没有变动，不太可能是交换机循环。断开部分交换机连接，强制Spanning Tree重新生成，网络状况依然没有改善，排除二层交换机问题

4. OA、计费、代理服务器，防火墙，路由等设备工作正常，且CPU负载不高，排除硬件性能问题

5. 升级并检查网络设备的IOS版本，防止针对CISCO漏洞的拒绝服务攻击，网络状况依然没有改善

6. 因全网面积瘫痪，排除某块网卡或设备故障给网络带来的负面影响

7. 发现SQL蠕虫，强制给所有的MS SQL2K打补丁，并卸载与业务无关的SQL数据库，问题还是未能解决

SYGATE 的解决方案

用户尝试了众多厂商方案没有达到预期的效果，最后通过有类似经历的用户了解到Sygate。Sygate在最后三天开始介入。

所有主流交换机厂商都选择Sygate来解决网络端点引发的问题，例如蠕虫或者疯狂下载引起的网络流量到达600M时，就到达了一个警戒阀值。绝大多数千兆交换机在超过该临界值后都会出现涌堵和瘫痪的情况。所以当Sygate工程师看过流量采样图后，基本确认是蠕虫惹的祸。

过 程

该用户在实施了SYGATE 安全策略保证系统之后，在很短时间内控制了多种病毒疫在网内的蔓延，并很经济地建立起一套双保险的补丁分发系统，和自动加固系统。

用户经历这次惨痛的教训，真正建立起一个应急事件的快速响应机制。从积极的意义上来讲，用户仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络。第一天因为Sygate客户端有HIDS模块，能识别并阻断常见的网络型病毒与蠕虫。所以与用户协商在流量异常的VLAN中分别部署2到3个Sygate客户端，在整个分公司内覆盖50个点，形成一个分布式IDS的架构。很快在中央管理服务器上，就接受到客户端递交的大量入侵检测的事件日志。排名前几位的有冲击波，震荡波，五毒虫，NetSky，Mydoom等。

利用Sygate报表系统生成Top 20个攻击源的报告，安排人手现场排查。排查结果令人震惊。例如在营业终端网段，几乎所有的机器都感染了五毒虫。五毒虫在每台机器上至少复制了1000多个副本，即使利用专杀工具全盘杀毒至少也要30分钟。

第二天

根据Sygate实验室的分析，即使一到两只蠕虫，在疯狂发包的情况下，都能够瘫痪桌面交换机乃至楼层交换机。由于全网统一杀毒非常困难，且逐个端点杀毒的时间太长，采用病毒治理的方法不可能在剩余的两天时间内完成领导的要求。于是Sygate建议分两步走，首先在网络端点上对病毒进行隔离，杜绝其对网络的冲击。其次再谋求根除病毒，并修复系统漏洞。

由于Sygate客户端有主机防火墙的模块。利用该模块我们可以做应用程序控制，以及连接控制。Sygate系统还有自学习的能力，它能够自动发现网络中所有的应用程序。利用这两个功能，我们在中控台上轻松制定出一个网络程序黑名单，将所有学习回来的蠕虫及病毒列入其中。黑名单中的程序将失去访问网络的权限。这样即使安装有Sygate的网络节点感染了上述病毒，这些病毒也被隔离在本地系统之上，无法扩散和影响网络。

有意思的是，五毒虫病毒包含大量与常见进程同名的二进制文件，例如IEXPLORE.EXE，NetMeeting.exe，COMMAND.EXE等。这些进程企图混淆视听，逃避安全方案中黑名单的制裁。Sygate特有的应用程序指纹自动生成功能，帮助用户死死锁定恶意程序，而不影响正常进程的使用。

同时我们还配置了规则，封闭了上述病毒使用到的一些端口。这个规则配合HIDS模块，可以起到双保险的作用，防止没有感染的终端被病毒入侵。

随后，应急响应小组以各种方式动员用户安装sygate客户端，在随后的两天时间里，很快部署了600多个节点，覆盖了网络中的所有的终端。网络最终恢复到稳定的状态。

第三天

最后一天，我们利用Sygate系统进行统计分析，总结事故的直接原因：

1. 补丁缺失严重，未打关键补丁的机器比例高大65%。例如，财务办公区所有Win2000__仅打了SP3.机器买回来后，系统就再也没有更新过。

2. 不能上互联网的区域反而成了重灾区。例如计费网和OA服务器区。因为不能连接互联网，所以安全意识疏忽，系统也疏于升级。

3. 很多笔记本终端上收集到多个IP，原来他们在连接到内网的同时，还使用CDMA连接到互联网。因为CDMA的使用对于部分用户来说是免费的，这样导致交叉感染。

4. 大量的机器使用空口令，为口令蠕虫大开方便之门

最后增加了如下规则

1. 在内部架设SUS服务器，设定规则，所有Sygate客户端将重定向到内部SUS服务器，自动升级补丁

2. 强制检查关键补丁，如果关键补丁缺失，开启IE，自动连接到内部安全网站的相关页面，帮助用户了解问题，并提供下载链接

3. 一旦Sygate客户端检查到重大病毒进程在运行，自动分发病毒专杀工具到用户主机。

4. 给笔记本用户设置两套自适应规则，当在内网时，禁止其使用CDMA拨号适配器

5. 启用了强口令，系统文件保护，禁止匿名访问等一系列系统加固策略

成 果

该用户在实施了SYGATE 安全策略保证系统之后，在很短时间内控制了多种病毒疫在网内的蔓延，并很经济地建立起一套双保险的补丁分发系统，和自动加固系统。 用户经历这次惨痛的教训，真正建立起一个应急事件的快速响应机制。从积极的意义上来讲，用户仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络。