《××电信网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《××电信网络安全解决方案.docx(16页珍藏版)》请在三一办公上搜索。
1、长沙电信网络安全解决方案湖南计算机股份有限公司网络通信及安全事业部目 录一、长沙电信网络安全现状1二、长沙电信网络安全需求分析2三、网络安全解决方案3四、网络安全设计和调整建议8五、服务支持8六、附录91、Kill与其他同类产品比较92、方正方御防火墙与主要竞争对手产品比较113、湘计网盾与主要竞争对手产品比较124、湖南计算机股份有限公司简介13一、长沙电信网络安全现状由于长沙电信信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet扩展到Internet。内部网络通过ADSL、ISDN、以太网等直接与外部网络相连,对整个生产网络安全构成了巨大的威胁。 具体
2、分析,对长沙电信网络安全构成威胁的主要因素有:1) 应用及管理、系统平台复杂,管理困难,存在大量的安全隐患。2)内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也很容易访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统极为容易遭到攻击。 3)来自外部及内部网的病毒的破坏,来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。4)缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。管
3、理成本极高,降低了工作效率。5) 缺乏一套完整的管理和安全策略、政策,相当多的用户安全意识匮乏。6)与竞争对手共享资源(如联通),潜在安全风险极高。7)上网资源管理、客户端工作用机使用管理混乱,存在多点高危安全隐患。8)计算机环境的缺陷可能引发安全问题;公司中心主机房环境的消防安全检测设施,长时间未经确认其可用性,存在一定隐患。9)各重要计算机系统及数据的常规备份恢复方案,目前都处于人工管理阶段,缺乏必要的自动备份支持设备。10)目前电信分公司没有明确的异地容灾方案,如出现灾难性的系统损坏,完全没有恢复的可能性。11) 远程拔号访问缺少必要的安全认证机制,存在安全性问题。二、长沙电信网络安全需
4、求分析网络安全设计是一个综合的系统工程,其复杂性丝毫不亚于设计一个庞大的应用系统。长沙电信信息网的安全设计,需要考虑涉及到承载的所有软硬件产品及处理环节,而总体安全往往取决于所有环节中的最薄弱环节,如果有一个环节出了问题,总体安全就得不到保障;具体就以下几个方面来分析。物理安全:在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。网络结构安全:通过层次设计和分段设计能够更好的实现网络之间的访问控制,结构设计需要对网络地址资源分配、路由协议选择等方面进行合理规划。通常应该要求网络集成商在网络设计时对结构安全加以考虑,并在运营维护过程中不断改进和完善。网络安全:对重要网段加以保护。
5、通过防火墙做接入点的安全;通过扫描软件对网络范围内的所有提供网络服务的设备进行漏洞扫描和修补;通过基于网络的入侵检测系统动态的保护重要网段。系统安全:对网上运行的所有重要服务器加以保护,并从自身实施一定的安全措施。通过操作系统升级和打安全补丁减少系统漏洞;通过扫描软件对服务器进行漏洞扫描和修补;通过安装基于主机的入侵检测系统来保护重要的服务器。数据库安全:通过专业的数据库扫描软件检测数据库系统存在的安全漏洞并进行修补,保护关键应用系统存放在数据库中的数据。应用系统和数据的安全:对于应用系统的安全,一方面可以借助扫描工具对软件安装的主机进行评估,另一方面对应用系统所占用的网络服务、用户权限和资源
6、使用情况进行分析,找出可能存在的安全问题。对于数据的安全,通过使用防病毒产品进行全方位的数据扫描服务,保证整个生产网处于安全无毒的环境。网络安全是个长期的过程,不仅需要有好的规划设计,还要有良好的安全策略、及时的安全评估和完善的安全管理体系,综合运用各种安全工具,方能保证系统处于最佳安全状态。以下是仅对长沙电信网络的一个集各项先进技术、国内优秀品牌网络安全产品的网络安全解决方案。三、网络安全解决方案防火墙:我们采用方正方御的1U型防火墙。该防火墙属于集成模块型状态检测防火墙,用户可根据需要选择功能模块。在这里我们选择的是入侵检测模块、扫描器模块、VPN模块,并考虑在中心机房的防火墙上选择安全评
7、估模块。*中心机房防火墙将重要数据与内外网络隔离,在长沙节点与四个县之间、长沙节点与骨干网之间、PSTN,DDN接入网络处分别配置防火墙,并根据原有的冗余链路利用防火墙提供的内外网口实现关键链路的双机热备;*VPN模块可实现点-网关、网关-网关的VPN加密通道,数字证书作为防火墙之间的身份认证,保证PSTN远程拨号访问传输数据的完整性和保密性;*入侵检测模块结合扫描器可对关键链路进行实时监控;*安全评估能够全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况,找出存在的安全漏洞并给出修补建议。*防火墙还可以将企业内部PC的MAC地址和IP地址进行捆绑,这样可以避
8、免内部人员随意修改IP地址;*URL过滤功能可限制企业内部员工访问一些特定性质的站点。*网络地址转换(Network Address Translation)功能不仅可以隐藏内部网络地址信息,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中上公用地址和私有地址的内部网用户顺利的访问Internet 的信息资源,不但不会造成任何网络应用的阻碍,同时还可以节省大量的网络地址资源, 解决公司IP地址资源不够的问题。 防病毒软件:我们采用的是北京冠群金辰公司的Kill系列防病毒软件,KILL防病毒软件有专门针对Email服务器和OA服务器的版本以及Kill For
9、 Lotus,Kill For UNIX,Kill For NT等等,适用于电信行业这样的大型网络。在内部网络中选择一台服务器作为KILL下载服务器,可以定时的从网络中下载最新的病毒库,然后分发到客户端KILL的机器上面。大大简化了防病毒的管理工作。升级问题是反病毒软件的一个重要考核标准,因此,KILL所提供的自动简单升级方法也是KILL系列产品的一个重要优势。KILL主动邮件服务功能,能够直接将最新升级版本用电子邮件的方式发送到指定电子邮箱中。同时,企业内部网通过简单配置,在一台服务器上下载升级文件便能够自动完成全域内所有计算机升级工作。即系统管理员可以将文件服务器作为下载升级文件服务器,当
10、文件服务器升级文件下载成功后,KILL会自动将升级文件分发给其他服务器和NT工作站;在终端用户登录到升级后的服务器时,客户端会自动运行升级程序,从而完成客户端升级工作。整个升级工作如下图所示:入侵检测系统软件:我们知道,Intranet的保护需要有适当的工具(比如防火墙)。但值得注意的是,如果我们在有了适当的工具以后还缺乏必要的审核手段,仍有可能造成企业的巨大损失。据一些著名防火墙专家的估测,在现已安装的防火墙中,大约有50%以上的防火墙实现是不当的。而造成这一现状的重要原因就是用户在配置的细节以及基本操作系统的易受攻击上。正是由于这一原因,在网络日益成为当今公司企业赖以生存的手段的时候,它在
11、将用户与必要的资源相连接的同时,传输着至关重要而且往往是高度敏感的信息。但是随着网络规模的扩大、复杂性的增加,防止它们受到诸如低级协议攻击、服务器与桌面电脑入侵之类的威胁就变得越来越困难。更有其它危险来自于通过内部网络传播的病毒和恶意小程序。因此与往常一样,我们很有必要检测和阻止对内部服务和桌面的不合理访问以及不正常的外部URL。那么网络在被动保护自己不受侵犯的同时,能否采取某些技术,主动保护自身的安全呢?入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技术可以帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构
12、的完整性。它从计算机网络系统中的关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。湘计网盾入侵检测系统产品介绍应用环境:TCP/IP10/100M以太网;兼容性:与控制台通信加密,与控制台相互认证;适用性:独立操作系统;功能描述网络监听能力:支持10/100M以太网监听;监听网口不绑定IP。网络流预处理能力:支持TCP流重组,能够监控的并发活动TCP连接数为60,000以上;支持IP碎片重组。协议支持与信息收集:arp监控,收
13、集MAC/IP信息;general IP/TCP/UDP流监控,能支持识别syn-attack、portscan;ICMP监控,包括traceroute行为、主机与端口不可达信息。行为检测:实时分析支持基于规则匹配的内容分析;支持各类约1000多个事件描述;自动通过管理端网口将事件信息传递给Console,通信协议要支持实时流量转储的吞吐量;根据配置,能自动实时阻断某种特征的连接,也可以根据Console的请求阻断某些特征的连接;TCP RST;ICMP UNREACHABLE;ARP Takeover;管理控制 权限分级,参照公安部要求执行,至少分:管理员、授权管理人员、授权用户,详见公安部
14、标准;集中管理集中管理一个或多个Sensor(理论上对Sensor无限制);负责策略的配置;可以对Sensor进行入侵库和软件的升级;规则库与规则定制系统规则库有事件的详细说明和分级;系统提供几套缺省入侵检测集供用户选用;用户可以自行制定入侵检测集;用户可以自行定制入侵检测匹配规则;统计分析对一个或多个Sensor上传的日志进行统计分析;能够根据日志分析并鉴别下列行为,并生成分析日志,(同时自动将相关事件日志复制到分析日志关联库中,以防原始事件日志被回卷):黑客攻击(35大类,1290多种),并能通过网络接口进行检测库和程序的升级检测端口扫描攻击检测常见的web攻击对不正常的请求icmp报警检
15、测利用finger的攻击检测利用ftp的攻击对少见的ip选项报警检测常见的后门检测利用RPC漏洞的攻击检测利用缓冲区溢出的攻击根据分析结果,触发响应完善的审计、日志功能对所有管理员操作进行记录;对所有Sensor上传事件信息进行记录;根据不同等级的事件设置各自独立的回滚存储区;审计信息应能加密存储(需要明确:审计信息包括哪些);支持流行数据库报表用直观的柱行图或饼图统计攻击的各情况;入侵响应可以针对不同事件等级、统计分析结果等级制定不同的响应方式;中断连接(通过Sensor执行);提醒系统维护,漏洞更新多种报警,通知方式Email、声音、切断连接、记录到数据库等。四、网络安全设计和调整建议尽快
16、与寻呼、移动网络从物理上完全分离;物理安全的保护主要网络设备和各种业务服务器的安全(包括确认防火、防盗,自动烟雾检测系统的工作正常,以及防尘、防静电防磁、电源系统等);毁灭性灾难发生时的异地容灾(从节约资金的角度,现主要考虑数据磁带的异地备份);应用系统按其重要性分段,重要系统在条件允许时 尽量集中放置,以便集中实施安全策略。维护人员的桌面机所在网段应与重要网段逻辑上隔离;针对桌面平台现状,制定规范化管理方案。统一操作系统版本并安装相应的补丁。不允许在办公用机上私自安装各种非生产用的软件。非计算机专业维护部门不允许私自拆卸计算机设备。五、服务支持湖南计算机股份有限公司网络通信及安全事业部一直倡
17、导与客户共同发展,客户的成长才是我们持续发展的源动力。我们的网络安全服务主要业务如下: 网络安全咨询服务:主要通过分析用户的业务需求和现有网络结构,提出实用明确的网络的方案,根据网络功能和业务制定完善的安全策略; 制定网络安全管理制度体系:帮助用户解决网络中由于制度和结构导致的问题,设计网络安全整体解决方案和建立网络安全管理制度体系,根据实际安全需要和客户预算,增加和配置网络安全产品。 安全产品集成与网络安全技术服务:在用户网络安全建设中,网络安全相关的软硬件建设是一个很重要的环节。我们精心选择了部分网络安全产品提供商结成战略合作伙伴,能够向用户提供全方位、成系列的网络安全解决方案及定期与不定
18、期相结合的完善周到的网络安全技术服务,帮助拥护了解自身网络的安全状况,消除用户网络中潜在的隐患,提高用户网络安全等级。 应用系统安全评估:安全是一个系统的工程,整体安全评估和安全规划服务的目的是对客户的安全工程建设有一个整体上的把握并且提供针对性的建议。 *整体安全评估和安全规划 *主机安全评估 *即时漏洞报告 网络安全知识培训:提供网络安全知识普及培训、网络安全管理人员培训等培训服务。 *网络安全知识普及培训 *网络安全管理人员培训六、附录1、 Kill与其他同类产品比较KILLNorton公司背景及技术实力中国公安部和全球第二大软件公司冠群电脑(CA)合资成立冠群金辰软件有限公司。本地化的
19、研发队伍,融合CA的世界级先进技术,开发出适合国内用户的KILL系列国产安全产品。公司直接负责产品生产、销售和技术服务。国际著名安全产品公司,产品在国外开发,销售、服务由国内总代理负责。防病毒产品全中文操作界面,非常适合国内用户使用所有产品中文操作界面,适合国内用户使用。网络防病毒基本性能系统资源占用率比较其他同类产品对系统资源占用较少,用户还可以根据实际使用情况调配系统资源占有率,确保查杀病毒过程不会影响用户系统的使用。中文产品占用系统资源较多,有时会严重影响系统的运行速度和用户应用程序的运行。查、杀病毒能力依靠北京冠群金辰公司在国内与国际上建立的独一无二的病毒监测网,及时收集国内和国际出现
20、的最新病毒,使KILL能及时为用户提供新型病毒的解决方案,在查、杀病毒,尤其是国产病毒方面优于国外产品。只有国外的病毒监测网,查、杀国产病毒的能力逊于国产杀毒软件。自动修复注册表KILL可以自动修复被蠕虫病毒等修改的系统注册表信息,清毒更彻底。无自动删除特洛伊木马程序KILL可以自动删除由病毒产生的特洛伊木马程序,清毒更彻底,完全自动化只能由用户手工删除网络防病毒产品总体特点服务器和客户端可以集中管理,安装、配置操作简单、方便。服务器和客户端可以集中管理,但安装、配置较复杂。安装方式一点安装,处处安装Windows NT/2000的机器安装可以在一台机器上通过远程安装来统一完成。Win98/9
21、5客户端软件可以在用户登录服务器时自动安装完成,不需要用户干预。也就是说,可以在一台机器上完成对整个网络中所有计算机的安装。Windows NT的机器安装可以在一台机器上通过远程安装来统一完成。对于Win98/95客户端用户首先要手动从服务器下载并安装客户端代理程序(Agent),Win98/95软件可以通过分发,或在用户登录服务器时自动安装完成。客户端的安装不能完全自动化。管理系统支持。自动探测进行管理。可以进行分布式(分级)集中管理,适合大型机构/企业管理模式的要求,管理方式灵活、多样。通过KILL管理服务器,对网络中所有计算机进行集中分布式管理,并基于策略实施管理。网络管理员可以在网络中
22、任意NT/2000机器上进行远程管理控制,制定网络防病毒策略。在发现病毒后的管理方面,KILL网络版具有跟踪病毒源获取详细的信息并采取隔离的措施来防止该用户的进一步操作,从而保证网络安全。 可以跨平台管理,KILL网络版可以管理Unix、NetWare的网络防病毒。 通过“控制中心”进行控制。网络管理员在安装了“防病毒控制中心”的NT服务器上进行防病毒的配置操作、管理控制。病毒库升级自动多级分发升级系统:网络版的升级可以由一台服务器下载最新的升级文件,然后分发到其他的NT/2000/9X/ME的机器上。设置好的分发系统,由KILL自动控制完成,不需要用户干预。完全自动增量升级。网络升级分发功能
23、与其安装方式一样,在服务器上要安装“控制程序”,在Win98/95客户端安装客户端代理程序(Agent)。网络升级容错具备升级校验功能。即:先试验,后运行。 在自动升级过程中,下载来的升级文件先在本机进行升级试验,如果升级成功则进行下一步的分发和自动升级工作。如果发现升级过程有误,则自动重新下载升级文件,然后再一次进行试验,直到升级成功为止,然后进行下一步的升级过程。没有升级容错校验功能。目前国内因特网的传输质量很差,用户在下载升级文件时,经常产生错误,下载的文件内容有错或不完整,不进行校验就强行将升级文件进行分发,就会对网络产生不安全的因素,对用户的网络运行构成威胁。技术服务技术支持本地研发
24、中心,厂家直接负责行业售前、售后技术服务与支持国外研发中心,售前、售后技术服务由本地总代理负责客户服务全国授权服务网主动邮件服务全国授权经销商网上病毒码更新和升级特殊服务成立专为行业用户提供支持的技术小组,可以随时进行全方位的技术维护和支持。-防火墙产品比较表公司名称方正数码东大阿尔派北京天融信产品名称FG2NetEye 2.0NGFW3000产品类型(路由器、软件、硬件设备)硬件设备硬件硬件接口三个10/100Base-TX (内网口、外网口、DMZ口和控制口)l 两个串口(控制串口和热备串口) 三个10/100Base-TX接口 一个Console口 三个10/100Base-TX接口 一
25、个Console口列出支持的LAN接口类型(以太网/FDDI等)以太网以太网以太网服务器平台专用平台专用平台专用平台协议支持建立VPN通道的协议IKE,IPSecIKE,IPSecIKE,IPSEC支持视频会议协议支持支持不支持支持VLAN的TRUNK协议支持支持2、 方正方御防火墙与主要竞争对手产品比较加密支持支持的VPN加密标准使用IPSEC技术进行隧道通讯,使用3DES技术等进行加解密,使用IKE进行密钥管理,使用X.509进行身份认证未知DES,3DES,MD5,RC4,RSA,国家许可专用算法除了VPN之外,加密的其他用途远程管理远程管理远程管理提供基于硬件的加密专用加密硬件专用加密
26、硬件专用加密硬件认证支持支持的认证类型客户认证可以使用多种认证方式,用户可以自行设定用户账号、密码,并使用这些内置用户账号进行认证,也可以使用NT域认证或者Rudius认证专用OTP,RADIUS列出支持的认证标准和CA互操作性X.509无X.509支持数字证书3、 湘计网盾与主要竞争对手产品比较产品名称湘计网盾HDIDSCA eTrust Intrusion Detection硬件/软件硬件软件基于主机是是基于主机否系统结构传感器/控制台传感器/控制台控制台操作系统及硬件需求Windows NT/2000,166MHz Pentium,64M内存,100M空间Windows NT/95/98
27、/2K,166MHz Pentium,64M内存,100M空间传感器操作系统及硬件需求机架式网络设备,256MWindows NT/95/98/2K,166MHz Pentium,64M内存,200M空间被监控端的操作系统平台Windows 2000/NTWindows 95/98/NT支持的网络类型10/100M 以太网10/100M 以太网,FDDI,令牌环管理网口与监听网口分离是是监听网口不带IP地址是TCP流重组是是监控的TCP连接数12000IP碎片重组8462分析的协议TCP/IPTCP/IP, UDP/IP分析的高层应用协议HTTP, FTP, telnet, SNMP, SMT
28、P, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP等HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP等中断TCP连接是是发送ICMP不可达是是攻击特征数1290条1000条抗针对IDS的DoS攻击是通信加密是是传感器和控制台互相认证是是支持实时警告通知是是提供创建规则的工具创建自定义的监控模块以检查某些类型的数据包是是防止未经授权访问文件或试图获得超级用户的控制是是检测来自多个位置的多个攻击是是检测网络层/基于包的攻击(如DoS)是是4、 湖南计
29、算机股份有限公司简介湖南计算机股份有限公司一家大型高科技股份制上市公司,是以科研开发、生产、经营计算机(含军品)和应用系统集成的综合性高科技企业集团,是信息产业部部属企业,1997年被国务院定为国家重点企业,1994年荣获ISO9002质量体系认证,1997年荣获ISO9001、GJB/Z9001质量体系认证。目前公司拥有总资产15.2亿元,2001年销售额12亿,其中计算机信息系统集成达3.2亿元,利税8000多万元。公司现有职工860多人,专业技术人员占62%,拥有近百项国家专利。本公司技术中心99年被省经贸委认定为省级企业技术中心,正在申报国家级认定企业中心,本公司从事科研开发的500人
30、中,95%以上具有本科学历,由11名博士、86名硕士和60多名高级工程师来主持和组织各种硬件产品和应用系统、操作系统的研制、开发和推广。目前湘计算机已发展成为IT外设、应用系统集成、基础元器件、军用计算机四大支柱产业并驾齐驱的高科技企业集团。公司2001年获省级信息工程一级资质证书,正在申报计算机信息系统集成国家一级资质认证,已通过湖南省涉及国家秘密计算机信息系统集成资质审查。2001年被信息产业部定为国家重点软件企业(共120家)。公司成功的工程案例有:代理业务综合平台、电信业管理计费解决方案、移动2000移动电话综合业务管理系统、外交部全球文件传输系统(涉及200多个使领馆)、公安部九局多媒体网络工程、公安部边防检查管理信息系统、公安部进口汽车核查信息系统等几十项涉及企业、电信、广电、金融、教育、政府等行业系统集成项目,系统集成经验丰富,并能提供及时的现场服务。
