据了解，中石油下属的很多子公司都在使用趋势科技的IWSA和其他威胁防护产品，成功的过滤和阻拦了Web病毒威胁。其中，负责管理长庆油田公司最大输量管道第一输油处，在网络升级的同时部署了趋势科技IWSA网关产品，取得了非常满意的防御效果。

终端失控的三大苦恼
第一输油处是长庆油田分公司下设的二级生产单位，其下属共有10个场站，跨越5个地（市）16个县（区），是公司目前输量最大的管道之一。据了解，其IT部门于2010年11月对内进行了升级改造，以处机关的千兆接入为汇聚层，百兆连接至下属的各输油场站，使全网从三层架构更改成二层架构。改造之后，终端设备数量达到近500台，服务器超过20台，再加之附属机关、场站、培训中心、宾馆等多业务模式下频繁的负责的信息交换需求环境，其内网安全问题日益严峻，内部病毒感染事件的频发体现了三大集中的网络安全防护需求：

首先，由于整体Internet环境的恶化，网站挂马、恶意URL地址泛滥，加上企业员工对笔记本电脑，移动硬盘，U盘的频繁使用，网络病毒逃脱防火墙的过滤进入到内网的渠道和风险都显著增加。 虽然第一输油处对原有的防火墙进行了策略调整，增加了内部计算机防毒软件的客户端代码更新频率，但仍无法避免由于感染病毒而导致全网暂时性瘫痪现象的发生，导致企业人员无法正常实时访问OA、SCADA系统、视频监控系统、阀室远程控制系统、ERP系统、管道数据库都无法访问了，造成对主题业务流程的影响。

其次，是由于外来终端设备导致的威胁。负责第一输油处网络系统的常主任介绍到：“这次大规模的网络改造，我们在所有内部的终端上都安装了病毒防护产品。但由于第一输油处还承担着靖安、安塞油田原油外输的运营管理和庆咸管道部门的会议接待业务，内网与Internet连接存在巨大的信息交换需求。而这部分内网范围外的终端不在我们的控制范围内，就为Web病毒进入内网提供很多可乘之机。”

此外，是用户缺乏安全防范意识。由于第一输油处的厂机关与各个站点之间距离远，不可能为每个厂区配备网络安全管理人员，再加之人数众多场站内员工普遍都对网络的安全知识缺乏基本知识，操作随意性较强，很多模仿新闻事件的恶意链接经常就可以在员工不留意的情况下，成功将木马程序植入本地设备。

云安全特色功能助IWSA3000脱颖而出
在此次第一输油处的网络安全升级前，其慎重周密的拟定了多家备选网络安全厂商，并且明确了最关键的采购需求：“由于网络的出口得到了统一，那么就在互联网出口处的这个地方，针对基于Web方式的威胁提供保护，保证恶意程序在进入内部网络前就被清除掉。”此外，其升级前的网络拓扑构造为部署Web安全网关、统一安全管理提供了有利的基础条件。第一输油处最终制定了本次采购的三大需求：能够防御未知及新病毒，不会影响网络系统性能，提供可量化的安全管理。

虽然测试了多款安全网关产品，但发现这些产品依然在试用防毒中的“老路数”：网关上下载最新的特征码、URL地址库，然后对流量进行过滤比对。在实际测试过程中，这些产品本质的缺陷和“亡羊补牢”落后策略均无法满足防御最新病毒的要求，特别是在遇到0day零日攻击的情况下。同时，由于IWSA 3000支持透明模式，采用透明部署方式测试中，这款产品运行中不会对用户日常使用习惯带来任何的影响。最终，趋势科技的IWSA3000得到了全面的展示机会。输油处的领导认为：“在选择网络安全设备时，看重的是对网络威胁实际的防范效果。后来经过深层次的技术沟通，在充分了解趋势科技产品云技术的实际效果和价值，并且充分了解IWSA测试评估报告后，最终决定选择趋势科技安全网关IWSA3000产品。”

据了解，由于IWSA3000采用的最先进的“云安全”技术，这能够进行动态性质的恶意威胁分析，生成动态的信誉库，而非“死代码”， 充分体现最新防护模式的价值。采用先进模式的趋势科技IWSA网关拥有云计算毫秒级的运算速度，可在几分钟内成功拦截恶意攻击网址，一些病毒尚未被媒体关注前，第一输油处部署IWSA 3000就已经实现了提前发现并成功拦截该病毒。此外，IWSA在云端数据库中建立了该URL的病毒属性，就可以帮助企业内的其他分支或者机构用户避免再次遭受同样的URL的侵害，从而实现零秒差阻挡病毒的防护效果。部署半年以来，IWSA3000为长庆第一输油处实现了主动拦截的恶意URL链接，桌面防毒系统发现病毒的比率下降也很明显，极其显著的缓解了终端的防毒压力。

此外，第一输油处通过IWSA 3000报表功能的深化应用，还实现了安全工作量化的管理目标，通过收集到的Top10病毒、Top10网站、Top10违规IP等重要数据，准确定位了网络内部高风险的客户端，为终端用户的教育和培训等具体工作，以及正在推进的标准化运维工作提供了可靠的支撑。据第一输油处的工程师介绍， IWSA详实的管理功能帮助他们有条不紊的确保了信息化系统对核心业务的稳定运行。

智能系统有效解决企业和人员的压力
趋势科技IWSA3000被部署在第一输油处内网核心交换机和出口防火墙的之间，在这类网络拓扑已经固定的大型网络中，由于IWSA3000可以用透明的方式进行架设，不需要更改原有网络拓扑结构，并可根据企业需求提供强大的图形化报表功能，众多易用特性都使IWSA成为了公认的最佳安全网关选择。在使用了近半年时间之后，第一输油处的网络安全管理员表示，IWSA3000不仅简化了部署与日常管理的工作，同时也大大缓解了网络安全管理人员的压力。

示意图：趋势科技IWSA安全网关安装示意

此外，第一输油处的网络安全管理员还介绍到：“在刚刚部署IWSA时，我们还担心‘云安全’因为要到云端进行威胁比对，会影响Web访问速度。但结果出乎意料，IWSA3000对网络的影响基本没有什么感觉，安全效果也很不错。经过实际使用后，IWSA对Web病毒的高防护以及不断下降的安全事故发生率，让我们比较放心。我们现在应对威胁恶化的趋势也比较有信心，能确保网络的长期稳定和可靠运行。”