第一篇:如何对电信行业IDC进行安全防护
IDC(Internet Data Center)是伴随着互联网不断发展的需求而发展起来的,可为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络带宽批发以及ASP等业务。对于电信行业来说,IDC是直接面向企业用户最简洁的通道,所以也成为电信行业企业客户市场突破的重要突破口。
伴随着电信行业大力发展IDC业务,IDC逐步发展了众多的业务模式,例如主机托管、空间租赁、主机域名、企业邮箱以及承载WEB、游戏、公司应用的业务等,也包括一些增值业务比如在线存储业务等等。这些业务的集中使得IDC具备了重要性、集中性、大带宽、应用多样化、运维复杂性等多种特性。典型的IDC逻辑架构如下图所示:
1.2 IDC安全风险分析
IDC的特性决定了其安全威胁风险的特殊性和复杂性。根据IDC的逻辑架构,其安全风险主要集中在网络层与业务层。
1.2.1 网络层安全风险分析
IDC的网络层由路由器、交换机等数据通信设备和安全设备组成。网络层在整个IDC中属于IT基础架构,是开展IDC业务运营的基础。数据通信设备在整个IDC运营中起到承上启下作用:一方面,它对外担负着IDC与外界其他网络系统,如互联网等网络的互连互通;另一方面,它对内承载着各种IDC业务系统。
网络层的安全风险主要是针对网络基础架构的攻击行为,包括:Dos/DDos攻击、来自外部的网络攻击行为、各种僵尸/蠕虫/木马等恶意代码的侵害等等。网络层面的攻击行为往往与特定的应用无关,针对的是网络中的漏洞,具体体现在对IDC网络基础架构的威胁上。1.2.2 业务层安全风险分析
业务层是IDC的核心要素,也是IDC价值的具体表现形式。它通过市场的需求情况,将IDC内的各种资源进行合理的整合和配置,对外包装出符合市场需求的可运营产品或服务,并将这些产品和服务销售给IDC客户。业务层按照IDC提供的服务属性可以分为基础类业务和增值类业务两大类。
业务层的安全风险主要是针对后台业务运行的主机以及主机上承载的特定应用。其风险的表现行为包括:垃圾邮件、针对Web/DNS/FTP等服务器的应用层攻击、针对服务器本身系统级的入侵行为等等。业务层的安全风险主要针对的是IDC托管运行的特定应用,和IDC服务的用户密切相关,需要进行重点的防护。
第二篇:电信网络安全及防护
电信网络安全及防护
摘 要:电信网络的安全问题不容忽视。分析了电信网络安全现状,指出了影响电信网络安全的主要因素,并从技术角度提出了防护措施。
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
第三篇:电信行业安全执法检查内容:
1、电信运营商互联网数据的分光和使用情况开展检查,排查本地互联网公共数据外泄、非法应用等安全隐患和漏洞,检查内容重点包括:电信运营商的互联网数据分光情况;开展互联网数据增值服务公司与电信运营商的合作情况,是否存在将相关增值服务转包的情况,互联网数据的最终流向情况以及使用情况;是否存在境外企业分光或最终使用互联网数据资源开展相关业务无增值业务情况,是否存在互联网数据资源流向境外情况;是否在互联网数据增值业务服务过程中使用国外软件,或者由境外企业部署相关软件情况;
2.内外网地址转换日志留存;
3.基础网络运行安全防范(防DDOS,APT,木马、病毒等恶意代码的监测与防护,攻击入侵行为的监测预警,相关安全设备漏洞升级);
4.非全程全网类信息系统的安全等级保护; 5.安全事故应急演练及突发事件应急处置; 6.基础数据定期报送; 7.违法有害信息的屏蔽过滤;
8.宽带、手机上网日志留存及用户注册信息留存; 9.案件线索调查反馈;
10.运营商自建W-LAN的安全管理系统建设情况,上网用户身份认证、行为审计和日志留存措施的落实情况;
11.机房物理安全; 12.手机实名制落实情况。
电信运营商执法检查工作情况要形成单独工作总结,并于2015年8月20日前报总队。
1.机房物理安全
中国联通通信网络运行维护规程中有明确的关于机房安全管理的相关制度。宁夏联通公司涉及重要信息系统维护管理的部门主要有两个:网络运维部、信息化事业部。这两个部门分别都制定了各自的机房管理制度,可分别对两个部门的机房安全制度进行查阅。
2.内外网地址转换日志留存
《信息化部内外网地址转换日志留存检查报告.docx》 3.基础网络运行安全防范(汸DDOS, 测预警,相关安全设 备漏洞升级)宁夏联通已在网运行的网络安全监测系统有流量清洗系统、DNS防御系统,正在建设中的系统有移动互联网恶意程序监测及处置系统、木马和僵尸网络检测平台,以上平台对相关的网络安全事件均有发现、防御及处置功能。详细情况请查阅网络运维部准备的相关资料;
4.非全程全网类信息系统的安全等级保护;(信息化部准备相关备查资料)《宁夏联通办公系统安全等级保护自查报告.doc》
《宁夏联通客服呼叫中心系统安全等级保护自查报告.doc》 《宁夏联通业务支撑系统安全等级保护自查报告.docx》
5.安全事故应急演练及突发事件应急处置;
宁夏联通每年定期对各网络单元应急预案进行修订,并制定相应的演练及桌面推演计划。2015年已完成各类应急预案的修订,并于2015年5月21日0:00-6:00,按照通管局统一安排,实施宁夏联通互联网DNS huhn2(胡海宁)11:34:12 服务器DDOS攻击防护演练。本次演练攻击方由电信、移动、铁通等运营商技术人员担任,采用工具软件对宁夏联通互联网DNS系统发起DDOS攻击,演练防护方为宁夏联通。电信、移动、铁通等运营商发起的DDOS攻击通过流量清洗中心,攻击流量整体下降了99%。详细情况请查阅网络运维部准备的相关资料;
6.基础数据定期报送
我公司按照中国联通集团公司和工信部相关要求,对于涉及网络信息安全的相关基础数据都能够按照要求定期上报宁夏通信管理局。
7.违法有害信息的屏蔽过滤
违法有害信息会根据通管局的要求第一时间布置和更新关键字,遇到紧急事件启动应急管理措施,根据上级安排对信息进行屏蔽过滤。详细情况请查阅网络运维部准备的相关资料;
8.宽带、手机上网日志留存及用户注册信息留存;
宽带、手机用户上网日志留存为话单日志,均可以留存60天。宽带注册用户信息按照用户销户与否进行留存,只要用户没有进行销户都将留存用户的注册信息。详细情况请查阅网络运维部准备的相关资料;
9.案件线索调查反馈
10.运营商自建W-LAN的安全管理系统建设情况,上网用户 身份认证、行为审计和日志留存措施的落实情况;
WLAN用户上网需要通过身份认证和审计,且WLAN用户日志留存为一次完整上下线的话单日志,留存时间为3个月。详细情况请查阅网络运维部准备的相关资料;
APT,木马、病毒等 恶意代码的监测与防护,攻击入侵行为的监
11.手机实名制落实情况。(市场营销部准备相关备查资料 huhn2(胡海宁)11:34:12)
按照《电话用户真实身份信息登记规定》(工业和信息化部第25号令)和《电话“黑卡”治理专项行动工作方案》(工信部联保〔2014〕570号)等要求,公司认真开展电话用户实名登记工作:
1)、实体网点和网店严格按照《电话用户真实身份信息登记规定》(工业和信息化部第25号令)和《电话“黑卡”治理专项行动工作方案》(工信部联保〔2014〕570号)相关要求,为用户办理入网手续时严格进行实名登记;
2)、公司2015年2月1日前完成了实体网点利用专用移动应用程序(APP)、与“全国公民身份证号码查询服务中心”联网比对等技术措施,实现系统自动识别录用用户身份信息,停止了手工录入方式; 3)、公司截至2015年6月底公司已配备二代身份识别设备的实体网点1469个,占全部实体网点比例83.7%,网店(含自营网厅、自营网店和网络代理商开办的网店)全部具备了上传用户居民身份证扫描信息功能和与“全国公民身份信息系统”联网比对能力,社会营销网点(含网络代理)在显著位置均张贴了基础电信企业配发的统一标识和代理编号。huhn2(胡海宁)11:35:21 很多内容你们不涉及,就把你们涉及到的写一下就好了,其他的都解释下是区公司专门的部门负责和专人负责的就OK了
liudb15(刘大斌(固网数据维护))11:36:53 恩好的谢谢啦
huhn2(胡海宁)11:39:48 没事的,不客气
《关于4.5月份非实名制用户发展渠道及责任部门进行处罚的通报》《工业和信息化部关于加强电话用户真是身份信息登记监督检查工作及相关工作的要求》《2015年实名登记绩效考核问责细则》《2015年石嘴山市分公司实名制工作执行方案》
第四篇:电信IDC机房维护保障方案
福建电信IDC机房维护保障方案
1.机房稳定保障:应提供基本IDC保障,包括稳定的电力供应、网络环境、温湿度,并提供可靠的网络安全、安保、消防等防护。并配备经验丰富工程师随时应急处理故障等。如因环境问题引起的网络中断、设备损坏等情况应赔偿我方直接、间接经济损失。
2.机房基本设施提供:包括座椅、机房专用推车、显示器、键鼠、排查、螺丝刀、老虎钳、网线、夹线钳、测线仪、拖鞋、鞋套等。(目前东门机房座椅较少)
3.机房值班配合:如服务器出现宕机、我们暂无人员在现场或短时间内无法到达现场时电信值班人员现场配合处理,此要求重点在于电信机房值班电话必须7*24小时电话畅通,机房值班人员具备IDC相应技能。
4.机房施工配合:我方新入服务器时安排足够网络、电力、机架空间等相应环境资源。如服务器进入时安排施工队对内外网网线进行布置、机架挡板调整等工作,施工工作应在当日进行,避免出现应环境未搭建拖延服务器出机完成时间现象。
5.机房日常巡查:每天至少一次巡查机房。核查电力、空调运行是否稳定,并每周巡查所有服务器前端告警界面是否出现异常告警等。
6.目前网龙公司在电信所有操作都必须向电信下操作单,因本司移服、更换IP操作机器频繁。下单又存在一定延时,给本市工作效率造成一定影响。建议今后网龙公司在电信机房除服务器进出仍需下单外其他操作,如更换IP、迁移位置、划分VLAN操作免除电子单据。
7.升级机制配合措施:(包含多种方案)方案A:如因网龙公司人员无法每日前往机房处理问题,建议针对网龙公司升级服务,遇到如更换故障服务器硬盘时配合更换。针对电信担心备件数量问题,我司将针对此建立应急备件库专供电信使用。
方案B:如因网龙公司人员无法每日前往机房处理问题,建议针对网龙公司升级服务,在突发故障时由电信帮忙进行现场操作,包括服务器故障排查,网龙故障排查,服务器IP变更,服务器机柜迁移等操作。
方案C:如因网龙公司人员无法每日前往机房处理问题,建议针对网龙公司升级服务,所有公司现场操作有电信帮忙处理,包括服务器上下架,GHOST系统,现场故障处理,现场服务器运维等(类似服务器租用服务)。此工作量较大,需电信扩招一专人负责。7*5服务标准即可。
第五篇:IDC机房设备进出规范(杭州电信)(范文)
IDC机房设备进入流程图
用户申请设备迁入是否是当天带入的临时设备YN是否有《设备进出申请函》NY该用户是否是《长期授权人员名单》当中可凭签字临时带入设备的人员YN联系相关单位负责人确认设备迁入情况,并告知上级领导(IDC客户服务部主任或IDC客户部副主任)。N上级领导是否批准Y告知用户事后须补交由单位盖章的《设备进出申请函》IDC机房有权拒绝其设备迁入机房核实设备型号、数量客户填写《设备进出登记表》带领用户进入相应机房结束
IDC机房设备移出流程图
用户设备移出是否是当天带入的临时设备NY核实当天登记的《设备进出登记表》并确认移出设备信息是否有《设备进出申请函》N该用户是否是《长期授权人员名单》当中可凭签字临时移出设备的人员NYY联系相关单位负责人确认设备移出情况联系相关单位负责人确认设备移出情况,并告知上级领导(IDC客户服务部主任或IDC客户部副主任)。N上级领导是否批准Y告知用户事后须补交由单位盖章的《设备进出申请函》Y值班人员核实机房内该用户设备是否全部搬离N请示相关客户经理或者部门领导,是否允许用户搬离设备YN核对用户信息及具体设备型号、数量并确认设备信息无误用户填写《设备进出登记表》拒绝用户设备移出开具出门单出门值班人员在《设备进出申请函》上说明移出设备情况并签字。通知IDC机房外岗保安,接收出门单存根,并核实移出设备。结束
IDC机房设备进入机房规范
一、客户当天带入临时测试设备。由IDC机房值班人员核实设备信息并由客户填写《设备进出登记表》。
二、有《设备进出申请函》的客户带设备进入机房。IDC机房值班人员必须核对用户信息及具体设备型号、数量。确认设备信息无误后请用户填写《设备进出登记表》中的设备迁入信息。
三、如没有《设备进出申请函》,但在《长期授权人员名单》里的客户带设备进入机房时,值班人员必须联系相关单位负责人,确认设备迁入情况,请客户填写《设备进出登记表》登记具体联系方式、身份证号、单位及迁入设备具体信息。同时通知用户事后补交单位盖章的《设备进出申请函》。
四、如没有《设备进出申请函》,而且不在《长期授权人员名单》里的客户带设备进入机房。IDC值班人员必须联系相关单位负责人,确认设备迁入情况,并报上级领导(IDC中心客户服务部主任或副主任),在得到上级领导的批准后,方可让客户填写《设备进出登记表》登记具体联系方式、身份证号、单位及迁入设备具体信息。同时通知用户事后补交由单位盖章的《设备进出申请函》。如未得到上级领导同意,IDC机房值班人员有权拒绝其设备迁入机房。
五、填写好《设备进出登记表》的客户,方可由IDC机房值班人员带领进入相应机房。
IDC机房设备移出机房规范
一、当天带入的临时设备,由IDC机房值班人员核实当天登记的《设备进出登记表》,确认设备信息后请用户填写《设备进出登记表》设备移出信息。
二、有《设备进出申请函》的客户带设备移出机房。IDC机房值班人员必须核对用户信息及具体设备型号、数量。确认设备信息无误后请用户填写《设备进出登记表》中的设备移出信息。
三、如没有《设备进出申请函》,但在《长期授权人员名单》内的客户带设备离开机房。值班人员必须联系相关单位负责人,确认设备移出情况,并让客户填写《设备进出登记表》登记具体联系方式、身份证号、单位及移出设备具体信息。同时通知用户事后补交单位盖章的《设备进出申请函》。
四、如没有《设备进出申请函》,而且不在《长期授权人员名单》里的客户带设备离开机房。IDC值班人员必须联系相关单位负责人,确认设备移出情况,并报上级领导(IDC中心客户服务部主任或副主任)。在得到上级领导的批准后,方可让客户填写《设备进出登记表》登记具体联系方式、身份证号、单位及移出设备具体信息。同时通知用户事后补交由单位盖章的《设备进出申请函》。如未得到上级领导同意,IDC机房值班人员有权拒绝其设备移出机房。
五、用户填写《设备进出登记表》,同时值班人员确认机房内用户设备是否全部搬离,若全部搬离,必须请示部门领导或者相关客户经理,经同意后方可让用户搬离设备。如未得到上级领导或者相关客
户经理同意,IDC机房值班人员有权拒绝其设备移出机房。
六、由值班人员开具出门单、出门单存根(所有移出设备必须与核对设备数量一致),并请用户在出门单、出门单存根上签字,同时值班人员需在《设备进出登记表》上说明移出设备情况并签字。
七、IDC机房值班人员电话通知外岗保安,接收出门单,并核实移出设备。