第壹章是前言
第二章網絡安全概述
第三章網絡安全解決方案
第四章典型應用案例
第五章網絡安全解決方案的未來發展趨勢
第壹章是前言
如今的網絡運營商正在經歷壹個激動人心的信息爆炸時代,網絡主幹帶寬平均每六到九個月就會翻倍。數據業務作為起主導作用的主要業務類型,要求並驅動網絡結構發生根本性變化。光互聯網的出現為基於IP技術的網絡應用奠定了新的基礎。隨著網絡的普及、信息網絡技術的應用和關鍵業務系統的擴展,電信行業業務系統的安全已經成為影響網絡效率的重要問題。互聯網的開放性、國際性和自由性在增加應用自由度的同時,也對安全性提出了更高的要求。由於國際形勢的變化,“網絡戰”的可能性加劇,確保網絡和信息安全直接關系到國家的經濟安全乃至國家安全。因此,如何保護信息網絡系統免受黑客和間諜的攻擊,已成為國家電信基礎網絡健康發展需要考慮的重要問題。
在新的電信市場環境下,需求的多樣化和信息消費的個性化逐漸成為必然趨勢,這在數據通信領域尤為明顯。經過幾年的努力,公用數據通信網規模和技術水平有了飛躍,用戶數量持續高速增長,信息服務用戶發展尤為迅速,全國規模用戶不斷增加,並開始向企業用戶轉移;政府上網工程進展順利,電子商務全面啟動。中國電信的安全認證體系通過了中國密碼管理委員會和信息產業部的聯合鑒定,並與金融部門開展了有效的合作。電信還提供互聯網接入服務、IP電話服務和其他服務。IP承載網承載了圖像、語音和數據的統壹平臺,強調Qos、VPN和計費,成為新時代的多業務承載網。中國電信數據通信的發展方向是網絡服務和個性化服務。這種網絡其實功能非常豐富,儲值卡業務、電子商務認證平臺、虛擬專用網等等。而這壹切都有賴於網絡安全的保障。沒有安全,個性化服務是不可能的。只有電信的基礎平臺完善了,功能加強了,安全問題有了保障,才能提供真正的個性化服務。
由於電信部門的特殊性,重要信息的傳輸是整個國家通信系統的基礎。其安全性尤為重要。由於我們的壹些技術還遠遠落後於國外,國內現有或在建的網絡設備和網絡安全產品幾乎都是國外廠商的產品。只有使用我國自主研發的信息安全產品和擁有自主版權的安全產品,才能真正掌握信息戰場的主動權,從根本上防範各種非法惡意攻擊和破壞。現在的計算機網絡大多把安全機制建立在網絡層安全機制上,認為網絡安全只是防火墻、加密機等設備。隨著網絡互聯的擴大和具體應用的多樣化,這種安全機制對於網絡環境來說是非常有限的。面對各種威脅,我們必須采取有效措施來確保計算機網絡的安全。我們必須對網絡有深入的了解,對安全需求進行嚴謹的分析,提出完善的安全解決方案。該方案根據電信網絡的具體網絡環境和應用,介紹了如何為電信部門建立壹套完整的網絡安全解決方案。
第二章網絡安全概述
網絡安全的定義
什麽是計算機網絡安全?雖然現在這個詞很流行,但是真正對它有正確認識的人並不多。事實上,要正確定義計算機網絡安全並不容易。難點在於形成壹個全面有效的定義。壹般來說,安全就是“規避風險和危險”。在計算機科學中,安全是為了防止:
未經授權的用戶訪問信息。
未經授權試圖破壞或更改信息
這可以重新表述為“安全是系統保護信息和系統資源的機密性和完整性的能力”。註意,第二個定義的範圍包括系統資源,即CPU、硬盤、程序和其他信息。
在電信行業,網絡安全的含義包括:關鍵設備的可靠性;網絡結構和路由的安全性;具有網絡監控、分析和自動響應功能;確保網絡安全相關參數正常;它可以保護電信網絡的開放服務器(如撥號接入服務器等。)和網絡數據的安全性。關鍵是在不影響網絡效率的前提下,滿足電信網絡的要求,保證其安全性。
電信行業具體網絡應用(結合典型案例)
整個電信網的技術定位是以光纖為主要傳輸介質,以IP為主要通信協議。因此,在選擇安全產品時,我們必須滿足電信網絡的要求。例如,防火墻必須滿足各種路由協議、QOS保證、MPLS技術實現、速度要求、冗余等要求。這些都是電信運營商首先要考慮的問題。電信網絡提供渠道,因此IP優化尤為重要,至少包括以下要素:
網絡結構的IP優化。網絡架構以IP為基礎,體現在網絡層的分層架構中,可以減少對傳統傳輸系統的依賴。
IP路由協議的優化。
IP分組轉發的優化。它適合大規模高速寬帶網絡和下壹代互聯網的特點,提供高速路由查找和分組轉發機制。
帶寬優化。在合理的QoS控制下,光纖的帶寬得到最大限度的利用。
穩定性優化。最大限度地提高光傳輸在故障恢復中快速切換的能力,快速恢復網絡連接,避免路由表抖動帶來的全網震蕩,提供滿足高速寬帶網絡要求的可靠性和穩定性。
從骨幹網承載能力、可靠性、QoS、可擴展性、網絡互聯、通信協議、網絡管理、安全性、多業務支持等方面論述了某省移動互聯網項目的技術需求。
骨幹層網絡承載能力
骨幹網使用的高端骨幹路由器設備可提供155M POS端口。此外,支持密集波分復用(DWDM)技術以提供更高的帶寬。網絡核心與信息匯聚點的連接速率為155M,所有連接均為光纖連接。
骨幹網設備的無阻塞交換能力有足夠的容量滿足高速端口間無丟包的線速交換。骨幹網絡設備的交換模塊或接口模塊應提供足夠的緩存和擁塞控制機制,以避免前向擁塞中的丟包。
可靠性和自愈能力
包括鏈路冗余、模塊冗余、設備冗余、路由冗余等需求。對於壹個省內的移動互聯網項目這樣的運營級寬帶IP骨幹網,考慮其可靠性和自愈能力是必不可少的。
鏈路冗余。主幹設備之間有可靠的線路冗余方式。建議采用負載均衡的冗余模式,即正常情況下,兩個連接都提供數據傳輸,互為備份。充分體現了采用光纖技術的優勢,不會造成服務質量瞬間惡化,不會造成服務中斷。
模塊冗余。骨幹設備的所有模塊和環境組件應具有1+1或1: n熱備份功能,切換時間應小於3秒。所有模塊都是熱插拔的。該系統具有99.999%以上的可用性。
設備冗余。提供從兩個或更多設備形成虛擬設備的能力。當其中壹臺設備因故障停止工作時,另壹臺設備自動接管其工作,其他節點的路由表不再重新計算,提高了網絡的穩定性。切換時間小於3秒,以確保大多數IP應用程序不會出現超時錯誤。
路由冗余。網絡的結構設計應提供足夠的路由冗余功能,但上述冗余特性仍不能解決問題,數據流應能找到其他路徑到達目的地址。在足夠復雜的網絡環境中,當網絡連接發生變化時,路由表的收斂時間應該小於30秒。
擁塞控制和服務質量保證
擁塞控制和服務質量(QoS)是公共服務網絡的重要質量。由於接入方式、接入速率、應用方法和數據屬性的多樣性,網絡中的數據流量突發是不可避免的。因此,對於網絡來說,控制擁塞並對不同屬性的數據流進行不同的處理是非常重要的。
業務分類。網絡設備應支持6~8種服務分類(CoS)。當用戶終端不提供業務分類信息時,網絡設備應根據用戶的網段、應用類型和流量大小自動對業務進行分類。
訪問速率控制。接入該網絡的服務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標記為最低優先級。
排隊機制。它具有先進的排隊機制來控制擁塞,並不同地處理不同類別的服務,包括不同的時間延遲和不同的丟包率。
高級擁塞控制。當網絡出現真正的擁塞時,瞬間大量丟包會造成大量TCP數據同時重傳,加劇網絡擁塞程度,造成網絡不穩定。網絡設備要有先進的技術,在網絡擁塞發生之前自動采取相應的措施提前控制擁塞,避免瞬間大量丟包。
資源預留。對於非常重要的特殊應用,應該可以通過預留帶寬資源來保證它們的QoS。
端口密度擴展。設備的端口密度應滿足網絡擴容時設備間互聯的需要。
網絡擴展能力
網絡的擴展能力包括設備交換能力的擴展能力、端口密度的擴展能力、骨幹帶寬的擴展能力和網絡規模的擴展能力。
交易所擴容。交換容量應具有在現有基礎上繼續擴展多容量的能力,以適應數據業務的快速擴展。
主幹帶寬擴展。主幹帶寬應具有高帶寬擴展能力,以適應數據業務的快速擴展。
網絡規模擴張。網絡架構、路由協議的規劃、設備的CPU路由處理能力應能滿足這個覆蓋壹個省全境的網絡的需求。
與其他網絡的互聯
確保與cmnet國內外出口和互聯網的無縫連接。
支持通信協議
它主要支持TCP/IP協議,也支持IPX、DECNET、APPLE-TALK等協議。提供服務級網絡通訊軟件和互聯網操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、“伊斯蘭國”等路由協議。根據網絡規模的需求,必須支持OSPF路由協議。但是由於OSPF協議消耗了大量的CPU和內存,而且這個網絡的未來非常龐大復雜,所以必須采取合理的區域劃分和路由規劃(比如網站總結)來保證網絡的穩定性。
支持BGP4等域間路由協議,保證與其他IP網絡的可靠互聯。
支持MPLS標準,便於利用MPLS開發增值業務,如VPN、te流量工程等。
網絡管理和安全系統
支持全網系統各種網絡設備的統壹網絡管理。
支持故障管理、計費管理、配置管理、性能管理和安全管理。
支持系統級管理,包括系統分析和系統規劃;支持基於策略的管理,策略的修改可以立即反映到所有相關設備。
網絡設備支持多級管理權限和認證機制,如RADIUS和TACACS+。
確保網絡管理、身份驗證和計費以及其他網段的充分安全。
支持IP增值服務
技術的發展和大量的用戶應用需求將誘發大量基於IP網絡的新業務。因此,運營商需要壹個簡單、集成的服務平臺來快速生成服務。MPLS技術正是這樣壹種手段,方便電信運營商大規模快速開展業務。
傳輸延遲
隨著帶寬成本的降低,新的電信服務提供商在規劃網絡時將把系統容量作為主要考慮因素。但需要註意的是,IP技術本身是非面向連接的技術,其主要特點是在突發狀態下容易發生擁塞。因此,即使在高帶寬網絡中,也要充分考慮端到端網絡傳輸延遲對那些時間敏感業務的影響。比如根據ITU-T標準,端到端的VoIP應用要求時延小於150 ms,對於面向應用的實際運營網絡,尤其是在網絡負載增加的情況下,如何保證時延要求更為重要。保證這壹點的關鍵是采用設備的延遲控制能力,即在小負載、大過載情況下,其延遲能力是否控制在敏感業務的可容忍範圍內。
RAS(可靠性、可用性、可服務性)
RAS是運營級網絡必須考慮的問題,如何提供99.999%服務可用性的網絡是網絡規劃和設計的主要考慮。在網絡可靠性的設計上,重點是不能因為單點故障導致全網癱瘓,尤其是對於壹個省的骨幹網,比如中國移動。因此,需要提供從單節點設備到端到端設備的整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗余備份、控制面板備份、交換矩陣備份、合理的風扇設計等功能;綜合來看,思科通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度地保證端到端的業務可用性。
虛擬專用網絡
虛擬專用網目前應用廣泛,也是目前運營商獲取利潤的壹個主要途徑。除了原有的基於隧道的技術,如IPSec和L2TP,Cisco還使用基於新標準的MPLSVPN來構建內部網和外部網,並通過MPLSVPN技術提供運營商的服務。這從網絡擴展性和可操作性方面開辟了壹條新的途徑。同時,它大大簡化了網絡操作程序,從而大大降低了運營成本。此外,在多個AS和多個域內協議域中采用思科技術將使a省移動能夠隨著其網絡的不斷增長而擴展其MPLSVPN服務的實施,並與其他運營商合作以實現更廣泛的業務能力。
服務質量保證
常見的互聯網排隊機制,如客戶隊列、優先級隊列、CBWFQ、WRR、WRED等。不能完全滿足延遲敏感業務所需的端到端延遲指標。因此,使用MDRR/WRED技術,可以為延遲敏感業務生成單獨的優先級隊列,以保證延遲要求;同時,它還為基於組播的應用提供了特殊的隊列支持,從而向真正意義上的在線實時多媒體應用邁進了壹步。
根據以上對電信行業典型應用的分析,我們認為以上幾項是運營商最關心的問題。我們在為他們制定網絡安全解決方案時,必須考慮是否滿足上述要求,不影響電信網絡的正常使用。我們可以看到,電信網絡對網絡安全產品的要求非常高。
網絡安全風險分析
針對網絡的安全漏洞,黑客制造的各種新的風險會不斷出現。這些風險是由多種因素造成的,與網絡系統結構和系統應用密切相關。以下從物理安全、網絡安全、系統安全、應用安全和管理安全進行分類描述:
1,物理安全風險分析
我們認為網絡的物理安全是整個網絡系統安全的前提。物理安全的風險主要包括:
地震、洪水、火災和其他環境事故造成了整個系統的破壞。
電源故障導致設備斷電,導致操作系統引導失敗或數據庫信息丟失。
電磁輻射可能導致數據信息被竊取或讀取。
不能保證具有不同保密級別的幾個網絡的物理隔離。
2、網絡安全風險分析
如果在內部網絡和外部網絡之間不采取某些安全保護措施,內部網絡很容易受到來自外部網絡的攻擊。包括來自互聯網的風險和來自下屬單位的風險。
如果內部局域網內不同部門或用戶之間沒有相應的訪問控制,也可能造成信息泄露或非法攻擊。據調查統計,已經發生的網絡安全事件中,70%來自內部。因此,內網的安全風險更加嚴重。內部員工熟悉自己企業的網絡結構和應用。自行攻擊或泄露重要信息,內外勾結,很可能會成為導致系統被攻擊的最致命的安全威脅。
3.系統的安全風險分析
所謂系統安全,通常是指網絡操作系統和應用系統的安全。現在的操作系統或應用系統,無論是Windows還是其他廠商開發的任何商用UNIX操作系統或應用系統,都必然有自己的後門。而且系統本身肯定有安全漏洞。這些“後門”或安全漏洞將存在重大安全風險。因此,我們應該正確評估自己的網絡風險,並根據自己的網絡風險制定相應的安全解決方案。
4、安全風險分析的應用
應用系統的安全涉及很多方面。應用系統是動態的,不斷變化的。應用程序的安全性也是動態的。比如增加新的應用,肯定會出現新的安全漏洞,必須在安全策略上做壹些調整,不斷完善。
4.1開放式服務器應用程序
電信省中心負責全省的匯接、網管、業務管理和信息服務,所以設備包括用戶管理、計費服務器、認證服務器、安全服務器、網管服務器、DNS服務器等省內公共服務器,提供瀏覽、搜索、下載等服務。由於外部用戶可以正常訪問這些公共服務器,如果不采取壹些訪問控制,惡意入侵者可能會利用安全漏洞(其他開放協議、端口號等。)對這些公共服務器進行控制,甚至以公共服務器網絡為橋梁入侵內部局域網,竊取或破壞重要信息。這些服務器上記錄的數據非常重要,其安全性要有100%的保證才能完成計費、認證等功能。
4.2病毒傳播
互聯網是病毒傳播最好最快的途徑之壹。病毒程序可以通過在線下載、電子郵件、使用盜版光盤或軟盤以及人工傳遞等方式潛入內部網。壹旦網絡中的壹臺主機被病毒感染,病毒程序完全有可能在極短的時間內迅速傳播,擴散到網絡上的所有主機。有些病毒會自動把妳系統裏的壹些文件打包,自動送出發件箱。可能造成信息泄露、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於自然災害或其他事故,數據庫服務器損壞。如果不采用相應的安全備份和恢復系統,可能會導致數據丟失,或者至少是長期中斷服務。
4.4管理的安全風險分析
管理是網絡安全最重要的部分。權責不清、安全管理制度不完善、缺乏可操作性,都可能造成管理安全風險。
比如壹些員工或者管理員隨便讓壹些非本地員工甚至外來人員進入機房,或者員工有意無意的泄露自己知道的壹些重要信息,卻沒有相應的制度來約束管理。當網絡受到其他安全攻擊或威脅(如內部人員非法操作)時,無法實時檢測、監控、報告和預警。同時,在事故發生時,不能提供跟蹤線索和破解黑客攻擊案件的依據,即缺乏網絡的可控性和可審計性。這就需要我們對網站的訪問活動進行多層次的記錄,及時發現非法入侵。
要建立全新的網絡安全機制,必須深入了解網絡,並提供直接的解決方案。因此,最可行的方法是將管理系統與技術解決方案相結合。
安全需求分析
1,物理安全要求
重要信息可能通過電磁輻射或線路幹擾泄露。需要設計存儲絕密信息的機房,比如建屏蔽室。使用輻射幹擾器,防止電磁輻射泄露機密信息。對於有重要數據庫和實時服務要求的服務器,必須使用UPS不間斷電源,數據庫服務器采用雙機熱備份和數據遷移,保證數據庫服務器能夠向外部用戶提供實時服務,並能快速恢復。
2.系統安全要求
可以采取以下策略來防範操作系統的安全性:盡量使用安全性高的網絡操作系統並進行必要的安全配置,關閉壹些不常用但存在安全隱患的應用程序,嚴格限制壹些關鍵文件的訪問權限(如:/。rhost,etc/host,passwd,shadow,group等。),加強密碼的使用,及時給系統打補丁,對系統內的相互通話保密。
在應用系統安全方面,主要考慮身份認證和審計跟蹤記錄。這就必須加強登錄過程中的身份認證,通過設置復雜的密碼來保證用戶使用的合法性;其次,應該嚴格限制操作者的操作權限,將他所完成的操作限制在最低限度。充分利用操作系統和應用系統本身的日誌功能,記錄用戶訪問的信息,為事後審核提供依據。我們相信所采用的入侵檢測系統能夠監控、響應和記錄所有進出網絡的訪問。
3.防火墻要求
防火墻是網絡安全最基本、最經濟、最有效的手段之壹。防火墻可以隔離內部網絡、外部網絡或不同信任域的網絡,從而有效控制網絡訪問。
3.1省中心與下屬機構之間的隔離和訪問控制
防火墻可以滿足網絡間單向訪問的要求,過濾壹些不安全的服務;
防火墻可以實現對協議、端口號、時間、流量等條件的安全訪問控制。
防火墻有很強的日誌記錄功能,可以針對妳要求的策略記錄所有不安全的訪問行為。
3.2打開服務器與其他內部子網之間的隔離和訪問控制。
防火墻可以實現單向訪問控制的功能。只有內網用戶和合法的外部用戶可以通過防火墻訪問公共服務器,公共服務器不能發起對內網的訪問。這樣,如果公共服務器受到攻擊,由於有防火墻的保護,內網仍然是安全的。
4.加密要求
目前,網絡運營商開展的VPN業務壹般有三種類型:
1.撥號VPN服務(VPDN) 2。專用VPN服務3。MPLS VPN服務。
移動互聯網VPN業務應能為用戶提供撥號VPN和私有VPN業務,並考慮MPLSVPN業務的支持和實現。
VPN服務壹般由以下幾部分組成:
(1)業務承載網(2)業務管理中心(3)接入系統(4)用戶系統
我們認為用支持VPN的路由設備實現運營商級的加密傳輸功能是現階段最可行的方式。
5、安全評估系統要求
網絡系統安全漏洞(如安全配置不嚴)和操作系統安全漏洞的存在,是黑客和其他入侵者攻擊成功的重要因素。此外,隨著網絡的升級或應用服務的增加,網絡中可能會出現新的安全漏洞。因此,需要配備網絡安全掃描系統和系統安全掃描系統,檢測網絡中的安全漏洞,並經常使用,分析和審計掃描結果,及時采取相應措施,填補系統漏洞,重新配置網絡設備的不安全配置。
6、入侵檢測系統要求
在很多人看來,有了防火墻,網絡就安全了,可以高枕無憂了。其實這是壹個錯誤的認識。防火墻是實現網絡安全最基本、最經濟、最有效的措施之壹。防火墻可以嚴格控制所有訪問(允許、禁止、報警)。但是,它是靜態的,而網絡安全是動態的、整體的。黑客的攻擊手段數不勝數,防火墻也不是萬能的,不可能完全阻止這些有意無意的攻擊。必須配備入侵檢測系統,以檢測通過防火墻的攻擊,並做出相應的響應(記錄、報警和阻止)。入侵檢測系統和防火墻壹起使用,可以實現多重防護,形成壹個完整完善的網絡安全防護體系。
7、防病毒系統要求
鑒於反病毒的危害大、傳播快,需要從服務器到單機配備壹套完整的反病毒軟件,防止病毒入侵主機,擴散到全網,實現全網的病毒安全防護。而且由於新病毒的出現速度比較快,這就要求反病毒系統的病毒代碼庫更新周期必須比較短。
8.數據備份系統
安全不是絕對的。沒有壹款產品能夠做到100%的安全,但是我們的很多數據都需要絕對的保護。最安全最穩妥的方法就是對重要的數據信息進行安全備份,通過網絡備份容災系統定期自動將數據信息備份到本地或遠程磁帶上,將磁帶與機房隔離存放在安全的地方。如果系統損壞嚴重,可以使用災難恢復系統進行快速恢復。
9、安全管理體系要求
安全體系的建立和維護需要良好的管理制度和高度的安全意識。安全意識可以通過安全知識培訓來提高,行為約束只能通過嚴格的管理制度和法律手段來實現。因此,需要根據自身在電信部門系統的應用和安全要求,制定安全管理制度並嚴格執行,通過安全知識和法律常識的培訓,強化整體員工自身的安全意識和安全技術,防止外部入侵。
安全目標
通過以上對網絡安全風險和要求的分析,再根據要求配備相應的安全設備,我們認為壹個電信網絡應該達到以下安全目標:
建立完整可行的網絡安全和網絡管理策略,加強培訓,提高全體員工的安全意識和防黑技術。
使用防火墻實現內外網或不可信域之間的隔離和訪問控制,並保持日誌;
通過防火墻的壹次性密碼認證機制,實現遠程用戶對內網訪問的細粒度訪問控制;
通過入侵檢測系統,全面監控網絡內外的所有訪問行為,及時發現和拒絕不安全操作和黑客攻擊,並記錄攻擊;
通過網絡和系統安全掃描系統檢測網絡安全漏洞,減少可能被黑客利用的不安全因素;
使用全網防病毒系統軟件,確保網絡和主機不受病毒侵害;
備份和容災——加強系統備份,實現系統快速恢復;
通過安全服務提高整個網絡系統的安全性。