电信网络安全解决方案

《电信网络安全解决方案》由会员分享，可在线阅读，更多相关《电信网络安全解决方案（18页珍藏版）》请在装配图网上搜索。

1、长沙电信网络安全解决方案湖南计算机股份有限公司网络通信及安全事业部目录一、长沙电信网络安全现状由于长沙电信信息网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩 大，逐渐由 Intranet 扩展到 Internet 。内部网络通过 ADSL、ISDN、以太网等直接与外部 网络相连，对整个生产网络安全构成了巨大的威胁。具体分析，对长沙电信网络安全构成威胁的主要因素有：1) 应用及管理、系统平台复杂，管理困难，存在大量的安全隐患。2) 内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务 器，同时也很容易访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内 部

2、系统极为容易遭到攻击。3) 来自外部及内部网的病毒的破坏，来自 Internet 的 Web 浏览可能存在的恶意Java/ActiveX 控件。病毒发作情况难以得到监控，存在大范围系统瘫痪风险。4) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统 均存在网络安全漏洞， 如 UNIX服务器， NT服务器及 Windows桌面 PC。管理成本极高， 降低了工作效率。5) 缺乏一套完整的管理和安全策略、政策，相当多的用户安全意识匮乏。6) 与竞争对手共享资源(如联通) ，潜在安全风险极高。7) 上网资源管理、客户端工作用机使用管理混乱，存在多点高危安全隐患。8) 计算机环

3、境的缺陷可能引发安全问题；公司中心主机房环境的消防安全检测设施，长 时间未经确认其可用性，存在一定隐患9) 各重要计算机系统及数据的常规备份恢复方案，目前都处于人工管理阶段，缺乏必要 的自动备份支持设备。10) 目前电信分公司没有明确的异地容灾方案，如出现灾难性的系统损坏，完全没有恢复的可能性。11) 远程拔号访问缺少必要的安全认证机制，存在安全性问题。二、长沙电信网络安全需求分析网络安全设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。长沙电信信息网的安全设计，需要考虑涉及到承载的所有软硬件产品及处理环节，而 总体安全往往取决于所有环节中的最薄弱环节，如果有一个环节出了问题

4、，总体安全就得 不到保障；具体就以下几个方面来分析。物理安全： 在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等 等。网络结构安全： 通过层次设计和分段设计能够更好的实现网络之间的访问控制，结构 设计需要对网络地址资源分配、路由协议选择等方面进行合理规划。通常应该要求网络集 成商在网络设计时对结构安全加以考虑，并在运营维护过程中不断改进和完善。网络安全： 对重要网段加以保护。通过防火墙做接入点的安全；通过扫描软件对网络范围内的所有提供网络服务的设备进行漏洞扫描和修补；通过基于网络的入侵检测系统动 态的保护重要网段。系统安全： 对网上运行的所有重要服务器加以保护，并从自身实施一定

5、的安全措施。通过操作系统升级和打安全补丁减少系统漏洞；通过扫描软件对服务器进行漏洞扫描和修 补；通过安装基于主机的入侵检测系统来保护重要的服务器。数据库安全： 通过专业的数据库扫描软件检测数据库系统存在的安全漏洞并进行修 补，保护关键应用系统存放在数据库中的数据。应用系统和数据的安全： 对于应用系统的安全，一方面可以借助扫描工具对软件安装的主机进行评估，另一方面对应用系统所占用的网络服务、用户权限和资源使用情况进行 分析，找出可能存在的安全问题。对于数据的安全，通过使用防病毒产品进行全方位的数 据扫描服务，保证整个生产网处于安全无毒的环境。网络安全是个长期的过程，不仅需要有好的规划设计，还要有

6、良好的安全策略、及时 的安全评估和完善的安全管理体系，综合运用各种安全工具，方能保证系统处于最佳安全 状态。以下是仅对长沙电信网络的一个集各项先进技术、国内优秀品牌网络安全产品的网络 安全解决方案。三、网络安全解决方案防火墙： 我们采用方正方御的 1U 型防火墙。该防火墙属于集成模块型状态检测防火墙， 用户可根据需要选择功能模块。在这里我们选择的是入侵检测模块、扫描器模块、VPN 模块，并考虑在中心机房的防火墙上选择安全评估模块。*中心机房防火墙将重要数据与内外网络隔离，在长沙节点与四个县之间、长沙节点 与骨干网之间、 PSTN，DDN接入网络处分别配置防火墙，并根据原有的冗余链路利用防火 墙

7、提供的内外网口实现关键链路的双机热备；VPN模块可实现点 - 网关、网关 -网关的 VPN加密通道，数字证书作为防火墙之间的身份认证，保证 PSTN远程拨号访问传输数据的完整性和保密性；*入侵检测模块结合扫描器可对关键链路进行实时监控；*安全评估能够全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据 库服务器等系统的安全状况，找出存在的安全漏洞并给出修补建议。* 防火墙还可以将企业内部 PC的 MAC地址和 IP 地址进行捆绑， 这样可以避免内部人 员随意修改 IP 地址；*URL过滤功能可限制企业内部员工访问一些特定性质的站点。* 网络地址转换( Network Address T

8、ranslation )功能不仅可以隐藏内部网络地址 信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合 理地安排网络中上公用地址和私有地址的内部网用户顺利的访问 Internet 的信息资源， 不但不会造成任何网络应用的阻碍，同时还可以节省大量的网络地址资源， 解决公司 IP 地址资源不够的问题。防病毒软件： 我们采用的是北京冠群金辰公司的 Kill 系列防病毒软件， KILL 防病毒软件 有专门针对 Email 服务器和 OA服务器的版本以及 Kill For Lotus ，Kill For UNIX ， Kill For NT 等等，适用于电信行业这样的大型网

9、络。在内部网络中选择一台服务器作为 KILL 下载服务器，可以定时的从网络中下载最新 的病毒库，然后分发到客户端 KILL 的机器上面。大大简化了防病毒的管理工作。升级问题是反病毒软件的一个重要考核标准， 因此， KILL 所提供的自动简单升级方法 也是 KILL 系列产品的一个重要优势。 KILL 主动邮件服务功能，能够直接将最新升级版本 用电子邮件的方式发送到指定电子邮箱中。同时，企业内部网通过简单配置，在一台服务 器上下载升级文件便能够自动完成全域内所有计算机升级工作。即系统管理员可以将文件 服务器作为下载升级文件服务器， 当文件服务器升级文件下载成功后， KILL 会自动将升级 文件分

10、发给其他服务器和 NT 工作站；在终端用户登录到升级后的服务器时，客户端会自 动运行升级程序，从而完成客户端升级工作。整个升级工作如下图所示：入侵检测系统软件： 我们知道， Intranet的保护需要有适当的工具（比如防火墙） 。但值得注意的是，如果我们在有了适当的工具以后还缺乏必要的审核手段，仍有可能造成企业50%以上的的巨大损失。据一些着名防火墙专家的估测，在现已安装的防火墙中，大约有 防火墙实现是不当的。而造成这一现状的重要原因就是用户在配置的细节以及基本操作系 统的易受攻击上。正是由于这一原因，在网络日益成为当今公司企业赖以生存的手段的时候，它在将用 户与必要的资源相连接的同时，传输着

11、至关重要而且往往是高度敏感的信息。但是随着网 络规模的扩大、复杂性的增加，防止它们受到诸如低级协议攻击、服务器与桌面电脑入侵 之类的威胁就变得越来越困难。更有其它危险来自于通过内部网络传播的病毒和恶意小程 序。因此与往常一样，我们很有必要检测和阻止对内部服务和桌面的不合理访问以及不正 常的外部 URL。那么网络在被动保护自己不受侵犯的同时，能否采取某些技术，主动保护自身的安全 呢？入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技 术可以帮助系统对付网络攻击，扩展系统管理员的安全管理能力（ 包括安全审计、监视、进攻识别和响应 ） ，提高信息安全基础结构的完整性。它从计算

12、机网络系统中的关键点收 集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入 侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进 行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。湘计网盾入侵检测系统产品介绍应用环境： TCP/IP10/100M 以太网；兼容性：与控制台通信加密，与控制台相互认证；适用性：独立操作系统；功能描述网络监听能力：支持 10/100M 以太网监听；监听网口不绑定 IP。网络流预处理能力：支持 TCP流重组，能够监控的并发活动 TCP连接数为 60,000 以上； 支持 IP 碎片重组。协议支持与信息收集：a

13、rp 监控，收集 MAC/IP信息；general IP/TCP/UDP 流监控，能支持识别 syn-attack 、 portscan ； ICMP监控，包括 traceroute 行为、主机与端口不可达信息。行为检测：实时分析 支持基于规则匹配的内容分析； 支持各类约 1000 多个事件描述；自动通过管理端网口将事件信息传递给 Console，通信协议要支持实时流量转储的 吞吐量；根据配置，能自动实时阻断某种特征的连接，也可以根据 Console 的请求阻断某 些特征的连接；TCP RST；ICMP UNREACHAB；LEARP Takeover；管理控制 权限分级，参照公安部要求执行，

14、至少分：管理员、授权管理人员、授权用户，详见 公安部标准；集中管理 集中管理一个或多个 Sensor（ 理论上对 Sensor 无限制 ） ； 负责策略的配置； 可以对 Sensor 进行入侵库和软件的升级；规则库与规则定制 系统规则库有事件的详细说明和分级； 系统提供几套缺省入侵检测集供用户选用； 用户可以自行制定入侵检测集；用户可以自行定制入侵检测匹配规则；统计分析对一个或多个 Sensor 上传的日志进行统计分析； 能够根据日志分析并鉴别下列行为， 并生成分析日志，（同时自动将相关事件日志复制 到分析日志关联库中，以防原始事件日志被回卷） ：黑客攻击（ 35 大类， 1290 多种），并

15、能通过网络接口进行检测库和程序的升级 检测端口扫描攻击检测常见的 web 攻击对不正常的请求 icmp 报警检测利用 finger 的攻击检测利用 ftp 的攻击对少见的 ip 选项报警 检测常见的后门检测利用 RPC漏洞的攻击 检测利用缓冲区溢出的攻击根据分析结果，触发响应完善的审计、日志功能 对所有管理员操作进行记录； 对所有 Sensor 上传事件信息进行记录； 根据不同等级的事件设置各自独立的回滚存储区； 审计信息应能加密存储（需要明确：审计信息包括哪些） ；支持流行数据库报表 用直观的柱行图或饼图统计攻击的各情况；入侵响应 可以针对不同事件等级、统计分析结果等级制定不同的响应方式；

16、中断连接（通过 Sensor 执行）； 提醒系统维护，漏洞更新多种报警，通知方式Email 、声音、切断连接、记录到数据库等。四、网络安全设计和调整建议尽快与寻呼、移动网络从物理上完全分离；物理安全的保护主要网络设备和各种业务服务器的安全（包括确认防火、防盗，自 动烟雾检测系统的工作正常，以及防尘、防静电防磁、电源系统等） ；毁灭性灾难发生时的异地容灾 （从节约资金的角度， 现主要考虑数据磁带的异地备 份）；应用系统按其重要性分段，重要系统在条件允许时 尽量集中放置，以便集中实施 安全策略。维护人员的桌面机所在网段应与重要网段逻辑上隔离；针对桌面平台现状，制定规范化管理方案。统一操作系统版本并

17、安装相应的补丁。 不允许在办公用机上私自安装各种非生产用的软件。非计算机专业维护部门不允许私自拆 卸计算机设备。五、服务支持湖南计算机股份有限公司网络通信及安全事业部一直倡导与客户共同发展，客户的成 长才是我们持续发展的源动力。我们的网络安全服务主要业务如下：网络安全咨询服务： 主要通过分析用户的业务需求和现有网络结构，提出实用明确 的网络的方案，根据网络功能和业务制定完善的安全策略；制定网络安全管理制度体系： 帮助用户解决网络中由于制度和结构导致的问题，设 计网络安全整体解决方案和建立网络安全管理制度体系，根据实际安全需要和客户预算， 增加和配置网络安全产品。安全产品集成与网络安全技术服务：

18、 在用户网络安全建设中，网络安全相关的软硬 件建设是一个很重要的环节。我们精心选择了部分网络安全产品提供商结成战略合作伙 伴，能够向用户提供全方位、成系列的网络安全解决方案及定期与不定期相结合的完善周 到的网络安全技术服务， 帮助拥护了解自身网络的安全状况， 消除用户网络中潜在的隐患， 提高用户网络安全等级。应用系统安全评估：安全是一个系统的工程，整体安全评估和安全规划服务的目的是对客户的安全工程建设有 一个整体上的把握并且提供针对性的建议。* 整体安全评估和安全规划* 主机安全评估* 即时漏洞报告网络安全知识培训： 提供网络安全知识普及培训、 网络安全管理人员培训等培训服务。* 网络安全知识

19、普及培训* 网络安全管理人员培训六、附录1、 Kill 与其他同类产品比较KILLNorton公司中国公安部和全球第二大软件公司冠群电脑国际着名安全产品公背景（CA）合资成立冠群金辰软件有限公司。本地司，产品在国外开发，及技化的研发队伍，融合 CA 的世界级先进技术，销售、服务由国内总代术实开发出适合国内用户的 KILL 系列国产安全产理负责。力品。公司直接负责产品生产、 销售和技术服务。防病全中文操作界面，非常适合国内用户使用所有产品中文操作界毒产面，适合国内用户使用。品网络防病毒基本性能系统比较其他同类产品对系统资源占用较少，用中文产品占用系统资源资源户还可以根据实际使用情况调配系统资源占

20、较多，有时会严重影响系占用有率，确保查杀病毒过程不会影响用户系统统的运行速度和用户应率的使用。用程序的运行。查、杀依靠北京冠群金辰公司在国内与国际上建立只有国外的病毒监测网，病毒的独一无二的病毒监测网，及时收集国内和查、杀国产病毒的能力逊能力国际出现的最新病毒， 使 KILL 能及时为用户于国产杀毒软件。提供新型病毒的解决方案，在查、杀病毒，尤其是国产病毒方面优于国外产品。自动KILL 可以自动修复被蠕虫病毒等修改的系统无修复注册表信息，清毒更彻底。注册表自动KILL 可以自动删除由病毒产生的特洛伊木马只能由用户手工删除删除程序，清毒更彻底，完全自动化特洛伊木马程序网络防病毒产品总体服务器和客

21、户端可以集中管理，安装、配服务器和客户端可以集中管特点置操作简单、方便。理，但安装、配置较复杂。安一点安装，处处安装Windows NT 的机器安装可以装Windows NT/2000 的机器安装可以在一台在一台机器上通过远程安装方机器上通过远程安装来统一完成。来统一完成。对于 Win98/95式Win98/95 客户端软件可以在用户登录服客户端用户首先要手动从服务器时自动安装完成，不需要用户干预。务器下载并安装客户端代理也就是说， 可以在一台机器上完成对整个程序（ Agent ）， Win98/95 软网络中所有计算机的安装。件可以通过分发，或在用户登录服务器时自动安装完成。客户端的安装不能

22、完全自动化。管理 系 统支持。自动探测进行管理。可以进行分布式（分级）集中管理， 适合大型机构 / 企业管理模式的要求，管 理方式灵活、多样。通过 KILL 管理服务器， 对网络中所有 计算机进行集中分布式管理， 并基于策略 实施管理。网络管理员可以在网络中任意 NT/2000 机器上进行远程管理控制，制定 网络防病毒策略。在发现病毒后的管理方面， KILL 网络 版具有 跟踪 病毒源获取详细的信息并采 取隔离 的措施来防止该用户的进一步操 作，从而保证网络安全。可以跨平台管理， KILL 网络版可以管 理 Unix 、 NetWare 的网络防病毒。通过“控制中心”进行 控制。网络管理员在安

23、装了 “防病毒控制中心” 的 NT服 务器上进行防病毒的配置操 作、管理控制。病自动多级分发升级系统：网络升级分发功能与其安装毒网络版的升级可以由一台服务器下载方式一样，在服务器上要安库最新的 升级文件， 然后分 发到其他的装“控制程序”，在 Win98/95升NT/2000/9X/ME 的机器上。设置好的分发客户端安装客户端代理程序级系统，由 KILL 自动控制完成，不需要用（ Agent ）。户干预。完全自动增量升级。网具备升级校验功能。 即：先试验， 后运行。没有升级容错校验功能。络在自动升级过程中， 下载来的升级文目前国内因特网的传输质量升件先在本机进行升级试验， 如果升级成功很差，用

24、户在下载升级文件级则进行下一步的分发和自动升级工作。 如时，经常产生错误，下载的容果发现升级过程有误， 则自动重新下载升文件内容有错或不完整，不错级文件，然后再一次进行试验，直到升级进行校验就强行将升级文件成功为止，然后进行下一步的升级过程。进行分发，就会对网络产生不安全的因素，对用户的网络运行构成威胁。技术服务技术本地研发中心，厂家直接负责行业售前、售后国外研发中心，售前、支持技术服务与支持售后技术服务由本地总代理负责客户全国授权服务网全国授权经销商服务主动邮件服务网上病毒码更新和升级特殊服务成立专为行业用户提供支持的技术小组，可以随时进行全方位的技术维护和支持。2、 方正方御防火墙与主要竞

25、争对手产品比较3、加密支持公司名称支持的 VPN加密标准产湘品计类网型（盾路与由主器要、软竞件争、对硬手接口接口产品名称除硬了件VP/ N软之件外，加密的其他提供基于硬件的加密列出基支于持主的机LAN接口类型（以太服网认务/证F基D器支于D平持I主等台机） 协支议持支的持认证类型 协议系支统持结构 控制建台立操V作PN系通统道及的硬协议 件需支求持视频会议协议 传感器操作系统及硬 件需支求持VLAN的TRUN协K防火墙产品比较表方正数码使用 IPSEC技产术F品进G比2行较隧道产通硬品讯件比，设较备使用3DES技 术 等湘计10/100Base解密口ID，、S外程管内理网DMZ口和控制口）专以

26、用是太加网密硬专否用平台客户认证可 传感以器使/ 控用制多台种Pentium，6户4M支可内持存以，自10行0M议 机架式设定网设号络支、定设持密被监列控出端支的持操的作认系证统标准 平台操作性和 CA互Wind?oXw.5s0 29000/NT10/100M 以太网东大阿尔派 未知NetEye 2.0硬件CA eT三rust I个ntr 管理远程10/100Base?专用加密硬件 以太网专用平台 专用北京天融信DES，3DES，MD5， RNCG4，FWR3S0A，00国家许 可硬专件用算法sion 三Detection 个 远程管理 软件10/100Base 专用加密硬件 以是太网专用平台

27、OTP，RADIUS传感器 / 控制台空间支持 Pentium，64M不内支存持， 100M空间Windows NT/ 支持 Pentium ，64?无?95/98/2K ，166MHzM内存， 200M空间WindowXs. 59059/98/NT10/100M 以太网， FDDI，令牌环管理网口与监听网口分离监听网口不带 IP 地址TCP流重组监控的 TCP连接数12000IP 碎片重组8462分析的协议TCP/IPTCP/IP, UDP/IP分析的高层应用协议HTTP, FTP, telnet, SNMP,SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, fi

28、nger, ICMP 等HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP 等中断 TCP连接是是发送 ICMP不可达是是攻击特征数1290条1000条抗针对 IDS 的 DoS攻击是通信加密是是传感器和控制台互相认证是是支持实时警告通知是是提供创建规则的工 具创建自定义的监 控模块以检查某些 类型的数据包是是防止未经授权访问文件或试图获得超级用户的控制是是检测来自多个位置的多个攻击是是检测网络层 / 基于包的攻击（如 DoS）是是4、 湖南计算机股份有限公司简介湖南计算机股份有限公司一家大型

29、高科技股份制上市公司，是以科研开发、生产、经 营计算机（含军品）和应用系统集成的综合性高科技企业集团，是信息产业部部属企业， 1997 年被国务院定为国家重点企业， 1994 年荣获 ISO9002 质量体系认证， 1997 年荣获 ISO9001、GJB/Z9001 质量体系认证。目前公司拥有总资产 15.2 亿元， 2001 年销售额 12 亿，其中计算机信息系统集成达 3.2 亿元，利税 8000 多万元。公司现有职工 860 多人，专业技术人员占 62%，拥有近百项国家专利。本公司技术中 心 99 年被省经贸委认定为省级企业技术中心，正在申报国家级认定企业中心，本公司从 事科研开发的

30、500人中， 95%以上具有本科学历，由 11名博士、 86 名硕士和 60多名高级 工程师来主持和组织各种硬件产品和应用系统、操作系统的研制、开发和推广。目前湘计 算机已发展成为 IT 外设、应用系统集成、基础元器件、军用计算机四大支柱产业并驾齐 驱的高科技企业集团。公司 2001 年获省级信息工程一级资质证书，正在申报计算机信息系统集成国家一级 资质认证， 已通过湖南省涉及国家秘密计算机信息系统集成资质审查。 2001年被信息产业 部定为国家重点软件企业（共 120 家）。公司成功的工程案例有：代理业务综合平台、电信业管理计费解决方案、移动 2000 移动电话综合业务管理系统、外交部全球文件传输系统（涉及 200 多个使领馆）、公安部 九局多媒体网络工程、公安部边防检查管理信息系统、公安部进口汽车核查信息系统等几 十项涉及企业、电信、广电、金融、教育、政府等行业系统集成项目，系统集成经验丰富， 并能提供及时的现场服务。