第一篇：通信管理局電信網絡安全防護工作實施意見

通信管理局電信網絡安全防護工作實施意見

一、電信網絡安全防護工作的總體思路和基本原則

（一）總體思路

1.電信網絡安全防護工作的主要內容

電信網絡安全防護工作包括等級保護、風險評估、災難備份等以事前防護和準備為主的相關工作內容，總體目標是要從管理和技術等多個方面，落實和改進與電信網絡的重要性及面臨的威脅相適應的安全保護措施，以提高電信網絡的安全保護能力和水平，有效減少嚴重網絡安全事件的發生。

等級保護是根據被保護對象一旦遭受破壞后對國家安全、社會秩序、經濟建設、公共利益以及公民、法人和其他組織的合法利益的危害程度大小，確定被保護對象的安全保護等級，并落實與安全保護等級相適應的基本安全保護措施。風險評估是通過系統地認識和分析被保護對象的相關資產、存在的脆弱性、面臨的威脅以及已有保護措施的有效性，科學推斷出安全事件發生的可能性和可能造成的危害程度，并提出和落實有針對性的整改措施，將殘余風險降低到可以接受的程度。災難備份是對重要線路、設備、業務系統和數據等進行冗余備份，保證當主用線路、設備、業務系統和數據發生故障或遭到破壞后，有條件迅速切換使用相應的備用資源，提高網絡和業務的抗毀性和可持續服務能力。

2.將等級保護、風險評估、災難備份等有機結合

等級保護、風險評估、災難備份等工作相互之間密切相關、互相滲透、互為補充。電信網絡安全防護應將等級保護、風險評估、災難備份等工作有機結合，加強相關工作之間的整合和銜接，保證電信網絡安全防護工作的整體性、統一性和協調性。電信網絡安全防護工作應按照根據被保護對象的重要性進行分等級保護的思想，通過風險評估的方法正確認識被保護對象存在的脆弱性和面臨的威脅，進而制定、落實和改進與安全保護等級和風險大小相適應的一系列管理、技術、災難備份等安全保護措施，最終達到提高電信網絡安全保護能力和水平的目的。

在開展等級保護工作時，要充分應用風險評估的方法，認識、分析不同類型的網絡和業務存在的脆弱性和面臨的威脅，進而制定和落實與被保護對象的類型、脆弱性和威脅相適應的基本安全保護措施要求，提高等級保護工作的針對性和適用性。在開展風險評估工作時，在分析被保護對象綜合風險和制定改進方案的過程中，要始終與被保護對象的安全保護等級相結合，合理確定被評估對象的可接受風險和制定確實必要的整改措施，避免無限度的改進提高。在開展災難備份工作時，要結合被備份對象的安全保護等級和面臨的威脅，制定相適應的備份措施，并將有關備份的要求體現在等級保護相關標準的措施要求中進行落實。

3.運營單位自主防護與行業主管部門監督檢查相結合

按照“誰主管、誰負責,誰運營、誰負責”的原則，電信網絡安全防護工作實行電信運營企業自主防護與電信行業主管部門監督檢查相結合的工作機制。各電信運營公司應當按照本集團公司和通信管理局的要求，結合公司自身實際情況，認真貫徹落實電信網絡安全防護的相關規定和標準，并接受通信管理局的監督檢查。不斷健全科學、規范、有效的電信網絡安全防護管理體系。

（二）基本原則

電信網絡安全防護工作應遵循以下基本原則：

1、整體性原則。電信網絡由各種設備、線路和相應的支撐、管理單元互聯組成，具有全程全網的特點，對電信網絡某一部分的調整或改動（包括實施各項保護措施），可能影響整個電信網絡的安全可靠運行。因此，電信網絡安全防護工作應堅持對整個網絡統籌兼顧，由信息產業部會同各電信運營企業集團公司，結合電信網絡的實際特點統一研究和組織部署。

2、規范性原則。電信網絡種類繁多、結構復雜,安全防護工作涵蓋線路、設備、網絡、業務系統等多種對象,涉及管理、技術等多個方面，包括安全評測、風險評估等多項環節，是一項復雜的系統工程。為保證電信網絡安全防護工作的有效性和規范性，相關工作應當按照國家和信息產業部組織制定的有關標準實施。

3、適度性原則。電信網絡安全防護工作追求的是適度安全的目標。要始終運用等級保護的思想，制定和落實與電信網絡的重要性相適應的安全保護措施要求;要堅持運用風險評估的方法，提出和落實與電信網絡的風險大小相適應的改進措施。對于重要性高、風險大的電信網絡，要采取較高程度的安全保護措施，反之，對于重要性低、風險小的電信網絡，可以采取較低程度的保護措施。

4、同步性原則。電信網絡自身存在的脆弱性是導致安全事件發生的內在原因，在電信網絡新建、改建、擴建時，應當在規劃和設計工作中同步考慮在源頭上有效減少電信網絡的脆弱性。對于難以徹底消除的脆弱性，應當同步規劃、設計和實施電信網絡安全保護措施，并做到安全保護措施與安全保護等級的要求相一致。

二、電信網絡安全防護工作的主要任務

（一）電信網絡的定級

定級是等級保護的基礎和前提。電信運營企業擁有和運行的電信網絡由不同的專業網絡和業務單元共同組成，各類專業網絡和業務單元具有不同的技術特點，存在不同的脆弱性和面臨不同的威脅，且所承載的電信業務具有不同的重要性。按照等級保護的思想，針對電信網絡不同部分存在不同風險的實際情況，電信網絡安全防護工作應當按照將電信網絡進行合理、清晰的劃分，對不同的部分分別落實相應保護措施的方法進行。即:在對電信網絡實施安全保護時，電信運營企業首先要合理劃分電信網絡中的各個定級對象，并在科學分析定級對象重要性的基礎上，合理確定定級對象的安全保護等級。

（二）電信網絡的安全評測

安全評測是保證等級保護、災難備份得以落實的手段。電信網絡定級對象及其所屬安全保護等級確定后，電信運營企業應當對各個定級對象落實與其安全保護等級相適應的基本安全保護措施。信息產業部已組織專家通過總結分析各類專業網絡和業務單元的脆弱性和威脅，制定出針對各類專業網絡和業務單元的不同安全保護等級的基本安全保護措施標準，包括管理、技術、災難備份等多方面基本要求。電信運營企業應當依據國家和信息產業部制定的相關標準，對定級對象落實相應基本安全保護措施標準的情況進行評測。對于經評測發現未按照相關標準落實基本安全保護措施的，要及時進行相應的整改，確保基本安全保護措施落實到位。在按照相關標準落實基本安全保護措施的基礎上，電信運營企業可以根據企業發展情況、技術和經濟實力等，提高對定級對象的安全保護程度。

（三）電信網絡的風險評估

風險評估是完善和提高等級保護、災難備份的方法。在通過安全評測確保落實等級保護、災難備份基本安全保護措施的基礎上，為提高對風險變化的適應能力，進一步提高安全保護的時效性和保護水平，電信運營企業應當建立對各個定級對象進行動態風險評估的機制。應當根據安全形勢的發展變化(例如發現新的脆弱性、出現新的威脅、面臨更高的安全要求等)，定期或不定期組織對電信網絡或其中組成部分進行風險評估。通過風險評估，對新的威脅和脆弱性進行深入分析，對已有安全保護措施的落實情況和有效性進行確認。對已有安全保護措施與變化的風險或新的要求不相適應的，應研究提出并落實進一步的安全保護措施。信息產業部結合風險評估的結果，適時調整或修改各類定級對象的不同等級的基本安全保護措施標準，以提高基本安全保護措施的有效性和適用性。

（四）電信網絡安全防護工作的監督檢查

電信監管部門對電信運營企業開展上述電信網絡安全防護工作進行指導、監督和檢查。各電信運營公司應當將電信網絡各個定級對象的責任主體、結構、功能、服務范圍、所屬安全保護等級等基本情況向通信管理局備案。通信管理局負責對各電信運營企業的電信網絡安全評測工作開展監督檢查，確保定級對象落實基本安全保護措施；同時負責對電信運營企業的電信網絡風險評估工作進行監督檢查，督促進一步提高定級對象的安全保護水平。通信管理局對于不同安全保護等級的定級對象，實施不同程度的監督檢查。公安機關對電信行業信息系統等級保護工作的監督檢查，由公安機關會同通信管理局共同組織實施。

三、電信網絡定級與備案的實施

（一）定級的范圍

電信網絡安全防護工作的范圍包括基礎電信運營企業運營的傳輸、承載各類電信業務的公共電信網(含公共互聯網)及其組成部分，支撐和管理公共電信網及電信業務的業務單元和控制單元，互聯網數據中心，以及企業辦公系統（含文件管理系統、員工郵件系統、決策支持系統、人事管理系統等）、客服呼叫中心、企業門戶網站等非核心生產單元。此外，電信網絡安全防護工作的范圍還包括經營性互聯網信息服務單位、移動信息服務單位、互聯網接入服務單位、互聯網數據中心、互聯網域名服務機構等單位運營的網絡或信息系統。

（二）定級的步驟 1.電信網絡的劃分

各電信運營企業應當參照國家和信息產業部制定的相關標準和實施指南，按照本集團公司的統一要求，統籌兼顧各自電信網絡的網絡類型、業務類型、服務地域、企業內部管理歸屬等，將本企業的電信網絡劃分成不同的定級對象，并分別確定各自的安全保護等級。為保證電信網絡劃分結果的合理性和各部分的定級結果的協調一致性，電信運營企業應本著先骨干、后分支，從上至下的原則統籌對本企業的電信網絡進行劃分和定級。

2.安全等級的劃分

電信運營企業應當根據定級對象遭到破壞后對國家安全、社會秩序、經濟建設、公共利益以及公民或者法人的合法權益的危害程度等因素，按照國家和信息產業部制定的相關標準和實施指南，將定級對象的安全保護等級劃分為1到5級，其中第5級為最高安全保護等級。電信運營企業對各個定級對象分別形成定級報告，定級報告中應包括定級對象的架構、邊界、設備部署、服務范圍等基本情況，以及所采用的定級方法、定級結果等信息。

3.安全等級的確定

對于安全保護等級擬定為第3級及以上級別的定級對象，應由各電信運營企業將定級報告報送本集團公司，由集團公司統一報信息產業部成立的電信網絡安全防護專家組評審，由專家組和電信運營企業集團公司共同商議確定定級對象的安全保護等級。當專家組評審意見與電信運營企業集團公司的意見達不成一致時，應選擇雙方建議級別中較高的級別作為最終確定的級別。對于安全保護等級擬定為第2級及以下級別的定級對象，無需上報信息產業部電信網絡安全防護專家組評審，由相關基礎電信運營企業自主定級。

（三）定級結果的備案

對于確定為第2級及以上級別的并由電信運營企業負責管理的定級對象，應向通信管理局辦理備案。備案時應填寫備案信息登記表，并提交定級報告。通信管理局對備案材料進行審核，并按照公安部、國務院信息化工作辦公室等四部門的有關規定，向公安機關提交有關備案情況。

各電信運營企業已正式投入運行的電信網絡或相關單元及系統，應按照本集團公司的要求，報送本集團公司，并完成定級并向通信管理局備案。

各電信運營企業新建的電信網絡或相關單元及系統，應當在正式投入運行后1個月內完成定級并向通信管理局備案。

（四）定級結果的調整

在電信網絡運行過程中，當定級對象因為改建、擴建而影響其安全保護等級時，或因為定級對象的合并或拆分而改變定級對象的涵蓋范圍時，各電信運營企業應按照上述定級步驟重新確定相關定級對象的安全保護等級，并向通信管理局辦理備案信息變更。

四、電信網絡安全評測的實施及監督檢查

（一）安全評測的實施

電信網絡中各個定級對象的安全評測由電信運營企業按照國家和信息產業部制定的相關標準或實施指南自行組織實施。對于第3級及以上級別的定級對象，必須進行安全評測。電信運營企業可依托本企業技術力量進行安全評測，也可委托符合本意見第六條的安全服務機構進行安全評測。

在以下情況下應當組織開展定級對象的安全評測：

1、定級對象的安全保護等級初次確定后；

2、定級對象的安全保護等級調整且安全保護等級變高后；

3、定級對象重大改、擴建工程完成后；

4、定級對象發生合并或拆分后；

5、電信運營企業的內部管理體系或組織機構發生重大變更后；

6、電信網絡相關基本安全保護措施要求標準經信息產業部修訂后。

（二）安全評測工作的監督檢查

各電信運營企業自行組織實施完成定級對象的安全評測之后，應當將定級對象的安全評測報告報送通信管理局。通信管理局基于安全評測報告，結合現場調研，對電信運營企業相關工作的實施開展情況進行監督檢查。必要時由通信管理局委托專業機構按照相關標準實施現場安全評測。

監督檢查內容主要包括：

1、安全評測實施方法是否符合國家和信息產業部制定的相關標準或實施指南；

2、對定級對象實施的技術、管理、災難備份等安全保護措施是否符合國家和信息產業部制定的相關標準；

3、定級對象的備案信息是否與實際情況相符；

4、第三方安全評測服務機構的選擇是否符合有關規定；

5、其它應當進行監督檢查的事項。

對于經檢查不符合上述要求的，各電信運營企業應制定整改方案并進行整改，整改完成后應將整改報告報送通信管理局。通信管理局對整改情況進行監督檢查。

五、電信網絡風險評估的實施及監督檢查

（一）風險評估的實施

電信網絡的風險評估可以由電信運營企業自行發起并實施，也可以由通信管理局視需要提出開展風險評估的要求，并由電信運營企業自行組織實施。風險評估既可以對整個電信網絡全面開展，也可以針對若干定級對象實施。對于第3級及以上級別的定級對象，應當每年進行一次風險評估。電信網絡的風險評估應當按照國家和信息產業部制定的相關標準和實施指南進行。電信運營企業可依托本企業技術力量進行風險評估，也可委托符合本意見第六條的安全服務機構進行風險評估。原則上在以下情況時應當組織開展風險評估：

1、出現新的重大威脅；

2、發現新的嚴重安全隱患；

3、國家召開重要會議或舉辦重大活動之前。

（二）風險評估工作的監督檢查

電信運營企業自行發起或按照通信管理局的要求實施完成風險評估之后，應當將風險評估報告報送通信管理局。通信管理局基于風險評估報告，結合現場調研，定期或不定期對電信運營企業相關工作的實施開展情況進行監督檢查。監督檢查內容主要包括：

1、風險評估實施方法是否符合國家和信息產業部組織制定的相關標準或實施指南；

2、是否根據風險評估結果提出并落實進一步的安全保護措施；

3、第三方風險評估服務機構的選擇是否符合有關規定；

4、其它應當進行監督檢查的事項。

六、安全服務機構的管理

（一）安全服務機構的選擇

各電信運營企業應當選擇符合下列條件的安全服務機構進行電信網絡的安全評測和風險評估：

1、在中華人民共和國境內注冊成立（港澳臺地區除外）；

2、由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外)；

3、從事電信網絡安全保障服務工作一年以上，無違法記錄；

4、相關工作人員僅限于中國公民；

5、法人及主要業務、技術人員無犯罪記錄；

6、具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度。

（二）安全服務機構的義務

為電信網絡提供安全評測、風險評估服務的安全服務機構應當履行以下義務：

1、遵守國家和信息產業部有關法律法規和技術標準，提供安全、客觀、公正的安全評測、風險評估服務，保證安全評測、風險評估的質量和效果；

2、保守在安全評測、風險評估活動中知悉的國家秘密、企業秘密和公民隱私，防范相關工作帶來的風險；

3、對相關工作人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

七、電信網絡安全防護工作的總體要求

（一）提高認識，加強領導。各電信運營企業要結合國家信息化發展和電信行業發展的要求，進一步提高對電信網絡安全防護工作重要性、緊迫性的認識，要按照通信管理局的統一部署，加快推進電信網絡安全防護體系建設。通信管理局成立電信網絡安全防護工作領導小組，負責相關工作的總體部署和協調，領導小組由通信管理局局長擔任組長，各電信運營企業副總擔任副組長，領導小組下設辦公室，負責具體工作，辦公室工作由通信管理局網絡信息安全處和網絡管理處承擔。各電信運營企業要成立本企業的電信網絡安全防護領導小組及工作組，加強領導，確保電信網絡安全防護工作順利開展。請各電信運營企業將本公司負責電信網絡安全防護工作的領導（公司副總）、部門負責人及聯系人（具體工作人員）名單、聯系方式上報我局。

（二）明確責任，狠抓落實。各電信運營公司要明確責任，要按照通信管理局的統一部署和本企業集團公司的具體要求，結合本企業實際，認真制定本企業具體工作的實施方案，報通信管理局審核，確保電信網絡安全防護工作順利、快速開展。

（三）通信管理局承擔電信網絡安全防護工作的組織部署，并負責與其他相關部門進行協調。各電信運營企業在電信網絡安全防護工作中的實施、監督和檢查等工作要按照通信管理局的統一要求進行。

（四）及時總結，提出建議。在電信網絡安全防護工作開展過程中，各電信運營企業應結合開展工作的實際，認真總結經驗和不足，提出進一步完善電信網絡安全防護相關標準和管理工作的意見和建議，為順利開展電信網絡安全防護工作提供有益經驗。

第二篇：電信網絡安全及防護

電信網絡安全及防護

摘 要：電信網絡的安全問題不容忽視。分析了電信網絡安全現狀，指出了影響電信網絡安全的主要因素，并從技術角度提出了防護措施。

關鍵詞：電信；網絡安全；技術防護

從20世紀90年代至今，我國電信行業取得了跨越式發展，電信固定網和移動網的規模均居世界第一，網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面，和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作，是一項重要的工作。筆者結合工作實際，就電信網絡安全及防護工作做了一些思考。電信網絡安全及其現狀

狹義的電信網絡安全是指電信網絡本身的安全性，按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面；廣義的網絡安全是包括了網絡本身安全這個基本層面，在這個基礎上還有信息安全和業務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網絡安全的建設，針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年，原中國電信意識到網絡安全的重要性，并專門成立了相關的網絡安全管理部門，著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此，建立了網絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保障和完備的技術管理體系，以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作，來完成對網絡安全事件的監控，完成對網絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統。

然而，網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等，造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中，安全問題更加暴露。從狹義的網絡安全層面看，隨著攻擊技術的發展，網絡攻擊工具的獲得越來越容易，對網絡發起攻擊變得容易；而運營商網絡分布越來越廣泛，這種分布式的網絡從管理上也容易產生漏洞，容易被攻擊。從廣義的網絡安全層面看，業務欺詐、垃圾郵件、違法違規的SP行為等，也是威脅網絡安全的因素。電信網絡安全面臨的形勢及問題

2.1 互聯網與電信網的融合，給電信網帶來新的安全威脅

傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送，信令網、網管網等支撐網與業務網隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統，保障了網絡安全。IP電話引入后，需要與傳統電信網互聯互通，電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上，TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現不法行為，無論是運營商還是執法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2 新技術、新業務的引入，給電信網的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網絡的復雜性和不可控性。此外，3G、WMiAX、IPTV等新技術、新業務的引入，都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網絡側發送信息的能力大大增強，每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網絡群，其拒絕服務攻擊的破壞力將可能十分巨大。2.3 運營商之間網絡規劃、建設缺乏協調配合，網絡出現重大事故時難以迅速恢復

目前，我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監管措施還不配套，給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面，原來由行業主管部門對電信網絡進行統一規劃、統一建設，現在由各運營企業承擔各自網絡的規劃、建設，行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題，不同運營商之間的網絡能否互相支援配合就存在問題。

2.4 相關法規尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網絡安全相關的法律法規還不完備，且缺乏操作性。在規范電信運營企業安全保障建設方面，也缺乏法律依據。運營企業為了在競爭中占據有利地位，更多地關注網絡建設、業務開發、市場份額和投資回報，把經濟效益放在首位，網絡安全相關的建設、運行維護管理等相對滯后。電信網絡安全防護的對策思考

強化電信網絡安全，應做到主動防護與被動監控、全面防護與重點防護相結合，著重考慮以下幾方面。

3.1 發散性的技術方案設計思路

在采用電信行業安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發散性的思路進行安全分析和保護，并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統，使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。

3.2 網絡層安全解決方案

網絡層安全要基于以下幾點考慮：控制不同的訪問者對網絡和設備的訪問；劃分并隔離不同安全域；防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。同時，應結合網絡系統的安全防護和監控需要，與實際應用環境、工作業務流程以及機構組織形式進行密切結合，在系統中建立一個完善的安全體系，包括企業級的網絡實時監控、入侵檢測和防御，系統訪問控制，網絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統的總體可控性。

3.3 網絡層方案配置

在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品，將工作站直接連接到主干交換機的監控端口(SPANPort)，用以監控局域網內各網段間的數據包，并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。

3.4 主機、操作系統、數據庫配置方案

由于電信行業的網絡系統基于Intranet體系結構，兼呈局域網和廣域網的特性，是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡，它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產品進行中央管理。

3.5 系統、數據庫漏洞掃描

系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統/數據庫漏洞掃描工具。

第三篇：淺談電信網絡安全

一、選題的依據及意義：

老師在課堂也也時刻點明這我們這個是隨著互聯網的興起的時代,而我們這些IT人又面臨著更新一步的IT技術。面對TCP/IP協議簇的采用,各種應用層出不窮,傳統的固定網、移動網與互聯網的聯系越來越緊密。有線、無線等各種接入方式不斷推出,企業網、ISP、ICP、個人電腦等都以不同的方式與互聯網等網絡相聯。這樣,雖然用戶使用方便了,但網絡安全問題的威脅也增加了,往往一個點或一個地方的問題會影響到其他地方、其他網絡,甚至多個網絡。

同時，我在外面所報名的華三H3C的NE課程中也認識到網絡安全問題的重要性：當前,威脅網絡安全的主要有木馬程序病毒、蠕蟲病毒、電子郵件攻擊、Web攻擊、軟件漏洞、系統漏洞、拒絕服務(DoS)攻擊、IP地址欺騙、即時通信攻擊、端到端攻擊、緩沖溢出等。

從上述威脅網絡的種種可以看出,黑客與病毒的目的不外呼是破壞系統和竊取信息。面對這一形勢,目前電信網絡如何增強其安全性呢?

二、本課題研究內容：

首先我們就先來看互聯網和電信網的特點：

電信網絡的特點

傳統的電信網絡(PSTN)是基于電路交換的方式,面向連接,網絡QoS有保證。其網絡的安全性體現在網絡的可靠性和可用性,網絡的可靠性涵蓋了傳輸系統和相應的設備,可靠性的指標很高,設備間的連接電路也有相同的可靠性要求,并且還設計了冗余備份和保護倒換等技術來進一步保證系統的可靠性。

PSTN對用戶的信息是透明的,網絡保證不對用戶信息進行任何的修改和破壞。用戶信息也不會對網絡節點設備構成任何沖擊和危害。

PSTN的網絡安全還包含運營網絡不得隨意使用加密技術,而對于個人用戶的私人保密是以不危及國家安全為限的。在傳統的電信網中,用戶數據加密是有規定的,普通用戶數據是不準加密的,商密用戶,普密用戶,絕密用戶可以使用密碼技術加密,但必需經過相關部門批準。

互聯網的特點

互聯網是基于分組交換的方式,面向無連接,網絡QoS保證較差。互聯網又可稱為IP網,傳統的PSTN網由于是面向連接,一條鏈路要么接通,要么不通,問題容易發現也容易解決。而IP網是無連接的,其網絡的路由和流量分配都是隨機的,不同的流量分配帶來的網絡效率也不一樣。IP網絡攻擊源無處不在,難以追蹤和查找,使IP網絡維護的復雜性大大增加。

近年來,由于互聯網的迅猛發展,新業務及傳統業務的迅速IP化,終端設備的智能化,網絡規模越來越大,網絡的安全問題也越來越突出,加上互聯網的不可管理,不可控制,網絡只保證通達,而把安全問題交給了用戶的一些網絡設計中,這樣就進一步惡化。上面所談的一些威脅安全的種類都是由于互聯網及其業務的發展所引起的。而當今互聯網已把PSTN和移動網緊密地聯系起來了,如VoIP業務的迅猛發展更是和每個網絡有關系。這樣上述的網絡安全的種種自然也帶給了電信網絡。

從客觀來講二者之間的差異一目了然，可二者的技術關聯是密不可分的。互聯網和電信網的普遍性、加密性、覆蓋面廣決定了我們所依賴此類網絡的前提。下面我們談談其防范：

網絡安全的防范

網絡安全的防范是一個體系和系統,必需協調法律,技術和管理三個方面。要集成防護,監測,響應,恢復等多種技術。

網絡安全的防范是通過各種計算機,網絡,密碼和信息安全技術,保護在網絡中傳輸,交換和存儲信息的機密性,完整性和真實性,并對信息的傳播及內容進行控制。

網絡按全的防范從技術層次上看,主要有防火墻技術,入侵監測(IDS/IPS,IPS可以做到一手檢測,一手阻擊)技術,數據加密技術和數據恢復技術,此外還有安全協議,安全審計,身份認證,數字簽名,拒絕服務等多種技術手段。這里特別需要指出的是防火墻,防病毒和安全協議的技術。防火墻守住網絡門戶,防病毒是網絡的第一把保護傘,安全協議提供了身份鑒別,密鑰分配,數據加密,防信息重傳,以及通信雙方的不可否認性等重要功能。

三、研究目標、主要特色及工作進度：這里的電信網包括電信,移動等運營商的固定網和移動網,以及專門供運營商使用的專用網,如DCN(數據通信網)等。電信網絡的安全保障可從以下幾方面考慮:

1.在電信網絡各節點處構筑防御(如防火墻),防止外網影響內網。這里說的節點就是與其他各種網絡連接的地方,除固定網與移動網外,還有ISP,ICP,企業網,個人電腦等許多終端設備。

2.建立一個統一,完善的安全防護體系,該體系不僅包括防火墻,網關,防病毒及殺毒軟件等產品,還有對運營商安全保障的各種綜合性服務措施,通過對網絡的管理和監控,可以在第一時間發現問題,解決問題,防患于未然。

3.在互聯網日益廣泛應用的今天,為保障電信網絡的安全,必需樹立全程安全的觀念。全程安全就是在安全的每個過程中,如物理層,網絡層,接入終端,服務層面,人員管理等每個和安全有關的過程都要添加相應的安全措施,并且還要考慮安全隨時間變化的因素,也就是說,無論用戶在任何特定的時間,用戶的安全性都能得到保障。

4.需要建立安全管理機制。例如,口令管理;各種密鑰的生成,分發與管理;全網統一的管理員身份鑒別與授權;建立全系統的安全評估體系;建立安全審計制度;建立系統及數據的備份制度;建立安全事件/安全報警反應機制和處理預案;建立專門的安全問題小組和快速響應體系的運作等。為了增強系統的防災救災能力,應制定災難性事故的應急計劃,如緊急行動方案,資源(硬件,軟件,數據等)備份及操作計劃,系統恢復和檢測方法等。

5.建立專門的數據容災系統。其內容主要是數據容災和應用容災。數據容災是指建立一個異地的數據系統,該系統是本地關鍵應用的一個實時復制,當本地數

據及整個應用系統發生災難時,系統至少在異地保存一份可用的關鍵業務的數據。應用容災是在數據容災的基礎上在異地建立一套完整的,與本地相當的備份應用系統(可以互為備用),在遇到災難時,遠程系統迅速接管業務運行。

2、主要特色：網絡管理是電信網絡運營商的重要手段之一。它監控網絡話務量及路由繁忙的情況,以及設備及鏈路的可靠運行。網絡管理在網絡內部安全方面具有先天的優勢,它可以通過對網絡流量發生異常的分析及深度檢測,對IP數據進行截獲,發現已知及未知的新型侵入者。通過網絡管理中增加的安全手段還可對多數安全設備顧及不到的4-7 層的內容安全與網絡行為的法律取證等采取有效措施。因此,網絡管理與網絡安全管理相結合將使電信運營商能更有效地保障電信網絡的安全。

第四篇：網絡安全防護制度

網絡安全防護制度

為加強網絡管理，保障網絡暢通，杜絕利用網絡進行非法活動，使之更好地方便游客，特制定本制度。

一、安全教育與培訓

1．組織管理員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息發布審核、登記制度》，提高工作人員的維護網絡安全的警惕性和自覺性。2．對所有網絡用戶進行安全教育和培訓，使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》，具備基本的網絡安全知識。3．不定期地邀請公安機關有關人員、設備提供商專業技術人員進行信息安全方面的培訓，加強對有害信息，特別是影射性有害信息的識別能力，提高防范能力。

二、病毒檢測和網絡安全漏洞檢測

1．服務器如果發現漏洞要及時修補漏洞或進行系統升級。2．網絡信息安全員履行對所有上網信息進行審查的職責，根據需要采取措施，監視、記錄、檢測、制止、查處、防范針對其所管轄網絡或入網計算機的人或事。3．所有用戶有責任對所發現或發生的違反有關法律、法規和規章制度的人或事予以制止或向相關部門反映、舉報，協助有關部門或管理人員對上述人或事進行調查、取證、處理，應該向調查人員如實提供所需證據。

4．網絡管理員應根據實際情況和需要采用新技術調整網絡結構、系統功能，變更系統參數和使用方法，及時排除系統隱患。

三、網絡安全管理員崗位職責

1．保障網絡暢通和網絡信息安全。

2．嚴格遵守國家、省、市制定的相關法律、行政法規，嚴格執行我司制定的《網絡安全工作制度》，以人為本，依法管理，確保網絡安全有序。

3．服務器如果發現漏洞要及時修補漏洞或進行系統升級。4．網絡信息安全員履行對所有上網信息進行審查的職責，根據需要采取措施，監視、記錄、檢測、制止、查處、防范針對其所管轄網絡或入網計算機的人或事。5．所有用戶有責任對所發現或發生的違反有關法律、法規和規章制度的人或事予以制止或向相關部門反映、舉報，協助有關部門或管理人員對上述人或事進行調查、取證、處理，應該向調查人員如實提供所需證據。

6．網絡管理員應根據實際情況和需要采用新技術調整網絡結構、系統功能，變更系統參數和使用方法，及時排除系統隱患。

四、網絡賬號使用登記和操作權限

1．上網IP地址是上網主機在網上的合法用戶身份標志，所有上網主機必須到網絡管理部門進行登記注冊，將本機的重要網絡技術資料（包括主機型號，技術參數，用戶名，主機名，所在域名或工作組名，網卡類型，網卡的MAC地址，網管部門分配的IP地址）詳盡備案，以備核查。

2．上網用戶未經許可，不得擅自改動本機IP地址的主機。

3．網絡管理部門對賬號與權限劃分要進行有效的備份，以便網絡發生故障時進行恢復。4．賬號與操作權限的設置，必須做到專人專管，不得泄密或外借給他人使用。

五、網絡違法案件報告和協助查處

1．落實網絡安全崗位責任制，一旦發現網絡違法案件，應詳細、如實記錄事件經過，保存相關日志，及時通知有關人員部門取得聯系。

2．接到有關網絡違法案件舉報時，要詳細記錄，對舉報人的身份等要嚴格保密，及時通知有關人員，并及時與公安部門取得聯系。

3．當有關網絡安全監察部門進行網絡違法案件及其他網絡安全檢查時，網絡安全員和其他有關人員必須積極配合。

4．以下行為屬于違法使用網絡：

（1）破壞網絡通訊設施，包括光纜、室內網絡布線、室內信息插座、配線間網絡設備等。（2）隨意改變網絡接入位置。

（3）盜用他人的IP地址、更改網卡地址、盜用他人賬號（包括系統賬號、電子郵件賬號、信息發布賬號等）；

（4）通過電子郵件、網絡、存儲介質等途徑故意傳播計算機病毒。

（5）對網絡進行惡意偵聽和信息截獲，在網絡上發送干擾正常通信的數據。

（6）對網絡各種攻擊，包括利用已知的系統漏洞、網絡漏洞、安全工具、端口掃描等進行攻擊，以后、以及利用IP欺騙手段實施的拒絕服務攻擊；（7）訪問和傳播色情、反動、邪教、謠言等不良信息的。

第五篇：網絡安全防護措施

網絡安全防護措施

為保證做好我部門“政務信息公開”工作，做到非涉密政務信息100%公開，同時嚴格執行政務信息公開保密審核制度，則必須保障網絡安全維護工作，配備必要的安全防護設施及工作，確保信息與網絡安全。要做到以下幾點：

一、防火墻

在外部網絡同內部網絡之間應設置防火墻設備。如通過防火墻過濾進出網絡的數據；對進出網絡的訪問行為進行控制和阻斷；封堵某些禁止的業務；記錄通過防火墻的信息內容和活動；對網絡攻擊的監測和告警。禁止外部用戶進入內部網絡，訪問內部機器；保證外部用戶可以且只能訪問到某些指定的公開信息；限制內部用戶只能訪問到某些特定的Intenet資源，如WWW服務、FTP服務、TELNET服務等；它是不同網絡或網絡安全域之間信息的惟一出入口，能根據各部門的安全政策控制出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。使用硬件防火墻，管理和維護更加方便有效。防火墻技術的作用是對網絡訪問實施訪問控制策略。使用防火墻是一種確保網絡安全的方法。

二、網絡漏洞掃描入侵者一般總是通過尋找網絡中的安全漏洞來尋找入侵點。進行系統自身的脆弱性檢查的主要目的是先于入侵者發現漏洞并及時彌補，從而進行安全防護。由于網絡是動態變化的：網絡結構

不斷發生變化、主機軟件不斷更新和增添；所以，我們必須經常利用網絡漏洞掃描器對網絡設備進行自動的安全漏洞檢測和分析，包括：應用服務器、WWW服務器、郵件服務器、DNS服務器、數據庫服務器、重要的文件服務器及交換機等網絡設備，通過模擬黑客攻擊手法，探測網絡設備中存在的弱點和漏洞，提醒安全管理員，及時完善安全策略，降低安全風險。

三、防病毒系統要防止計算機病毒在網絡上傳播、擴散，需要從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒源，才能保證整個網絡免除計算機病毒的干擾，避免網絡上有害信息、垃圾信息的大量產生與傳播。單純的殺毒軟件都是單一版系統，只能在單臺計算機上使用，只能保證病毒出現后將其殺滅，不能阻止病毒的傳播和未知病毒的感染；若一個用戶沒有這些殺毒軟件，它將成為一個病毒傳染源，影響其它用戶，網絡傳播型病毒的影響更甚。只有將防毒、殺毒融為一體來考慮，才能較好的達到徹底預防和清除病毒的目的。

因此，使用網絡防、殺毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進出企業網的病毒、郵件病毒進行有效的清除，并提供基于網絡的單機殺毒能力。網絡病毒防護系統能保證病毒庫的及時更新，以及對未知病毒的稽查。

四、要求辦公全部使用內部網絡系統，涉密文件數據傳輸必須加密，其目的是對傳輸中的數據流加密，數據存儲加密技術目的是防止在存儲環節的數據失密。防止非法用戶存取數據或合法用戶越權存取數據。各

辦公室的涉密文件、資料、信息應設置安全保護，不得保存于未設置保密措施的計算機上。未經授權，不得隨意訪問別人的保密文檔。對已標明“秘密”、“機密”、“絕密”密級標識的，或雖未標明密級但通過保密審查、審批程序鑒定為國家秘密、工作秘密的，以及未以保密審批、審查的信息，嚴禁在網上發布。嚴禁在外網環境下辦公及存儲文件和資料。

五、定期排查計算機使用情況，保證計算機的使用安全，內部網絡環境下使用移動存儲設備必須經過檢測，確認其安全后方可使用。要提高網絡運行的管理水平，有效地、全方位地保障網絡安全。