1、长沙电信网络安全处理方案湖南计算机股份网络通信及安全事业部目 录一、长沙电信网络安全现实状况1二、长沙电信网络安全需求分析2三、网络安全处理方案3四、网络安全设计和调整提议8五、服务支持8六、附录91、Kill和其它同类产品比较92、方正方御防火墙和关键竞争对手产品比较113、湘计网盾和关键竞争对手产品比较124、湖南计算机股份介绍13一、长沙电信网络安全现实状况因为长沙电信信息网上网络体系越来越复杂,应用系统越来越多,网络规模不停扩大,逐步由Intranet扩展到Internet。内部网络经过ADSL、ISDN、以太网等直接和外部网络相连,对整个生产网络安全组成了巨大威胁。 具体分析,对长沙
2、电信网络安全组成威胁关键原因有:1) 应用及管理、系统平台复杂,管理困难,存在大量安全隐患。2)内部网络和外部网络之间连接为直接连接,外部用户不仅能够访问对外服务服务器,同时也很轻易访问内部网络服务器,这么,因为内部和外部没有隔离方法,内部系统极为轻易遭到攻击。 3)来自外部及内部网病毒破坏,来自InternetWeb浏览可能存在恶意Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。4)缺乏有效手段监视、评定网络系统和操作系统安全性。现在流行很多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。管理成本极高,降低了工作效率。5) 缺
3、乏一套完整管理和安全策略、政策,相当多用户安全意识匮乏。6)和竞争对手共享资源(如联通),潜在安全风险极高。7)上网资源管理、用户端工作用机使用管理混乱,存在多点高危安全隐患。8)计算机环境缺点可能引发安全问题;企业中心主机房环境消防安全检测设施,长时间未经确定其可用性,存在一定隐患。9)各关键计算机系统及数据常规备份恢复方案,现在全部处于人工管理阶段,缺乏必需自动备份支持设备。10)现在电信分企业没有明确异地容灾方案,如出现灾难性系统损坏,完全没有恢复可能性。11) 远程拔号访问缺乏必需安全认证机制,存在安全性问题。二、长沙电信网络安全需求分析网络安全设计是一个综合系统工程,其复杂性丝毫不亚
4、于设计一个庞大应用系统。长沙电信信息网安全设计,需要考虑包含到承载全部软硬件产品及处理步骤,而总体安全往往取决于全部步骤中最微弱步骤,假如有一个步骤出了问题,总体安全就得不到保障;具体就以下多个方面来分析。物理安全:在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。网络结构安全:经过层次设计和分段设计能够愈加好实现网络之间访问控制,结构设计需要对网络地址资源分配、路由协议选择等方面进行合理计划。通常应该要求网络集成商在网络设计时对结构安全加以考虑,并在运行维护过程中不停改善和完善。网络安全:对关键网段加以保护。经过防火墙做接入点安全;经过扫描软件对网络范围内全部提供网络服务设
5、备进行漏洞扫描和修补;经过基于网络入侵检测系统动态保护关键网段。系统安全:对网上运行全部关键服务器加以保护,并从本身实施一定安全方法。经过操作系统升级和打安全补丁降低系统漏洞;经过扫描软件对服务器进行漏洞扫描和修补;经过安装基于主机入侵检测系统来保护关键服务器。数据库安全:经过专业数据库扫描软件检测数据库系统存在安全漏洞并进行修补,保护关键应用系统存放在数据库中数据。应用系统和数据安全:对于应用系统安全,首先能够借助扫描工具对软件安装主机进行评定,其次对应用系统所占用网络服务、用户权限和资源使用情况进行分析,找出可能存在安全问题。对于数据安全,经过使用防病毒产品进行全方位数据扫描服务,确保整个
6、生产网处于安全无毒环境。网络安全是个长久过程,不仅需要有好计划设计,还要有良好安全策略、立即安全评定和完善安全管理体系,综合利用多种安全工具,方能确保系统处于最好安全状态。以下是仅对长沙电信网络一个集各项优异技术、中国优异品牌网络安全产品网络安全处理方案。三、网络安全处理方案防火墙:我们采取方正方御1U型防火墙。该防火墙属于集成模块型状态检测防火墙,用户可依据需要选择功效模块。在这里我们选择是入侵检测模块、扫描器模块、VPN模块,并考虑在中心机房防火墙上选择安全评定模块。*中心机房防火墙将关键数据和内外网络隔离,在长沙节点和四个县之间、长沙节点和骨干网之间、PSTN,DDN接入网络处分别配置防
7、火墙,并依据原有冗余链路利用防火墙提供内外网口实现关键链路双机热备;*VPN模块可实现点-网关、网关-网关VPN加密通道,数字证书作为防火墙之间身份认证,确保PSTN远程拨号访问传输数据完整性和保密性;*入侵检测模块结合扫描器可对关键链路进行实时监控;*安全评定能够全方面评定企业范围内全部网络服务、防火墙、应用服务器、数据库服务器等系统安全情况,找出存在安全漏洞并给出修补提议。*防火墙还能够将企业内部PCMAC地址和IP地址进行捆绑,这么能够避免内部人员随意修改IP地址;*URL过滤功效可限制企业内部职员访问部分特定性质站点。*网络地址转换(Network Address Translatio
8、n)功效不仅能够隐藏内部网络地址信息,使外界无法直接访问内部网络设备,同时,它还帮助网络能够超越地址限制,合理地安排网络中上公用地址和私有地址内部网用户顺利访问Internet 信息资源,不仅不会造成任何网络应用阻碍,同时还能够节省大量网络地址资源, 处理企业IP地址资源不够问题。 防病毒软件:我们采取是北京冠群金辰企业Kill系列防病毒软件,KILL防病毒软件有专门针对Email服务器和OA服务器版本和Kill For Lotus,Kill For UNIX,Kill For NT等等,适适用于电信行业这么大型网络。在内部网络中选择一台服务器作为KILL下载服务器,能够定时从网络中下载最新病
9、毒库,然后分发到用户端KILL机器上面。大大简化了防病毒管理工作。升级问题是反病毒软件一个关键考评标准,所以,KILL所提供自动简单升级方法也是KILL系列产品一个关键优势。KILL主动邮件服务功效,能够直接将最新升级版本用电子邮件方法发送到指定电子邮箱中。同时,企业内部网经过简单配置,在一台服务器上下载升级文件便能够自动完成全域内全部计算机升级工作。即系统管理员能够将文件服务器作为下载升级文件服务器,当文件服务器升级文件下载成功后,KILL会自动将升级文件分发给其它服务器和NT工作站;在终端用户登录到升级后服务器时,用户端会自动运行升级程序,从而完成用户端升级工作。整个升级工作以下图所表示:
10、入侵检测系统软件:我们知道,Intranet保护需要有合适工具(比如防火墙)。但值得注意是,假如我们在有了合适工具以后还缺乏必需审核手段,仍有可能造成企业巨大损失。据部分著名防火墙教授估测,在现已安装防火墙中,大约有50%以上防火墙实现是不妥。而造成这一现实状况关键原因就是用户在配置细节和基础操作系统易受攻击上。正是因为这一原因,在网络日益成为当今企业企业赖以生存手段时候,它在将用户和必需资源相连接同时,传输着至关关键而且往往是高度敏感信息。不过伴随网络规模扩大、复杂性增加,预防它们受到诸如低级协议攻击、服务器和桌面电脑入侵之类威胁就变得越来越困难。更有其它危险来自于经过内部网络传输病毒和恶意
11、小程序。所以和往常一样,我们很有必需检测和阻止对内部服务和桌面不合理访问和不正常外部URL。那么网络在被动保护自己不受侵犯同时,能否采取一些技术,主动保护本身安全呢?入侵检测技术就是一个主动保护自己免受黑客攻击一个网络安全技术。入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员安全管理能力(包含安全审计、监视、进攻识别和响应),提升信息安全基础结构完整性。它从计算机网络系统中关键点搜集信息,并分析这些信息,看看网络中是否有违反安全策略行为和遭到攻击迹象。入侵检测被认为是防火墙以后第二道安全闸门,它在不影响网络性能情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作实时保护。湘计网盾入
12、侵检测系统产品介绍应用环境:TCP/IP10/100M以太网;兼容性:和控制台通信加密,和控制台相互认证;适用性:独立操作系统;功效描述网络监听能力:支持10/100M以太网监听;监听网口不绑定IP。网络流预处理能力:支持TCP流重组,能够监控并发活动TCP连接数为60,000以上;支持IP碎片重组。协议支持和信息搜集:arp监控,搜集MAC/IP信息;general IP/TCP/UDP流监控,能支持识别syn-attack、portscan;ICMP监控,包含traceroute行为、主机和端口不可达信息。行为检测:实时分析支持基于规则匹配内容分析;支持各类约1000多个事件描述;自动经过
13、管理端网口将事件信息传输给Console,通信协议要支持实时流量转储吞吐量;依据配置,能自动实时阻断某种特征连接,也能够依据Console请求阻断一些特征连接;TCP RST;ICMP UNREACHABLE;ARP Takeover;管理控制 权限分级,参考公安部要求实施,最少分:管理员、授权管理人员、授权用户,详见公安部标准;集中管理集中管理一个或多个Sensor(理论上对Sensor无限制);负责策略配置;能够对Sensor进行入侵库和软件升级;规则库和规则定制系统规则库有事件具体说明和分级;系统提供几套缺省入侵检测集供用户选择;用户能够自行制订入侵检测集;用户能够自行定制入侵检测匹配规
14、则;统计分析对一个或多个Sensor上传日志进行统计分析;能够依据日志分析并判别下列行为,并生成份析日志,(同时自动将相关事件日志复制到分析日志关联库中,以防原始事件日志被回卷):黑客攻击(35大类,1290多个),并能经过网络接口进行检测库和程序升级检测端口扫描攻击检测常见web攻击对不正常请求icmp报警检测利用finger攻击检测利用ftp攻击对少见ip选项报警检测常见后门检测利用RPC漏洞攻击检测利用缓冲区溢出攻击依据分析结果,触发响应完善审计、日志功效对全部管理员操作进行统计;对全部Sensor上传事件信息进行统计;依据不相同级事件设置各自独立回滚存放区;审计信息应能加密存放(需要明
15、确:审计信息包含哪些);支持流行数据库报表用直观柱行图或饼图统计攻击各情况;入侵响应能够针对不一样事件等级、统计分析结果等级制订不一样响应方法;中止连接(经过Sensor实施);提醒系统维护,漏洞更新多个报警,通知方法Email、声音、切断连接、统计到数据库等。四、网络安全设计和调整提议立即和寻呼、移动网络从物理上完全分离;物理安全保护关键网络设备和多种业务服务器安全(包含确定防火、防盗,自动烟雾检测系统工作正常,和防尘、防静电防磁、电源系统等);毁灭性灾难发生时异地容灾(从节省资金角度,现关键考虑数据磁带异地备份);应用系统按其关键性分段,关键系统在条件许可时 尽可能集中放置,方便集中实施安
16、全策略。维护人员桌面机所在网段应和关键网段逻辑上隔离;针对桌面平台现实状况,制订规范化管理方案。统一操作系统版本并安装对应补丁。不许可在办公用机上私自安装多种非生产用软件。非计算机专业维护部门不许可私自拆卸计算机设备。五、服务支持湖南计算机股份网络通信及安全事业部一直提倡和用户共同发展,用户成长才是我们连续发展源动力。我们网络安全服务关键业务以下: 网络安全咨询服务:关键经过分析用户业务需求和现有网络结构,提出实用明确网络方案,依据网络功效和业务制订完善安全策略; 制订网络安全管理制度体系:帮助用户处理网络中因为制度和结构造成问题,设计网络安全整体处理方案和建立网络安全管理制度体系,依据实际安
17、全需要和用户预算,增加和配置网络安全产品。 安全产品集成和网络安全技术服务:在用户网络安全建设中,网络安全相关软硬件建设是一个很关键步骤。我们精心选择了部分网络安全产品提供商结成战略合作伙伴,能够向用户提供全方位、成系列网络安全处理方案及定时和不定时相结合完善周到网络安全技术服务,帮助拥护了解本身网络安全情况,消除用户网络中潜在隐患,提升用户网络安全等级。 应用系统安全评定:安全是一个系统工程,整体安全评定和安全计划服务目标是对用户安全工程建设有一个整体上把握而且提供针对性提议。 *整体安全评定和安全计划 *主机安全评定 *即时漏洞汇报 网络安全知识培训:提供网络安全知识普及培训、网络安全管理
18、人员培训等培训服务。 *网络安全知识普及培训 *网络安全管理人员培训六、附录1、 Kill和其它同类产品比较KILLNorton企业背景及技术实力中国公安部和全球第二大软件企业冠群电脑(CA)合资成立冠群金辰软件。当地化研发队伍,融合CA世界级优异技术,开发出适合中国用户KILL系列国产安全产品。企业直接负责产品生产、销售和技术服务。国际著名安全产品企业,产品在国外开发,销售、服务由中国总代理负责。防病毒产品全汉字操作界面,很适合中国用户使用全部产品汉字操作界面,适合中国用户使用。网络防病毒基础性能系统资源占用率比较其它同类产品对系统资源占用较少,用户还能够依据实际使用情况调配系统资源拥有率,
19、确保查杀病毒过程不会影响用户系统使用。汉字产品占用系统资源较多,有时会严重影响系统运行速度和用户应用程序运行。查、杀病毒能力依靠北京冠群金辰企业在中国和国际上建立独一无二病毒监测网,立即搜集中国和国际出现最新病毒,使KILL能立即为用户提供新型病毒处理方案,在查、杀病毒,尤其是国产病毒方面优于国外产品。只有国外病毒监测网,查、杀国产病毒能力逊于国产杀毒软件。自动修复注册表KILL能够自动修复被蠕虫病毒等修改系统注册表信息,清毒更根本。无自动删除特洛伊木马程序KILL能够自动删除由病毒产生特洛伊木马程序,清毒更根本,完全自动化只能由用户手工删除网络防病毒产品总体特点服务器和用户端能够集中管理,安
20、装、配置操作简单、方便。服务器和用户端能够集中管理,但安装、配置较复杂。安装方式一点安装,四处安装Windows NT/机器安装能够在一台机器上经过远程安装来统一完成。Win98/95用户端软件能够在用户登录服务器时自动安装完成,不需要用户干预。也就是说,能够在一台机器上完成对整个网络中全部计算机安装。Windows NT机器安装能够在一台机器上经过远程安装来统一完成。对于Win98/95用户端用户首先要手动从服务器下载并安装用户端代理程序(Agent),Win98/95软件能够经过分发,或在用户登录服务器时自动安装完成。用户端安装不能完全自动化。管理系统支持。自动探测进行管理。能够进行分布式
21、(分级)集中管理,适合大型机构/企业管理模式要求,管理方法灵活、多样。经过KILL管理服务器,对网络中全部计算机进行集中分布式管理,并基于策略实施管理。网络管理员能够在网络中任意NT/机器上进行远程管理控制,制订网络防病毒策略。在发觉病毒后管理方面,KILL网络版含有跟踪病毒源获取具体信息并采取隔离方法来预防该用户深入操作,从而确保网络安全。 能够跨平台管理,KILL网络版能够管理Unix、NetWare网络防病毒。 经过“控制中心”进行控制。网络管理员在安装了“防病毒控制中心”NT服务器上进行防病毒配置操作、管理控制。病毒库升级自动多级分发升级系统:网络版升级能够由一台服务器下载最新升级文件
22、,然后分发到其它NT/9X/ME机器上。设置好分发系统,由KILL自动控制完成,不需要用户干预。完全自动增量升级。网络升级分发功效和其安装方法一样,在服务器上要安装“控制程序”,在Win98/95用户端安装用户端代理程序(Agent)。网络升级容错含有升级校验功效。即:先试验,后运行。 在自动升级过程中,下载来升级文件先在本机进行升级试验,假如升级成功则进行下一步分发和自动升级工作。假如发觉升级过程有误,则自动重新下载升级文件,然后再一次进行试验,直到升级成功为止,然后进行下一步升级过程。没有升级容错校验功效。现在中国因特网传输质量很差,用户在下载升级文件时,常常产生错误,下载文件内容有错或不
23、完整,不进行校验就强行将升级文件进行分发,就会对网络产生不安全原因,对用户网络运行组成威胁。技术服务技术支持当地研发中心,厂家直接负责行业售前、售后技术服务和支持国外研发中心,售前、售后技术服务由当地总代理负责用户服务全国授权服务网主动邮件服务全国授权经销商网上病毒码更新和升级特殊服务成立专为行业用户提供支持技术小组,能够随时进行全方位技术维护和支持。-防火墙产品比较表企业名称方正数码东大阿尔派北京天融信产品名称FG2NetEye 2.0NGFW3000产品类型(路由器、软件、硬件设备)硬件设备硬件硬件接口三个10/100Base-TX (内网口、外网口、DMZ口和控制口)l 两个串口(控制串
24、口和热备串口) 三个10/100Base-TX接口 一个Console口 三个10/100Base-TX接口 一个Console口列出支持LAN接口类型(以太网/FDDI等)以太网以太网以太网服务器平台专用平台专用平台专用平台协议支持建立VPN通道协议IKE,IPSecIKE,IPSecIKE,IPSEC支持视频会议协议支持支持不支持支持VLANTRUNK协议支持支持2、 方正方御防火墙和关键竞争对手产品比较加密支持支持VPN加密标准使用IPSEC技术进行隧道通讯,使用3DES技术等进行加解密,使用IKE进行密钥管理,使用X.509进行身份认证未知DES,3DES,MD5,RC4,RSA,国家
25、许可专用算法除了VPN之外,加密其它用途远程管理远程管理远程管理提供基于硬件加密专用加密硬件专用加密硬件专用加密硬件认证支持支持认证类型用户认证能够使用多个认证方法,用户能够自行设定用户账号、密码,并使用这些内置用户账号进行认证,也能够使用NT域认证或Rudius认证专用OTP,RADIUS列出支持认证标准和CA互操作性X.509无X.509支持数字证书3、 湘计网盾和关键竞争对手产品比较产品名称湘计网盾HDIDSCA eTrust Intrusion Detection硬件/软件硬件软件基于主机是是基于主机否系统结构传感器/控制台传感器/控制台控制台操作系统及硬件需求Windows NT/,
26、166MHz Pentium,64M内存,100M空间Windows NT/95/98/2K,166MHz Pentium,64M内存,100M空间传感器操作系统及硬件需求机架式网络设备,256MWindows NT/95/98/2K,166MHz Pentium,64M内存,200M空间被监控端操作系统平台Windows /NTWindows 95/98/NT支持网络类型10/100M 以太网10/100M 以太网,FDDI,令牌环管理网口和监听网口分离是是监听网口不带IP地址是TCP流重组是是监控TCP连接数1IP碎片重组8462分析协议TCP/IPTCP/IP, UDP/IP分析高层应用
27、协议HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP等HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP等中止TCP连接是是发送ICMP不可达是是攻击特征数1290条1000条抗针对IDSDoS攻击是通信加密是是传感器和控制台相互认证是是支持实时警告通知是是提供创建规则工具创建自定义监控模块以检验一些类型数据包是是预防未经授权访问文件或试图取得超级用户控制是是检测来自多个位置多个攻击是是检测
28、网络层/基于包攻击(如DoS)是是4、 湖南计算机股份介绍湖南计算机股份一家大型高科技股份制上市企业,是以科研开发、生产、经营计算机(含军品)和应用系统集成综合性高科技企业集团,是信息产业部部属企业,1997年被国务院定为国家关键企业,1994年荣获ISO9002质量体系认证,1997年荣获ISO9001、GJB/Z9001质量体系认证。现在企业拥有总资产15.2亿元,销售额12亿,其中计算机信息系统集成达3.2亿元,利税8000多万元。企业现有职员860多人,专业技术人员占62%,拥有近百项国家专利。本企业技术中心99年被省经贸委认定为省级企业技术中心,正在申报国家级认定企业中心,本企业从事
29、科研开发500人中,95%以上含有本科学历,由11名博士、86名硕士和60多名高级工程师来主持和组织多种硬件产品和应用系统、操作系统研制、开发和推广。现在湘计算机已发展成为IT外设、应用系统集成、基础元器件、军用计算机四大支柱产业并驾齐驱高科技企业集团。企业获省级信息工程一级资质证书,正在申报计算机信息系统集成国家一级资质认证,已经过湖南省包含国家秘密计算机信息系统集成资质审查。被信息产业部定为国家关键软件企业(共120家)。企业成功工程案例有:代理业务综合平台、电信业管理计费处理方案、移动移动电话综合业务管理系统、外交部全球文件传输系统(包含200多个使领馆)、公安部九局多媒体网络工程、公安部边防检验管理信息系统、公安部进口汽车核查信息系统等几十项包含企业、电信、广电、金融、教育、政府等行业系统集成项目,系统集成经验丰富,并能提供立即现场服务。