背景与需求

中国移动省公司CMNET现状说明：

• 核心层：主要是省网骨干，负责本省CMNET的汇聚，以及省际之间的互联
• 汇聚层：通常是本省的各地市的汇聚
• 接入层：主要是本地市的核心接入，由于中国移动核心的业务系统、信息化系统、支撑系统等都是放在省公司，因此通常省会城市负责这些系统接入和承载；除此之外，本地市的用户也是通过接入层接入到CMNET；由于各省情况不一样，且接入层比较复杂，接入层的接入设备也比较混杂，但总的来说，下接系统和用户都会通过核心的接入层设备与其它地市、其它省以及运营商进行通信

威胁及攻击路径分析：

CMNET的场景主要是防护来自互联网以及其它地市的APT攻击和威胁，包括但不限于Web网站入侵、远程溢出植入等网络渗透攻击，Web后门控制、僵木儒感染传播等各类远程控制行为。

威胁和攻击路径分析如下：

• 攻击威胁会基于省会城市的本地化系统接入和承载，通过接入层交换机攻击所在省会城市的各下接系统。因该路径与各地市互联互通的特性，当出现携带“深海之蓝”之类远程溢出漏洞利用模块的蠕虫攻击时，影响面将非常巨大
• 攻击威胁从接入层的某地市引入，通过汇聚层向接入层其他地市的下接系统发起攻击，导致攻击路径出现在本省各地市互联网用户之间。该威胁路径上容易出现Web网站入侵、弱口令攻击等各种网络渗透攻击，一旦被攻击成功则通过木马后门、Web后门等手段进行远程非法控制
• 外省互联网用户经核心-汇聚-接入层攻击省会城市的下接系统。该威胁路径由于经过多层的网络结构，所以其面临的安全威胁与上一条攻击路径类似，但一般是未知漏洞攻击、组合攻击等攻击形式出现

解决方案

1、部署方式一：单一设备部署

• 在省会所在城市的接入层交换机旁路部署APT检测设备，负责检测经过的网络流量，可对来自互联网和其它地市的APT攻击与威胁流量进行监控和分析

2、部署方式二：分布式部署

• 在省会所在城市的接入层交换机旁路部署APT检测设备，负责检测经过的网络流量。检测定位省会所在城市内的攻击和其他地市的攻击
• 本省所在城市的接入层交换机旁路部署APT检测设备，负责检测经过的网络流量。检测、定位本市内的发起对省会城市下接的系统的攻击行为
• 在省会所在城市的接入层交换机部署APT监控中心设备，负责汇总各地市的APT检测设备告警数据，综合分析攻击来源，监控全省APT攻击态势

以中国移动12580系统为例介绍APT系统的运用场景，其他数据业务系统（SMS、MMS、CRBT等系统类似）：

一、划分了安全域的12580系统

背景与需求

12580系统现状说明：

• 安全域：根据中国移动通信集团的要求，需要对数据业务系统进行安全域划分和边界整合，通常是通过域间防火墙策略来控制数据的访问
• 核心生产区：放置12580的核心业务服务器和数据库，不允许其它域直接访问数据库，其他特定域只能通过限定策略访问对应的业务服务器
• 内部互联接口区：通常放置外部接口机，该域只允许中国移动的其它业务相关系统进行互相调用和访问，其他系统不能直接访问核心生产区；其他系统如BOSS系统和12580系统之间，在对端BOSS侧有防火墙，本端根据各省的情况可能也部署有防火墙
• 互联网接口区：放置WEB服务器，通常是12580门户，该区域允许互联网用户访问12580门户
• 业务用户区：鉴于12580系统的特殊性，需要人工座席接听和处理用户的呼叫业务以及进行后台业务处理，该区域仅能访问特定区域的特定服务器
• 运维用户区：原则上运维用户只能通过支撑系统接入内部互联区进行运维，但大多数情况本系统中都有运维接口，因此也有单独划分运维用户区来进行运维的情况，运维接入用户可能是厂家维护人员，也可能是中国移动的运维人员

威胁及攻击路径分析：

该场景主要是防护来自互联网、其他系统、以及本系统内部（已经被攻陷成为跳板的资产主机或内部不可信人员的攻击）的APT攻击和威胁。具体威胁形式包括但不限于Web网站入侵、远程溢出植入等网络渗透攻击，Web后门控制、僵木儒感染传播等各类远程控制行为

威胁和攻击路径分析如下：

• 攻击威胁通过相互调用和访问的BOSS/短信中心/彩铃等移动内部业务系统，影响内部互联接口区的资产。该攻击路径主要面临的是远程溢出漏洞植入攻击、弱口令植入攻击等内网渗透攻击威胁
• 攻击威胁通过互联网接口区暴露在互联网的服务端口对互联网接口区内的业务主机进行攻击，所以该攻击路径主要面临的是来之互联网的Web网站攻击、未知漏洞攻击等网络植入攻击威胁
• 攻击威胁通过非法控制互联网接口区和内部互联接口区的终端资产，以此为跳板攻击核心生产区。该攻击路径主要面临Web网站攻击、未知漏洞攻击、弱口令植入攻击等各种内网渗透的组合攻击手段
• 攻击威胁通过鱼叉式钓鱼攻击、水坑攻击、升级文件捆绑攻击、U盘摆渡攻击等各种典型的APT攻击方式在业务用户区和运维用户区建立立足点，以此为跳板向核心生产区等其他业务区发起内网渗透攻击

解决方案

1. 1、在核心交换机处旁路部署APT检测系统，实现对来自其他系统和互联网的Web攻击、鱼叉式钓鱼攻击、水坑攻击、升级文件捆绑攻击、僵木蠕控制等APT攻击与威胁的检测和分析
2. 2、在核心生产区的接入交换机处旁路部署APT检测系统，实现对来自本系统内其他安全子域的网络植入攻击行为、僵木蠕等非法控制行为的检测和分析，以达到保护本系统核心资产的目的

二、未划分安全域的12580系统

背景与需求

12580系统现状说明：

12580的所有业务服务器、接口机、坐席、和运维人员都是通过本系统的核心交换机进行连接和数据通信，其它系统通过特定线路与12580相连进行数据和业务调用，互联网用户通过CMNET访问12580门户

威胁及攻击路径分析：

该场景主要是防护来自互联网、其他系统、以及非固定接入的不可信的运维人员（恶意用户或僵尸用户）的APT攻击和威胁，具体威胁形式包括但不限于Web网站入侵、远程溢出植入等网络渗透攻击，Web后门控制、僵木儒感染传播等各类远程控制行为

威胁和攻击路径分析如下：

• 攻击威胁通过相互调用和访问的BOSS/短信中心/彩铃等移动内部业务系统，直接影响未划分安全区域的各个12580系统资产
• 攻击威胁通过暴露在互联网上的12580系统服务对系统进行网络攻击，该攻击路径主要面临的是来之互联网的Web网站攻击、未知漏洞攻击等网络植入攻击威胁
• 攻击威胁通过非法控制的12560系统终端主机，以此为跳板攻击12560系统内的其他业务服务器。由于未划分安全域，该攻击路径将普遍存在与核心交换机相连的各个资产。攻击威胁主要是Web网站攻击、未知漏洞攻击、弱口令植入攻击等各种内网渗透的组合攻击手段
• 攻击威胁通过鱼叉式钓鱼攻击、水坑攻击、升级文件捆绑攻击、U盘摆渡攻击等各种典型的APT攻击方式在坐席和运维人员主机上建立跳板，向核心生产区等其他业务区发起内网渗透攻击

解决方案

在核心交换机处旁路部署APT检测系统，实现对来自其他系统和互联网的网络植入攻击行为、僵木蠕等非法控制行为的检测和分析

高级持续威胁（APT）防护系统还可运用在中国移动业务支撑系统（BOSS、BASS、BOMC等）、企业信息化系统（OA、MIS等）等

功能：

• 攻击流量检测：通过网络流量检测已知/未知恶意文件攻击、钓鱼邮件/网站攻击、WEB渗透攻击、已知/未知恶意代码活跃行为、异常访问和通信行为等威胁
• 失陷主机定位：通过网络流量分析定位被攻击并植入恶意代码的失陷主机
• APT攻击态势分析：多维可视化分析和呈现视角。支持时间、地理位置的场景维度；支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度；支持趋势、分布、排名、统计等宏观分析视角

特点：

• 全面的威胁检测：铁穹基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测，大大提升对APT攻击的检测效率
• 未知威胁和APT攻击检测：采用木马流量和终端的行为模式分析技术、机器学习分析、动态虚拟执行分析、全球威胁情报等新一代动态威胁分析技术，深度分析未知攻击和终端木马
• 决策导向的可视化：独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析，真正支持攻击分析和决策，拒绝海量误报和信息爆炸
• 灵活部署方式：铁穹支持单机、集群及分布式部署、集中管理等方式，适应不同场景的部署