2022年××电信网络安全解决方案

长沙电信网络平安处理方案湖南计算机股份网络通讯及平安事业部目 录一、长沙电信网络平安现状1二、长沙电信网络平安需求分析2三、网络平安处理方案3四、网络平安设计和调整建议8五、效劳支持8六、附录91、Kill与其他同类产品比拟92、方正方御防火墙与主要竞争对手产品比拟113、湘计网盾与主要竞争对手产品比拟124、湖南计算机股份简介13一、长沙电信网络平安现状由于长沙电信信息网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐步由Intranet扩展到Internet。内部网络通过ADSL、ISDN、以太网等直截了当与外部网络相连，对整个消费网络平安构成了宏大的威胁。 详细分析，对长沙电信网络平安构成威胁的主要要素有：1) 应用及治理、系统平台复杂，治理困难，存在大量的平安隐患。2)内部网络和外部网络之间的连接为直截了当连接，外部用户不但能够访征询对外效劳的效劳器，同时也特别容易访征询内部的网络效劳器，如此，由于内部和外部没有隔离措施，内部系统极为容易遭到攻击。 3)来自外部及内部网的病毒的破坏，来自Internet的Web阅读可能存在的恶意Java/ActiveX控件。病毒发作情况难以得到监控，存在大范围系统瘫痪风险。4)缺乏有效的手段监视、评估网络系统和操作系统的平安性。目前流行的许多操作系统均存在网络平安破绽，如UNIX效劳器，NT效劳器及Windows桌面PC。治理本钱极高，降低了工作效率。5) 缺乏一套完好的治理和平安策略、政策，相当多的用户平安认识匮乏。6)与竞争对手共享资源（如联通），潜在平安风险极高。7)上网资源治理、客户端工作用机使用治理混乱，存在多点高危平安隐患。8)计算机环境的缺陷可能引发平安征询题；公司中心主机房环境的消防平安检测设备，长时间未经确认其可用性，存在一定隐患。9)各重要计算机系统及数据的常规备份恢复方案，目前都处于人工治理阶段，缺乏必要的自动备份支持设备。10)目前电信分公司没有明确的异地容灾方案，如出现灾难性的系统损坏，完全没有恢复的可能性。11) 远程拔号访征询缺少必要的平安认证机制，存在平安性征询题。二、长沙电信网络平安需求分析网络平安设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。长沙电信信息网的平安设计，需要考虑涉及到承载的所有软硬件产品及处理环节，而总体平安往往取决于所有环节中的最薄弱环节，假如有一个环节出了征询题，总体平安就得不到保障；详细就以下几个方面来分析。物理平安：在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。网络构造平安：通过层次设计和分段设计能够更好的实现网络之间的访征询操纵，构造设计需要对网络地址资源分配、路由协议选择等方面进展合理规划。通常应该要求网络集成商在网络设计时对构造平安加以考虑，并在运营维护过程中不断改良和完善。网络平安：对重要网段加以保护。通过防火墙做接入点的平安；通过软件对网络范围内的所有提供网络效劳的设备进展破绽和修补；通过基于网络的入侵检测系统动态的保护重要网段。系统平安：对网上运转的所有重要效劳器加以保护，并从本身施行一定的平安措施。通过操作系统晋级和打平安补丁减少系统破绽；通过软件对效劳器进展破绽和修补；通过安装基于主机的入侵检测系统来保护重要的效劳器。数据库平安：通过专业的数据库软件检测数据库系统存在的平安破绽并进展修补，保护关键应用系统存放在数据库中的数据。应用系统和数据的平安：关于应用系统的平安，一方面能够借助工具对软件安装的主机进展评估，另一方面对应用系统所占用的网络效劳、用户权限和资源使用情况进展分析，找出可能存在的平安征询题。关于数据的平安，通过使用防病毒产品进展全方位的数据效劳，保证整个消费网处于平安无毒的环境。网络平安是个长期的过程，不仅需要有好的规划设计，还要有良好的平安策略、及时的平安评估和完善的平安治理体系，综合运用各种平安工具，方能保证系统处于最正确平安状态。以下是仅对长沙电信网络的一个集各项先进技术、国内优秀品牌网络平安产品的网络平安处理方案。三、网络平安处理方案防火墙：我们采纳方正方御的1U型防火墙。该防火墙属于集成模块型状态检测防火墙，用户可依照需要选择功能模块。在这里我们选择的是入侵检测模块、器模块、VPN模块，并考虑在中心机房的防火墙上选择平安评估模块。*中心机房防火墙将重要数据与内外网络隔离，在长沙节点与四个县之间、长沙节点与骨干网之间、PSTN，DDN接入网络处分别配置防火墙，并依照原有的冗余链路利用防火墙提供的内外网口实现关键链路的双机热备；*VPN模块可实现点-网关、网关-网关的VPN加密通道，数字证书作为防火墙之间的身份认证，保证PSTN远程拨号访征询传输数据的完好性和保密性；*入侵检测模块结合器可对关键链路进展实时监控；*平安评估能够全面的评估企业范围内的所有网络效劳、防火墙、应用效劳器、数据库效劳器等系统的平安情况，找出存在的平安破绽并给出修补建议。*防火墙还能够将企业内部PC的MAC地址和IP地址进展捆绑，如此能够防止内部人员随意修正IP地址；*URL过滤功能可限制企业内部员工访征询一些特定性质的站点。*网络地址转换（Network Address Translation）功能不仅能够隐藏内部网络地址信息，使外界无法直截了当访征询内部网络设备，同时，它还协助网络能够超越地址的限制，合理地安排网络中上公用地址和私有地址的内部网用户顺利的访征询Internet 的信息资源，不但不会造成任何网络应用的阻碍，同时还能够节约大量的网络地址资源， 处理公司IP地址资源不够的征询题。 防病毒软件：我们采纳的是北京冠群金辰公司的Kill系列防病毒软件，KILL防病毒软件有专门针对Email效劳器和OA效劳器的版本以及Kill For Lotus，Kill For UNIX，Kill For NT等等，适用于电信行业如此的大型网络。在内部网络中选择一台效劳器作为KILL下载效劳器，能够定时的从网络中下载最新的病毒库，然后分发到客户端KILL的机器上面。大大简化了防病毒的治理工作。晋级征询题是反病毒软件的一个重要考核标准，因而，KILL所提供的自动简单晋级方法也是KILL系列产品的一个重要优势。KILL主动邮件效劳功能，能够直截了当将最新晋级版本用电子邮件的方式发送到指定电子邮箱中。同时，企业内部网通过简单配置，在一台效劳器上下载晋级文件便能够自动完成全域内所有计算机晋级工作。即系统治理员能够将文件效劳器作为下载晋级文件效劳器，当文件效劳器晋级文件下载成功后，KILL会自动将晋级文件分发给其他效劳器和NT工作站；在终端用户登录到晋级后的效劳器时，客户端会自动运转晋级程序，从而完成客户端晋级工作。整个晋级工作如以下图所示：入侵检测系统软件：我们明白，Intranet的保护需要有适当的工具（比方防火墙）。但值得留意的是，假如我们在有了适当的工具以后还缺乏必要的审核手段，仍有可能造成企业的宏大损失。据一些著名防火墙专家的估测，在现已安装的防火墙中，大约有50%以上的防火墙实现是不当的。而造成这一现状的重要缘故确实是用户在配置的细节以及根本操作系统的易受攻击上。正是由于这一缘故，在网络日益成为当今公司企业赖以生存的手段的时候，它在将用户与必要的资源相连接的同时，传输着至关重要而且往往是高度敏感的信息。但是随着网络规模的扩大、复杂性的增加，防止它们遭到诸如低级协议攻击、效劳器与桌面电脑入侵之类的威胁就变得越来越困难。更有其它危险来自于通过内部网络传播的病毒和恶意小程序。因而与往常一样，我们特别有必要检测和阻止对内部效劳和桌面的不合理访征询以及不正常的外部URL。那么网络在被动保护本人不受进犯的同时，能否采取某些技术，主动保护本身的平安呢？入侵检测技术确实是一种主动保护本人免受黑客攻击的一种网络平安技术。入侵检测技术能够协助系统对付网络攻击，扩展系统治理员的平安治理才能(包括平安审计、监视、进攻识别和响应)，提高信息平安根底构造的完好性。它从计算机网络系统中的关键点搜集信息，并分析这些信息，看看网络中是否有违背平安策略的行为和遭到攻击的迹象。入侵检测被认为是防火墙之后的第二道平安闸门，它在不妨碍网络功能的情况下能对网络进展监测，从而提供对内部攻击、外部攻击和误操作的实时保护。湘计网盾入侵检测系统产品介绍应用环境：TCP/IP10/100M以太网；兼容性：与操纵台通讯加密，与操纵台互相认证；适用性：独立操作系统；功能描绘网络监听才能：支持10/100M以太网监听；监听网口不绑定IP。网络流预处理才能：支持TCP流重组，能够监控的并发活动TCP连接数为60,000以上；支持IP碎片重组。协议支持与信息搜集：arp监控，搜集MAC/IP信息；general IP/TCP/UDP流监控，能支持识别syn-attack、portscan；ICMP监控，包括traceroute行为、主机与端口不可达信息。行为检测：实时分析支持基于规则匹配的内容分析；支持各类约1000多个事件描绘；自动通过治理端网口将事件信息传递给Console，通讯协议要支持实时流量转储的吞吐量；依照配置，能自动实时阻断某种特征的连接，也能够依照Console的恳求阻断某些特征的连接；TCP RST；ICMP UNREACHABLE；ARP Takeover；治理操纵 权限分级，参照公安部要求执行，至少分：治理员、受权治理人员、受权用户，详见公安部标准；集中治理集中治理一个或多个Sensor(理论上对Sensor无限制)；负责策略的配置；能够对Sensor进展入侵库和软件的晋级；规则库与规则定制系统规则库有事件的详细说明和分级；系统提供几套缺省入侵检测集供用户选用；用户能够自行制定入侵检测集；用户能够自行定制入侵检测匹配规则；统计分析对一个或多个Sensor上传的日志进展统计分析；能够依照日志分析并鉴别以下行为，并生成分析日志，（同时自动将相关事件日志复制到分析日志关联库中，以防原始事件日志被回卷）：黑客攻击（35大类，1290多种），并能通过网络接口进展检测库和程序的晋级检测端口攻击检测常见的web攻击对不正常的恳求icmp报警检测利用finger的攻击检测利用ftp的攻击对少见的ip选项报警检测常见的后门检测利用RPC破绽的攻击检测利用缓冲区溢出的攻击依照分析结果，触发响应完善的审计、日志功能对所有治理员操作进展记录；对所有Sensor上传事件信息进展记录；依照不同等级的事件设置各自独立的回滚存储区；审计信息应能加密存储（需要明确：审计信息包括哪些）；支持流行数据库报表用直观的柱行图或饼图统计攻击的各情况；入侵响应能够针对不同事件等级、统计分析结果等级制定不同的响应方式；中断连接（通过Sensor执行）；提示系统维护，破绽更新多种报警，通知方式Email、声音、切断连接、记录到数据库等。四、网络平安设计和调整建议尽快与寻呼、挪动网络从物理上完全别离；物理平安的保护主要网络设备和各种业务效劳器的平安（包括确认防火、防盗，自动烟雾检测系统的工作正常，以及防尘、防静电防磁、电源系统等）；消灭性灾难发生时的异地容灾（从节约资金的角度，现主要考虑数据磁带的异地备份）；应用系统按其重要性分段，重要系统在条件同意时 尽量集中放置，以便集中施行平安策略。维护人员的桌面机所在网段应与重要网段逻辑上隔离；针对桌面平台现状，制定标准化治理方案。统一操作系统版本并安装相应的补丁。不同意在办公用机上私自安装各种非消费用的软件。非计算机专业维护部门不同意私自拆卸计算机设备。五、效劳支持湖南计算机股份网络通讯及平安事业部不断倡导与客户共同开展，客户的成长才是我们持续开展的源动力。我们的网络平安效劳主要业务如下： 网络平安征询效劳：主要通过分析用户的业务需求和现有网络构造，提出有用明确的网络的方案，依照网络功能和业务制定完善的平安策略； 制定网络平安治理制度体系：协助用户处理网络中由于制度和构造导致的征询题，设计网络平安整体处理方案和建立网络平安治理制度体系，依照实际平安需要和客户预算，增加和配置网络平安产品。 平安产品集成与网络平安技术效劳：在用户网络平安建立中，网络平安相关的软硬件建立是一个特别重要的环节。我们精心选择了部分网络平安产品提供商结成战略合作伙伴，能够向用户提供全方位、成系列的网络平安处理方案及定期与不定期相结合的完善周到的网络平安技术效劳，协助拥护理解本身网络的平安情况，消除用户网络中潜在的隐患，提高用户网络平安等级。 应用系统平安评估：平安是一个系统的工程，整体平安评估和平安规划效劳的目的是对客户的平安工程建立有一个整体上的把握同时提供针对性的建议。 *整体平安评估和平安规划 *主机平安评估 *即时破绽报告 网络平安知识培训：提供网络平安知识普及培训、网络平安治理人员培训等培训效劳。 *网络平安知识普及培训 *网络平安治理人员培训六、附录1、 Kill与其他同类产品比拟KILLNorton公司背景及技术实力中国公安部和全球第二大软件公司冠群电脑（CA）合资成立冠群金辰软件。本地化的研发队伍，交融CA的世界级先进技术，开发出合适国内用户的KILL系列国产平安产品。公司直截了当负责产品消费、销售和技术效劳。国际著名平安产品公司，产品在国外开发，销售、效劳由国内总代理负责。防病毒产品全中文操作界面，特别合适国内用户使用所有产品中文操作界面，合适国内用户使用。网络防病毒根本功能系统资源占用率比拟其他同类产品对系统资源占用较少，用户还能够依照实际使用情况调配系统资源占有率，确保查杀病毒过程不会妨碍用户系统的使用。中文产品占用系统资源较多，有时会严峻妨碍系统的运转速度和用户应用程序的运转。查、杀病毒才能依托北京冠群金辰公司在国内与国际上建立的独一无二的病毒监测网，及时搜集国内和国际出现的最新病毒，使KILL能及时为用户提供新型病毒的处理方案，在查、杀病毒，尤其是国产病毒方面优于国外产品。只有国外的病毒监测网，查、杀国产病毒的才能逊于国产杀毒软件。自动修复注册表KILL能够自动修复被蠕虫病毒等修正的系统注册表信息，清毒更完全。无自动删除特洛伊木马程序KILL能够自动删除由病毒产生的特洛伊木马程序，清毒更完全，完全自动化只能由用户手工删除网络防病毒产品总体特点效劳器和客户端能够集中治理，安装、配置操作简单、方便。效劳器和客户端能够集中治理，但安装、配置较复杂。安装方式一点安装，处处安装Windows NT/2000的机器安装能够在一台机器上通过远程安装来统一完成。Win98/95客户端软件能够在用户登录效劳器时自动安装完成，不需要用户干涉。也确实是说，能够在一台机器上完成对整个网络中所有计算机的安装。Windows NT的机器安装能够在一台机器上通过远程安装来统一完成。关于Win98/95客户端用户首先要手动从效劳器下载并安装客户端代理程序（Agent），Win98/95软件能够通过分发，或在用户登录效劳器时自动安装完成。客户端的安装不能完全自动化。管理系统支持。自动探测进展治理。能够进展分布式（分级）集中治理，合适大型机构/企业治理形式的要求，治理方式灵敏、多样。通过KILL治理效劳器，对网络中所有计算机进展集中分布式治理，并基于策略施行治理。网络治理员能够在网络中任意NT/2000机器上进展远程治理操纵，制定网络防病毒策略。在发觉病毒后的治理方面，KILL网络版具有跟踪病毒源获取详细的信息并采取隔离的措施来防止该用户的进一步操作，从而保证网络平安。 能够跨平台治理，KILL网络版能够治理Unix、NetWare的网络防病毒。 通过“操纵中心”进展操纵。网络治理员在安装了“防病毒操纵中心”的NT效劳器上进展防病毒的配置操作、治理操纵。病毒库升级自动多级分发晋级系统：网络版的晋级能够由一台效劳器下载最新的晋级文件，然后分发到其他的NT/2000/9X/ME的机器上。设置好的分发系统，由KILL自动操纵完成，不需要用户干涉。完全自动增量晋级。网络晋级分发功能与其安装方式一样，在效劳器上要安装“操纵程序”，在Win98/95客户端安装客户端代理程序（Agent）。网络升级容错具备晋级校验功能。即：先试验，后运转。 在自动晋级过程中，下载来的晋级文件先在本机进展晋级试验，假如晋级成功则进展下一步的分发和自动晋级工作。假如发觉晋级过程有误，则自动重新下载晋级文件，然后再一次进展试验，直到晋级成功为止，然后进展下一步的晋级过程。没有晋级容错校验功能。目前国内因特网的传输质量特别差，用户在下载晋级文件时，经常产生错误，下载的文件内容有错或不完好，不进展校验就强行将晋级文件进展分发，就会对网络产生不平安的要素，对用户的网络运转构成威胁。技术效劳技术支持本地研发中心，厂家直截了当负责行业售前、售后技术效劳与支持国外研发中心，售前、售后技术效劳由本地总代理负责客户效劳全国受权效劳网主动邮件效劳全国受权经销商网上病毒码更新和晋级特别效劳成立专为行业用户提供支持的技术小组，能够随时进展全方位的技术维护和支持。-防火墙产品比拟表公司名称方正数码东大阿尔派北京天融信产品名称FG2NetEye 2.0NGFW3000产品类型（路由器、软件、硬件设备）硬件设备硬件硬件接口三个10/100Base-TX (内网口、外网口、DMZ口和操纵口)l 两个串口(操纵串口和热备串口) 三个10/100Base-TX接口 一个Console口 三个10/100Base-TX接口 一个Console口列出支持的LAN接口类型（以太网/FDDI等）以太网以太网以太网效劳器平台专用平台专用平台专用平台协议支持建立VPN通道的协议IKE,IPSecIKE,IPSecIKE，IPSEC支持视频会议协议支持支持不支持支持VLAN的TRUNK协议支持支持2、 方正方御防火墙与主要竞争对手产品比拟加密支持支持的VPN加密标准使用IPSEC技术进展隧道通讯，使用3DES技术等进展加解密，使用IKE进展密钥治理，使用X.509进展身份认证未知DES，3DES，MD5，RC4，RSA，国家许可专用算法除了VPN之外，加密的其他用处远程治理远程治理远程治理提供基于硬件的加密专用加密硬件专用加密硬件专用加密硬件认证支持支持的认证类型客户认证能够使用多种认证方式，用户能够自行设定用户账号、密码，并使用这些内置用户账号进展认证，也能够使用NT域认证或者Rudius认证专用OTP，RADIUS列出支持的认证标准和CA互操作性X.509无X.509支持数字证书3、 湘计网盾与主要竞争对手产品比拟产品名称湘计网盾HDIDSCA eTrust Intrusion Detection硬件/软件硬件软件基于主机是是基于主机否系统构造传感器/操纵台传感器/操纵台操纵台操作系统及硬件需求Windows NT/2000，166MHz Pentium，64M内存，100M空间Windows NT/95/98/2K，166MHz Pentium，64M内存，100M空间传感器操作系统及硬件需求机架式网络设备，256MWindows NT/95/98/2K，166MHz Pentium，64M内存，200M空间被监控端的操作系统平台Windows 2000/NTWindows 95/98/NT支持的网络类型10/100M 以太网10/100M 以太网，FDDI，令牌环治理网口与监听网口别离是是监听网口不带IP地址是TCP流重组是是监控的TCP连接数12000IP碎片重组8462分析的协议TCP/IPTCP/IP, UDP/IP分析的高层应用协议HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP等HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP等中断TCP连接是是发送ICMP不可达是是攻击特征数1290条1000条抗针对IDS的DoS攻击是通讯加密是是传感器和操纵台互相认证是是支持实时警告通知是是提供创立规则的工具创立自定义的监控模块以检查某些类型的数据包是是防止未经受权访征询文件或试图获得超级用户的操纵是是检测来自多个位置的多个攻击是是检测网络层/基于包的攻击（如DoS）是是4、 湖南计算机股份简介湖南计算机股份一家大型高科技股份制上市公司，是以科研开发、消费、运营计算机（含军品）和应用系统集成的综合性高科技企业集团，是信息产业部部属企业，1997年被国务院定为国家重点企业，1994年荣获ISO9002质量体系认证，1997年荣获ISO9001、GJB/Z9001质量体系认证。目前公司拥有总资产15.2亿元，2001年销售额12亿，其中计算机信息系统集成达3.2亿元，利税8000多万元。公司现有职工860多人，专业技术人员占62%，拥有近百项国家专利。本公司技术中心99年被省经贸委认定为省级企业技术中心，正在申报国家级认定企业中心，本公司从事科研开发的500人中，95%以上具有本科学历，由11名博士、86名硕士和60多名高级工程师来主持和组织各种硬件产品和应用系统、操作系统的研制、开发和推行。目前湘计算机已开展成为IT外设、应用系统集成、根底元器件、军用计算机四大支柱产业并驾齐驱的高科技企业集团。公司2001年获省级信息工程一级资质证书，正在申报计算机信息系统集成国家一级资质认证，已通过湖南省涉及国家机密计算机信息系统集成资质审查。2001年被信息产业部定为国家重点软件企业（共120家）。公司成功的工程案例有：代理业务综合平台、电信业治理计费处理方案、挪动2000挪动综合业务治理系统、外交部全球文件传输系统（涉及200多个使领馆）、公安部九局多媒体网络工程、公安部边防检查治理信息系统、公安部进口汽车核查信息系统等几十项涉及企业、电信、广电、金融、教育、政府等行业系统集成工程，系统集成经历丰富，并能提供及时的现场效劳。