第一篇:电信网络安全应对策略解决方案[最终版]
电信网络安全应对策略解决方案
网络安全是一个涉及面广泛的问题。随着人们对网络依赖性的增强,电信网的安全性、可靠性与容灾能力越来越受到重视。虽然一开始,网络设计者就采用SDH恢复、双归属等技术来进行网络的冗余与备份,以提高电信业务的抗灾能力,但是由于灾难的不可预测性,如何做到未雨绸缪以及在紧急情况下迅速提供电信业务一直是人们关注的焦点。此外,随着WLAN、互联网和3G的广泛应用,下一代网络的安全性问题也日益受到重视。
一、网络安全涉及的内容
网络安全涉及的层面非常广,从网络到信息,从物理网络的保护到对各种病毒和网络攻击的预防,涉及IT行业的方方面面。一般来讲,网络安全可以简单分为以下几个层次。
1.电信网络的安全可靠性
电信网络的可靠性问题由来已久。传统上,电信网的可靠性一般分为两个方面,即预防网络故障的发生以及电信网络发生故障后的保护和恢复。目前随着通信协议在网络中的应用越来越广泛,通信协议的安全性也越来越重要,特别是在互联网的开放环境中,对通信协议的安全性要求更高。
预防网络故障的发生一般在网络规划和建设时就已经考虑,但仍然需要根据构成设备的可靠性来分析建成后系统的整体可靠性。
故障发生时的网络保护和恢复能力也是电信网络建设所考虑的重点,特别是随着传输设备的交叉连接能力的增强,为传输网络的故障恢复能力提供了重要保证。目前,IP网络的相关故障恢复主要发生在以下三个层次:光传输层、ATM层和IP层。其中,越是底层的网络,要求保护和恢复的时间越快、代价越高,也越不灵活。
2.互联网的安全可靠性
由于互联网是一种全球性、开放性、透明性的网络,是无边界的,任何团体或个人都可以在互联网上方便地传送或获取各种各样的信息。然而目前网络自身的安全保护能力有限,许多应用系统处于不设防或很少设防的状态,存在很多漏洞,而将来对网络的攻击不仅仅是已经出现的蠕虫、病毒和黑客攻击,还会有针对互联网基本机理的攻击,使关键的交换机、路由器和传输设备瘫痪。随着上网单位和网上信息的日益增多,网络与信息安全面临的挑战越来越大。
互联网协议构件的安全性问题也越来越严重,一方面与互联网协议本身有关,另一方面也与互联网的商业化进程密切相关,如目前由于互联网运营模式的变化,可能受到的攻击手段也在增加,特别是随着VoIP业务使得互联网和传统电信网互连,对传统电信网的信令系统也造成很大的威胁。因此对于互联网架构的安全性问题,一方面可以通过协议的安全性改进、实现的一致性、安全性问题标准化等措施来加强,另一方面则应尽量减少协议受攻击或者威胁的可能。
3.信息安全
网络安全与信息安全是休戚相关的,网络不安全,就谈不上信息安全;然而网络再安全,也不可能万无一失,所以还要加强信息自身的安全性。现在,基本上在网络硬件、网络操作系统、网络中的应用程序、数据安全和用户安全等五个层面上开展研究工作。除了常用的防火墙、代理服务器、安全过滤、用户证书、授权、访问控制、数据加密、安全审计和故障恢复等安全技术外,还要采取更多的措施来加强网络的安全,例如,针对现有路由器、交换机、边界网关协议(BGP)、域名系统(DNS)所存在的安全漏洞提出解决办法;迅速采用增强安全性的网络协议(特别是IPv6);对关键的网元、网站、数据中心设置真正的冗余、分集和保护;实时全面地观察和了解整个互联网的情况,对传送的信息内容负责,不盲目传递病毒或进行攻击;严格控制新技术和新系统,在找到和克服安全漏洞或者另加安全性之前不允许把它们匆忙推向市场。
目前就信息的安全性要求来说,一般强调五个要求,即信息的可用性、保密性、完整性、真实性和不可抵赖性。
二、电信行业在网络安全方面的经验
电信网络一般指有线、无线、卫星网络以及互联网等,电信网络所受到的威胁主要是恐怖袭击、自然灾难或类似情况。电信行业在安全方面的工作重点主要包括业务、网络和企业的安全可靠性。
对于电信行业来讲,安全隐患一般分为以下两种:
脆弱性(vulnerability):指通信网络设施的某些方面容易损坏或受到安全威胁的特性;
威胁:可能损害或危及网络安全的任何潜在因素。
1.通信设施主要安全问题及对策
通信设施的安全问题主要来自以下几个方面,运营商应该在问题发生之前采取预防措施,或在问题发生之后采取积极的补救措施。
(1)环境
包括建筑物、电缆沟槽、卫星轨道的空间、海缆沿途等环境。没有绝对安全的环境,要整体考虑环境安全计划,需要定期对环境进行评估和再评估,特殊环境需要特殊考虑。
(2)供电
包括电池、地线、电缆、保险丝、备用应急发电机和燃料。内部电力设施常常被忽略,需要持续检验电力系统是否有效,业务提供商和网络运营商要保证对重要的设备不间断供电,在发生自然灾难(如台风、地震)时,能够提供发电机的燃料供应和后备电源的使用。
(3)硬件
包括硬件架构、电子电路模块和电路板、金属件以及光缆、电缆、半导体芯片。关键网元的设备供应商应该对电子硬件进行测试,以确保兼容性、抗震性、耐压性、温度适应性等。
(4)软件
包括软件版本的物理储藏、开发与测试、版本控制与管理等。提供商应提供安全的软件传送方式。
(5)网络
包括节点的配置、多种网络与技术、同步、冗余、物理与逻辑的分集。业务提供商和网络运营商应该开发一套严密的程序,以评估和管理各种危险(如迂回路由、紧急状态快速反应)。
(6)负载
包括跨越网络设施传送的信息、业务量模型与统计、信息拦截侦听。网络运营商在设计网络时应该使潜在的信息拦截降到最小。
(7)人员
包括有意和无意的行为、限制、教育与培训、道德规范等。业务提供商与网络运营商应该考虑建立员工安全意识培训计划。
2.运营商对互联网采取的安全措施
互联网是未来的发展方向,也是安全隐患最大的地方。目前,互联网最常见的安全问题是病毒、蠕虫、拒绝服务攻击,网络受到的攻击越来越多。据美国计算机紧急响应小组协调中心(CERTCC)统计,1999~2002年间,每年网络受攻击数分别为9859、21756、52 658、86 000次,网络攻击愈演愈烈之势由此可见一斑。因此,运营商都在积极努力,以保证网络的正常运行。AT&T已经有七层安全协议来应对外部攻击,并且在其网络中枢构建了基于网络的主动式安全系统,可以进行细致深入的分析并能预见到各种攻击。
3.保护七号信令网
七号信令网络是电信网重要的控制系统,目前七号信令及其安全性越来越受到关注。FCC在调查造成网络瘫痪的因素时,专门对因七号信令而造成的事故进行了调查与研究。其2002年底的一份调查显示,由于七号信令而造成的网络故障有上升的趋势。几年前美国参议院司法委员会就提议运营商重视七号信令的安全,FBI国家基础设施保护中心(NIPC)也把此列为工作重点。
七号信令攻击具有以下一些共同的特点:
消息中带有非相邻信令节点的地址;
特定消息类型的量增加或异常;
特定消息类型的出现频次增加或异常;
消息集中在某链路或链路集上。
高质量的防卫将是一个多元的安全政策,最好的防卫是早期检测。运营商必须安装能够监控整个网络的设备,该设备必须能够实时地检测所有的信令消息并向中心地点报告这些情况,而且要能够对消息进行分析。
运营商应该认识到,对七号信令网络真正的攻击可能不只是简单的攻击,很可能是一个充分组织的复杂攻击,因此更要积极防范。
三、网络安全是NGN的重要内容
NGN指移动与固定运营商未来将拥有的能够提供一系列先进新业务的网络设施。在NGN中,网络安全是最重要的内容,也是亟待解决的问题。随着新技术特别是WLAN、IP分组网络、3G等的发展与应用,网络中的薄弱环节也越来越多。
1.WLAN
如今,WLAN的安全性成为一个突出的问题。随着WLAN的普遍实施,其安全性应该引起业界足够的重视。设备厂商在试图通过加密与认证等方式来减少一些安全隐患。
针对WLAN存在的安全问题,目前有四项主要的技术措施:802.1x认证协议、专门针对WLAN的安全体系标准802.11/802.11i、VPN和实现WLAN中用户隔离的虚拟局域网(VLAN)。这4项技术有的正在开发之中,有的又过于复杂,因此WLAN的安全问题在最近一段时间内难以得到彻底的解决。
2.基于IP的分组交换网
在过去的电信网络中,网络所受到的安全威胁比较典型,如毁坏PBX、恶意拨号等。而基于IP的分组交换网的安全问题将更加突出,并且与以往的安全问题相比有很大的不同。
人们使用VoIP或者MPLS来构筑VPN时,安全隐患将变大。因为人们在使用IP地址时会把自己“暴露”在大庭广众之中,这样就会面临电路交换网甚至ATM或者帧中继中从未有过的安全问题。你可以从公共域“看到”别人,别人也可以采用标准的攻击形式轻而易举地破坏路由表。例如,攻击一个交换机并非易事,但是攻击一个实施了MPLS的交换设备却方便得多,因为可以从内部网看到它所拥有的IP地址。如果有人进到内部网,就可以接入到交换机,从而带来更大的安全隐患。
3.3G
3G电话更易受到攻击。在2.5G网络中,IP地址是在基站,黑客必须先攻击基站才能攻击到电话,而基站一般都有保护措施。然而在3G网络中,IP地址实际上是在电话中,黑客可以直接攻击电话。因此,3G在安全性方面与2.5G或者i-mode相比有很大的弱点。
四、结语
随着技术的发展,电信网络涵盖的范围越来越广,以前单
一、封闭的网络正在向开放多样的网络演进,因此电信行业面临的安全问题更加复杂、多样,保障电信网络和业务的安全面临着更加严峻的形势。由于电信网络是人们向信息社会迈进的基石,与人们的工作、生活息息相关,因此无论政府、运营商还是用户,都应该更多地关心电信网络的安全问题。
第二篇:基于电信企业网络安全策略
网络教育学院
本 科 生 毕 业 论 文(设 计)
需要完整版请点击屏幕右上的“文档贡献者”
题
目: 基于电信企业的网络安全策略
基于电信企业的网络安全策略
内容摘要
随着企业办公网络的发展,如何保障网络正常运行,网络资源的合法访问,使网络免受黑客、病毒和其他不良意图的攻击显得尤为重要。本文简要介绍了企业网络安全的威胁因素,根据网络访问机制给出了相应的管理策略,并重点讨论了信息加密以及内外网互连的企业网络安全策略。
关键词:
I 电信网络;网络安全;策略基于电信企业的网络安全策略
目 录
内容摘要 ··························································································································· I 引
言 ···························································································································· 2 1 概述 ···························································································································· 3
1.1 研究背景 ·········································································································· 3 1.2 网络安全现状 ·································································································· 3 1.2 本文的主要内容及组织结构 ·········································································· 4 2 企业网络安全需求及隐患 ························································································ 5
2.1 企业网络安全需求 ·························································································· 5 2.2 企业网络安全隐患 ·························································································· 5 2.3 安全问题对企业网络的危害 ·········································································· 5 3 电信企业网络安全策略 ···························································································· 6
3.1 访问控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 内外网互联安全策略 ······················································································ 6 4 数据备份策略 ············································································································ 8 5 结论 ···························································································································· 9 参考文献 ························································································································ 10
1
基于电信企业的网络安全策略
引
言
随着计算机网络的出现和互联网的飞速发展,网络在信息获取及传递中发挥着无可比拟的作用。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。伴随着网络的发展,也产生各种各样的问题,其中安全隐患日益突出,无论是企业、服务供应商、政府部门还是研究和教育机构,安全性显然决定着网络要求和工作的优先级。对于企业而言,提高内部信息集成,实现信息共享,提高工作效率,必须要建立完善、高效的网络。
2
基于电信企业的网络安全策略 概述
1.1 研究背景
当今,互联网的发展已经出乎人们的想象,新技术、新概念层出不穷,互联网实现了人们在信息时代的梦想,预示着新经济时代的到来。因特网的迅速发展使得信息资源可以迅速的高度共享。随着全球的网络化,经济的全球化,世界缩小了,人类的工作、生活变的更加快捷方便。随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,因特网正在越来越多地离开原来单纯的学术环境,融入到经济、军事、科技、教育等各个领域中。电子商务、远程教育、网上医疗渐渐步入千家万户,网络吸引了亿万用户,它已经成为人们生活的一部分。
1.2 网络安全现状
Internet正在越来越多地融入到社会的各个方面[1]。一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着Internet和以电子商务为代表的网络应用的日益发展,Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。
随着互联网技术的发展,网上内容的丰富,互联网犹如空气、水融于世界每个角落。互联网不只是高科技的象征,它已成为整个国民经济的神经网络。企业上网不仅是一种时尚,更成为企业成功的必选项。截止到年2001年4月3日,在我国已有的个网站中,企业网站所占比重最大,为77.8%,到,2001年底全国通过网络进行的电子交易达近4万亿美元。然而,在企业纷纷享受现代文明成果之时,网络潜在的危害也在威胁着企业[2]。据统计,2001年全球电脑病毒造成的经济损失高达129亿美元,仅红色代码给企业和个人造成的经济损失就达26.2亿美元,90%的网站均遭受过网络攻击。
2000年2月,在三天的时间里,黑客使美国数家顶级互联网站-Yahoo、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使 3
基于电信企业的网络安全策略
其不能提供正常服务。在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。
国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击[3]。国内第一家大型网上连锁商城IT163网站3月6日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。
客观地说,没有任何一个网络能够免受安全的困扰,依据Financial Times曾做过的统计,平均每20秒钟就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
1.2 本文的主要内容及组织结构
基于电信企业的网络安全策略 企业网络安全需求及隐患
企业网络通常采用TCP/IP、WWW、电子邮件、数据库等通用技术和标准,依托多种通信方式进行广域连接,覆盖系统的大部分单位,传输、存储和处理的信息大都涉及到行业内部信息。因此必须对信息资源加以保护,对服务资源予以控制和管理。
2.1 企业网络安全需求
2.2 企业网络安全隐患
网络的入侵不仅来自网络外部,也来自于网络内部,由于办公网络在用途和实现方式上与公众网络有所不同,大部分办公网络都采用内部网的形式进行组建,外部网相对而言网络节点数量和信息量都较少,敏感信息一般存放在内部网络中,而且内外网之间大多采用了较强的保护甚至物理隔离措施,因此大多数的安全威胁来自网络内部,而非外部,其原因主要有:
一般来说,大部分机构的信息安全保护措施都是“防外不防内”,很多办公网络赖以保障其安全的防火墙系统大部分位于网络边界,对来自内部的攻击毫无作用。
内部人员最容易接触敏感信息,而且对系统的结构、运作都非常熟悉,因此行动的针对性很强,很容易危害系统的核心数据和资源,而且很难被发觉。
内部人员可能采用常用的非法用户技术和软件对办公网络进行测试。
2.3 安全问题对企业网络的危害
基于电信企业的网络安全策略 电信企业网络安全策略
3.1 访问控制策略
访问控制的目的是防止非法访问,实现用户身份鉴别和对重要网络、服务器的安全控制[4]。防火墙就是一类较有效并广泛应用的网络访问控制设备,它主要通过对IP地址、端口号等进行控制和设置应用安全代理等措施,实现内部被保护网络与外部网络的隔离。
在安全规则上,企业网络可以针对单独的主机、一组主机、一段网络,按照网络协议进行设置,面向对象的安全规则编辑;根据网络通讯端口设置安全规则,针对企业保护对象只开放某些服务端口;根据信息传输方向设置安全规则,同时在安全规则中设置允许、拒绝等操作方式;按照星期几或每一天具体的时间设置,实现访问控制;根据网络服务设置安全规则。
3.2 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据[5]。网络加密常用的方法有链路加密、节点加密和端点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端端加密的目的是对源端用户到目的端用户的数据提供保护。用户可根据网络情况酌情选择上述加密方式。
3.3 内外网互联安全策略
随着网络拓扑结构、网络应用以及网络安全技术的不断发展,安全策略的制订和实施是一个动态的延续过程。需要制定周密可靠的安全体制以保护内网的机密信息、阻隔外网对内网系统的有害侵袭以及有效的管理和限制内网用户对外网资源的访问等。为保证企业办公网络的安全性,一般采用以下一些策略:(1)利用防火墙技术。它是以TCP/ IP体系架构为核心,针对具体应用和用户角色进行智能决策的系统,以保护网络的可用性、系统服务的连续性;防范网络资源的非法访问及非授权访问;检测各种入侵、攻击和异常事件,并以响应的方式通知相关人员,管理人员根据警报信息及时修改相应的安全策略;通过防火墙的http访问控制管理,过滤网络地址URL,对URL中的路径部分以及网页内容进行过滤、对JAYAAP2 PLET、ACTIVEX过滤;通过防火墙的FTP访问控制管理,提供命令级的过滤功能、部分命令参数的过滤功能、限制用户的访问,对用户名进行 6
基于电信企业的网络安全策略
过滤、保护FTP服务器信息。
(2)利用入侵检测技术。入侵检测技术可使系统管理员时刻了解网络系统,给网络安全策略的制定提供依据。入侵检测系统可以监视、分析用户级系统活动;构造变化和弱点的审计;识别反映己知进攻的活动模式并向网管人员报警;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
(3)利用VLAN技术。VLAN技术的核心是网络分段。运用VLAN技术跨越交换机按功能对网络进行统一的VLAN划分,可以将通信限定在同一虚网中,形成特别有效的限制非授权访问的屏障。如在集中式网络环境下,将中心的所有服务器系统集中到一个VLAN中,将网管工作站、系统管理员经常用来登陆服务器的工作站等高安全性的用户组织到另一个VLAN中,在这些VLAN里不允许有任何用户节点,从而较好的保护敏感资源,在分布式网络环境下,可按机构和部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
基于电信企业的网络安全策略 数据备份策略
对企业服务器及数据应利用防火墙实现双机热备份和灾难冗余。对于需要高度可靠性的用户,一定要选用具有双机热备份功能的防火墙,在同一个网络节点使用两个配置相同的防火墙,正常情况下一个处于工作状态,另一个处于备份状态,当工作状态的系统出现故障时,备份状态的防火墙自动切换到工作状态,保证网络的正常使用。备用防火墙系统能够在一秒钟内完成整个切换过程,不需要人为操作和除两个防火墙以外的其他系统的参与,而且整个切换过程不影响网络上的任何通讯连接和信息传输。如果是不具有双机热备份功能的防火墙,即使能够做到双机热备份,一旦出现故障时,备用防火墙需要10秒钟以上才能替代主用防火墙正常工作,网络上的所有服务连接均需要重新建立,费时费力而且会造成很大损失。
基于电信企业的网络安全策略 结论
随着网络建设的发展,企业网络的规模将越来越大,网络安全管理工作将越来越复杂,网络安全维护将是企业的一项重要任务。在维护网络安全时,必须结合网络安全防范技术,综合考虑安全因素,制定合理的管理方案、有效的技术方案,采取切实可行的安全防护措施,逐步完善的网络安全防护体系,增强每个网络用户的安全意识,从根本上解决网络安全问题。
榆林电信分公司网络安全系统涉及的安全方案考虑到了榆林电信分公司网络安全系统的实际情况,均衡了性能价格比,从整个系统的可靠性,稳定性,安全性和可扩展性多方面进行了考虑,有如下优势:
基于电信企业的网络安全策略
参考文献
[1]陈则徐.浅析企业网络安全策略,电脑知识与技术2009.3,5(9):106-108 [2] Roberta Bmgg,CISSE Certified Information Systems Security Professional.北京:人民邮电出版社,2003:98~102 [4]胡春安.中小型企业网络升级方案的研究:[硕士学位论文].华中科技大学,2006.9,34-40 [4]仇剑锋.基于VLAN和三层交换的企业网络安全策略研究[硕士学位论文].中南大学,2006.10,8-12 [5] 1912E岩明,冼沛勇.建立数据安全系统,维护企业信息安全.计算机与网络,2003,(24):19-21 10
第三篇:浅谈电信网络安全
一、选题的依据及意义:
老师在课堂也也时刻点明这我们这个是随着互联网的兴起的时代,而我们这些IT人又面临着更新一步的IT技术。面对TCP/IP协议簇的采用,各种应用层出不穷,传统的固定网、移动网与互联网的联系越来越紧密。有线、无线等各种接入方式不断推出,企业网、ISP、ICP、个人电脑等都以不同的方式与互联网等网络相联。这样,虽然用户使用方便了,但网络安全问题的威胁也增加了,往往一个点或一个地方的问题会影响到其他地方、其他网络,甚至多个网络。
同时,我在外面所报名的华三H3C的NE课程中也认识到网络安全问题的重要性:当前,威胁网络安全的主要有木马程序病毒、蠕虫病毒、电子邮件攻击、Web攻击、软件漏洞、系统漏洞、拒绝服务(DoS)攻击、IP地址欺骗、即时通信攻击、端到端攻击、缓冲溢出等。
从上述威胁网络的种种可以看出,黑客与病毒的目的不外呼是破坏系统和窃取信息。面对这一形势,目前电信网络如何增强其安全性呢?
二、本课题研究内容:
首先我们就先来看互联网和电信网的特点:
电信网络的特点
传统的电信网络(PSTN)是基于电路交换的方式,面向连接,网络QoS有保证。其网络的安全性体现在网络的可靠性和可用性,网络的可靠性涵盖了传输系统和相应的设备,可靠性的指标很高,设备间的连接电路也有相同的可靠性要求,并且还设计了冗余备份和保护倒换等技术来进一步保证系统的可靠性。
PSTN对用户的信息是透明的,网络保证不对用户信息进行任何的修改和破坏。用户信息也不会对网络节点设备构成任何冲击和危害。
PSTN的网络安全还包含运营网络不得随意使用加密技术,而对于个人用户的私人保密是以不危及国家安全为限的。在传统的电信网中,用户数据加密是有规定的,普通用户数据是不准加密的,商密用户,普密用户,绝密用户可以使用密码技术加密,但必需经过相关部门批准。
互联网的特点
互联网是基于分组交换的方式,面向无连接,网络QoS保证较差。互联网又可称为IP网,传统的PSTN网由于是面向连接,一条链路要么接通,要么不通,问题容易发现也容易解决。而IP网是无连接的,其网络的路由和流量分配都是随机的,不同的流量分配带来的网络效率也不一样。IP网络攻击源无处不在,难以追踪和查找,使IP网络维护的复杂性大大增加。
近年来,由于互联网的迅猛发展,新业务及传统业务的迅速IP化,终端设备的智能化,网络规模越来越大,网络的安全问题也越来越突出,加上互联网的不可管理,不可控制,网络只保证通达,而把安全问题交给了用户的一些网络设计中,这样就进一步恶化。上面所谈的一些威胁安全的种类都是由于互联网及其业务的发展所引起的。而当今互联网已把PSTN和移动网紧密地联系起来了,如VoIP业务的迅猛发展更是和每个网络有关系。这样上述的网络安全的种种自然也带给了电信网络。
从客观来讲二者之间的差异一目了然,可二者的技术关联是密不可分的。互联网和电信网的普遍性、加密性、覆盖面广决定了我们所依赖此类网络的前提。下面我们谈谈其防范:
网络安全的防范
网络安全的防范是一个体系和系统,必需协调法律,技术和管理三个方面。要集成防护,监测,响应,恢复等多种技术。
网络安全的防范是通过各种计算机,网络,密码和信息安全技术,保护在网络中传输,交换和存储信息的机密性,完整性和真实性,并对信息的传播及内容进行控制。
网络按全的防范从技术层次上看,主要有防火墙技术,入侵监测(IDS/IPS,IPS可以做到一手检测,一手阻击)技术,数据加密技术和数据恢复技术,此外还有安全协议,安全审计,身份认证,数字签名,拒绝服务等多种技术手段。这里特别需要指出的是防火墙,防病毒和安全协议的技术。防火墙守住网络门户,防病毒是网络的第一把保护伞,安全协议提供了身份鉴别,密钥分配,数据加密,防信息重传,以及通信双方的不可否认性等重要功能。
三、研究目标、主要特色及工作进度:这里的电信网包括电信,移动等运营商的固定网和移动网,以及专门供运营商使用的专用网,如DCN(数据通信网)等。电信网络的安全保障可从以下几方面考虑:
1.在电信网络各节点处构筑防御(如防火墙),防止外网影响内网。这里说的节点就是与其他各种网络连接的地方,除固定网与移动网外,还有ISP,ICP,企业网,个人电脑等许多终端设备。
2.建立一个统一,完善的安全防护体系,该体系不仅包括防火墙,网关,防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合性服务措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。
3.在互联网日益广泛应用的今天,为保障电信网络的安全,必需树立全程安全的观念。全程安全就是在安全的每个过程中,如物理层,网络层,接入终端,服务层面,人员管理等每个和安全有关的过程都要添加相应的安全措施,并且还要考虑安全随时间变化的因素,也就是说,无论用户在任何特定的时间,用户的安全性都能得到保障。
4.需要建立安全管理机制。例如,口令管理;各种密钥的生成,分发与管理;全网统一的管理员身份鉴别与授权;建立全系统的安全评估体系;建立安全审计制度;建立系统及数据的备份制度;建立安全事件/安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力,应制定灾难性事故的应急计划,如紧急行动方案,资源(硬件,软件,数据等)备份及操作计划,系统恢复和检测方法等。
5.建立专门的数据容灾系统。其内容主要是数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统,该系统是本地关键应用的一个实时复制,当本地数
据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务的数据。应用容灾是在数据容灾的基础上在异地建立一套完整的,与本地相当的备份应用系统(可以互为备用),在遇到灾难时,远程系统迅速接管业务运行。
2、主要特色:网络管理是电信网络运营商的重要手段之一。它监控网络话务量及路由繁忙的情况,以及设备及链路的可靠运行。网络管理在网络内部安全方面具有先天的优势,它可以通过对网络流量发生异常的分析及深度检测,对IP数据进行截获,发现已知及未知的新型侵入者。通过网络管理中增加的安全手段还可对多数安全设备顾及不到的4-7 层的内容安全与网络行为的法律取证等采取有效措施。因此,网络管理与网络安全管理相结合将使电信运营商能更有效地保障电信网络的安全。
第四篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第五篇:电信企业计算机网络安全构建策略分析
电信企业计算机网络安全构建策略分析
摘要 随着互联网的应用,我国的电信网络安全面临着越来越多的挑战。本文对我国电信计算机网络的现状进行了分析,从技术层面和管理层面出发提出了改进计算机网络安全的建议。
关键词 电信网络;计算机网络;安全
0引言
随着计算机技术和通信技术的融合,电信企业建立起了以计算机网络作为基础的电信支撑系统。这提高了电信企业的运营水平,但是同时也带来了很多新的问题。因此,加强电信企业计算机网络的安全管理,让安全的网络为畅通的电信系统保驾护航至关重要。本文拟对电信计算机网络中存在的安全问题进行分析,并对提高电信计算机网络安全建设策略提出了建设思路。电信计算机网络的安全现状
1.1 源自网络层面的相关问题
这其中最主要的问题是由于网络的开放性和交互性的增强,计算机病毒横行,而电信网络规模大,无法避免在某个时段和环节与因特网相连,因此感染计算机病毒,常见和棘手,有些病毒诸如网络蠕虫病毒,可以消耗带宽,造成拒绝服务攻击。其次,虽然电信计算机网络上也有防火墙系统,但是防火墙系统主要阻止的是来自网络外部的,非法的访问,对于各专业子系统间的不安全访问无法发挥多大作用。再次,尽管部分路由器配置了ACL,但是访问控制表不能实现复杂繁复的安全控制策略。由于所有的系统都有可能存在漏洞,所以,增加了因为IOS协议漏洞造成路由器遭受攻击的可能性。另外,由于用户的增加,网络结构的不合理也渐渐暴露,因特网的骨干网一般都是网状结构,容易出现网络拥堵。在电信企业内部,由于计算机网络都是管理存在保留IP地址的做法,因此IP地址的合理分配是网络安全的重要保证,曾经就发生过由于IP地址混乱造成电信计算机网无络法使用的现象[1]。
1.2 人为因素带来的安全问题
工作人员在日常工作中安全意识薄弱,可能由于各种原因丢失了主机口令,或者不能及时对主机口令等更新,这使得保护系统设备和网络的口令容易被黑客破解,黑客获取了权限,就会严重危害电信计算机网络系统。在公司内部的安全管理上,各个安全机构间信息交流少,不能协调配合处理安全事件。比如电信网络的交换机,不同的应用系统常划分了不同的VLAN,VLAN间互相联通,但是,在管理上却是由不同的部门管理的,这就给协调的配合的处理安全事件成了障碍。
1.3 对电信计算机网络安全的认识误区
首先很多人认为电信计算机网络是很安全的,唯一要提起注意的就是计算机病毒,所以计算机网络安全就是及时杀毒。这是不全面的看法,网络安全还受到外部黑客攻击,内部员工的管理等等的影响。其次,网络安全问题的产生不仅仅都来自网络外部。在实际运行过程中,很多公司出现网络安全问题,都是来自公司内部。比如浙江省电信系统某市的计费系统破坏事件,就是由于公司内部员工把机密数据打包带走。另外,不能认为有CA认证系统就夜宴
安全了,CA认证确实在一定时间内代表了一定程度的网络安全等级,但是不是绝对的安全。2 电信计算机网络安全措施
2.1 提高网络安全的技术保证
2.1.1 采用防火墙机制和Anti-DDOS系统
防火墙是一组或者一个网络设备,比如计算机系统或者路由器,目的是加强多个网络间的访问控制,保护网络不受到来自其他网络的攻击。为了加强电信网络的安全,要在每台交换机的操作系统和终端安装防火墙,防止来自外网的攻击。
2.1.2 采用访问控制策略
访问控制策略是电信计算机网络安全的主要保护策略。通过访问控制,可以保证电信网络资源不被非法访问和使用。目前访问控制策略的实现有多种途径,比如可以使用的入网访问控制,网络权限控制,网络服务器安全控制,网络监测和锁定控制,网络端口和节点的安全控制等等措施。这样的措施实施后,如果遇到无权用户或者权限受限用户,系统就会自动的终止访问或者屏蔽一部分访问的地址。对于需要保护的服务器也可以使用主机访问控制软件,鉴别请求人的合法身份以及请求的合法性[2]。
2.1.3 采用入侵检测机制和漏洞检测机制
分布式漏洞扫描器IS主要是通过模拟入侵,找出网络的漏洞,验证系统的安全,从而让工作人员能够及时发现安全隐患,采取相对的措施,比如打补丁和优化系统,进行补救。分布式网络入侵检测系统IDS,和异常流量分析设备不同,异常流量分析的原理是流量采样统计,在大流量的环境下有较强的检测能力,分布式网络入侵检测系统则主要是用来发现网络攻击,并且可以为截获和追踪,分析网络攻击行为提供原始数据,帮助监督和管理计算机网络安全。
2.2 增强电信网络的安全管理
2.2.1 建立有效的电信网络安全管理制度
尽管目前我们已经不断提高计算机网络安全技术,但是也不能忽略人员的管理工作。建立有效的管理制度很重要。笔者认为可以成立安全管理团队,系统的负责的管理和监督电信网路安全。管理小组可以通过分析日志,检查漏洞等方法定期对网络的安全进行检验,建立网络安全的专人负责,对于口令也要每月修改至少一次。这样可以充分调动人员的积极性。
2.2.2 增强电信工作人员的安全意识
电信工作人员的安全和保密意识非常重要。对员工定期进行培训,让员工意识到从最基础的物理层到接入终端,人员管理等等和安全有关的所有过程,都可能出现安全问题。在提升他们的专业能力时,也要提高他们的保密和安全意识,对相关的法律知识进行宣传。另外,2.2.3 增强电信网络的应急能力
为了增加应对突发情况,应当做一个备份系统与其他地方的管理系统相连。这样当遇到重大问题时,这个系统可以及时启动,接管发生问题的系统。另外,应当制定应急预案,并且定期演习,增加网络的应急能力。结论
电信计算机网络和公众的通信息息相关,其安全运行关系到了社会的稳定和经济活动的顺利进行。随着电信网络不断扩大规模,面临着安全问题也更加严峻,所以必须加强电信计算机网络的安全,提高电信网络的安全水平。
夜宴