电信企业网安全体系建设
电信企业内部网络作为企业信息化的基础,承载着电信企业众多重要的应用系统和网管系统,是企业内部有效可控互连的保证,堪称电信企业的生命线。电信企业需要实施全面、有效、合理的安全措施达到以下目标。
·保护电信企业电信运营网的业务不间断的正常运作。包括构成电信网络的所有设施、系统、以及系统所处理的数据(信息)。
·电信企业中的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给电信企业外部的组织或人员,如当前的或潜在的竞争对手。
·以有限的代价提高电信企业为其客户提供优于竞争对手的服务的能力,以获得竞争优势。
一、网络建设思路及原则
电信企业网安全体系的建设应在"面向业务,全面安全"的设计思想指导下,坚持以下原则。
1.安全第一:尽量减少安全风险,提高安全程度。
2.可发展性:能适应安全环境变化满足升级要求。
3.管理性:保证安全策略和特征库的集中管理和自动派发。
4.可追踪性:对所有的安全行为可以进行审计。
二、建设方案
以某省电信企业为例,目前企业网中缺乏较好的安全防护系统,不能及时地发现安全隐患,不能够对网络入侵及时响应。现有防病毒软件不能集中控制,不能很好地保护系统不受病毒的侵害,因此急需一套整体的安全方案。这里从对主机和服务器的防护、入侵检测、漏洞扫描、身份鉴别、防病毒、灾难恢复等几方面给出安全建议。
1.针对应用服务器和网络情况进行如下配置
*系统应用服务器:主机防护产品;推荐采用美国Computer Associates公司的eTrust Access Control产品。
网络入侵检测:基于网络和流量情况,建议重点网段配置。可选用国际最著名的网络安全公司-ISS公司的入侵检测产品RealSecure或美国Computer Associates公司的eTrust Intrusion Detection产品。
*网络:漏洞扫描。可选用国际网络安全公司-ISS公司的风险评估、漏洞检测产品--Internet System Scanner。
此外,还建议购买网络安全评估工具或网络安全评估服务,以对该电信企业网络定期进行安全评估,找出安全漏洞并及时修改网络规划和配置,提高网络安全级别。
2.构建全网统一的管理员身份鉴别/授权/审计系统
管理员的授权控制是整个网络安全的一个重要环节,目前企业网上大多数的系统管理员的登陆机制都是采用简单的口令保护措施,大多数系统的远程登陆采用明文传输。建议采用CA认证系统并进行以下工作。
*在省中心建立CA认证中心。
*所有管理员必须使用在认证中心注册的密钥才能够登陆系统。
*在需要管理员维护的系统上安装代理,使服务器的本地登陆,Telnet,FTP的进行需要认证通过。
*通过全网统一的认证系统进行集中的密钥管理,有效消除口令泄密的危险,同时可以通过收回或撤消密钥的办法明确收回离职管理员的权限。
3.构建全网统一配置和管理的防病毒系统
为了能够高效率防御病毒威胁,针对企业网辖区范围广,所用计算机软件及操作系统种类多、网络结构复杂的特点,在部署企业网防病毒系统时,应坚持"统一管理,分级维护;集中监控,多重防护"的总体要求,并遵循以下原则。
*全方位、多层次的整体防护:即针对企业网的网络构造和应用环境的实际情况,从桌面客户端、服务器及网关上进行全方位、多层次的整体防护。
*制度管理与技术防护相结合:在运用技术手段建立起计算机病毒防护系统的同时,运用管理手段建立起企业内部病毒防治和运行管理的工作体系,使计算机病毒防治工作制度化。
*采用最成熟的产品:选择具有我国公安部颁发的销售许可证的成熟产品。
*先进性和可扩展性相结合:防病毒领域是一个动态的发展过程,要充分考虑系统采用技术的先进性和可扩展性,易于更新、扩充和升级,以确保系统具有旺盛的生命力。
*易于管理、操作和维护:由于企业网防病毒工作涉及面广,日常运行维护工作量大,因此防病毒方案应便于工程实施、方便运行管理、简化用户操作、易于技术维护。
*充分利用现有资源:充分利用企业的现有资源,并与现有系统完全兼容,不能对现有系统软硬件提出太多的限制,更不能影响其正常运行。
*安全与性能负载均衡:通过优化结构、灵活配置来达到安全与性能的负载均衡,在性能上使其对企业内的网络应用和最终用户的影响降至最低。
为了构建一个强壮、有效的防病毒体系,在分析了该电信企业网网络架构及相关应用之后,针对潜在的病毒传播威胁,构建逻辑结构为三层的防病毒体系。
第一层:中央管理层
在省中心部署中央控管软件,该管理软件能够对部署在企业网内的各防病毒软件进行集中化的监控及管理。借助其灵活的目录管理,能够按照下属局或部门定制目录,同时将该区域内管理的防病毒软件归类到相应目录进行集中管理。
第二层:产品服务端层
基于对该电信企业网网络架构及相关应用的分析,需要从以下几方面对病毒传播途径进行拦截。
*在网关针对进出的SMTP邮件进行过滤,包括各类病毒邮件及垃圾邮件。由于该电信企业网部署有基于Linux系统或windows系统的标准SMTP邮件服务器,并且能够与外部邮件进行交互,建议部署邮件网关防护产品对进出邮件提供实时病毒过滤功能。
*该电信企业网通过专线接入Internet,病毒会通过HTTP、HTTPS、FTP方式侵入到内部网络系统中,为了不影响企业网原有网络应用架构,建议由安装在本地的网络版客户机程序来实现防护。
*省中心网络内存在基于Exchange系统的OA系统,为了有效控制病毒通过OA系统进行传播,建议部署防毒墙群件版。
*对于该电信企业网中的服务器及客户机的防护同样非常重要,为各服务器及客户机能及时自动更新最新的病毒库及防病毒策略,需安装病毒获取及分发服务器,该服务器能对各客户机及服务器的病毒升级及病毒防护进行相应的管理。
*为了减少病毒清除的工作量,同时为临时连接上该电信企业网的客户机提供一方便的杀病毒途径,建议在省中心大楼网内安装一在线病毒清除产品,各市州分公司及县局的客户机可以通过企业网访问省中心大楼网的在线病毒清除服务器,实现在线杀毒的功能。以上产品均位于防护体系的第二层,提供网关、群件系统的防护功能,并实现对服务器、客户端防护产品的集中管理功能。