第一篇:論電信網(wǎng)絡(luò)安全管理
論電信網(wǎng)絡(luò)安全管理
摘 要:電信網(wǎng)絡(luò)的安全狀況直接影響著金融、交通、能源等基礎(chǔ)設(shè)施的正常運(yùn)行。盡管目前國(guó)內(nèi)電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全,但安全問(wèn)題仍不容忽視,因?yàn)橛绊戨娦啪W(wǎng)絡(luò)安全的因素是多方面的。電信企業(yè)應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合,搭建深層防御安全體系。
關(guān)鍵詞:電信網(wǎng)絡(luò);電信網(wǎng)絡(luò)安全;電信運(yùn)營(yíng)商
電信已經(jīng)深入到人類生活的方方面面,和日常生活的結(jié)合越來(lái)越緊密。世界各國(guó)也將電信業(yè)的發(fā)展上升到國(guó)家戰(zhàn)略的角度,通過(guò)發(fā)展電信業(yè)和信息行業(yè)來(lái)推動(dòng)國(guó)家發(fā)展。在這個(gè)大背景下,電信網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家安全的層面。
狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性,按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面;廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面,在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面,幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。
從20世紀(jì)90年代至今,我國(guó)電信行業(yè)取得了跨越式發(fā)展。經(jīng)過(guò)十幾年的建設(shè),目前我國(guó)電信固定網(wǎng)和移動(dòng)網(wǎng)的規(guī)模均居世界第一,網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信服務(wù)幾乎已經(jīng)滲透到我國(guó)所有地區(qū)、所有行業(yè)、所有不同階層的 群體,而且已經(jīng)融入到了老百姓的日常生活中。同時(shí),隨著信息技術(shù)在我國(guó)的廣泛運(yùn)用,信息系統(tǒng)已經(jīng)成為金融、交通、能源等基礎(chǔ)設(shè)施的神經(jīng)中樞。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運(yùn)行。正是由于存在這種依賴性,電信網(wǎng)一旦出現(xiàn)重大事故,將可能嚴(yán)重影響國(guó)民經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定。可以這么說(shuō),電信網(wǎng)已經(jīng)和電力設(shè)施一樣,成為所有基礎(chǔ)設(shè)施的基礎(chǔ)之一。隨著信息化的進(jìn)一步推進(jìn),社會(huì)對(duì)電 信網(wǎng)的依賴性還會(huì)越來(lái)越強(qiáng)。因此,我們應(yīng)該關(guān)注電信 網(wǎng)的安全問(wèn)題,研究應(yīng)對(duì)措施,做到未雨綢繆。
一、我國(guó)電信網(wǎng)絡(luò)安全的現(xiàn)狀
目前,國(guó)內(nèi)電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建 設(shè),幾大運(yùn)營(yíng)商都針對(duì)自己的網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立 了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。
中國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。在2000年,原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性,并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門,著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。這個(gè)安全保障體系分為管理體系和技術(shù)體系。在管理體系中,包括組織體系、策略體系和保障的機(jī)制,依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn),單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此,建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái),也就是SOC平臺(tái),形成了手段保障、技術(shù)保 障和完備的技術(shù)管理體系,以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。目前SOC已經(jīng)進(jìn)入系統(tǒng)建設(shè)的試點(diǎn)階段。這個(gè)系統(tǒng)通過(guò)幾個(gè)模塊協(xié)同工作,來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控,完成對(duì)網(wǎng)絡(luò)安全工作處理過(guò)程中的支撐,還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。
中國(guó)移動(dòng)的網(wǎng)絡(luò)與信息安全保障體系NISS,對(duì)于涉及公司的所有信息資產(chǎn),包括通信網(wǎng)、業(yè)務(wù)支撐系統(tǒng)、網(wǎng)絡(luò)部、市場(chǎng)部、財(cái)務(wù)部、研發(fā)部、人力等各種重要信息進(jìn)行保護(hù)。這個(gè)系統(tǒng)在2005年8月份,狙擊波病毒來(lái)襲的時(shí)候發(fā)揮了重要作用。
中國(guó)網(wǎng)通的網(wǎng)絡(luò)安全建設(shè)重點(diǎn)在其寬帶網(wǎng)絡(luò)上。其建立的信息安全管理體系(ISMS),包括組織管理、技術(shù)保障、運(yùn)作保障三個(gè)子體系,在網(wǎng)絡(luò)層面上對(duì)總部大網(wǎng)(CHINA169+CNCNET)100多臺(tái)骨干網(wǎng)設(shè)備和核心網(wǎng)管系統(tǒng)進(jìn)行加固。建設(shè)SAN網(wǎng)絡(luò),安全事件存儲(chǔ)可以利用現(xiàn)有存儲(chǔ)系統(tǒng),實(shí)現(xiàn)集中存儲(chǔ),方便擴(kuò)展,對(duì)異常流量系統(tǒng)和垃圾郵件系統(tǒng)的建設(shè)在進(jìn)一步完善,對(duì)機(jī)房環(huán)境、動(dòng)力電源系統(tǒng)進(jìn)行規(guī)范管理,對(duì)全網(wǎng)的路由安全策略進(jìn)行管理,等等。
然而,網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開(kāi)放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等,造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開(kāi)放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中,安全問(wèn)題更加暴露。從狹義的網(wǎng) 絡(luò)安全層面看,隨著攻擊技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易,對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易;而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛,這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看,業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡(luò)安全的因素。
二、影響電信網(wǎng)絡(luò)安全的因素
進(jìn)入21世紀(jì)以來(lái),電信領(lǐng)域的新技術(shù)、新業(yè)務(wù)、新情況不斷出現(xiàn),電信網(wǎng)與互聯(lián)網(wǎng)的融合趨勢(shì)日益明顯,電信體制改革不斷推進(jìn),形成由多運(yùn)營(yíng)商組成的競(jìng)爭(zhēng)格局。這些情況的出現(xiàn),使原有的電信網(wǎng)絡(luò)安全保障體系面臨新的挑戰(zhàn)。
1、互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來(lái)新的安全威脅
傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離,完全由運(yùn)營(yíng)商控制,電信用戶無(wú)法進(jìn)入。此外,每個(gè)用戶都有一個(gè)唯一的號(hào)碼,用戶的身份是明確的。這種機(jī)制有效地避免了電信用戶非法進(jìn)人網(wǎng)絡(luò)控制系統(tǒng),保障了網(wǎng)絡(luò)安全。
IP電話的用戶信息和控制信息都在IP包中傳送。IP電話引人后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信用戶的信息不再與控制信息隔離,電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上,因此TCP/IP協(xié)議面臨的所有安全問(wèn)題都有可能引入傳統(tǒng)電信網(wǎng),如病毒、黑 客攻擊、非法入侵等,由此可能帶來(lái)電信網(wǎng)絡(luò)中斷甚至癱瘓、拒絕服務(wù)攻擊、非法存取信息、話費(fèi)詐欺或竊聽(tīng)等一系列新問(wèn)題。IP電話的主叫用戶號(hào)碼不在IP包中傳送,因此一旦出現(xiàn)不法行為,無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān),確認(rèn)這些用戶的身份需要費(fèi)一番周折,加大了打擊難度。
2、新技術(shù)、新業(yè)務(wù)的引入,給電信網(wǎng)的安全保障帶來(lái)不確定因素
近年來(lái),電信新技術(shù)不斷涌現(xiàn),新業(yè)務(wù)層出不窮。NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見(jiàn)的,如提高了網(wǎng)絡(luò)的利用效率,增加了網(wǎng)絡(luò)的靈活性,降低了網(wǎng)絡(luò)的建設(shè)和運(yùn)行維護(hù)成本等。但從網(wǎng)絡(luò)安全方面看,如果采取的措施不當(dāng),NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外,3G、WiMAX、IPI-V等新技術(shù)、新業(yè)務(wù)的引入,都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。尤其需要指出的是,隨著寬帶接人的普及,用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng),導(dǎo)致每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡(luò)群,其拒絕服務(wù)攻擊的破壞力將可能十分巨大。
3、運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合,網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)
1998年以來(lái),我國(guó)出臺(tái)了一系列針對(duì)電信行業(yè)的重大改 革措施,如政企分離、企業(yè)拆分等。目前,我國(guó)有中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通、中國(guó)網(wǎng)通以及中國(guó)鐵通和中國(guó)衛(wèi)通6家基礎(chǔ)電信運(yùn)營(yíng)企業(yè)。應(yīng)該說(shuō),這些改革措施極大加快了我國(guó)電信行業(yè)的發(fā)展,目前我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備,電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面,原來(lái)由行業(yè)主管部門對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè),現(xiàn)在由各個(gè)運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè),行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問(wèn)題,不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問(wèn)題。此外,軍隊(duì)與地方之間的網(wǎng)絡(luò)銜接配合問(wèn)題也需要協(xié)調(diào)落實(shí)。
4、相關(guān)法規(guī)尚不完善,落實(shí)保障措施缺乏力度 隨著電信網(wǎng)基礎(chǔ)性地位的日益顯現(xiàn),應(yīng)該通過(guò)立法來(lái)明確其安全保障工作,這樣才能保證對(duì)攻擊、破壞電信網(wǎng)行為有足夠的懲罰力度。當(dāng)前我國(guó)《電信法》還沒(méi)有出臺(tái),《信息安全法》還處于研究過(guò)程中。現(xiàn)有的與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備,且缺乏操作性,導(dǎo)致有關(guān)部門在具體工作中沒(méi)有足夠的法律依據(jù)對(duì)破壞網(wǎng)絡(luò)安全的行為進(jìn)行制裁。
此外,在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面,也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位,更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開(kāi)發(fā)、市場(chǎng)份額和投資回報(bào),把經(jīng)濟(jì)效益 放在首位,網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。
三、保障電信網(wǎng)絡(luò)安全的技術(shù)手段
針對(duì)特殊信息安全當(dāng)前的形勢(shì),電信企業(yè)要做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合,搭建具有主動(dòng)防御能力的深層防御安全體系。
1、發(fā)散性的技術(shù)方案設(shè)計(jì)思路
在采用電信行業(yè)安全解決方案時(shí),首先需要對(duì)關(guān)鍵資源進(jìn)行定位,然后以關(guān)鍵資源為基點(diǎn),按照發(fā)散性的思路進(jìn)行安全分析和保護(hù),并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。
2、網(wǎng)絡(luò)層安全解決方案
網(wǎng)絡(luò)層安全主要是基于以下幾點(diǎn)考慮:控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn);劃分并隔離不同安全域;防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作。
我們可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域,即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域,在這兩大區(qū)域之間需要進(jìn)行安全隔離。在關(guān)鍵服務(wù)器區(qū)域內(nèi)部,也同樣需要按照安全級(jí)別的不同進(jìn)行安全隔離。與此同時(shí),還應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要,與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合,在系統(tǒng)中建立 一個(gè)完善的安全體系,包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御,系統(tǒng)訪問(wèn)控制,網(wǎng)絡(luò)入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強(qiáng)系統(tǒng)的總體可控性。
3、網(wǎng)絡(luò)層方案配臵
在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)(如,冠群金辰公司的干將/莫邪入侵檢測(cè)系統(tǒng))產(chǎn)品,將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPAN Port),用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包,并可在關(guān)鍵網(wǎng)段內(nèi)配臵含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。
4、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配臵方案
由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu),兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個(gè)充分利用了Intra—net技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò),它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范,并在中央安全管理平臺(tái)上部署中央管理控制臺(tái),對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。
5、系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描
系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購(gòu)買其他的系統(tǒng)/數(shù)據(jù)庫(kù)漏洞掃描工 具。
[參考文獻(xiàn)] [1]信息產(chǎn)業(yè)部電信管理局.電信網(wǎng)絡(luò)與信息安全管理[M],北京:
人民郵電出版社.2004:215—228.
[2]諾盛電信咨詢,電信網(wǎng)絡(luò)安全[EB/OL].(2006—06—21)[2007 一O1一O5].http://www.tmdps.cn/news/review/story/0,3800057985,39451650,00.htm.
[3]陳綱.保障電信網(wǎng)絡(luò)安全的五項(xiàng)措施[N/0L],通信產(chǎn)業(yè)報(bào),(2003一O9—28)[2007一Ol—O6].http://industry.ceidnet.corn/
ar 238/20o30928/65782 1.htIrI1.
第二篇:淺談電信網(wǎng)絡(luò)安全
一、選題的依據(jù)及意義:
老師在課堂也也時(shí)刻點(diǎn)明這我們這個(gè)是隨著互聯(lián)網(wǎng)的興起的時(shí)代,而我們這些IT人又面臨著更新一步的IT技術(shù)。面對(duì)TCP/IP協(xié)議簇的采用,各種應(yīng)用層出不窮,傳統(tǒng)的固定網(wǎng)、移動(dòng)網(wǎng)與互聯(lián)網(wǎng)的聯(lián)系越來(lái)越緊密。有線、無(wú)線等各種接入方式不斷推出,企業(yè)網(wǎng)、ISP、ICP、個(gè)人電腦等都以不同的方式與互聯(lián)網(wǎng)等網(wǎng)絡(luò)相聯(lián)。這樣,雖然用戶使用方便了,但網(wǎng)絡(luò)安全問(wèn)題的威脅也增加了,往往一個(gè)點(diǎn)或一個(gè)地方的問(wèn)題會(huì)影響到其他地方、其他網(wǎng)絡(luò),甚至多個(gè)網(wǎng)絡(luò)。
同時(shí),我在外面所報(bào)名的華三H3C的NE課程中也認(rèn)識(shí)到網(wǎng)絡(luò)安全問(wèn)題的重要性:當(dāng)前,威脅網(wǎng)絡(luò)安全的主要有木馬程序病毒、蠕蟲(chóng)病毒、電子郵件攻擊、Web攻擊、軟件漏洞、系統(tǒng)漏洞、拒絕服務(wù)(DoS)攻擊、IP地址欺騙、即時(shí)通信攻擊、端到端攻擊、緩沖溢出等。
從上述威脅網(wǎng)絡(luò)的種種可以看出,黑客與病毒的目的不外呼是破壞系統(tǒng)和竊取信息。面對(duì)這一形勢(shì),目前電信網(wǎng)絡(luò)如何增強(qiáng)其安全性呢?
二、本課題研究?jī)?nèi)容:
首先我們就先來(lái)看互聯(lián)網(wǎng)和電信網(wǎng)的特點(diǎn):
電信網(wǎng)絡(luò)的特點(diǎn)
傳統(tǒng)的電信網(wǎng)絡(luò)(PSTN)是基于電路交換的方式,面向連接,網(wǎng)絡(luò)QoS有保證。其網(wǎng)絡(luò)的安全性體現(xiàn)在網(wǎng)絡(luò)的可靠性和可用性,網(wǎng)絡(luò)的可靠性涵蓋了傳輸系統(tǒng)和相應(yīng)的設(shè)備,可靠性的指標(biāo)很高,設(shè)備間的連接電路也有相同的可靠性要求,并且還設(shè)計(jì)了冗余備份和保護(hù)倒換等技術(shù)來(lái)進(jìn)一步保證系統(tǒng)的可靠性。
PSTN對(duì)用戶的信息是透明的,網(wǎng)絡(luò)保證不對(duì)用戶信息進(jìn)行任何的修改和破壞。用戶信息也不會(huì)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備構(gòu)成任何沖擊和危害。
PSTN的網(wǎng)絡(luò)安全還包含運(yùn)營(yíng)網(wǎng)絡(luò)不得隨意使用加密技術(shù),而對(duì)于個(gè)人用戶的私人保密是以不危及國(guó)家安全為限的。在傳統(tǒng)的電信網(wǎng)中,用戶數(shù)據(jù)加密是有規(guī)定的,普通用戶數(shù)據(jù)是不準(zhǔn)加密的,商密用戶,普密用戶,絕密用戶可以使用密碼技術(shù)加密,但必需經(jīng)過(guò)相關(guān)部門批準(zhǔn)。
互聯(lián)網(wǎng)的特點(diǎn)
互聯(lián)網(wǎng)是基于分組交換的方式,面向無(wú)連接,網(wǎng)絡(luò)QoS保證較差。互聯(lián)網(wǎng)又可稱為IP網(wǎng),傳統(tǒng)的PSTN網(wǎng)由于是面向連接,一條鏈路要么接通,要么不通,問(wèn)題容易發(fā)現(xiàn)也容易解決。而IP網(wǎng)是無(wú)連接的,其網(wǎng)絡(luò)的路由和流量分配都是隨機(jī)的,不同的流量分配帶來(lái)的網(wǎng)絡(luò)效率也不一樣。IP網(wǎng)絡(luò)攻擊源無(wú)處不在,難以追蹤和查找,使IP網(wǎng)絡(luò)維護(hù)的復(fù)雜性大大增加。
近年來(lái),由于互聯(lián)網(wǎng)的迅猛發(fā)展,新業(yè)務(wù)及傳統(tǒng)業(yè)務(wù)的迅速IP化,終端設(shè)備的智能化,網(wǎng)絡(luò)規(guī)模越來(lái)越大,網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越突出,加上互聯(lián)網(wǎng)的不可管理,不可控制,網(wǎng)絡(luò)只保證通達(dá),而把安全問(wèn)題交給了用戶的一些網(wǎng)絡(luò)設(shè)計(jì)中,這樣就進(jìn)一步惡化。上面所談的一些威脅安全的種類都是由于互聯(lián)網(wǎng)及其業(yè)務(wù)的發(fā)展所引起的。而當(dāng)今互聯(lián)網(wǎng)已把PSTN和移動(dòng)網(wǎng)緊密地聯(lián)系起來(lái)了,如VoIP業(yè)務(wù)的迅猛發(fā)展更是和每個(gè)網(wǎng)絡(luò)有關(guān)系。這樣上述的網(wǎng)絡(luò)安全的種種自然也帶給了電信網(wǎng)絡(luò)。
從客觀來(lái)講二者之間的差異一目了然,可二者的技術(shù)關(guān)聯(lián)是密不可分的。互聯(lián)網(wǎng)和電信網(wǎng)的普遍性、加密性、覆蓋面廣決定了我們所依賴此類網(wǎng)絡(luò)的前提。下面我們談?wù)勂浞婪叮?/p>
網(wǎng)絡(luò)安全的防范
網(wǎng)絡(luò)安全的防范是一個(gè)體系和系統(tǒng),必需協(xié)調(diào)法律,技術(shù)和管理三個(gè)方面。要集成防護(hù),監(jiān)測(cè),響應(yīng),恢復(fù)等多種技術(shù)。
網(wǎng)絡(luò)安全的防范是通過(guò)各種計(jì)算機(jī),網(wǎng)絡(luò),密碼和信息安全技術(shù),保護(hù)在網(wǎng)絡(luò)中傳輸,交換和存儲(chǔ)信息的機(jī)密性,完整性和真實(shí)性,并對(duì)信息的傳播及內(nèi)容進(jìn)行控制。
網(wǎng)絡(luò)按全的防范從技術(shù)層次上看,主要有防火墻技術(shù),入侵監(jiān)測(cè)(IDS/IPS,IPS可以做到一手檢測(cè),一手阻擊)技術(shù),數(shù)據(jù)加密技術(shù)和數(shù)據(jù)恢復(fù)技術(shù),此外還有安全協(xié)議,安全審計(jì),身份認(rèn)證,數(shù)字簽名,拒絕服務(wù)等多種技術(shù)手段。這里特別需要指出的是防火墻,防病毒和安全協(xié)議的技術(shù)。防火墻守住網(wǎng)絡(luò)門戶,防病毒是網(wǎng)絡(luò)的第一把保護(hù)傘,安全協(xié)議提供了身份鑒別,密鑰分配,數(shù)據(jù)加密,防信息重傳,以及通信雙方的不可否認(rèn)性等重要功能。
三、研究目標(biāo)、主要特色及工作進(jìn)度:這里的電信網(wǎng)包括電信,移動(dòng)等運(yùn)營(yíng)商的固定網(wǎng)和移動(dòng)網(wǎng),以及專門供運(yùn)營(yíng)商使用的專用網(wǎng),如DCN(數(shù)據(jù)通信網(wǎng))等。電信網(wǎng)絡(luò)的安全保障可從以下幾方面考慮:
1.在電信網(wǎng)絡(luò)各節(jié)點(diǎn)處構(gòu)筑防御(如防火墻),防止外網(wǎng)影響內(nèi)網(wǎng)。這里說(shuō)的節(jié)點(diǎn)就是與其他各種網(wǎng)絡(luò)連接的地方,除固定網(wǎng)與移動(dòng)網(wǎng)外,還有ISP,ICP,企業(yè)網(wǎng),個(gè)人電腦等許多終端設(shè)備。
2.建立一個(gè)統(tǒng)一,完善的安全防護(hù)體系,該體系不僅包括防火墻,網(wǎng)關(guān),防病毒及殺毒軟件等產(chǎn)品,還有對(duì)運(yùn)營(yíng)商安全保障的各種綜合性服務(wù)措施,通過(guò)對(duì)網(wǎng)絡(luò)的管理和監(jiān)控,可以在第一時(shí)間發(fā)現(xiàn)問(wèn)題,解決問(wèn)題,防患于未然。
3.在互聯(lián)網(wǎng)日益廣泛應(yīng)用的今天,為保障電信網(wǎng)絡(luò)的安全,必需樹(shù)立全程安全的觀念。全程安全就是在安全的每個(gè)過(guò)程中,如物理層,網(wǎng)絡(luò)層,接入終端,服務(wù)層面,人員管理等每個(gè)和安全有關(guān)的過(guò)程都要添加相應(yīng)的安全措施,并且還要考慮安全隨時(shí)間變化的因素,也就是說(shuō),無(wú)論用戶在任何特定的時(shí)間,用戶的安全性都能得到保障。
4.需要建立安全管理機(jī)制。例如,口令管理;各種密鑰的生成,分發(fā)與管理;全網(wǎng)統(tǒng)一的管理員身份鑒別與授權(quán);建立全系統(tǒng)的安全評(píng)估體系;建立安全審計(jì)制度;建立系統(tǒng)及數(shù)據(jù)的備份制度;建立安全事件/安全報(bào)警反應(yīng)機(jī)制和處理預(yù)案;建立專門的安全問(wèn)題小組和快速響應(yīng)體系的運(yùn)作等。為了增強(qiáng)系統(tǒng)的防災(zāi)救災(zāi)能力,應(yīng)制定災(zāi)難性事故的應(yīng)急計(jì)劃,如緊急行動(dòng)方案,資源(硬件,軟件,數(shù)據(jù)等)備份及操作計(jì)劃,系統(tǒng)恢復(fù)和檢測(cè)方法等。
5.建立專門的數(shù)據(jù)容災(zāi)系統(tǒng)。其內(nèi)容主要是數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)。數(shù)據(jù)容災(zāi)是指建立一個(gè)異地的數(shù)據(jù)系統(tǒng),該系統(tǒng)是本地關(guān)鍵應(yīng)用的一個(gè)實(shí)時(shí)復(fù)制,當(dāng)本地?cái)?shù)
據(jù)及整個(gè)應(yīng)用系統(tǒng)發(fā)生災(zāi)難時(shí),系統(tǒng)至少在異地保存一份可用的關(guān)鍵業(yè)務(wù)的數(shù)據(jù)。應(yīng)用容災(zāi)是在數(shù)據(jù)容災(zāi)的基礎(chǔ)上在異地建立一套完整的,與本地相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng)(可以互為備用),在遇到災(zāi)難時(shí),遠(yuǎn)程系統(tǒng)迅速接管業(yè)務(wù)運(yùn)行。
2、主要特色:網(wǎng)絡(luò)管理是電信網(wǎng)絡(luò)運(yùn)營(yíng)商的重要手段之一。它監(jiān)控網(wǎng)絡(luò)話務(wù)量及路由繁忙的情況,以及設(shè)備及鏈路的可靠運(yùn)行。網(wǎng)絡(luò)管理在網(wǎng)絡(luò)內(nèi)部安全方面具有先天的優(yōu)勢(shì),它可以通過(guò)對(duì)網(wǎng)絡(luò)流量發(fā)生異常的分析及深度檢測(cè),對(duì)IP數(shù)據(jù)進(jìn)行截獲,發(fā)現(xiàn)已知及未知的新型侵入者。通過(guò)網(wǎng)絡(luò)管理中增加的安全手段還可對(duì)多數(shù)安全設(shè)備顧及不到的4-7 層的內(nèi)容安全與網(wǎng)絡(luò)行為的法律取證等采取有效措施。因此,網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全管理相結(jié)合將使電信運(yùn)營(yíng)商能更有效地保障電信網(wǎng)絡(luò)的安全。
第三篇:電信網(wǎng)絡(luò)安全及防護(hù)
電信網(wǎng)絡(luò)安全及防護(hù)
摘 要:電信網(wǎng)絡(luò)的安全問(wèn)題不容忽視。分析了電信網(wǎng)絡(luò)安全現(xiàn)狀,指出了影響電信網(wǎng)絡(luò)安全的主要因素,并從技術(shù)角度提出了防護(hù)措施。
關(guān)鍵詞:電信;網(wǎng)絡(luò)安全;技術(shù)防護(hù)
從20世紀(jì)90年代至今,我國(guó)電信行業(yè)取得了跨越式發(fā)展,電信固定網(wǎng)和移動(dòng)網(wǎng)的規(guī)模均居世界第一,網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面,和日常生活的結(jié)合越來(lái)越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運(yùn)行。加強(qiáng)電信網(wǎng)絡(luò)的安全防護(hù)工作,是一項(xiàng)重要的工作。筆者結(jié)合工作實(shí)際,就電信網(wǎng)絡(luò)安全及防護(hù)工作做了一些思考。電信網(wǎng)絡(luò)安全及其現(xiàn)狀
狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性,按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面;廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面,在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面,幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。
電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建設(shè),針對(duì)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年,原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性,并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門,著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中,包括組織體系、策略體系和保障的機(jī)制,依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn),單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此,建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái),也就是SOC平臺(tái),形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系,以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。這個(gè)系統(tǒng)通過(guò)幾個(gè)模塊協(xié)同工作,來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控,完成對(duì)網(wǎng)絡(luò)安全工作處理過(guò)程中的支撐,還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。
然而,網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開(kāi)放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等,造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開(kāi)放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中,安全問(wèn)題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看,隨著攻擊技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易,對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易;而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛,這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看,業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡(luò)安全的因素。電信網(wǎng)絡(luò)安全面臨的形勢(shì)及問(wèn)題
2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來(lái)新的安全威脅
傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離,完全由運(yùn)營(yíng)商控制,電信用戶無(wú)法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng),保障了網(wǎng)絡(luò)安全。IP電話引入后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上,TCP/IP協(xié)議面臨的所有安全問(wèn)題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號(hào)碼不在IP包中傳送,一旦出現(xiàn)不法行為,無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān),確認(rèn)這些用戶的身份需要費(fèi)一番周折,加大了打擊難度。
2.2 新技術(shù)、新業(yè)務(wù)的引入,給電信網(wǎng)的安全保障帶來(lái)不確定因素
NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見(jiàn)的,但從網(wǎng)絡(luò)安全方面看,如果采取的措施不當(dāng),NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外,3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入,都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。特別是隨著寬帶接入的普及,用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng),每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡(luò)群,其拒絕服務(wù)攻擊的破壞力將可能十分巨大。2.3 運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合,網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)
目前,我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備,電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面,原來(lái)由行業(yè)主管部門對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè),現(xiàn)在由各運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè),行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問(wèn)題,不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問(wèn)題。
2.4 相關(guān)法規(guī)尚不完善,落實(shí)保障措施缺乏力度
當(dāng)前我國(guó)《電信法》還沒(méi)有出臺(tái),《信息安全法》還處于研究過(guò)程中,與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備,且缺乏操作性。在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面,也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位,更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開(kāi)發(fā)、市場(chǎng)份額和投資回報(bào),把經(jīng)濟(jì)效益放在首位,網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。電信網(wǎng)絡(luò)安全防護(hù)的對(duì)策思考
強(qiáng)化電信網(wǎng)絡(luò)安全,應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合,著重考慮以下幾方面。
3.1 發(fā)散性的技術(shù)方案設(shè)計(jì)思路
在采用電信行業(yè)安全解決方案時(shí),首先需要對(duì)關(guān)鍵資源進(jìn)行定位,然后以關(guān)鍵資源為基點(diǎn),按照發(fā)散性的思路進(jìn)行安全分析和保護(hù),并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。
3.2 網(wǎng)絡(luò)層安全解決方案
網(wǎng)絡(luò)層安全要基于以下幾點(diǎn)考慮:控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn);劃分并隔離不同安全域;防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域,即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域,在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時(shí),應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要,與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合,在系統(tǒng)中建立一個(gè)完善的安全體系,包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御,系統(tǒng)訪問(wèn)控制,網(wǎng)絡(luò)入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強(qiáng)系統(tǒng)的總體可控性。
3.3 網(wǎng)絡(luò)層方案配置
在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)產(chǎn)品,將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort),用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包,并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。
3.4 主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案
由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu),兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個(gè)充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò),它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范,并在中央安全管理平臺(tái)上部署中央管理控制臺(tái),對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。
3.5 系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描
系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購(gòu)買其他的系統(tǒng)/數(shù)據(jù)庫(kù)漏洞掃描工具。
第四篇:基于電信企業(yè)網(wǎng)絡(luò)安全策略
網(wǎng)絡(luò)教育學(xué)院
本 科 生 畢 業(yè) 論 文(設(shè) 計(jì))
需要完整版請(qǐng)點(diǎn)擊屏幕右上的“文檔貢獻(xiàn)者”
題
目: 基于電信企業(yè)的網(wǎng)絡(luò)安全策略
基于電信企業(yè)的網(wǎng)絡(luò)安全策略
內(nèi)容摘要
隨著企業(yè)辦公網(wǎng)絡(luò)的發(fā)展,如何保障網(wǎng)絡(luò)正常運(yùn)行,網(wǎng)絡(luò)資源的合法訪問(wèn),使網(wǎng)絡(luò)免受黑客、病毒和其他不良意圖的攻擊顯得尤為重要。本文簡(jiǎn)要介紹了企業(yè)網(wǎng)絡(luò)安全的威脅因素,根據(jù)網(wǎng)絡(luò)訪問(wèn)機(jī)制給出了相應(yīng)的管理策略,并重點(diǎn)討論了信息加密以及內(nèi)外網(wǎng)互連的企業(yè)網(wǎng)絡(luò)安全策略。
關(guān)鍵詞:
I 電信網(wǎng)絡(luò);網(wǎng)絡(luò)安全;策略基于電信企業(yè)的網(wǎng)絡(luò)安全策略
目 錄
內(nèi)容摘要 ··························································································································· I 引
言 ···························································································································· 2 1 概述 ···························································································································· 3
1.1 研究背景 ·········································································································· 3 1.2 網(wǎng)絡(luò)安全現(xiàn)狀 ·································································································· 3 1.2 本文的主要內(nèi)容及組織結(jié)構(gòu) ·········································································· 4 2 企業(yè)網(wǎng)絡(luò)安全需求及隱患 ························································································ 5
2.1 企業(yè)網(wǎng)絡(luò)安全需求 ·························································································· 5 2.2 企業(yè)網(wǎng)絡(luò)安全隱患 ·························································································· 5 2.3 安全問(wèn)題對(duì)企業(yè)網(wǎng)絡(luò)的危害 ·········································································· 5 3 電信企業(yè)網(wǎng)絡(luò)安全策略 ···························································································· 6
3.1 訪問(wèn)控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 內(nèi)外網(wǎng)互聯(lián)安全策略 ······················································································ 6 4 數(shù)據(jù)備份策略 ············································································································ 8 5 結(jié)論 ···························································································································· 9 參考文獻(xiàn) ························································································································ 10
1
基于電信企業(yè)的網(wǎng)絡(luò)安全策略
引
言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)在信息獲取及傳遞中發(fā)揮著無(wú)可比擬的作用。眾多的企業(yè)、組織、政府部門與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò),并連接到Internet上,以充分共享、利用網(wǎng)絡(luò)的信息和資源。伴隨著網(wǎng)絡(luò)的發(fā)展,也產(chǎn)生各種各樣的問(wèn)題,其中安全隱患日益突出,無(wú)論是企業(yè)、服務(wù)供應(yīng)商、政府部門還是研究和教育機(jī)構(gòu),安全性顯然決定著網(wǎng)絡(luò)要求和工作的優(yōu)先級(jí)。對(duì)于企業(yè)而言,提高內(nèi)部信息集成,實(shí)現(xiàn)信息共享,提高工作效率,必須要建立完善、高效的網(wǎng)絡(luò)。
2
基于電信企業(yè)的網(wǎng)絡(luò)安全策略 概述
1.1 研究背景
當(dāng)今,互聯(lián)網(wǎng)的發(fā)展已經(jīng)出乎人們的想象,新技術(shù)、新概念層出不窮,互聯(lián)網(wǎng)實(shí)現(xiàn)了人們?cè)谛畔r(shí)代的夢(mèng)想,預(yù)示著新經(jīng)濟(jì)時(shí)代的到來(lái)。因特網(wǎng)的迅速發(fā)展使得信息資源可以迅速的高度共享。隨著全球的網(wǎng)絡(luò)化,經(jīng)濟(jì)的全球化,世界縮小了,人類的工作、生活變的更加快捷方便。隨著政府上網(wǎng)、海關(guān)上網(wǎng)、電子商務(wù)、網(wǎng)上娛樂(lè)等一系列網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展,因特網(wǎng)正在越來(lái)越多地離開(kāi)原來(lái)單純的學(xué)術(shù)環(huán)境,融入到經(jīng)濟(jì)、軍事、科技、教育等各個(gè)領(lǐng)域中。電子商務(wù)、遠(yuǎn)程教育、網(wǎng)上醫(yī)療漸漸步入千家萬(wàn)戶,網(wǎng)絡(luò)吸引了億萬(wàn)用戶,它已經(jīng)成為人們生活的一部分。
1.2 網(wǎng)絡(luò)安全現(xiàn)狀
Internet正在越來(lái)越多地融入到社會(huì)的各個(gè)方面[1]。一方面,隨著網(wǎng)絡(luò)用戶成分越來(lái)越多樣化,出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁;另一方面,隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展,Internet越來(lái)越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全,日益成為與政府、軍隊(duì)、企業(yè)、個(gè)人的利益休戚相關(guān)的“大事情”。尤其對(duì)于政府和軍隊(duì)而言,如果網(wǎng)絡(luò)安全問(wèn)題不能得到妥善的解決,將會(huì)對(duì)國(guó)家安全帶來(lái)嚴(yán)重的威脅。
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)上內(nèi)容的豐富,互聯(lián)網(wǎng)猶如空氣、水融于世界每個(gè)角落。互聯(lián)網(wǎng)不只是高科技的象征,它已成為整個(gè)國(guó)民經(jīng)濟(jì)的神經(jīng)網(wǎng)絡(luò)。企業(yè)上網(wǎng)不僅是一種時(shí)尚,更成為企業(yè)成功的必選項(xiàng)。截止到年2001年4月3日,在我國(guó)已有的個(gè)網(wǎng)站中,企業(yè)網(wǎng)站所占比重最大,為77.8%,到,2001年底全國(guó)通過(guò)網(wǎng)絡(luò)進(jìn)行的電子交易達(dá)近4萬(wàn)億美元。然而,在企業(yè)紛紛享受現(xiàn)代文明成果之時(shí),網(wǎng)絡(luò)潛在的危害也在威脅著企業(yè)[2]。據(jù)統(tǒng)計(jì),2001年全球電腦病毒造成的經(jīng)濟(jì)損失高達(dá)129億美元,僅紅色代碼給企業(yè)和個(gè)人造成的經(jīng)濟(jì)損失就達(dá)26.2億美元,90%的網(wǎng)站均遭受過(guò)網(wǎng)絡(luò)攻擊。
2000年2月,在三天的時(shí)間里,黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站-Yahoo、Amazon、eBay、CNN陷入癱瘓,造成了十幾億美元的損失,令美國(guó)上下如臨大敵。黑客使用了DDoS(分布式拒絕服務(wù))的攻擊手段,用大量無(wú)用信息阻塞網(wǎng)站的服務(wù)器,使 3
基于電信企業(yè)的網(wǎng)絡(luò)安全策略
其不能提供正常服務(wù)。在隨后的不到一個(gè)月的時(shí)間里,又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。
國(guó)內(nèi)網(wǎng)站也未能幸免于難,新浪、當(dāng)當(dāng)書(shū)店、EC123等知名網(wǎng)站也先后受到黑客攻擊[3]。國(guó)內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開(kāi)始運(yùn)營(yíng),然而僅四天,該商城突遭網(wǎng)上黑客襲擊,界面文件全部被刪除,各種數(shù)據(jù)庫(kù)遭到不同程度的破壞,致使網(wǎng)站無(wú)法運(yùn)作。
客觀地說(shuō),沒(méi)有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾,依據(jù)Financial Times曾做過(guò)的統(tǒng)計(jì),平均每20秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵。僅在美國(guó),每年由于網(wǎng)絡(luò)安全問(wèn)題造成的經(jīng)濟(jì)損失就超過(guò)100億美元。
1.2 本文的主要內(nèi)容及組織結(jié)構(gòu)
基于電信企業(yè)的網(wǎng)絡(luò)安全策略 企業(yè)網(wǎng)絡(luò)安全需求及隱患
企業(yè)網(wǎng)絡(luò)通常采用TCP/IP、WWW、電子郵件、數(shù)據(jù)庫(kù)等通用技術(shù)和標(biāo)準(zhǔn),依托多種通信方式進(jìn)行廣域連接,覆蓋系統(tǒng)的大部分單位,傳輸、存儲(chǔ)和處理的信息大都涉及到行業(yè)內(nèi)部信息。因此必須對(duì)信息資源加以保護(hù),對(duì)服務(wù)資源予以控制和管理。
2.1 企業(yè)網(wǎng)絡(luò)安全需求
2.2 企業(yè)網(wǎng)絡(luò)安全隱患
網(wǎng)絡(luò)的入侵不僅來(lái)自網(wǎng)絡(luò)外部,也來(lái)自于網(wǎng)絡(luò)內(nèi)部,由于辦公網(wǎng)絡(luò)在用途和實(shí)現(xiàn)方式上與公眾網(wǎng)絡(luò)有所不同,大部分辦公網(wǎng)絡(luò)都采用內(nèi)部網(wǎng)的形式進(jìn)行組建,外部網(wǎng)相對(duì)而言網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量和信息量都較少,敏感信息一般存放在內(nèi)部網(wǎng)絡(luò)中,而且內(nèi)外網(wǎng)之間大多采用了較強(qiáng)的保護(hù)甚至物理隔離措施,因此大多數(shù)的安全威脅來(lái)自網(wǎng)絡(luò)內(nèi)部,而非外部,其原因主要有:
一般來(lái)說(shuō),大部分機(jī)構(gòu)的信息安全保護(hù)措施都是“防外不防內(nèi)”,很多辦公網(wǎng)絡(luò)賴以保障其安全的防火墻系統(tǒng)大部分位于網(wǎng)絡(luò)邊界,對(duì)來(lái)自內(nèi)部的攻擊毫無(wú)作用。
內(nèi)部人員最容易接觸敏感信息,而且對(duì)系統(tǒng)的結(jié)構(gòu)、運(yùn)作都非常熟悉,因此行動(dòng)的針對(duì)性很強(qiáng),很容易危害系統(tǒng)的核心數(shù)據(jù)和資源,而且很難被發(fā)覺(jué)。
內(nèi)部人員可能采用常用的非法用戶技術(shù)和軟件對(duì)辦公網(wǎng)絡(luò)進(jìn)行測(cè)試。
2.3 安全問(wèn)題對(duì)企業(yè)網(wǎng)絡(luò)的危害
基于電信企業(yè)的網(wǎng)絡(luò)安全策略 電信企業(yè)網(wǎng)絡(luò)安全策略
3.1 訪問(wèn)控制策略
訪問(wèn)控制的目的是防止非法訪問(wèn),實(shí)現(xiàn)用戶身份鑒別和對(duì)重要網(wǎng)絡(luò)、服務(wù)器的安全控制[4]。防火墻就是一類較有效并廣泛應(yīng)用的網(wǎng)絡(luò)訪問(wèn)控制設(shè)備,它主要通過(guò)對(duì)IP地址、端口號(hào)等進(jìn)行控制和設(shè)置應(yīng)用安全代理等措施,實(shí)現(xiàn)內(nèi)部被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離。
在安全規(guī)則上,企業(yè)網(wǎng)絡(luò)可以針對(duì)單獨(dú)的主機(jī)、一組主機(jī)、一段網(wǎng)絡(luò),按照網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)置,面向?qū)ο蟮陌踩?guī)則編輯;根據(jù)網(wǎng)絡(luò)通訊端口設(shè)置安全規(guī)則,針對(duì)企業(yè)保護(hù)對(duì)象只開(kāi)放某些服務(wù)端口;根據(jù)信息傳輸方向設(shè)置安全規(guī)則,同時(shí)在安全規(guī)則中設(shè)置允許、拒絕等操作方式;按照星期幾或每一天具體的時(shí)間設(shè)置,實(shí)現(xiàn)訪問(wèn)控制;根據(jù)網(wǎng)絡(luò)服務(wù)設(shè)置安全規(guī)則。
3.2 信息加密策略
信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)[5]。網(wǎng)絡(luò)加密常用的方法有鏈路加密、節(jié)點(diǎn)加密和端點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全;節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù);端端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。
3.3 內(nèi)外網(wǎng)互聯(lián)安全策略
隨著網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,安全策略的制訂和實(shí)施是一個(gè)動(dòng)態(tài)的延續(xù)過(guò)程。需要制定周密可靠的安全體制以保護(hù)內(nèi)網(wǎng)的機(jī)密信息、阻隔外網(wǎng)對(duì)內(nèi)網(wǎng)系統(tǒng)的有害侵襲以及有效的管理和限制內(nèi)網(wǎng)用戶對(duì)外網(wǎng)資源的訪問(wèn)等。為保證企業(yè)辦公網(wǎng)絡(luò)的安全性,一般采用以下一些策略:(1)利用防火墻技術(shù)。它是以TCP/ IP體系架構(gòu)為核心,針對(duì)具體應(yīng)用和用戶角色進(jìn)行智能決策的系統(tǒng),以保護(hù)網(wǎng)絡(luò)的可用性、系統(tǒng)服務(wù)的連續(xù)性;防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn);檢測(cè)各種入侵、攻擊和異常事件,并以響應(yīng)的方式通知相關(guān)人員,管理人員根據(jù)警報(bào)信息及時(shí)修改相應(yīng)的安全策略;通過(guò)防火墻的http訪問(wèn)控制管理,過(guò)濾網(wǎng)絡(luò)地址URL,對(duì)URL中的路徑部分以及網(wǎng)頁(yè)內(nèi)容進(jìn)行過(guò)濾、對(duì)JAYAAP2 PLET、ACTIVEX過(guò)濾;通過(guò)防火墻的FTP訪問(wèn)控制管理,提供命令級(jí)的過(guò)濾功能、部分命令參數(shù)的過(guò)濾功能、限制用戶的訪問(wèn),對(duì)用戶名進(jìn)行 6
基于電信企業(yè)的網(wǎng)絡(luò)安全策略
過(guò)濾、保護(hù)FTP服務(wù)器信息。
(2)利用入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng),給網(wǎng)絡(luò)安全策略的制定提供依據(jù)。入侵檢測(cè)系統(tǒng)可以監(jiān)視、分析用戶級(jí)系統(tǒng)活動(dòng);構(gòu)造變化和弱點(diǎn)的審計(jì);識(shí)別反映己知進(jìn)攻的活動(dòng)模式并向網(wǎng)管人員報(bào)警;操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。
(3)利用VLAN技術(shù)。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。運(yùn)用VLAN技術(shù)跨越交換機(jī)按功能對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的VLAN劃分,可以將通信限定在同一虛網(wǎng)中,形成特別有效的限制非授權(quán)訪問(wèn)的屏障。如在集中式網(wǎng)絡(luò)環(huán)境下,將中心的所有服務(wù)器系統(tǒng)集中到一個(gè)VLAN中,將網(wǎng)管工作站、系統(tǒng)管理員經(jīng)常用來(lái)登陸服務(wù)器的工作站等高安全性的用戶組織到另一個(gè)VLAN中,在這些VLAN里不允許有任何用戶節(jié)點(diǎn),從而較好的保護(hù)敏感資源,在分布式網(wǎng)絡(luò)環(huán)境下,可按機(jī)構(gòu)和部門的設(shè)置來(lái)劃分VLAN,各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi),互不侵?jǐn)_。
基于電信企業(yè)的網(wǎng)絡(luò)安全策略 數(shù)據(jù)備份策略
對(duì)企業(yè)服務(wù)器及數(shù)據(jù)應(yīng)利用防火墻實(shí)現(xiàn)雙機(jī)熱備份和災(zāi)難冗余。對(duì)于需要高度可靠性的用戶,一定要選用具有雙機(jī)熱備份功能的防火墻,在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻,正常情況下一個(gè)處于工作狀態(tài),另一個(gè)處于備份狀態(tài),當(dāng)工作狀態(tài)的系統(tǒng)出現(xiàn)故障時(shí),備份狀態(tài)的防火墻自動(dòng)切換到工作狀態(tài),保證網(wǎng)絡(luò)的正常使用。備用防火墻系統(tǒng)能夠在一秒鐘內(nèi)完成整個(gè)切換過(guò)程,不需要人為操作和除兩個(gè)防火墻以外的其他系統(tǒng)的參與,而且整個(gè)切換過(guò)程不影響網(wǎng)絡(luò)上的任何通訊連接和信息傳輸。如果是不具有雙機(jī)熱備份功能的防火墻,即使能夠做到雙機(jī)熱備份,一旦出現(xiàn)故障時(shí),備用防火墻需要10秒鐘以上才能替代主用防火墻正常工作,網(wǎng)絡(luò)上的所有服務(wù)連接均需要重新建立,費(fèi)時(shí)費(fèi)力而且會(huì)造成很大損失。
基于電信企業(yè)的網(wǎng)絡(luò)安全策略 結(jié)論
隨著網(wǎng)絡(luò)建設(shè)的發(fā)展,企業(yè)網(wǎng)絡(luò)的規(guī)模將越來(lái)越大,網(wǎng)絡(luò)安全管理工作將越來(lái)越復(fù)雜,網(wǎng)絡(luò)安全維護(hù)將是企業(yè)的一項(xiàng)重要任務(wù)。在維護(hù)網(wǎng)絡(luò)安全時(shí),必須結(jié)合網(wǎng)絡(luò)安全防范技術(shù),綜合考慮安全因素,制定合理的管理方案、有效的技術(shù)方案,采取切實(shí)可行的安全防護(hù)措施,逐步完善的網(wǎng)絡(luò)安全防護(hù)體系,增強(qiáng)每個(gè)網(wǎng)絡(luò)用戶的安全意識(shí),從根本上解決網(wǎng)絡(luò)安全問(wèn)題。
榆林電信分公司網(wǎng)絡(luò)安全系統(tǒng)涉及的安全方案考慮到了榆林電信分公司網(wǎng)絡(luò)安全系統(tǒng)的實(shí)際情況,均衡了性能價(jià)格比,從整個(gè)系統(tǒng)的可靠性,穩(wěn)定性,安全性和可擴(kuò)展性多方面進(jìn)行了考慮,有如下優(yōu)勢(shì):
基于電信企業(yè)的網(wǎng)絡(luò)安全策略
參考文獻(xiàn)
[1]陳則徐.淺析企業(yè)網(wǎng)絡(luò)安全策略,電腦知識(shí)與技術(shù)2009.3,5(9):106-108 [2] Roberta Bmgg,CISSE Certified Information Systems Security Professional.北京:人民郵電出版社,2003:98~102 [4]胡春安.中小型企業(yè)網(wǎng)絡(luò)升級(jí)方案的研究:[碩士學(xué)位論文].華中科技大學(xué),2006.9,34-40 [4]仇劍鋒.基于VLAN和三層交換的企業(yè)網(wǎng)絡(luò)安全策略研究[碩士學(xué)位論文].中南大學(xué),2006.10,8-12 [5] 1912E巖明,冼沛勇.建立數(shù)據(jù)安全系統(tǒng),維護(hù)企業(yè)信息安全.計(jì)算機(jī)與網(wǎng)絡(luò),2003,(24):19-21 10
第五篇:電信企業(yè)的IT網(wǎng)絡(luò)安全探討
電信企業(yè)的IT網(wǎng)絡(luò)安全探討
羅振一
(單位:中國(guó)聯(lián)通廣西分公司
郵編:530000)
摘要:文中論述了電信企業(yè)的IT網(wǎng)絡(luò)安全體系復(fù)雜性,闡明了建立計(jì)算機(jī)網(wǎng)絡(luò)安全體系的必要性,提出了解決現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)方案。著重介紹了主動(dòng)防御和被動(dòng)防御的各種技術(shù),通過(guò)具體的網(wǎng)絡(luò)安全實(shí)例,闡述了電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全體系的合理構(gòu)成。
關(guān)鍵詞:網(wǎng)絡(luò)拓?fù)?網(wǎng)絡(luò)安全體系
防火墻 加密技術(shù) 入侵檢測(cè)
虛擬局域網(wǎng)
1. 網(wǎng)絡(luò)架構(gòu)及安全體系特點(diǎn)
本文主要介紹電信企業(yè)中的IT網(wǎng)絡(luò)安全體系,不涉及通信網(wǎng)絡(luò)的安全問(wèn)題。電信企業(yè)的IT網(wǎng)絡(luò)組成主要有:計(jì)費(fèi)網(wǎng)、營(yíng)銷網(wǎng)絡(luò)、辦公網(wǎng)絡(luò),計(jì)費(fèi)網(wǎng)是核心網(wǎng)絡(luò);營(yíng)銷網(wǎng)絡(luò)是整個(gè)企業(yè)的營(yíng)銷系統(tǒng)主體,辦公網(wǎng)絡(luò)是實(shí)現(xiàn)企業(yè)信息化及辦公自動(dòng)化的基礎(chǔ)。網(wǎng)絡(luò)安全體系主要基于計(jì)費(fèi)網(wǎng)為核心網(wǎng),營(yíng)業(yè)網(wǎng)、辦公網(wǎng)、其他外圍網(wǎng)絡(luò)作為接入網(wǎng)絡(luò),計(jì)費(fèi)網(wǎng)做為核心網(wǎng)絡(luò),放置大部分的核心數(shù)據(jù)庫(kù)和主機(jī),具有最高的安全局別,主要考慮采用主動(dòng)防御和被動(dòng)防御相結(jié)合的方案;營(yíng)銷網(wǎng)絡(luò)安全級(jí)別僅次于計(jì)費(fèi)網(wǎng),是整個(gè)公司營(yíng)銷的基石,營(yíng)銷網(wǎng)的特點(diǎn)是:覆蓋的地域廣、接入方式不統(tǒng)一、終端類型繁多、INTERNET網(wǎng)嚴(yán)格隔離等,網(wǎng)絡(luò)安全主要采用被動(dòng)防御安全技術(shù);辦公網(wǎng)主要是為企業(yè)信息化和辦公自動(dòng)化建設(shè),辦公網(wǎng)的特點(diǎn)主要是:網(wǎng)絡(luò)拓?fù)淝逦⒔尤牍W(wǎng)、權(quán)限管理復(fù)雜,辦公網(wǎng)的安全體系,建議采用被動(dòng)防御為主,主動(dòng)防御為輔。基于以上的網(wǎng)絡(luò)特點(diǎn),IT網(wǎng)絡(luò)的整個(gè)安全體系是建立在以計(jì)費(fèi)網(wǎng)為核心,保證核心能夠免疫來(lái)自內(nèi)部和外部的入侵和非法訪問(wèn),各種接入網(wǎng)建立各自的安全體系,從而建立起多級(jí)、全方位的IT網(wǎng)絡(luò)安全體系.2. 網(wǎng)絡(luò)安全技術(shù)
經(jīng)過(guò)幾十年的研究和發(fā)展,網(wǎng)絡(luò)安全(從屬信息安全)已經(jīng)成為計(jì)算機(jī)科學(xué),非常重要的組成部分,形成比較成型的理論和應(yīng)用技術(shù)。電信企業(yè)應(yīng)該采用這些經(jīng)驗(yàn)和技術(shù),建立安全、可靠的IT網(wǎng)絡(luò),減少由于入侵、非法訪問(wèn)、病毒入侵、網(wǎng)絡(luò)故障等引起的損失,為企業(yè)發(fā)展建立一個(gè)良好的環(huán)境。以下主要介紹一些主流的網(wǎng)絡(luò)信息安全保護(hù)技術(shù).2.1 主動(dòng)防御保護(hù)技術(shù)
主動(dòng)防御保護(hù)技術(shù)主要有:數(shù)據(jù)加密、身份鑒別、存取控制、權(quán)限設(shè)置、虛擬局域網(wǎng)等。在主動(dòng)防御保護(hù)技術(shù)方面,電信企業(yè)一般主要采用:身份鑒別、存取控制、權(quán)限設(shè)置、虛擬局域網(wǎng)(VLAND)等技術(shù)。身份鑒別和權(quán)限設(shè)置在不同系統(tǒng),有不同的要求,有分散設(shè)置、有統(tǒng)一設(shè)置,機(jī)制和手段都比較成熟,在這里不做簡(jiǎn)介。對(duì)于存儲(chǔ)控制和虛擬局域網(wǎng),許多IT網(wǎng)絡(luò)在建設(shè)時(shí)候,都有這樣的技術(shù)概念,但是真正有效應(yīng)用起來(lái)比較少,原因可能比較簡(jiǎn)單,麻煩或沒(méi)有必要。存取控制的內(nèi)容包括人員限制、訪問(wèn)權(quán)限設(shè)定、數(shù)據(jù)標(biāo)識(shí)、和風(fēng)險(xiǎn)分析等,是內(nèi)部網(wǎng)絡(luò)信息安全的重要方向,實(shí)現(xiàn)方式可以通過(guò)路由訪問(wèn)策略、網(wǎng)絡(luò)監(jiān)控、專用物理地址和IP地址的訪問(wèn)控制系統(tǒng)等等,有效的建立起存取控制機(jī)制,可以將網(wǎng)絡(luò)的安全性、可靠性提高一個(gè)水平,目前很多企業(yè)的網(wǎng)絡(luò)不夠穩(wěn)定或出現(xiàn)故障,經(jīng)過(guò)故障排查后發(fā)現(xiàn),真正的原因和存取控制機(jī)制不夠健全有很大關(guān)系。對(duì)于虛擬局域網(wǎng)技術(shù),相信大家都很熟悉,在此不做太多討論,利用好虛擬局域網(wǎng)技術(shù),非常廉價(jià)也很便利。某公司曾經(jīng)發(fā)生大面積的IT網(wǎng)絡(luò)癱瘓,經(jīng)過(guò)排查,故障的原因很簡(jiǎn)單,主要是一臺(tái)備用的服務(wù)器出現(xiàn)故障,不斷在網(wǎng)絡(luò)上大量發(fā)包,造成一臺(tái)主用的業(yè)務(wù)服務(wù)器受到影響。經(jīng)過(guò)重新分析和排查后,發(fā)現(xiàn)這樣問(wèn)題如果將應(yīng)用服務(wù)器之間進(jìn)行虛擬局域網(wǎng)劃分和設(shè)定良好的路由策略,是完全可以避免的。
2.2被動(dòng)防御保護(hù)技術(shù)
被動(dòng)防御保護(hù)技術(shù)主要有防火墻技術(shù)、入侵檢測(cè)系統(tǒng)、安全掃描器、口令驗(yàn)證等。在電信企業(yè)的IT網(wǎng)絡(luò)中,我們主要強(qiáng)調(diào)防火墻技術(shù)、入侵檢測(cè)系統(tǒng)技術(shù)、安全掃描技術(shù)的應(yīng)用。在很多公司的IT網(wǎng)絡(luò)架構(gòu)體系中,防火墻都起非常重要的做用,本文中,我們主要采用硬件防火墻,保證核心計(jì)費(fèi)網(wǎng)同接入網(wǎng)實(shí)現(xiàn)安全隔離,辦公網(wǎng)和公網(wǎng)的接入口,也采用硬件防火墻進(jìn)行訪問(wèn)控制;入侵監(jiān)測(cè)系統(tǒng)(IDS)處于防火墻之后對(duì)計(jì)費(fèi)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)/監(jiān)控,保證核心網(wǎng)絡(luò)安全;安全掃描器 由于核心計(jì)費(fèi)網(wǎng)和公網(wǎng)或外網(wǎng)沒(méi)有直接的接口,在建立網(wǎng)絡(luò)安全體系的時(shí)候,安全掃描只是設(shè)置為定期操作,比如一周或1個(gè)月,為應(yīng)用服務(wù)器或 普通終端升級(jí)或打補(bǔ)丁,提供數(shù)據(jù)依據(jù).在規(guī)劃網(wǎng)絡(luò)架構(gòu)的時(shí)候,建議將入侵檢測(cè)系統(tǒng)、安全掃描器放置于一臺(tái)主機(jī)上。
2.3 反病毒技術(shù)。
反病毒技術(shù)涉及內(nèi)容很復(fù)雜和廣泛,目前主要使用到的基本是成熟的殺毒工具,有網(wǎng)絡(luò)殺毒工具和單機(jī)殺毒工具,電信企業(yè)應(yīng)該更多的考慮到如何使用現(xiàn)有的殺毒技術(shù),對(duì)核心計(jì)費(fèi)網(wǎng)、營(yíng)銷網(wǎng)和辦公網(wǎng)進(jìn)行病毒防范。我們建立的反病毒機(jī)制主要是,對(duì)重要的應(yīng)用服務(wù)器進(jìn)行實(shí)時(shí)防毒監(jiān)控,統(tǒng)一采用網(wǎng)絡(luò)防毒工具,單機(jī)的終端安裝單機(jī)的實(shí)時(shí)放病毒軟件。,3.網(wǎng)絡(luò)安全體系的解決方案及實(shí)例
根據(jù)IT網(wǎng)絡(luò)架構(gòu)特點(diǎn),及安全層次要求,電信企業(yè)的網(wǎng)絡(luò)安全體系,應(yīng)該充分利用現(xiàn)有的網(wǎng)絡(luò)安全技術(shù),主要從三個(gè)方面入手:
3.1 外來(lái)非法入侵的防范,即采用現(xiàn)有的網(wǎng)絡(luò)防火墻技術(shù),根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)特點(diǎn),層層作防,把外來(lái)非法入侵的可能性降到最低點(diǎn)。
3.2 采用現(xiàn)有的認(rèn)證技術(shù),比如PKI技術(shù)等等,建立完善的內(nèi)部認(rèn)證體系,把來(lái)自企業(yè)內(nèi)部的非法訪問(wèn)控制到最低點(diǎn),很多調(diào)查表明,很大比例的非法入侵是來(lái)自于企業(yè)內(nèi)部,因此對(duì)于企業(yè)內(nèi)部的訪問(wèn)認(rèn)證控制,是建立網(wǎng)絡(luò)安全體系的重要工作之一,也是保證營(yíng)銷網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)真正能達(dá)到信息安全的重要手段。
3.3建立完善的反病毒機(jī)制,充分利用現(xiàn)有的很多著名的殺毒工具,比如瑞星反病毒工具、NORTON反病毒工具等,定時(shí)殺毒和作病毒防范,給公司員工灌注反病毒的意識(shí)。
以下是一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)架構(gòu)實(shí)例,主要根據(jù)電信企業(yè)的網(wǎng)絡(luò)特點(diǎn)規(guī)劃,也是部分電信企業(yè)目前的大致網(wǎng)絡(luò)架構(gòu),沒(méi)有涉及具體的業(yè)務(wù)和各種認(rèn)證系統(tǒng),這樣的方案在很多集成商的案例 中都可以看到,做為電信企業(yè)的IT技術(shù)人員,我著眼點(diǎn)主要是從整體上,從整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)
上規(guī)劃IT網(wǎng)絡(luò)的安全體系。這個(gè)網(wǎng)絡(luò)邏輯架構(gòu)也是我參與建設(shè)一個(gè)企業(yè)內(nèi)部網(wǎng),原始的網(wǎng)絡(luò)構(gòu)造邏輯圖,該網(wǎng)絡(luò)目前在運(yùn)行很好,但是仍然存在一些問(wèn)題,問(wèn)題將在后面的總結(jié)中具體概括。
INTERNET防火墻路由器服務(wù)器辦公網(wǎng)入侵檢測(cè)、安全掃描、反病毒營(yíng)業(yè)終端入侵檢測(cè)、安全掃描、反病毒服務(wù)器路由器防火墻應(yīng)用服務(wù)器群路由器計(jì)費(fèi)核心網(wǎng)路由器數(shù)據(jù)庫(kù)營(yíng)銷網(wǎng)網(wǎng)管系統(tǒng)管理營(yíng)業(yè)終端營(yíng)業(yè)終端營(yíng)業(yè)服務(wù)器
以上的網(wǎng)絡(luò)架構(gòu)及安全體系結(jié)構(gòu),只是一個(gè)大致的網(wǎng)絡(luò)邏輯架構(gòu),簡(jiǎn)化了許多實(shí)際應(yīng)用中需要考慮的問(wèn)題,只是把主要涉及網(wǎng)絡(luò)安全的部分重點(diǎn)畫(huà)出。我在這里引用,主要是強(qiáng)調(diào)從網(wǎng)絡(luò)規(guī)劃,從網(wǎng)絡(luò)架構(gòu)上實(shí)現(xiàn)網(wǎng)絡(luò)信息安全保護(hù)是極為重要的。
4.電信企業(yè)IT網(wǎng)絡(luò)安全概括
要建立完整的計(jì)算機(jī)網(wǎng)絡(luò)安全體系,外來(lái)入侵的防范、內(nèi)部訪問(wèn)的認(rèn)證控制、反病毒機(jī)制的建立及完善缺一不可,網(wǎng)絡(luò)安全體系的建立是一項(xiàng)長(zhǎng)期而復(fù)雜的過(guò)程,電信企業(yè)只有不斷的適應(yīng)安全技術(shù)的新發(fā)展,不斷完善企業(yè)網(wǎng)絡(luò)的安全防范,才能真正做到企業(yè)信息的安全,和保證企業(yè)業(yè)務(wù)正常發(fā)展。
作者簡(jiǎn)介:羅振一 男 1978年2月出生 2000年7月畢業(yè)于廣西大學(xué)計(jì)算機(jī)與信息工程學(xué)院 工程學(xué)士
供職于中國(guó)聯(lián)通廣西分公司 助理工程師 通訊地址:中國(guó)聯(lián)通廣西分公司信息化部新興大夏24樓 聯(lián)系電話:***。
點(diǎn)擊咨詢 