长沙网络安全需求.docx

1、长沙网络安全需求长沙网络安全需求随着计算机技术、信息技术的开展，计算机网络系统已成为电信企业各项业务的关键承载平台。另一方面，随着国际互联网的迅猛开展、计算机技术开放性的不时提高、人们对计算机知识看法的进一步加深、企业信息平台的向纵深扩展，计算机网络平安效果已普遍惹起社会的留意，日益成为不可无视的效果；而一个企业计算机网络平安休系的树立、健全也势在必行。 长沙电信网络平安系统的树立，必将为长沙电信的业务信息系统、缴费系统、97工程等重要业务信息管理系统提供一个平安的环境和完整平台。经过以下软、硬件平安技术、增强企业管理方案综合树立起的网络平安系统，可以极大地处置来自网络外部及外部对企业消费网络

2、平安形成的各种要挟，从而构成一个愈加平安、安康的业务系统和办公环境。网络平安全体处置方案提供全体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功用，有效地保证秘密、秘密文件的平安传输，严厉地防止经济损失、泄密现象发作，防止严重经济损失。2长沙电信网络现状和计算机平安隐患2.1网络、平安现状长沙电信的网络结构较复杂。现我局计算机网络为九六年建成，经过寻呼、移动分家时没有停止任何改造；目前电信公司共有PC机二千多台，效劳器70多台；营业网点数量多，天文位置较分散，掩盖面广含长沙市、长沙县、望城县、浏阳县、宁乡县衔接方式多样；外部网络衔接 Internet出口、方式较多且难以控制；外部网络上承

3、载电信公司外部所的重要运用系统：包括计费系统，网管监控系统，大97系统，企业网，缴费系统，资源管理系统等等；广阔员工的留意力集中在如何充沛运用、应用它，而平安看法方面那么较淡漠，相应的管理规那么、规范严重匮乏，急待完善。2.2 网络全貌图12.5 客户端现状1、机器种类单一，公司员工对计算机的看法日益深化，存在员工在任务用机上随意重装自己喜欢的操作系统，形成操作系统混乱。合计如下：windows 95、 windows 98、windows me、windows NT4、windows NT6、windows 2000 团体版、windows 2000效劳器版、windows XP甚至luni

4、x等。每一个版本的操作系统都有自己的破绽和补丁，如此多的版本在维护上带来了极大的方便，在计算机平安上带来一定的隐患。2、公司员工存在运用进程中私自更改机器名，IP地址，形成机器名混乱、IP地址抵触的现象时有发作。3、存在私自在消费、办公用机上装置软件，而软件来源不明，给网络平安带来了隐患。4、存在私自改造公司网络布线结构，且同时在办公用机上装置两块网卡，既连企业消费网又连通公网，未通知专业维护单位，形成维护困难。2.6存在平安隐患由于长沙电信信息网上的网络体系越来越复杂，运用系统越来越多，网络规模不时扩展，逐渐由Intranet扩展到Internet。外部网络通ADSL、ISDN、以太网等直接

5、与外部网络相连，对整个消费网络平安构成了庞大的要挟。 详细剖析，对长沙电信网络及计算机系统平安构成要挟的主要要素有：1)运用及管理、系统平台复杂，管理困难，存在少量的平安隐患。2)外部网络和外部网络之间的衔接为直接衔接，外部用户不但可以访问对外效劳的效劳器，同时也容易地访问外部的网络效劳器，这样，由于外部和外部没有隔离措施，外部系统极为容易遭到攻击。 3)来自外部及外部网的病毒的破坏，来自Internet的Web阅读能够存在的恶意Java/ActiveX控件。病毒发作状况难以失掉监控，存在大范围系统瘫痪风险。4)缺乏有效的手腕监视、评价网络系统和操作系统的平安性。目前盛行的许多操作系统均存在网

6、络平安破绽，如UNIX效劳器，NT效劳器及Windows桌面PC。管理本钱极高，减低了任务效率。5)缺乏一套完整的管理和平安战略、政策，相当多用户平安看法匮乏。6)与竞争对手共享资源如联通，潜在平安风险极高。7)上网资源管理、客户端任务用机运用管理混乱，存在多点高危平安隐患。8)计算机环境的缺陷能够引发平安效果；公司中心主机房环境的消防平安检测设备，长时间未经确认其可用性，存在一定隐患。9)各重要计算机系统及数据的惯例备份恢复方案，目前都处于人工管理阶段，缺乏必要的自动备份支持设备。10)目前电信分公司没有明白的异地容灾方案，如出现灾难性的系统损坏，完全没有恢复的能够性。11)远程拔号访问缺少

7、必要的平安认证机制，存在平安性效果。3长沙电信网络平安需求剖析网络平安设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的运用系统。长沙电信信息网的平安设计，需求思索触及到承载的一切软硬件产品及处置环节，而总体平安往往取决于一切环节中的最单薄环节，假设有一个环节出了效果，总体平安就得不到保证；详细就以下几个方面来剖析。物理平安：在设计时需求思索门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。网络结构平安：经过层次设计和分段设计可以更好的完成网络之间的访问控制，结构设计需求对网络地址资源分配、路由协议选择等方面停止合理规划。通常应该要求网络集成商在网络设计时对结构平安加以思索，并在运营

8、维护进程中不时改良和完善。网络平安：对重要网段加以维护。经过防火墙做接入点的平安；经过扫描软件对网络范围内的一切提供网络效劳的设备停止破绽扫描和修补；经过基于网络的入侵检测系统静态的维护重要网段。系统平安：对网上运转的一切重要效劳器加以维护，并从自身实施一定的平安措施。经过操作系统晋级和打平安补丁增加系统破绽；经过扫描软件对效劳器停止破绽扫描和修补；经过装置基于主机的入侵检测系统来维护重要的效劳器。数据库平安：经过专业的数据库扫描软件检测数据库系统存在的平安破绽并停止修补，维护关键运用系统寄存在数据库中的数据。运用系统和数据的平安：关于运用系统的平安，一方面可以借助扫描工具对软件装置的主机停止

9、评价，另一方面对运用系统所占用的网络效劳、用户权限和资源运用状况停止剖析，找出能够存在的平安效果。关于数据的平安，经过运用防病毒产品停止全方位的数据扫描效劳，保证整个消费网处于平安无毒的环境。网络平安是个临时的进程，不只需求有好的规划设计，还要有良好的平安战略、及时的平安评价和完善的平安管理体系，综合运用各种平安工具，方能保证系统处于最正确平安形状。4网络平安的处置方案剖析4.1网络与效劳器平安设计和调整在停止平安规划时，网络自身的平安思索往往容易被无视，结果成为被黑客应用的短木条。实践上，很多攻击我们可以经过良好的网络设计和配置加以防止和消弭。网络结构设计和详细配置依照如下的建议做出调整：尽

10、快与寻呼、移动网络从物理上完全分别，并制止私自更改机器名、IP地址。物理平安的维护主要网络设备和各种业务效劳器的平安包括确认防火、防盗，自动烟雾检测系统的任务正常。消灭性灾难发作时的异地容灾从浪费资金的角度，现主要思索数据磁带的异地备份。外部网络结构层次清楚，便于网络隔离和平安规划。网络结构具有高牢靠性和高可用性关键设备的负载平衡与功用互备。运用系统按其重要性分段，重要系统在条件容许时尽量集中放置，以便集中实施平安战略。维护人员的桌面机所在网段应与重要网段逻辑上隔离。重要数据所在效劳器运用防火墙停止隔离针对桌面平台现状，制定规范化方案。良好的网络结构设计和配置，可以消弭网络结构不合理带来的平安

11、隐患，也可以使得我们更好地实施更高层次的平安规划。4.2防火墙的维护网络层的平安性首先由路由器做初步保证。路由器普通用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。经过配置路由器访问控制列表ACL，可以将其用作一个预过滤器，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，关于复杂的平安控制，只能经过防火墙系统来完成。因目前INTERNET网的开展，企业不访问公网，已属不能够，且片面的自封锁政策也直接阻碍了电信业务在网上的开展，大势所趋是无法逃避的，重要的是有足够的平安措施及防范体系。在本次的平安树立中，我们提出如下的建议：在长沙节点接入97主干，数据中心接入网络处

12、架设防火墙，确认防火设备的可用性。防火墙的平安战略可以基于系统、网络、域、效劳、时间、用户、认证、数据内容、地址翻译、地址诈骗、同步攻击等等。经过制定相应的平安战略，防火墙允许合法访问，拒绝一切有关的效劳和合法入侵。目前主流的防火墙产品均采用形状检测技术，与其它技术相比，基于形状检测技术的防火墙在提供更多功用的同时提供了更好的功用。4.3平安评价系统现阶段电信公司网络内效劳器数量多，各种操作系统复杂，应用人工反省系统的平安破绽曾经不能够为系统正常运转提供足够的平安保证。我们只能应用各种平安方面的软件和硬件辅佐系统管理员来了解网络和效劳器以后的平安状况，并针对性的处置存在的平安效果，进而为企业的

13、全体平安决策提供牢靠依据。运用平安破绽扫描产品可以较片面的评价企业范围内的一切网络效劳、防火墙、运用效劳器、数据库效劳器等系统的平安状况，找出存在的平安破绽并给出修补建议如ISS。网络扫描器产品：可以扫描网络范围内的一切支持TCP/IP协议的设备，扫描的对象包括NT/2000任务站/效劳器、各种UNIX任务站/效劳器、防火墙、路由器/交流机等等，经过模拟黑客攻击手法，扫描目的对象存在的平安破绽，与黑客攻击不同的是不做任何破坏活动。在停止扫描时，可以从不同的网络位置对网络设备停止扫描，例如在防火墙的内侧和外侧的扫描效果不同，内侧扫描的结果真实、准确，外侧扫描可以用来检测防火墙或网络的耐攻击水平。

14、另外也可以依据不同的扫描对象选择或定制不同的战略，如针对防火墙、UNIX效劳器、NT效劳器、Internet(WWW、DNS、MAIL)效劳器、路由器交流机等等，扫描完毕后生成详细的平安评价报告。如Internet Scanner产品扫描的破绽类型高达900多种，是业界较好的网络扫描器产品。系统扫描器产品：应用此类产品可对97工程重要效劳器的操作系统活期停止平安破绽扫描和风险评价。在系统层上经过依靠于主机上的扫描器代理侦测主机外部的破绽。在重要的效劳器上装置其的代理软件代理软件支持NT/2000和各种UNIX操作系统，在网管中心的一台NT任务站上装置其控制台。系统扫描比拟一个组织规则的平安战略

15、和实践的主机配置来发现潜在的平安风险，包括缺少的平安补丁、词典中可猜中的口令、不适当的用户权限、不正确的系统登录权限、操作系统外部能否有黑客顺序驻留、不平安的效劳配置等等。扫描结果可生成各级破绽报告，可依据报告中详述的内容修正操作系统中不平安的配置。扫描器代理的平安战略可以经过系统扫描器控制台停止集中管理和配置。系统扫描带来了更强有力的针对基于主机的破绽评价技术，它把快速的剖析与牢靠的建议结合起来，从而维护效劳器上的运用顺序、数据免受盗用、破坏或误操作。同时可以制定一个系统基线，制定方案和规那么，让系统扫描器在没有任何监管的状况下自动运转，一旦发现破绽立刻报警。系统扫描器所实行的一切规那么定义

16、在每个代理的知识库里，它允许用户自己定义一个适宜相应平台的规那么，同时还允许停止特殊定义，当网络不通时代理也可以停止任务。如System Scanner产品数据库扫描器产品：可针对数据库管理系统的风险评价检测工具，可以应用它树立数据库的平安规那么,经过运用审核顺序来提供有关平安风险和位置的简明报告。应用Database Scanner活期地经过网络快速、方便地扫描数据库，去反省数据库特有的平安破绽，片面评价数据库存在的认证、授权、完整性方面的效果。应支持的企业现有的数据库类型有：MS SQL Server、Oracle和Sybase。不同的数据库类型有相应的数据库扫描器产品。对数据库的扫描异样

17、生成详细的平安评价报告。一切扫描器可以依据扫描的结果为技术人员、部门指导生成不同的平安评价报告，为技术人员的生成报告罗列了一切的平安破绽，分高、中、低三个风险级别，每个破绽给出了详细的说明并附修补建议，某些破绽需求打补丁的还给出了下载网址。为管理人员生成的报告给出了汇总信息，使管理者了解全体平安状况，提供决策指点。如Database Scanner产品网络扫描器产品、数据库扫描器产品在停止平安扫描时，对网络带宽以及被扫描的机器的资源占用应很少，通常在3%以下；系统扫描器产品的代理软件需装置在被扫描的机器上，在扫描时与系统其它进程共享资源，应扫描时间短，不超越十分钟，并在不扫描时基本不占用资源。

18、网络管理中心要配置一台便携式笔记本电脑装置网络扫描器产品，从不同的网络位置扫描一切重要的运用效劳器、交流机路由器、防火墙等设备，该笔记本电脑还可以同时装置系统扫描器产品的Console以及数据库扫描器产品。就长沙电信公司目前规范来讲，平安评价产品的详细配置要求如下：网络扫描器产品全网需求扫描约100台设备。包括相对重要的UNIX效劳器任务站、NT效劳器、路由器、交流机等等。系统扫描器产品约5套。配置在数据中心重要效劳器上。数据库扫描器产品for ORACLE 1套。4.4入侵检测系统适当配置的防火墙虽然可以将非预期的信息屏蔽在外，但防火墙不能反省不经过它的访问央求，比如来自外部的攻击就不能防范

19、，据IDC统计，60%左右的成功的攻击来自于外部，外部假设都运用防火墙就会使得整个系统的维护管理变得异常复杂；防火墙需求守旧必需的效劳，外部需求收发邮件、需求访问Internet、需求提供WWW和MAIL效劳，在提供正常业务的同时也给了入侵者无隙可乘，他可以经过邮件或WEB阅读攻进网络，也可以直接攻击WWW和MAIL效劳器；防火墙的战略配置复杂，需求思索各种协议、Inbound和Outbound、地址诈骗、先后顺序、隐藏战略、全局战略、目的对象等众多要素，稍有不慎就会出现防护破绽；防火墙自身存在破绽，目前最好的防火墙技术都不可防止的存在这样或那样的效果，这在业界曾经是不争的理想。防火墙的维护是

20、必要的，但绝不是仅仅的维护手腕，特别是在97网络，运用系统极端重要，能否正常运转直接关系到电信的业务能否正常展开。97需求一种静态和自动的维护机制，时辰反省和解析一切的访问央求和内容，一旦发现可疑的行为，及时作出适当的照应，以保证将系统调整到最平安和风险最低的形状。这种静态的维护机制就是入侵检测系统。基于主机的入侵检测如安氏实时检测系统代理产品 (RealSecure OS sensor) 对计算机主机操作系统停止自主地，实时地攻击检测与照应。一旦发现对主机的入侵，RealSecure可以马上切断可以的用户进程，和各种平安反映。基于网络和基于主机入侵检测的结合如RealSecure Serve

21、r Sensor产品是一种新型的实时传感器，它是在RealSecure OS Sensor的基础上参与了基于网络入侵检测的局部功用。Server Sensor比拟相似于OS Sensor，它包括了 OS Sensor可以监控的一切系统事情，但在此基础上，Server Sensor也能监视网络事情，不过，Server Sensor只监控进出该效劳器的通讯，而不是整个网段的通讯。Server Sensor不只可以检测到入侵，它也能经过阻塞某些网络包来阻止入侵。RealSecure Workgroup Manager：提供集中一致的管理界面，用来管理各种探测器，搜集它们发来的平安事情。在长沙节点和9

22、7主干之间、长沙节点与四个县之间、数据中心接入网络处、PSTN，DDN接入网络处装置基于网络的入侵检测，实时监控流入/流出网络的数据流，解析存在的可疑数据，及时切断衔接，并反响给平安管理员，保证外部网络不遭到来自外部的攻击。在重要效劳器上装置基于网络和基于主机入侵检测，实时监控这些效劳器的访问央求，反省系统日志，解析可疑访问央求，及时反响给平安管理员，防止效劳器遭到来自外部和外部的访问攻击。而他们的控制台是一致的，所以只需在网络控制中心添加一台NT WorkStation装置基于主机的入侵检测控制台即可对全网一切的探测器停止管理。也可以在每个节点运用管理控制台。就长沙电信公司目前规范来讲，入侵

23、检测系统的详细配置如下：基于网络和基于主机入侵检测：长沙节点和97主干之间、长沙节点与四个县之间、数据中心接入网络处、PSTN，DDN接入网络处，在相应的点上配置，一共大约8套。基于主机的入侵检测：数据中心大约有5台重要的效劳器，这样需求5套，也可依据需求酌情添加。4.5病毒扫描和防范效劳4.5.1群件 / 邮件效劳器的病毒防护随着电子邮件运用日益普及，病毒又找到了一条重要的入侵的渠道。依据国际计算机平安协会ICSA1998年的报告，因运用电子邮件而中毒的事情已占一切中毒事情的，2000年已达86%。象包括微软在内的几家全球著名企业，先后遭遭到来自电子邮件的梅莉莎病毒(Melissa)、蠕虫病

24、毒EXPLOREZIP、爱虫病毒I LOVE YOU的攻击，致使企业邮件效劳器封锁、企业内重要资料丧失。维护邮件效劳器免受病毒攻击的重要性应放在相当高的位置。4.5.2桌面客户机的病毒防护网络任务站的防护位于企业防毒体系中的最底层，对企业计算机用户而言，也是最后一道查、杀、清、防病毒的实际层。思索到网络中的任务站数量少那么几十台，多那么数百上千台甚至更多。假设需求靠网管人员逐一到每台计算机上装置单机防病毒软件，费时费力，同时难以实施一致的防病毒战略，日后的维护和更新任务也十分繁琐。4.5.3网关处病毒的防护在网关处对病毒停止阻拦，是效率最高的病毒防范方式，目的在于在病毒入口的源头停止病毒防范，

25、到达阻止病毒从网关进入外部的作用。4.5.4病毒的中央控制管理一个企业级的病毒系统，最重要的是对病毒的监控可管理，好的病毒防范系统必需具有一个方便的弱小的管理系统。4.6规范、一致计算机管理4.6.1一致操作系统版本我公司内有PC机2000多台，操作系统单一，简直是在单机上可以运用的操作系统都能在我公司见到。每一种操作系统都有自己破绽，我们维护人员不能够都找到相应的补丁顺序，特别是windows xp是需求注册晋级才干运用Patch。并且所开发运用顺序并非在一切的操作系统上都能到达最正确的运用效果。希望公司可以一致操作系统版本，配置低的装置windows 95,配置高的装置windows 98

26、,顺序需求时建议装置windows 2000效劳器版，制止私自改换操作系统。4.6.2规范软件装置及计算机设备硬件管理不允许在办公用机上私自装置各种非消费用的软件。有的工具软件、有的是游戏，他们的软件来历不明，其中很能够被病毒感染或制造了特诺伊木马，有的软件对系统配置要求很高，严重的影响了系统的功用。希望规范可以装置的工具软件，并一致软件来源堵住危害平安的一个破绽。非计算机专业维护部门不允许私自装配计算机设备。4.6.3网络线路维护不允许由公司一致树立的计算机网络停止私自改造，如确需改造，在改造施工前按规范的施工管理流程，通知公司运转维护部和专业维护部门。4.6.4一致机器识别由于在网络上识别

27、一台机器主要依托IP地址和机器名，但是目前由于运用人员由于各种缘由私自改动机器的IP地址形成IP地址运用混乱。IP地址抵触时有发作，严重的影响了网络的正常运转。要求在全网一致机器识别，责任到部门。4.6.5规划抵触由于我公司有PC 2000多台而省公司分配给我公司的IP地址只要4个C类地址远远不够。因此我们希望公司运转维护部可以与省公司协商能否可以授权我们运用更多的IP地址。4.6.6外部授权及外部计算机平安反省、监视力度增强目前公司外部的人员活动比拟频繁，但各员工调离原任务岗位后，其在各业务处置系统中的工号及权限未失掉及时的肃清，给各业务系统的数据平安带来一定的隐患，建议以中心为单位设立部门系统管理员专管各业务系统授权。