湖南省电信技术维护局 单莹
电信企业内部网络作为企业信息化的基础,承载着电信企业众多重要的应用系统和网管系统,是企业内部有效可控互连的保证,堪称电信企业的生命线。电信企业需要实施全面、有效、合理的安全措施达到以下目标。
·保护电信企业电信运营网的业务不间断的正常运作。包括构成电信网络的所有设施、系统、以及系统所处理的数据(信息)。
·电信企业中的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给电信企业外部的组织或人员,如当前的或潜在的竞争对手。
·以有限的代价提高电信企业为其客户提供优于竞争对手的服务的能力,以获得竞争优势。
一、网络建设思路及原则
电信企业网安全体系的建设应在"面向业务,全面安全"的设计思想指导下,坚持以下原则。
1.安全第一:尽量减少安全风险,提高安全程度。
2.可发展性:能适应安全环境变化满足升级要求。
3.管理性:保证安全策略和特征库的集中管理和自动派发。
4.可追踪性:对所有的安全行为可以进行审计。
二、建设方案
以某省电信企业为例,目前企业网中缺乏较好的安全防护系统,不能及时地发现安全隐患,不能够对网络入侵及时响应。现有防病毒软件不能集中控制,不能很好地保护系统不受病毒的侵害,因此急需一套整体的安全方案。这里从对主机和服务器的防护、入侵检测、漏洞扫描、身份鉴别、防病毒、灾难恢复等几方面给出安全建议。
1.针对应用服务器和网络情况进行如下配置
*系统应用服务器:主机防护产品;推荐采用美国Computer Associates公司的eTrust Access Control产品。
网络入侵检测:基于网络和流量情况,建议重点网段配置。可选用国际最著名的网络安全公司-ISS公司的入侵检测产品RealSecure或美国Computer Associates公司的eTrust Intrusion Detection产品。
*网络:漏洞扫描。可选用国际网络安全公司-ISS公司的风险评估、漏洞检测产品--Internet System Scanner。
此外,还建议购买网络安全评估工具或网络安全评估服务,以对该电信企业网络定期进行安全评估,找出安全漏洞并及时修改网络规划和配置,提高网络安全级别。
2.构建全网统一的管理员身份鉴别/授权/审计系统
管理员的授权控制是整个网络安全的一个重要环节,目前企业网上大多数的系统管理员的登陆机制都是采用简单的口令保护措施,大多数系统的远程登陆采用明文传输。建议采用CA认证系统并进行以下工作。
*在省中心建立CA认证中心。
*所有管理员必须使用在认证中心注册的密钥才能够登陆系统。
*在需要管理员维护的系统上安装代理,使服务器的本地登陆,Telnet,FTP的进行需要认证通过。
*通过全网统一的认证系统进行集中的密钥管理,有效消除口令泄密的危险,同时可以通过收回或撤消密钥的办法明确收回离职管理员的权限。
3.构建全网统一配置和管理的防病毒系统
为了能够高效率防御病毒威胁,针对企业网辖区范围广,所用计算机软件及操作系统种类多、网络结构复杂的特点,在部署企业网防病毒系统时,应坚持"统一管理,分级维护;集中监控,多重防护"的总体要求,并遵循以下原则。
*全方位、多层次的整体防护:即针对企业网的网络构造和应用环境的实际情况,从桌面客户端、服务器及网关上进行全方位、多层次的整体防护。
*制度管理与技术防护相结合:在运用技术手段建立起计算机病毒防护系统的同时,运用管理手段建立起企业内部病毒防治和运行管理的工作体系,使计算机病毒防治工作制度化。
*采用最成熟的产品:选择具有我国公安部颁发的销售许可证的成熟产品。
*先进性和可扩展性相结合:防病毒领域是一个动态的发展过程,要充分考虑系统采用技术的先进性和可扩展性,易于更新、扩充和升级,以确保系统具有旺盛的生命力。
*易于管理、操作和维护:由于企业网防病毒工作涉及面广,日常运行维护工作量大,因此防病毒方案应便于工程实施、方便运行管理、简化用户操作、易于技术维护。
*充分利用现有资源:充分利用企业的现有资源,并与现有系统完全兼容,不能对现有系统软硬件提出太多的限制,更不能影响其正常运行。
*安全与性能负载均衡:通过优化结构、灵活配置来达到安全与性能的负载均衡,在性能上使其对企业内的网络应用和最终用户的影响降至最低。
为了构建一个强壮、有效的防病毒体系,在分析了该电信企业网网络架构及相关应用之后,针对潜在的病毒传播威胁,构建逻辑结构为三层的防病毒体系。
第一层:中央管理层
在省中心部署中央控管软件,该管理软件能够对部署在企业网内的各防病毒软件进行集中化的监控及管理。借助其灵活的目录管理,能够按照下属局或部门定制目录,同时将该区域内管理的防病毒软件归类到相应目录进行集中管理。
第二层:产品服务端层
基于对该电信企业网网络架构及相关应用的分析,需要从以下几方面对病毒传播途径进行拦截。
*在网关针对进出的SMTP邮件进行过滤,包括各类病毒邮件及垃圾邮件。由于该电信企业网部署有基于Linux系统或windows系统的标准SMTP邮件服务器,并且能够与外部邮件进行交互,建议部署邮件网关防护产品对进出邮件提供实时病毒过滤功能。
*该电信企业网通过专线接入Internet,病毒会通过HTTP、HTTPS、FTP方式侵入到内部网络系统中,为了不影响企业网原有网络应用架构,建议由安装在本地的网络版客户机程序来实现防护。
*省中心网络内存在基于Exchange系统的OA系统,为了有效控制病毒通过OA系统进行传播,建议部署防毒墙群件版。
*对于该电信企业网中的服务器及客户机的防护同样非常重要,为各服务器及客户机能及时自动更新最新的病毒库及防病毒策略,需安装病毒获取及分发服务器,该服务器能对各客户机及服务器的病毒升级及病毒防护进行相应的管理。
*为了减少病毒清除的工作量,同时为临时连接上该电信企业网的客户机提供一方便的杀病毒途径,建议在省中心大楼网内安装一在线病毒清除产品,各市州分公司及县局的客户机可以通过企业网访问省中心大楼网的在线病毒清除服务器,实现在线杀毒的功能。
以上产品均位于防护体系的第二层,提供网关、群件系统的防护功能,并实现对服务器、客户端防护产品的集中管理功能。
第三层:产品客户端层
位于防护体系的第三层次,由客户端防护产品构成,向安装在专用防病毒服务器的管理中心报告,并进行集中管理。
4.实施全网统一的灾难恢复策略
随着该电信企业各期基础设施建设的迅猛发展,计算机系统中保存的关键数据的量愈来愈大,许多数据要保存数十年以上,甚至是永久性保存。关键业务数据成了企业生存的命脉和宝贵的资源,数据安全性问题愈来愈突出。如何减小由于不可抗拒的自然灾害和计算机软硬件故障以及人为因素灾难造成的损失,成为电信企业安全体系中必须关注的重点。
为了解决关键业务的数据安全性和关键业务应用不间断性的问题,对企业内的系统和数据应该采取全面、可靠、安全和多层次的备
份,采用性能价格比最佳的产品组成的全方位数据安全存储备份和灾难恢复解决方案。
根据该电信企业信息化规划要求,关键系统将逐步实现省集中的模式,物理位置统一放置在数据中心。因此,建议在企业某个骨干节点设立备份中心,省中心的数据根据备份规则通过网络备份到异地的备份中心。备份规则如下。
*正常情况下,数据中心和备份中心的系统均处于运行状态,但业务处理系统只在数据中心运行;同时,业务系统对数据的任何修改,会实时同步地复制到备份中心;
*当数据中心的某些部件发生故障,如进程出错、内存损坏等情况发生时,产生故障的机器上的应用系统会自动地快速切换到数据中心的其他机器,整个系统正常运行;
*当灾难发生,导致数据中心整个系统瘫痪时,应能够马上监测到这种异常情况,及时向管理员发送各种警报,并按照预定的规则在备份中心启动整个业务应用系统;
*数据中心的系统修复后,可将备份中心的当前数据复制回数据中心,然后将应用系统从备份中心切换回数据中心,备份中心的系统重新回到备份状态。
四、对电信企业网安全管理建议
电信企业网是一个比较复杂的综合网络,运行着各个业务系统、运行支撑系统和管理系统等。由于应用系统的复杂性和管理人员的复杂性,企业网的安全除了技术上的安全保证外,制定一个合适的全网安全管理制度和安全策略也十分必要。良好的管理平台有助于增强系统的安全性,可以采取以下措施。
*及时发现系统安全的漏洞
*适时审查系统安全体系
*加强对使用人员的安全知识教育
*建立完善的系统管理制度
那么,如何实现安全管理呢?我们认为,构架一个安全的网络环境与以下几点因素密切相关。
1.从管理体制上保证网络安全策略切实可行
健全的管理体制是维护网络正常安全运行的关键。很多系统因为没有健全的安全管理体制常常出现由于管理的疏忽而导致严重的问题。以下问题应该成为安全管理首要解决的问题。
*在组织机构上对安全管理有一个保证。成立以分管领导为组长的"全网安全管理小组",小组成员可以由本企业各个骨干节点的网络管理员、数据中心的安全管理员参加。
*明确制定安全管理小组的成员在管理上的权利和义务。对于小组中的每一个成员,明确指定每个人应该对什么事故负什么样的责任,责任落实到人头。
*明确指定什么人可以管理什么网络设备(防火墙、路由器、交换机等等),作到专门的产品维护由专人负责。
*组成一个快捷有效的应急响应小组,响应小组可以有选择的邀请国内、外一些网络安全专家担任特聘顾问,以便在发生攻击事件时在最短时间内提供最有利的支持。
*制定《电信企业员工网络安全管理条例》,要求每个员工必须遵守。《条例》中可以规定员工在工作时间可以通过网络作什么,不可以作什么。例如:不可以随便更改网络管理员赋予的IP地址、不允许员工登陆某些站点、不允许员工随意下载网络可执行程序等等。一旦员工违反《条例》,将给予相应的处罚。
2.从管理手段上保证网络安全策略切实可行
*使用目前世界先进的安全技术和产品,使用优秀的防火墙产品保障可信网络的入口;
*使用入侵检测和风险评估产品保障内部网络、系统和重要应用的安全;
*使用身份认证产品保障对网络、设备的访问是可信的;
*使用查、杀病毒产品保障系统内部不被病毒破坏;
*使用访问/存取控制产品保护重要的文件、服务器系统;
*使用灾难恢复/数据备份产品保障在发生不可预测的灾害后,系统可以在最短的时间恢复正常运转;
*加强对用户帐号和口令的管理,将用户赋给组。例如将领导划分为一个组,其他工作人员划分为另外一个组,便于管理。对于过期的帐号要及时注销;
*设置对文件、目录、打印机和其他资源的访问权限。这样可以防止某些内部的数据丢失;
*加强口令管理(比如设置其生效期、频繁更改口令等)。在口令管理上首先杜绝不设口令的帐号存在,缩短口令的有效期时间;
*加强对网络系统的管理。在新的网络用户注册时,对其进行必要的定义,明确其授权范围,建立有益于用户安全的管理机制。
3.从管理成员上保证网络安全策略切实可行
网络管理员是决定网络是否可以安全、有效运行的根本因素。网络管理员的技术水平在很大的方面限制了安全系统的有效运行,例如错误配置的网络设备(路由器、交换机等)、安全产品(防火墙、入侵检测产品等)都可以导致企业的网络“千里之堤毁于蚁穴” 。
因此,应该通过实施网络安全项目培养一批强大的技术队伍来维护整个系统的正常运行。这需要网络管理人员不断提高自己的技术水平,查找各种相关资料。另外,企业领导可以有意识的选派他们参加各种有益的培训活动,跟踪最新的网络安全技术、防病毒技术等等,使安全之钥掌握在自己的手里。
4.从管理支持上保证网络安全策略切实可行
安全系统的复杂性和安全产品的多样性导致很多时候企业并没有能力解决网络中出现的所有的涉及安全产品的问题,它需要安全产品的生产厂商、软件公司等定期的提供网络安全风险分析和针对新产品、新标准的培训。因此,和国内外大型的安全产品生厂商或者咨询顾问公司建立密切的联系是十分必要和重要的。
----《通信世界》
|
