Cisco Cisco ScanSafe Web Security White Paper

第 5 页，共 6 页

思科可以将互联网连接保护下移至商店级别，无需任何额外的硬件和回程流量，除非有策略规定。低风险流量直接

流向互联网，而将其他流量发送到中心位置完成进一步检查。

为了防止已知和新出现的威胁，Cisco CWS 使用多种技术查找攻击，这包括传统恶意软件签名、文件和站点信誉过
滤器以及病毒爆发过滤器。此外，Cisco CWS 与 Cisco Collective Security Intelligence (CSI) 集成，CSI 是思科行业
领先的威胁情报功能，其中包括 Talos 安全情报和研究小组。Cisco CSI 和 Talos 帮助确保客户从无数个使用思科技
术的客户中获益。

Cisco CWS 提供报告详细信息，其中包括传统的信息安全数据以及对带宽消耗和使用情况的详细分析。在带宽受限

的环境中，这种可见性是用来努力实现效率的关键工具。其他的高级报告功能详细介绍了访客 Wi-Fi 浏览习惯，为在
线零售商提供有关比较购物和价格检查的可见性和防御、以及攻击性内容的查看。因此，Cisco CWS 的报告功能不
仅对 IT 安全团队很重要，对整个零售组织也是如此。

或许更重要的是，作为云解决方案，Cisco CWS（图 2）可以为任何组织提供轻松扩展和优化带宽的功能。这意味着
实现了直接、可量化的成本节约并显著提高了组织的店内威胁管理功能的效率。这些节约是通过将针对流量管理和

控制的所有处理从本地硬件分流到基于云的系统中来实现的。另外，通过使用软件即服务 (SaaS) 模式来提供基于策
略的流量决策，Cisco CWS 可显著减少店内网络硬件的负载。

Cisco CWS 如何帮助零售组织

这个真实示例展示了 Cisco CWS 如何在当今的威胁环境下为组织提供保护：一个 IT 安全管理员负责保护 1,500 家
连锁店，连锁店推出了店内技术以便为客户提供互联网访问以及其他多种服务。安全管理员注意到攻击者最近利用

大量的高级恶意软件攻击来入侵店内系统（包括 POS 设备），希望能快速检测到这些攻击并采取有效的补救措施。
许多商店的带宽有限，而且该解决方案必须优化到每家店的网络连接，使得上述挑战更为棘手。

安全管理员在每家店中都部署 Cisco ISR 边缘路由器。这些设备支持思科智能广域网 (IWAN) 功能，以便保护并优化
每家店中的带宽。通过使用成本较低的互联网连接，而不是更昂贵的专用网络链路，IWAN 可以帮助管理带宽。该产
品还提供顺畅的迁移路径，因此组织可按照自己的进度从专用网络链路迁移。为了确保移动设备连接到每家店中的

正确网络，思科身份服务引擎 (ISE) 为店内系统提供保护，确定哪些用户和设备可以访问哪些部分的商店网络。

为了保护 Web 流量，该组织将使用 Cisco CWS 高级版提供直接互联网访问。可以通过 Cisco ISR 边缘路由器部署
该功能，无需额外的硬件。Cisco CWS 高级版包含思科高级恶意软件保护 (AMP) 和感知威胁分析 (CTA)，可以通过
高级威胁防御功能保护所有用户。CTA 是近实时网络行为分析系统，它利用机器学习和高级统计找到网络中的异常
活动，从而检测到可能的攻击。AMP 结合使用文件信誉、文件沙盒和追溯性文件分析方法，识别并阻止网络中已存
在的威胁。

使用这些思科安全产品，1,500 家连锁店现在可以管理其带宽利用率、用户访问级别、威胁防御和内容安全。这只是
其中一个可能的思科安全产品组合。在这种情况下，IT 安全管理员达到了企业对其分布式零售网络提出的网络和安
全目标。

Cisco CWS 的优势

对于使用集成的思科解决方案来保护网络安全的组织，可以实施通用策略，检测高级攻击和优化 WAN 中的带宽使用
情况。Cisco CWS 高级版与 Cisco ISR 边缘路由器集成，也能使僵尸网络跟踪成为可能。这有助于确保 POS 设备
不受威胁，可以安全地将数据传输到总部。此外，该组织还可以通过捆绑解决方案节省更多资金。

组织无需担心该解决方案中各个元素的集成，因为所有功能都设计为可协同工作。其结果是，思科预计给 IT 员工带
来的节省，可能是他们花在减少配置和实施支持上的时间的 40%。该组织还从其高级、一致的全球网络中受益，因
此它可以不断发展并专注于自己的业务，而不用担心试图渗透店内网络的攻击者。