Ultra-SOMC利斩SQL Slammer病毒

　　【IT专家网独家】SQL Slammer是一个很闻名的病毒，于2003年1月25日首次出现，由于爆发的日期是星期六，破坏所造成的损失并不大，尽管如此，它仍然闪电般地冲击了全球约50万台服务器。由于，其攻击的目标系统MicrosoftSQL Server 2000 和 Microsoft Data Engine(MSDE) 2000 在大型网络和互联网中使用十分普遍，又因为它具备闪电般的传播速度，所以在任何一个角落的漏网，它都能够迅速东山再起，攻城拔寨，造成破坏，因此，从其横空出世以来, 近5年的时间内SQL Slammer就一直肆虐于互联网和大型广域网，尽管所有的IDS、防病毒软件都能够对它进行检测，但它从没有在江湖上销声匿迹过。

　　网通DCN网络

　　网通DCN网络是一个分布到全国的大型广域网，虽然网通集团本身属于电信行业，网络建设和维护相对比较规范，但是它还是成了SQL Slammer病毒肆虐的乐土，原因就在于一个它是一个大型网络，大到企业无法及时而全面的为网络中所有的Sql Server都打上补丁，大到企业的规范制度不可能有效传达到每个人，所以病毒总能够找到一个角落安家，加上其超强的跨区域扫描传播能力，一旦扫描到存在漏洞的机器，可以迅速攻克漏洞机器，然后再进行更大范围的扫描和传播。

　　另外一个主要原因就是在这么大的一个网络中，缺乏一个统一协调指挥机制，有可能病毒在一个省内得到暂时控制，但很快又会从别的省份传播进来。网通集团公司在今年年初搬迁到了新的办公大楼，第一次网络故障断网原因就是因为SQL SLAMMER 病毒扫描引起的。

　　Ultra-SOMC安全管理中心横刀立马

　　Ultra-SOMC (SOC)安全管理中心是神州泰岳自主研发的一套安全管理系统，它将安全产品管理、业务资产管理、网络风险管理和安全系统的运行维护管理集成在一起，通过对网络中各种安全设备和安全软件的集中管理和监控，把一个个原本分离的安全孤岛联结成有机协作互动的一个整体，并自动实现对安全事件的处理，从而实现安全管理过程中实时有效的安全状态监测，风险管理、动态安全策略调整、综合安全审计以及恰当及时的威胁响应，体现动态安全的事先计划与事中控制的思想。

　　网通集团从去年下半年开始实施SOC项目，系统在今年6月份投入在线运行，集团SOC系统管理全国的骨干路由设备和分布在全国的IDS入侵检测及防火墙设备，这样SOC系统就和分布在全国的这些安全设备一起，形成了一个检测、响应系统。各种防毒、入侵检测、防火/防毒墙等安全产品针对Slammer的检测信息和告警进入Ultra-SOME安全管理中心，经过中心的过滤、合并和相关操作，具有高优先级的事件会通过声光、控制台、短信、邮件等方式进行集中告警。按照策略，在需要时，Ultra-SOMC会就其内部的资产信息、脆弱性与漏洞以及补丁信息等进行检索与对比。在获得了相应的资产信息和补丁信息后，中心会按照策略通知相关软件模块以及人员岗位完成补丁分发和安装。对于不能简洁立即处理的告警，将发出工单，呼唤专家介入。这个过程全部基于策略和规则来自动完成，将发现、产生告警到响应弥补之间的时间窗口减到最小，将整个过程的人工干预减到最小，大幅节省管理员和主管的精力，使他们可以有时间进行体系规划、策略优化、问题攻关等。

　　通过上述一系列自动化处理，无形中给SQL Slammer病毒布下了一个天罗地网，SOC中心可以准确地报告出网络中的SQL Slammer病毒的潜伏地，然后安全管理员迅速安排人员主动出击，剿除一个个病毒源，使网内以前肆虐的SQL Slammer蠕虫病毒得到了有效的控制，实际取得了很好的效果。

　　虽然，DCN网在一定时期内还会有SQL Slammer潜伏地，但相信在Ultra-SOMC安全管理中心对DCN网内的安全事件的集中监控，统一指挥下，会逐步剿除一个个SQL Slammer的潜伏地点，最终将SQL Slammer等蠕虫病毒彻底清除出网通DCN网，Ultra-SOMC在信息安全领域里不断担当重要角色，成为各大用户安全运行管理平台新宠。