长沙电信网络安全解决方案
湖南计算机股份有限公司
网络通信及安全事业部
目录
一、长沙电信网络安全现状 (22)
二、长沙电信网络安全需求分析 (22)
三、网络安全解决方案 (44)
四、网络安全设计和调整建议 (88)
五、服务支持 (88)
六、附录 (99)
1、Kill与其他同类产品比较 (99)
2、方正方御防火墙与主要竞争对手产品比较 (1111)
3、湘计网盾与主要竞争对手产品比较 (1212)
4、湖南计算机股份有限公司简介 (1313)
一、长沙电信网络安全现状
由于长沙电信信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet扩展到Internet。内部网络通过ADSL、ISDN、以太网等直接与外部网络相连,对整个生产网络安全构成了巨大的威胁。
具体分析,对长沙电信网络安全构成威胁的主要因素有:
1) 应用及管理、系统平台复杂,管理困难,存在大量的安全隐患。
2) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务
器,同时也很容易访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统极为容易遭到攻击。
3) 来自外部及内部网的病毒的破坏,来自Internet的Web浏览可能存在的恶意
Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。
4) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统
均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。管理成本极高,降低了工作效率。
5) 缺乏一套完整的管理和安全策略、政策,相当多的用户安全意识匮乏。
6) 与竞争对手共享资源(如联通),潜在安全风险极高。
7) 上网资源管理、客户端工作用机使用管理混乱,存在多点高危安全隐患。
8) 计算机环境的缺陷可能引发安全问题;公司中心主机房环境的消防安全检测设施,长时间未经确认其可用性,存在一定隐患。
9) 各重要计算机系统及数据的常规备份恢复方案,目前都处于人工管理阶段,缺乏必要的自动备份支持设备。
10)目前电信分公司没有明确的异地容灾方案,如出现灾难性的系统损坏,完全没有恢复的
可能性。
11) 远程拔号访问缺少必要的安全认证机制,存在安全性问题。
二、长沙电信网络安全需求分析
网络安全设计是一个综合的系统工程,其复杂性丝毫不亚于设计一个庞大的应用系统。
长沙电信信息网的安全设计,需要考虑涉及到承载的所有软硬件产品及处理环节,而总体安全往往取决于所有环节中的最薄弱环节,如果有一个环节出了问题,总体安全就得不到保障;具体就以下几个方面来分析。
物理安全:在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。
网络结构安全:通过层次设计和分段设计能够更好的实现网络之间的访问控制,结构设计需要对网络地址资源分配、路由协议选择等方面进行合理规划。通常应该要求网络集成商在网络设计时对结构安全加以考虑,并在运营维护过程中不断改进和完善。
网络安全:对重要网段加以保护。通过防火墙做接入点的安全;通过扫描软件对网络范围内的所有提供网络服务的设备进行漏洞扫描和修补;通过基于网络的入侵检测系统动态的保护重要网段。
系统安全:对网上运行的所有重要服务器加以保护,并从自身实施一定的安全措施。通过操作系统升级和打安全补丁减少系统漏洞;通过扫描软件对服务器进行漏洞扫描和修补;通过安装基于主机的入侵检测系统来保护重要的服务器。
数据库安全:通过专业的数据库扫描软件检测数据库系统存在的安全漏洞并进行修补,保护关键应用系统存放在数据库中的数据。
应用系统和数据的安全:对于应用系统的安全,一方面可以借助扫描工具对软件安装的主机进行评估,另一方面对应用系统所占用的网络服务、用户权限和资源使用情况进行分析,找出可能存在的安全问题。对于数据的安全,通过使用防病毒产品进行全方位的数据扫描服务,保证整个生产网处于安全无毒的环境。
网络安全是个长期的过程,不仅需要有好的规划设计,还要有良好的安全策略、及时的安全评估和完善的安全管理体系,综合运用各种安全工具,方能保证系统处于最佳安全状态。
以下是仅对长沙电信网络的一个集各项先进技术、国内优秀品牌网络安全产品的网络安全解决方案。
三、网络安全解决方案
防火墙:我们采用方正方御的1U型防火墙。该防火墙属于集成模块型状态检测防火墙,用户可根据需要选择功能模块。在这里我们选择的是入侵检测模块、扫描器模块、VPN模块,并考虑在中心机房的防火墙上选择安全评估模块。
*中心机房防火墙将重要数据与内外网络隔离,在长沙节点与四个县之间、长沙节点与骨干网之间、PSTN,DDN接入网络处分别配置防火墙,并根据原有的冗余链路利用防火墙提供的内外网口实现关键链路的双机热备;
*VPN模块可实现点-网关、网关-网关的VPN加密通道,数字证书作为防火墙之间的身份认证,保证PSTN远程拨号访问传输数据的完整性和保密性;
*入侵检测模块结合扫描器可对关键链路进行实时监控;
*安全评估能够全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况,找出存在的安全漏洞并给出修补建议。
*防火墙还可以将企业内部PC的MAC地址和IP地址进行捆绑,这样可以避免内部人员随意修改IP地址;
*URL过滤功能可限制企业内部员工访问一些特定性质的站点。
*网络地址转换(Network Address Translation)功能不仅可以隐藏内部网络地址信息,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中上公用地址和私有地址的内部网用户顺利的访问Internet 的信息资源,不但不会造成任何网络应用的阻碍,同时还可以节省大量的网络地址资源,解决公司IP地址资源不够的问题。
防病毒软件:我们采用的是北京冠群金辰公司的Kill系列防病毒软件,KILL防病毒软件有专门针对Email服务器和OA服务器的版本以及Kill For Lotus,Kill For UNIX,Kill For NT等等,适用于电信行业这样的大型网络。
在内部网络中选择一台服务器作为KILL下载服务器,可以定时的从网络中下载最新的病毒库,然后分发到客户端KILL的机器上面。大大简化了防病毒的管理工作。
升级问题是反病毒软件的一个重要考核标准,因此,KILL所提供的自动简单升级方法也是KILL系列产品的一个重要优势。KILL主动邮件服务功能,能够直接将最新升级版本用电子邮件的方式发送到指定电子邮箱中。同时,企业内部网通过简单配置,在一台服务器上下载升级文件便能够自动完成全域内所有计算机升级工作。即系统管理员可以将文件服务器作为下载升级文件服务器,当文件服务器升级文件下载成功后,KILL会自动将升级文件分发给其他服务器和NT工作站;在终端用户登录到升级后的服务器时,客户端会自动运行升级程序,从而完成客户端升级工作。整个升级工作如下图所示:
入侵检测系统软件:我们知道,Intranet的保护需要有适当的工具(比如防火墙)。但值得注意的是,如果我们在有了适当的工具以后还缺乏必要的审核手段,仍有可能造成企业
