第一篇:论电信网络安全管理
论电信网络安全管理
摘 要:电信网络的安全状况直接影响着金融、交通、能源等基础设施的正常运行。尽管目前国内电信运营商都比较重视网络安全,但安全问题仍不容忽视,因为影响电信网络安全的因素是多方面的。电信企业应做到主动防护与被动监控、全面防护与重点防护相结合,搭建深层防御安全体系。
关键词:电信网络;电信网络安全;电信运营商
电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。世界各国也将电信业的发展上升到国家战略的角度,通过发展电信业和信息行业来推动国家发展。在这个大背景下,电信网络安全已经上升到国家安全的层面。
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
从20世纪90年代至今,我国电信行业取得了跨越式发展。经过十几年的建设,目前我国电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信服务几乎已经渗透到我国所有地区、所有行业、所有不同阶层的 群体,而且已经融入到了老百姓的日常生活中。同时,随着信息技术在我国的广泛运用,信息系统已经成为金融、交通、能源等基础设施的神经中枢。电信网的安全状况直接影响这些基础设施的正常运行。正是由于存在这种依赖性,电信网一旦出现重大事故,将可能严重影响国民经济发展和社会稳定。可以这么说,电信网已经和电力设施一样,成为所有基础设施的基础之一。随着信息化的进一步推进,社会对电 信网的依赖性还会越来越强。因此,我们应该关注电信 网的安全问题,研究应对措施,做到未雨绸缪。
一、我国电信网络安全的现状
目前,国内电信运营商都比较重视网络安全的建 设,几大运营商都针对自己的网络特点、业务特点建立 了系统的网络安全保障体系。
中国电信的网络安全保障体系建设起步较早。在2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。这个安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保 障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。目前SOC已经进入系统建设的试点阶段。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
中国移动的网络与信息安全保障体系NISS,对于涉及公司的所有信息资产,包括通信网、业务支撑系统、网络部、市场部、财务部、研发部、人力等各种重要信息进行保护。这个系统在2005年8月份,狙击波病毒来袭的时候发挥了重要作用。
中国网通的网络安全建设重点在其宽带网络上。其建立的信息安全管理体系(ISMS),包括组织管理、技术保障、运作保障三个子体系,在网络层面上对总部大网(CHINA169+CNCNET)100多台骨干网设备和核心网管系统进行加固。建设SAN网络,安全事件存储可以利用现有存储系统,实现集中存储,方便扩展,对异常流量系统和垃圾邮件系统的建设在进一步完善,对机房环境、动力电源系统进行规范管理,对全网的路由安全策略进行管理,等等。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网 络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
二、影响电信网络安全的因素
进入21世纪以来,电信领域的新技术、新业务、新情况不断出现,电信网与互联网的融合趋势日益明显,电信体制改革不断推进,形成由多运营商组成的竞争格局。这些情况的出现,使原有的电信网络安全保障体系面临新的挑战。
1、互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。此外,每个用户都有一个唯一的号码,用户的身份是明确的。这种机制有效地避免了电信用户非法进人网络控制系统,保障了网络安全。
IP电话的用户信息和控制信息都在IP包中传送。IP电话引人后,需要与传统电信网互联互通,电信用户的信息不再与控制信息隔离,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,因此TCP/IP协议面临的所有安全问题都有可能引入传统电信网,如病毒、黑 客攻击、非法入侵等,由此可能带来电信网络中断甚至瘫痪、拒绝服务攻击、非法存取信息、话费诈欺或窃听等一系列新问题。IP电话的主叫用户号码不在IP包中传送,因此一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2、新技术、新业务的引入,给电信网的安全保障带来不确定因素
近年来,电信新技术不断涌现,新业务层出不穷。NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,如提高了网络的利用效率,增加了网络的灵活性,降低了网络的建设和运行维护成本等。但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WiMAX、IPI-V等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。尤其需要指出的是,随着宽带接人的普及,用户向网络侧发送信息的能力大大增强,导致每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
3、运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
1998年以来,我国出台了一系列针对电信行业的重大改 革措施,如政企分离、企业拆分等。目前,我国有中国电信、中国移动、中国联通、中国网通以及中国铁通和中国卫通6家基础电信运营企业。应该说,这些改革措施极大加快了我国电信行业的发展,目前我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各个运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。此外,军队与地方之间的网络衔接配合问题也需要协调落实。
4、相关法规尚不完善,落实保障措施缺乏力度 随着电信网基础性地位的日益显现,应该通过立法来明确其安全保障工作,这样才能保证对攻击、破坏电信网行为有足够的惩罚力度。当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中。现有的与网络安全相关的法律法规还不完备,且缺乏操作性,导致有关部门在具体工作中没有足够的法律依据对破坏网络安全的行为进行制裁。
此外,在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益 放在首位,网络安全相关的建设、运行维护管理等相对滞后。
三、保障电信网络安全的技术手段
针对特殊信息安全当前的形势,电信企业要做到主动防护与被动监控、全面防护与重点防护相结合,搭建具有主动防御能力的深层防御安全体系。
1、发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
2、网络层安全解决方案
网络层安全主要是基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行安全隔离。与此同时,还应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立 一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3、网络层方案配臵
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测(如,冠群金辰公司的干将/莫邪入侵检测系统)产品,将工作站直接连接到主干交换机的监控端口(SPAN Port),用以监控局域网内各网段间的数据包,并可在关键网段内配臵含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
4、主机、操作系统、数据库配臵方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intra—net技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
5、系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工 具。
[参考文献] [1]信息产业部电信管理局.电信网络与信息安全管理[M],北京:
人民邮电出版社.2004:215—228.
[2]诺盛电信咨询,电信网络安全[EB/OL].(2006—06—21)[2007 一O1一O5].http://www.xiexiebang.com/news/review/story/0,3800057985,39451650,00.htm.
[3]陈纲.保障电信网络安全的五项措施[N/0L],通信产业报,(2003一O9—28)[2007一Ol—O6].http://industry.ceidnet.corn/
ar 238/20o30928/65782 1.htIrI1.
第二篇:浅谈电信网络安全
一、选题的依据及意义:
老师在课堂也也时刻点明这我们这个是随着互联网的兴起的时代,而我们这些IT人又面临着更新一步的IT技术。面对TCP/IP协议簇的采用,各种应用层出不穷,传统的固定网、移动网与互联网的联系越来越紧密。有线、无线等各种接入方式不断推出,企业网、ISP、ICP、个人电脑等都以不同的方式与互联网等网络相联。这样,虽然用户使用方便了,但网络安全问题的威胁也增加了,往往一个点或一个地方的问题会影响到其他地方、其他网络,甚至多个网络。
同时,我在外面所报名的华三H3C的NE课程中也认识到网络安全问题的重要性:当前,威胁网络安全的主要有木马程序病毒、蠕虫病毒、电子邮件攻击、Web攻击、软件漏洞、系统漏洞、拒绝服务(DoS)攻击、IP地址欺骗、即时通信攻击、端到端攻击、缓冲溢出等。
从上述威胁网络的种种可以看出,黑客与病毒的目的不外呼是破坏系统和窃取信息。面对这一形势,目前电信网络如何增强其安全性呢?
二、本课题研究内容:
首先我们就先来看互联网和电信网的特点:
电信网络的特点
传统的电信网络(PSTN)是基于电路交换的方式,面向连接,网络QoS有保证。其网络的安全性体现在网络的可靠性和可用性,网络的可靠性涵盖了传输系统和相应的设备,可靠性的指标很高,设备间的连接电路也有相同的可靠性要求,并且还设计了冗余备份和保护倒换等技术来进一步保证系统的可靠性。
PSTN对用户的信息是透明的,网络保证不对用户信息进行任何的修改和破坏。用户信息也不会对网络节点设备构成任何冲击和危害。
PSTN的网络安全还包含运营网络不得随意使用加密技术,而对于个人用户的私人保密是以不危及国家安全为限的。在传统的电信网中,用户数据加密是有规定的,普通用户数据是不准加密的,商密用户,普密用户,绝密用户可以使用密码技术加密,但必需经过相关部门批准。
互联网的特点
互联网是基于分组交换的方式,面向无连接,网络QoS保证较差。互联网又可称为IP网,传统的PSTN网由于是面向连接,一条链路要么接通,要么不通,问题容易发现也容易解决。而IP网是无连接的,其网络的路由和流量分配都是随机的,不同的流量分配带来的网络效率也不一样。IP网络攻击源无处不在,难以追踪和查找,使IP网络维护的复杂性大大增加。
近年来,由于互联网的迅猛发展,新业务及传统业务的迅速IP化,终端设备的智能化,网络规模越来越大,网络的安全问题也越来越突出,加上互联网的不可管理,不可控制,网络只保证通达,而把安全问题交给了用户的一些网络设计中,这样就进一步恶化。上面所谈的一些威胁安全的种类都是由于互联网及其业务的发展所引起的。而当今互联网已把PSTN和移动网紧密地联系起来了,如VoIP业务的迅猛发展更是和每个网络有关系。这样上述的网络安全的种种自然也带给了电信网络。
从客观来讲二者之间的差异一目了然,可二者的技术关联是密不可分的。互联网和电信网的普遍性、加密性、覆盖面广决定了我们所依赖此类网络的前提。下面我们谈谈其防范:
网络安全的防范
网络安全的防范是一个体系和系统,必需协调法律,技术和管理三个方面。要集成防护,监测,响应,恢复等多种技术。
网络安全的防范是通过各种计算机,网络,密码和信息安全技术,保护在网络中传输,交换和存储信息的机密性,完整性和真实性,并对信息的传播及内容进行控制。
网络按全的防范从技术层次上看,主要有防火墙技术,入侵监测(IDS/IPS,IPS可以做到一手检测,一手阻击)技术,数据加密技术和数据恢复技术,此外还有安全协议,安全审计,身份认证,数字签名,拒绝服务等多种技术手段。这里特别需要指出的是防火墙,防病毒和安全协议的技术。防火墙守住网络门户,防病毒是网络的第一把保护伞,安全协议提供了身份鉴别,密钥分配,数据加密,防信息重传,以及通信双方的不可否认性等重要功能。
三、研究目标、主要特色及工作进度:这里的电信网包括电信,移动等运营商的固定网和移动网,以及专门供运营商使用的专用网,如DCN(数据通信网)等。电信网络的安全保障可从以下几方面考虑:
1.在电信网络各节点处构筑防御(如防火墙),防止外网影响内网。这里说的节点就是与其他各种网络连接的地方,除固定网与移动网外,还有ISP,ICP,企业网,个人电脑等许多终端设备。
2.建立一个统一,完善的安全防护体系,该体系不仅包括防火墙,网关,防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合性服务措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。
3.在互联网日益广泛应用的今天,为保障电信网络的安全,必需树立全程安全的观念。全程安全就是在安全的每个过程中,如物理层,网络层,接入终端,服务层面,人员管理等每个和安全有关的过程都要添加相应的安全措施,并且还要考虑安全随时间变化的因素,也就是说,无论用户在任何特定的时间,用户的安全性都能得到保障。
4.需要建立安全管理机制。例如,口令管理;各种密钥的生成,分发与管理;全网统一的管理员身份鉴别与授权;建立全系统的安全评估体系;建立安全审计制度;建立系统及数据的备份制度;建立安全事件/安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力,应制定灾难性事故的应急计划,如紧急行动方案,资源(硬件,软件,数据等)备份及操作计划,系统恢复和检测方法等。
5.建立专门的数据容灾系统。其内容主要是数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统,该系统是本地关键应用的一个实时复制,当本地数
据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务的数据。应用容灾是在数据容灾的基础上在异地建立一套完整的,与本地相当的备份应用系统(可以互为备用),在遇到灾难时,远程系统迅速接管业务运行。
2、主要特色:网络管理是电信网络运营商的重要手段之一。它监控网络话务量及路由繁忙的情况,以及设备及链路的可靠运行。网络管理在网络内部安全方面具有先天的优势,它可以通过对网络流量发生异常的分析及深度检测,对IP数据进行截获,发现已知及未知的新型侵入者。通过网络管理中增加的安全手段还可对多数安全设备顾及不到的4-7 层的内容安全与网络行为的法律取证等采取有效措施。因此,网络管理与网络安全管理相结合将使电信运营商能更有效地保障电信网络的安全。
第三篇:电信网络安全及防护
电信网络安全及防护
摘 要:电信网络的安全问题不容忽视。分析了电信网络安全现状,指出了影响电信网络安全的主要因素,并从技术角度提出了防护措施。
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
第四篇:基于电信企业网络安全策略
网络教育学院
本 科 生 毕 业 论 文(设 计)
需要完整版请点击屏幕右上的“文档贡献者”
题
目: 基于电信企业的网络安全策略
基于电信企业的网络安全策略
内容摘要
随着企业办公网络的发展,如何保障网络正常运行,网络资源的合法访问,使网络免受黑客、病毒和其他不良意图的攻击显得尤为重要。本文简要介绍了企业网络安全的威胁因素,根据网络访问机制给出了相应的管理策略,并重点讨论了信息加密以及内外网互连的企业网络安全策略。
关键词:
I 电信网络;网络安全;策略基于电信企业的网络安全策略
目 录
内容摘要 ··························································································································· I 引
言 ···························································································································· 2 1 概述 ···························································································································· 3
1.1 研究背景 ·········································································································· 3 1.2 网络安全现状 ·································································································· 3 1.2 本文的主要内容及组织结构 ·········································································· 4 2 企业网络安全需求及隐患 ························································································ 5
2.1 企业网络安全需求 ·························································································· 5 2.2 企业网络安全隐患 ·························································································· 5 2.3 安全问题对企业网络的危害 ·········································································· 5 3 电信企业网络安全策略 ···························································································· 6
3.1 访问控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 内外网互联安全策略 ······················································································ 6 4 数据备份策略 ············································································································ 8 5 结论 ···························································································································· 9 参考文献 ························································································································ 10
1
基于电信企业的网络安全策略
引
言
随着计算机网络的出现和互联网的飞速发展,网络在信息获取及传递中发挥着无可比拟的作用。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。伴随着网络的发展,也产生各种各样的问题,其中安全隐患日益突出,无论是企业、服务供应商、政府部门还是研究和教育机构,安全性显然决定着网络要求和工作的优先级。对于企业而言,提高内部信息集成,实现信息共享,提高工作效率,必须要建立完善、高效的网络。
2
基于电信企业的网络安全策略 概述
1.1 研究背景
当今,互联网的发展已经出乎人们的想象,新技术、新概念层出不穷,互联网实现了人们在信息时代的梦想,预示着新经济时代的到来。因特网的迅速发展使得信息资源可以迅速的高度共享。随着全球的网络化,经济的全球化,世界缩小了,人类的工作、生活变的更加快捷方便。随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,因特网正在越来越多地离开原来单纯的学术环境,融入到经济、军事、科技、教育等各个领域中。电子商务、远程教育、网上医疗渐渐步入千家万户,网络吸引了亿万用户,它已经成为人们生活的一部分。
1.2 网络安全现状
Internet正在越来越多地融入到社会的各个方面[1]。一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着Internet和以电子商务为代表的网络应用的日益发展,Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。
随着互联网技术的发展,网上内容的丰富,互联网犹如空气、水融于世界每个角落。互联网不只是高科技的象征,它已成为整个国民经济的神经网络。企业上网不仅是一种时尚,更成为企业成功的必选项。截止到年2001年4月3日,在我国已有的个网站中,企业网站所占比重最大,为77.8%,到,2001年底全国通过网络进行的电子交易达近4万亿美元。然而,在企业纷纷享受现代文明成果之时,网络潜在的危害也在威胁着企业[2]。据统计,2001年全球电脑病毒造成的经济损失高达129亿美元,仅红色代码给企业和个人造成的经济损失就达26.2亿美元,90%的网站均遭受过网络攻击。
2000年2月,在三天的时间里,黑客使美国数家顶级互联网站-Yahoo、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使 3
基于电信企业的网络安全策略
其不能提供正常服务。在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。
国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击[3]。国内第一家大型网上连锁商城IT163网站3月6日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。
客观地说,没有任何一个网络能够免受安全的困扰,依据Financial Times曾做过的统计,平均每20秒钟就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
1.2 本文的主要内容及组织结构
基于电信企业的网络安全策略 企业网络安全需求及隐患
企业网络通常采用TCP/IP、WWW、电子邮件、数据库等通用技术和标准,依托多种通信方式进行广域连接,覆盖系统的大部分单位,传输、存储和处理的信息大都涉及到行业内部信息。因此必须对信息资源加以保护,对服务资源予以控制和管理。
2.1 企业网络安全需求
2.2 企业网络安全隐患
网络的入侵不仅来自网络外部,也来自于网络内部,由于办公网络在用途和实现方式上与公众网络有所不同,大部分办公网络都采用内部网的形式进行组建,外部网相对而言网络节点数量和信息量都较少,敏感信息一般存放在内部网络中,而且内外网之间大多采用了较强的保护甚至物理隔离措施,因此大多数的安全威胁来自网络内部,而非外部,其原因主要有:
一般来说,大部分机构的信息安全保护措施都是“防外不防内”,很多办公网络赖以保障其安全的防火墙系统大部分位于网络边界,对来自内部的攻击毫无作用。
内部人员最容易接触敏感信息,而且对系统的结构、运作都非常熟悉,因此行动的针对性很强,很容易危害系统的核心数据和资源,而且很难被发觉。
内部人员可能采用常用的非法用户技术和软件对办公网络进行测试。
2.3 安全问题对企业网络的危害
基于电信企业的网络安全策略 电信企业网络安全策略
3.1 访问控制策略
访问控制的目的是防止非法访问,实现用户身份鉴别和对重要网络、服务器的安全控制[4]。防火墙就是一类较有效并广泛应用的网络访问控制设备,它主要通过对IP地址、端口号等进行控制和设置应用安全代理等措施,实现内部被保护网络与外部网络的隔离。
在安全规则上,企业网络可以针对单独的主机、一组主机、一段网络,按照网络协议进行设置,面向对象的安全规则编辑;根据网络通讯端口设置安全规则,针对企业保护对象只开放某些服务端口;根据信息传输方向设置安全规则,同时在安全规则中设置允许、拒绝等操作方式;按照星期几或每一天具体的时间设置,实现访问控制;根据网络服务设置安全规则。
3.2 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据[5]。网络加密常用的方法有链路加密、节点加密和端点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端端加密的目的是对源端用户到目的端用户的数据提供保护。用户可根据网络情况酌情选择上述加密方式。
3.3 内外网互联安全策略
随着网络拓扑结构、网络应用以及网络安全技术的不断发展,安全策略的制订和实施是一个动态的延续过程。需要制定周密可靠的安全体制以保护内网的机密信息、阻隔外网对内网系统的有害侵袭以及有效的管理和限制内网用户对外网资源的访问等。为保证企业办公网络的安全性,一般采用以下一些策略:(1)利用防火墙技术。它是以TCP/ IP体系架构为核心,针对具体应用和用户角色进行智能决策的系统,以保护网络的可用性、系统服务的连续性;防范网络资源的非法访问及非授权访问;检测各种入侵、攻击和异常事件,并以响应的方式通知相关人员,管理人员根据警报信息及时修改相应的安全策略;通过防火墙的http访问控制管理,过滤网络地址URL,对URL中的路径部分以及网页内容进行过滤、对JAYAAP2 PLET、ACTIVEX过滤;通过防火墙的FTP访问控制管理,提供命令级的过滤功能、部分命令参数的过滤功能、限制用户的访问,对用户名进行 6
基于电信企业的网络安全策略
过滤、保护FTP服务器信息。
(2)利用入侵检测技术。入侵检测技术可使系统管理员时刻了解网络系统,给网络安全策略的制定提供依据。入侵检测系统可以监视、分析用户级系统活动;构造变化和弱点的审计;识别反映己知进攻的活动模式并向网管人员报警;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
(3)利用VLAN技术。VLAN技术的核心是网络分段。运用VLAN技术跨越交换机按功能对网络进行统一的VLAN划分,可以将通信限定在同一虚网中,形成特别有效的限制非授权访问的屏障。如在集中式网络环境下,将中心的所有服务器系统集中到一个VLAN中,将网管工作站、系统管理员经常用来登陆服务器的工作站等高安全性的用户组织到另一个VLAN中,在这些VLAN里不允许有任何用户节点,从而较好的保护敏感资源,在分布式网络环境下,可按机构和部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
基于电信企业的网络安全策略 数据备份策略
对企业服务器及数据应利用防火墙实现双机热备份和灾难冗余。对于需要高度可靠性的用户,一定要选用具有双机热备份功能的防火墙,在同一个网络节点使用两个配置相同的防火墙,正常情况下一个处于工作状态,另一个处于备份状态,当工作状态的系统出现故障时,备份状态的防火墙自动切换到工作状态,保证网络的正常使用。备用防火墙系统能够在一秒钟内完成整个切换过程,不需要人为操作和除两个防火墙以外的其他系统的参与,而且整个切换过程不影响网络上的任何通讯连接和信息传输。如果是不具有双机热备份功能的防火墙,即使能够做到双机热备份,一旦出现故障时,备用防火墙需要10秒钟以上才能替代主用防火墙正常工作,网络上的所有服务连接均需要重新建立,费时费力而且会造成很大损失。
基于电信企业的网络安全策略 结论
随着网络建设的发展,企业网络的规模将越来越大,网络安全管理工作将越来越复杂,网络安全维护将是企业的一项重要任务。在维护网络安全时,必须结合网络安全防范技术,综合考虑安全因素,制定合理的管理方案、有效的技术方案,采取切实可行的安全防护措施,逐步完善的网络安全防护体系,增强每个网络用户的安全意识,从根本上解决网络安全问题。
榆林电信分公司网络安全系统涉及的安全方案考虑到了榆林电信分公司网络安全系统的实际情况,均衡了性能价格比,从整个系统的可靠性,稳定性,安全性和可扩展性多方面进行了考虑,有如下优势:
基于电信企业的网络安全策略
参考文献
[1]陈则徐.浅析企业网络安全策略,电脑知识与技术2009.3,5(9):106-108 [2] Roberta Bmgg,CISSE Certified Information Systems Security Professional.北京:人民邮电出版社,2003:98~102 [4]胡春安.中小型企业网络升级方案的研究:[硕士学位论文].华中科技大学,2006.9,34-40 [4]仇剑锋.基于VLAN和三层交换的企业网络安全策略研究[硕士学位论文].中南大学,2006.10,8-12 [5] 1912E岩明,冼沛勇.建立数据安全系统,维护企业信息安全.计算机与网络,2003,(24):19-21 10
第五篇:电信企业的IT网络安全探讨
电信企业的IT网络安全探讨
罗振一
(单位:中国联通广西分公司
邮编:530000)
摘要:文中论述了电信企业的IT网络安全体系复杂性,阐明了建立计算机网络安全体系的必要性,提出了解决现有计算机网络安全技术方案。着重介绍了主动防御和被动防御的各种技术,通过具体的网络安全实例,阐述了电信企业计算机网络安全体系的合理构成。
关键词:网络拓扑 网络安全体系
防火墙 加密技术 入侵检测
虚拟局域网
1. 网络架构及安全体系特点
本文主要介绍电信企业中的IT网络安全体系,不涉及通信网络的安全问题。电信企业的IT网络组成主要有:计费网、营销网络、办公网络,计费网是核心网络;营销网络是整个企业的营销系统主体,办公网络是实现企业信息化及办公自动化的基础。网络安全体系主要基于计费网为核心网,营业网、办公网、其他外围网络作为接入网络,计费网做为核心网络,放置大部分的核心数据库和主机,具有最高的安全局别,主要考虑采用主动防御和被动防御相结合的方案;营销网络安全级别仅次于计费网,是整个公司营销的基石,营销网的特点是:覆盖的地域广、接入方式不统一、终端类型繁多、INTERNET网严格隔离等,网络安全主要采用被动防御安全技术;办公网主要是为企业信息化和办公自动化建设,办公网的特点主要是:网络拓扑清晰、接入公网、权限管理复杂,办公网的安全体系,建议采用被动防御为主,主动防御为辅。基于以上的网络特点,IT网络的整个安全体系是建立在以计费网为核心,保证核心能够免疫来自内部和外部的入侵和非法访问,各种接入网建立各自的安全体系,从而建立起多级、全方位的IT网络安全体系.2. 网络安全技术
经过几十年的研究和发展,网络安全(从属信息安全)已经成为计算机科学,非常重要的组成部分,形成比较成型的理论和应用技术。电信企业应该采用这些经验和技术,建立安全、可靠的IT网络,减少由于入侵、非法访问、病毒入侵、网络故障等引起的损失,为企业发展建立一个良好的环境。以下主要介绍一些主流的网络信息安全保护技术.2.1 主动防御保护技术
主动防御保护技术主要有:数据加密、身份鉴别、存取控制、权限设置、虚拟局域网等。在主动防御保护技术方面,电信企业一般主要采用:身份鉴别、存取控制、权限设置、虚拟局域网(VLAND)等技术。身份鉴别和权限设置在不同系统,有不同的要求,有分散设置、有统一设置,机制和手段都比较成熟,在这里不做简介。对于存储控制和虚拟局域网,许多IT网络在建设时候,都有这样的技术概念,但是真正有效应用起来比较少,原因可能比较简单,麻烦或没有必要。存取控制的内容包括人员限制、访问权限设定、数据标识、和风险分析等,是内部网络信息安全的重要方向,实现方式可以通过路由访问策略、网络监控、专用物理地址和IP地址的访问控制系统等等,有效的建立起存取控制机制,可以将网络的安全性、可靠性提高一个水平,目前很多企业的网络不够稳定或出现故障,经过故障排查后发现,真正的原因和存取控制机制不够健全有很大关系。对于虚拟局域网技术,相信大家都很熟悉,在此不做太多讨论,利用好虚拟局域网技术,非常廉价也很便利。某公司曾经发生大面积的IT网络瘫痪,经过排查,故障的原因很简单,主要是一台备用的服务器出现故障,不断在网络上大量发包,造成一台主用的业务服务器受到影响。经过重新分析和排查后,发现这样问题如果将应用服务器之间进行虚拟局域网划分和设定良好的路由策略,是完全可以避免的。
2.2被动防御保护技术
被动防御保护技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证等。在电信企业的IT网络中,我们主要强调防火墙技术、入侵检测系统技术、安全扫描技术的应用。在很多公司的IT网络架构体系中,防火墙都起非常重要的做用,本文中,我们主要采用硬件防火墙,保证核心计费网同接入网实现安全隔离,办公网和公网的接入口,也采用硬件防火墙进行访问控制;入侵监测系统(IDS)处于防火墙之后对计费网络活动进行实时检测/监控,保证核心网络安全;安全扫描器 由于核心计费网和公网或外网没有直接的接口,在建立网络安全体系的时候,安全扫描只是设置为定期操作,比如一周或1个月,为应用服务器或 普通终端升级或打补丁,提供数据依据.在规划网络架构的时候,建议将入侵检测系统、安全扫描器放置于一台主机上。
2.3 反病毒技术。
反病毒技术涉及内容很复杂和广泛,目前主要使用到的基本是成熟的杀毒工具,有网络杀毒工具和单机杀毒工具,电信企业应该更多的考虑到如何使用现有的杀毒技术,对核心计费网、营销网和办公网进行病毒防范。我们建立的反病毒机制主要是,对重要的应用服务器进行实时防毒监控,统一采用网络防毒工具,单机的终端安装单机的实时放病毒软件。,3.网络安全体系的解决方案及实例
根据IT网络架构特点,及安全层次要求,电信企业的网络安全体系,应该充分利用现有的网络安全技术,主要从三个方面入手:
3.1 外来非法入侵的防范,即采用现有的网络防火墙技术,根据网络的拓扑结构特点,层层作防,把外来非法入侵的可能性降到最低点。
3.2 采用现有的认证技术,比如PKI技术等等,建立完善的内部认证体系,把来自企业内部的非法访问控制到最低点,很多调查表明,很大比例的非法入侵是来自于企业内部,因此对于企业内部的访问认证控制,是建立网络安全体系的重要工作之一,也是保证营销网络和办公网络真正能达到信息安全的重要手段。
3.3建立完善的反病毒机制,充分利用现有的很多著名的杀毒工具,比如瑞星反病毒工具、NORTON反病毒工具等,定时杀毒和作病毒防范,给公司员工灌注反病毒的意识。
以下是一个简单的网络架构实例,主要根据电信企业的网络特点规划,也是部分电信企业目前的大致网络架构,没有涉及具体的业务和各种认证系统,这样的方案在很多集成商的案例 中都可以看到,做为电信企业的IT技术人员,我着眼点主要是从整体上,从整个网络结构
上规划IT网络的安全体系。这个网络逻辑架构也是我参与建设一个企业内部网,原始的网络构造逻辑图,该网络目前在运行很好,但是仍然存在一些问题,问题将在后面的总结中具体概括。
INTERNET防火墙路由器服务器办公网入侵检测、安全扫描、反病毒营业终端入侵检测、安全扫描、反病毒服务器路由器防火墙应用服务器群路由器计费核心网路由器数据库营销网网管系统管理营业终端营业终端营业服务器
以上的网络架构及安全体系结构,只是一个大致的网络逻辑架构,简化了许多实际应用中需要考虑的问题,只是把主要涉及网络安全的部分重点画出。我在这里引用,主要是强调从网络规划,从网络架构上实现网络信息安全保护是极为重要的。
4.电信企业IT网络安全概括
要建立完整的计算机网络安全体系,外来入侵的防范、内部访问的认证控制、反病毒机制的建立及完善缺一不可,网络安全体系的建立是一项长期而复杂的过程,电信企业只有不断的适应安全技术的新发展,不断完善企业网络的安全防范,才能真正做到企业信息的安全,和保证企业业务正常发展。
作者简介:罗振一 男 1978年2月出生 2000年7月毕业于广西大学计算机与信息工程学院 工程学士
供职于中国联通广西分公司 助理工程师 通讯地址:中国联通广西分公司信息化部新兴大夏24楼 联系电话:***。