电信网络安全解决方案1.docx

电信网络安全解决方案1.docx

《电信网络安全解决方案1.docx》由会员分享，可在线阅读，更多相关《电信网络安全解决方案1.docx（16页珍藏版）》请在冰豆网上搜索。

电信网络安全解决方案1

××电信网络安全解决方案

（1）

长沙电信网络安全解决方案

湖南运算机股份

网络通信及安全事业部

一、长沙电信网络安全现状

由于长沙电信信息网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐步由Intranet扩展到Internet。

内部网络通过ADSL、ISDN、以太网等直截了当与外部网络相连，对整个生产网络安全构成了庞大的威逼。

具体分析，对长沙电信网络安全构成威逼的要紧因素有：

1）应用及治理、系统平台复杂，治理困难，存在大量的安全隐患。

2）内部网络和外部网络之间的连接为直截了当连接，外部用户不但能够访问对外服务的服务器，同时也专门容易访问内部的网络服务器，如此，由于内部和外部没有隔离措施，内部系统极为容易遭到攻击。

3）来自外部及内部网的病毒的破坏，来自Internet的Web扫瞄可能存在的恶意Java/ActiveX控件。

病毒发作情形难以得到监控，存在大范畴系统瘫痪风险。

4）缺乏有效的手段监视、评估网络系统和操作系统的安全性。

目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。

治理成本极高，降低了工作效率。

5）缺乏一套完整的治理和安全策略、政策，相当多的用户安全意识匮乏。

6）与竞争对手共享资源〔如联通〕，潜在安全风险极高。

7）上网资源治理、客户端工作用机使用治理纷乱，存在多点高危安全隐患。

8）运算机环境的缺陷可能引发安全问题；公司中心主机房环境的消防安全检测设施，长时刻未经确认其可用性，存在一定隐患。

9）各重要运算机系统及数据的常规备份复原方案，目前都处于人工治理时期，缺乏必要的自动备份支持设备。

10）目前电信分公司没有明确的异地容灾方案，如显现灾难性的系统损坏，完全没有复原的可能性。

11）远程拔号访问缺少必要的安全认证机制，存在安全性问题。

二、长沙电信网络安全需求分析

网络安全设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。

长沙电信信息网的安全设计，需要考虑涉及到承载的所有软硬件产品及处理环节，而总体安全往往取决于所有环节中的最薄弱环节，假如有一个环节出了问题，总体安全就得不到保证；具体就以下几个方面来分析。

物理安全：

在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。

网络结构安全：

通过层次设计和分段设计能够更好的实现网络之间的访问操纵，结构设计需要对网络地址资源分配、路由协议选择等方面进行合理规划。

通常应该要求网络集成商在网络设计时对结构安全加以考虑，并在运营爱护过程中不断改进和完善。

网络安全：

对重要网段加以爱护。

通过防火墙做接入点的安全；通过扫描软件对网络范畴内的所有提供网络服务的设备进行漏洞扫描和修补；通过基于网络的入侵检测系统动态的爱护重要网段。

系统安全：

对网上运行的所有重要服务器加以爱护，并从自身实施一定的安全措施。

通过操作系统升级和打安全补丁减少系统漏洞；通过扫描软件对服务器进行漏洞扫描和修补；通过安装基于主机的入侵检测系统来爱护重要的服务器。

数据库安全：

通过专业的数据库扫描软件检测数据库系统存在的安全漏洞并进行修补，爱护关键应用系统存放在数据库中的数据。

应用系统和数据的安全：

关于应用系统的安全，一方面能够借助扫描工具对软件安装的主机进行评估，另一方面对应用系统所占用的网络服务、用户权限和资源使用情形进行分析，找出可能存在的安全问题。

关于数据的安全，通过使用防病毒产品进行全方位的数据扫描服务，保证整个生产网处于安全无毒的环境。

网络安全是个长期的过程，不仅需要有好的规划设计，还要有良好的安全策略、及时的安全评估和完善的安全治理体系，综合运用各种安全工具，方能保证系统处于最正确安全状态。

以下是仅对长沙电信网络的一个集各项先进技术、国内优秀品牌网络安全产品的网络安全解决方案。

三、网络安全解决方案

防火墙：

我们采纳方正方御的1U型防火墙。

该防火墙属于集成模块型状态检测防火墙，用户可依照需要选择功能模块。

在那个地点我们选择的是入侵检测模块、扫描器模块、VPN模块，并考虑在中心机房的防火墙上选择安全评估模块。

*中心机房防火墙将重要数据与内外网络隔离，在长沙节点与四个县之间、长沙节点与骨干网之间、PSTN，DDN接入网络处分别配置防火墙，并依照原有的冗余链路利用防火墙提供的内外网口实现关键链路的双机热备；

*VPN模块可实现点-网关、网关-网关的VPN加密通道，数字证书作为防火墙之间的身份认证，保证PSTN远程拨号访问传输数据的完整性和保密性；

*入侵检测模块结合扫描器可对关键链路进行实时监控；

*安全评估能够全面的评估企业范畴内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况，找出存在的安全漏洞并给出修补建议。

*防火墙还能够将企业内部PC的MAC地址和IP地址进行捆绑，如此能够幸免内部人员随意修改IP地址；

*URL过滤功能可限制企业内部职员访问一些特定性质的站点。

*网络地址转换〔NetworkAddressTranslation〕功能不仅能够隐藏内部网络地址信息，使外界无法直截了当访问内部网络设备，同时，它还关心网络能够超越地址的限制，合理地安排网络中上公用地址和私有地址的内部网用户顺利的访问Internet的信息资源，不但可不能造成任何网络应用的阻碍，同时还能够节约大量的网络地址资源，解决公司IP地址资源不够的问题。

防病毒软件：

我们采纳的是北京冠群金辰公司的Kill系列防病毒软件，KILL防病毒软件有专门针对Email服务器和OA服务器的版本以及KillForLotus，KillForUNIX，KillForNT等等，适用于电信行业如此的大型网络。

在内部网络中选择一台服务器作为KILL下载服务器，能够定时的从网络中下载最新的病毒库，然后分发到客户端KILL的机器上面。

大大简化了防病毒的治理工作。

升级问题是反病毒软件的一个重要考核标准，因此，KILL所提供的自动简单升级方法也是KILL系列产品的一个重要优势。

KILL主动邮件服务功能，能够直截了当将最新升级版本用电子邮件的方式发送到指定电子邮箱中。

同时，企业内部网通过简单配置，在一台服务器上下载升级文件便能够自动完成全域内所有运算机升级工作。

即系统治理员能够将文件服务器作为下载升级文件服务器，当文件服务器升级文件下载成功后，KILL会自动将升级文件分发给其他服务器和NT工作站；在终端用户登录到升级后的服务器时，客户端会自动运行升级程序，从而完成客户端升级工作。

整个升级工作如以下图所示：

入侵检测系统软件：

我们明白，Intranet的爱护需要有适当的工具〔比如防火墙〕。

但值得注意的是，假如我们在有了适当的工具以后还缺乏必要的审核手段，仍有可能造成企业的庞大缺失。

据一些闻名防火墙专家的估测，在现已安装的防火墙中，大约有50%以上的防火墙实现是不当的。

而造成这一现状的重要缘故确实是用户在配置的细节以及差不多操作系统的易受攻击上。

正是由于这一缘故，在网络日益成为当今公司企业赖以生存的手段的时候，它在将用户与必要的资源相连接的同时，传输着至关重要而且往往是高度敏锐的信息。

然而随着网络规模的扩大、复杂性的增加，防止它们受到诸如低级协议攻击、服务器与桌面电脑入侵之类的威逼就变得越来越困难。

更有其它危险来自于通过内部网络传播的病毒和恶意小程序。

因此与往常一样，我们专门有必要检测和阻止对内部服务和桌面的不合理访问以及不正常的外部URL。

那么网络在被动爱护自己不受侵犯的同时，能否采取某些技术，主动爱护自身的安全呢？

入侵检测技术确实是一种主动爱护自己免受黑客攻击的一种网络安全技术。

入侵检测技术能够关心系统应付网络攻击，扩展系统治理员的安全治理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。

它从运算机网络系统中的关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到突击的迹象。

入侵检测被认为是防火墙之后的第二道安全闸门，它在不阻碍网络性能的情形下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时爱护。

湘计网盾入侵检测系统产品介绍

应用环境：

TCP/IP10/100M以太网；

兼容性：

与操纵台通信加密，与操纵台相互认证；

适用性：

独立操作系统；

功能描述

网络监听能力：

支持10/100M以太网监听；监听网口不绑定IP。

网络流预处理能力：

支持TCP流重组，能够监控的并发活动TCP连接数为60,000以上；

支持IP碎片重组。

协议支持与信息收集：

arp监控，收集MAC/IP信息；

generalIP/TCP/UDP流监控，能支持识别syn-attack、portscan；

ICMP监控，包括traceroute行为、主机与端口不可达信息。

行为检测：

实时分析

支持基于规那么匹配的内容分析；

支持各类约1000多个事件描述；

自动通过治理端网口将事件信息传递给Console，通信协议要支持实时流量转储的吞吐量；

依照配置，能自动实时阻断某种特点的连接，也能够依照Console的要求阻断某些特点的连接；

TCPRST；

ICMPUNREACHABLE；

ARPTakeover；

治理操纵

权限分级，参照公安部要求执行，至少分：

治理员、授权治理人员、授权用户，详见公安部标准；

集中治理

集中治理一个或多个Sensor（理论上对Sensor无限制）；

负责策略的配置；

能够对Sensor进行入侵库和软件的升级；

规那么库与规那么定制

系统规那么库有事件的详细说明和分级；

系统提供几套缺省入侵检测集供用户选用；

用户能够自行制定入侵检测集；

用户能够自行定制入侵检测匹配规那么；

统计分析

对一个或多个Sensor上传的日志进行统计分析；

能够依照日志分析并鉴别以下行为，并生成分析日志，〔同时自动将相关事件日志复制到分析日志关联库中，以防原始事件日志被回卷〕：

黑客攻击〔35大类，1290多种〕，并能通过网络接口进行检测库和程序的升级

检测端口扫描攻击

检测常见的web攻击

对不正常的要求icmp报警

检测利用finger的攻击

检测利用ftp的攻击

对少见的ip选项报警

检测常见的后门

检测利用RPC漏洞的攻击

检测利用缓冲区溢出的攻击

依照分析结果，触发响应

完善的审计、日志功能

对所有治理员操作进行记录；

对所有Sensor上传事件信息进行记录；

依照不同等级的事件设置各自独立的回滚储备区；

审计信息应能加密储备〔需要明确：

审计信息包括哪些〕；

支持流行数据库

报表

用直观的柱行图或饼图统计攻击的各情形；

入侵响应

能够针对不同事件等级、统计分析结果等级制定不同的响应方式；

中断连接〔通过Sensor执行〕；

提醒系统爱护，漏洞更新

多种报警，通知方式

Email、声音、切断连接、记录到数据库等。

四、网络安全设计和调整建议

»尽快与寻呼、移动网络从物理上完全分离；

»物理安全的爱护要紧网络设备和各种业务服务器的安全〔包括确认防火、防盗，自动烟雾检测系统的工作正常，以及防尘、防静电防磁、电源系统等〕；

»毁灭性灾难发生时的异地容灾〔从节约资金的角度，现要紧考虑数据磁带的异地备份〕；

»应用系统按其重要性分段，重要系统在条件承诺时尽量集中放置，以便集中实施安全策略。

爱护人员的桌面机所在网段应与重要网段逻辑上隔离；

»针对桌面平台现状，制定规范化治理方案。

统一操作系统版本并安装相应的补丁。

不承诺在办公用机上私自安装各种非生产用的软件。

非运算机专业爱护部门不承诺私自拆卸运算机设备。

五、服务支持

湖南运算机股份网络通信及安全事业部一直倡导与客户共同进展，客户的成长才是我们连续进展的源动力。

我们的网络安全服务要紧业务如下：

»网络安全咨询服务：

要紧通过分析用户的业务需求和现有网络结构，提出有用明确的网络的方案，依照网络功能和业务制定完善的安全策略；

»制定网络安全治理制度体系：

关心用户解决网络中由于制度和结构导致的问题，设计网络安全整体解决方案和建立网络安全治理制度体系，依照实际安全需要和客户预算，增加和配置网络安全产品。

»安全产品集成与网络安全技术服务：

在用户网络安全建设中，网络安全相关的软硬件建设是一个专门重要的环节。

我们精心选择了部分网络安全产品提供商结成战略合作伙伴，能够向用户提供全方位、成系列的网络安全解决方案及定期与不定期相结合的完善周到的网络安全技术服务，关心拥护了解自身网络的安全状况，排除用户网络中潜在的隐患，提高用户网络安全等级。

»应用系统安全评估：

安全是一个系统的工程，整体安全评估和安全规划服务的目的是对客户的安全工程建设有一个整体上的把握同时提供针对性的建议。

*整体安全评估和安全规划

*主机安全评估

*即时漏洞报告

网络安全知识培训：

提供网络安全知识普及培训、网络安全治理人员培训等培训服务。

*网络安全知识普及培训

*网络安全治理人员培训

六、附录

1、Kill与其他同类产品比较

KILL

Norton

公司背景及技术实力

中国公安部和全球第二大软件公司冠群电脑〔CA〕合资成立冠群金辰软件。

本地化的研发队伍，融合CA的世界级先进技术，开发出适合国内用户的KILL系列国产安全产品。

公司直截了当负责产品生产、销售和技术服务。

国际闻名安全产品公司，产品在国外开发，销售、服务由国内总代理负责。

防病毒产品

全中文操作界面，专门适合国内用户使用

所有产品中文操作界面，适合国内用户使用。

网络防病毒差不多性能

系统资源占用率

比较其他同类产品对系统资源占用较少，用户还能够依照实际使用情形调配系统资源占有率，确保查杀病毒过程可不能阻碍用户系统的使用。

中文产品占用系统资源较多，有时会严峻阻碍系统的运行速度和用户应用程序的运行。

查、杀病毒能力

依靠北京冠群金辰公司在国内与国际上建立的独一无二的病毒监测网，及时收集国内和国际显现的最新病毒，使KILL能及时为用户提供新型病毒的解决方案，在查、杀病毒，专门是国产病毒方面优于国外产品。

只有国外的病毒监测网，查、杀国产病毒的能力逊于国产杀毒软件。

自动修复注册表

KILL能够自动修复被蠕虫病毒等修改的系统注册表信息，清毒更完全。

无

自动删除特洛伊木马程序

KILL能够自动删除由病毒产生的特洛伊木马程序，清毒更完全，完全自动化

只能由用户手工删除

网络防病毒产品

总体特点

服务器和客户端能够集中治理，安装、配置操作简单、方便。

服务器和客户端能够集中治理，但安装、配置较复杂。

安

装

方

式

一点安装，处处安装

WindowsNT/2000的机器安装能够在一台机器上通过远程安装来统一完成。

Win98/95客户端软件能够在用户登录服务器时自动安装完成，不需要用户干预。

也确实是说，能够在一台机器上完成对整个网络中所有运算机的安装。

WindowsNT的机器安装能够在一台机器上通过远程安装来统一完成。

关于Win98/95客户端用户第一要手动从服务器下载并安装客户端代理程序〔Agent〕，Win98/95软件能够通过分发，或在用户登录服务器时自动安装完成。

客户端的安装不能完全自动化。

管

理

系

统

支持。

自动探测进行治理。

能够进行分布式〔分级〕集中治理，适合大型机构/企业治理模式的要求，治理方式灵活、多样。

通过KILL治理服务器，对网络中所有运算机进行集中分布式治理，并基于策略实施治理。

网络治理员能够在网络中任意NT/2000机器上进行远程治理操纵，制定网络防病毒策略。

在发觉病毒后的治理方面，KILL网络版具有跟踪病毒源猎取详细的信息并采取隔离的措施来防止该用户的进一步操作，从而保证网络安全。

能够跨平台治理，KILL网络版能够治理Unix、NetWare的网络防病毒。

通过〝操纵中心〞进行操纵。

网络治理员在安装了〝防病毒操纵中心〞的NT服务器上进行防病毒的配置操作、治理操纵。

病

毒

库

升

级

自动多级分发升级系统：

网络版的升级能够由一台服务器下载最新的升级文件，然后分发到其他的NT/2000/9X/ME的机器上。

设置好的分发系统，由KILL自动操纵完成，不需要用户干预。

完全自动增量升级。

网络升级分发功能与其安装方式一样，在服务器上要安装〝操纵程序〞，在Win98/95客户端安装客户端代理程序〔Agent〕。

网

络

升

级

容

错

具备升级校验功能。

即：

先试验，后运行。

在自动升级过程中，下载来的升级文件先在本机进行升级试验，假如升级成功那么进行下一步的分发和自动升级工作。

假如发觉升级过程有误，那么自动重新下载升级文件，然后再一次进行试验，直到升级成功为止，然后进行下一步的升级过程。

没有升级容错校验功能。

目前国内因特网的传输质量专门差，用户在下载升级文件时，经常产生错误，下载的文件内容有错或不完整，不进行校验就强行将升级文件进行分发，就会对网络产生不安全的因素，对用户的网络运行构成威逼。

技术服务

技术支持

本地研发中心，厂家直截了当负责行业售前、售后技术服务与支持

国外研发中心，售前、售后技术服务由本地总代理负责

客户服务

全国授权服务网

主动邮件服务

全国授权经销商

网上病毒码更新和升级

专门服务

成立专为行业用户提供支持的技术小组，能够随时进行全方位的技术爱护和支持。

-------

2、

方正方御防火墙与要紧竞争对手产品比较

3、湘计网盾与要紧竞争对手产品比较

产品名称

湘计网盾HDIDS

CAeTrustIntrusionDetection

硬件/软件

硬件

软件

基于主机

是

是

基于主机

否

系统结构

传感器/操纵台

传感器/操纵台

操纵台操作系统及硬件需求

WindowsNT/2000，166MHzPentium，64M内存，100M空间

WindowsNT/95/98/2K，166MHzPentium，64M内存，100M空间

传感器操作系统及硬件需求

机架式网络设备，256M

WindowsNT/95/98/2K，166MHzPentium，64M内存，200M空间

被监控端的操作系统平台

Windows2000/NT

Windows95/98/NT

支持的网络类型

10/100M以太网

10/100M以太网，FDDI，令牌环

治理网口与监听网口分离

是

是

监听网口不带IP地址

是

TCP流重组

是

是

监控的TCP连接数

12000

IP碎片重组

8462

分析的协议

TCP/IP

TCP/IP,UDP/IP

分析的高层应用协议

FTP,telnet,SNMP,SMTP,NFS,rsh,DNS,POP3,IMAP,TFTP,finger,ICMP等

FTP,telnet,SNMP,SMTP,NFS,rsh,DNS,POP3,IMAP,TFTP,finger,ICMP等

中断TCP连接

是

是

发送ICMP不可达

是

是

攻击特点数

1290条

1000条

抗针对IDS的DoS攻击

是

通信加密

是

是

传感器和操纵台互相认证

是

是

支持实时警告通知

是

是

提供创建规那么的工具创建自定义的监控模块以检查某些类型的数据包

是

是

防止XX访问文件或试图获得超级用户的操纵

是

是

检测来自多个位置的多个攻击

是

是

检测网络层/基于包的攻击〔如DoS〕

是

是

4、湖南运算机股份简介

湖南运算机股份一家大型高科技股份制上市公司，是以科研开发、生产、经营运算机〔含军品〕和应用系统集成的综合性高科技企业集团，是信息产业部部属企业，1997年被国务院定为国家重点企业，1994年荣获ISO9002质量体系认证，1997年荣获ISO9001、GJB/Z9001质量体系认证。

目前公司拥有总资产15.2亿元，2001年销售额12亿，其中运算机信息系统集成达3.2亿元，利税8000多万元。

公司现有职工860多人，专业技术人员占62%，拥有近百项国家专利。

本公司技术中心99年被省经贸委认定为省级企业技术中心，正在申报国家级认定企业中心，本公司从事科研开发的500人中，95%以上具有本科学历，由11名博士、86名硕士和60多名高级工程师来主持和组织各种硬件产品和应用系统、操作系统的研制、开发和推广。

目前湘运算机已进展成为IT外设、应用系统集成、基础元器件、军用运算机四大支柱产业并驾齐驱的高科技企业集团。

公司2001年获省级信息工程一级资质证书，正在申报运算机信息系统集成国家一级资质认证，已通过湖南省涉及国家隐秘运算机信息系统集成资质审查。

2001年被信息产业部定为国家重点软件企业〔共120家〕。

公司成功的工程案例有：

代理业务综合平台、电信业治理计费解决方案、移动2000移动综合业务治理系统、外交部全球文件传输系统〔涉及200多个使领馆〕、公安部九局多媒体网络工程、公安部边防检查治理信息系统、公安部进口汽车核查信息系统等几十项涉及企业、电信、广电、金融、教育、政府等行业系统集成项目，系统集成体会丰富，并能提供及时的现场服务。