|
我们面临的威胁
在电信行业的网络业务系统中,经过多年建设安全防护已经初具规模。随着网络病毒和黑客的 不断升级,现今的电信行业的安全体系已经不能满足以下的安全需求:
*网络业务系统大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX操作系统。TCP/IP和UNIX都是以开放性著称的,系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面,对访问控制、用户验证授权、实时和事后审计等只实现了基本安全控制功能,存在许多安全漏洞。
*电信的防火墙系统侧重在对通讯的源、目的地址和端口进行限制,鉴于当前IT系统安全性的严重状况,黑客还是可以从许多地方访问关键服务器,数据包中很可能包含入侵攻击代码,并没有形成一套完整的防护体系。
*黑客入侵过程一般包括利用各种资源踩点、对最弱系统的攻击、攻击深入、获取关键资源以及撤退等几个步骤。因此,针对每一个黑客攻击的步骤,都需要制定相应的防范措施;而且其中具有技术部分的内容,更加重要的是管理方面的,也就是安全策略的制定和实行。
*以前并没有对于项目范围内的重要信息数据(比如,技术文档、源程序、企业运行数据、电子邮件、管理文档商业文档)的安全保护框架,以及承载这些数据的系统的安全保护框架进行全面的设计、评估。
显而易见,如果上述的安全需求得不到满足,由于信息安全威胁造成网络阻塞、应用中断(包括计费系统在内的关键应用),数据失窃都会对电信运营商带来严重的经济和形象上的损失。
解决之道
针对特殊信息安全当前的形势,电信企业应从主动防护与被动监控、全面防护与重点防护相结合的角度出发,搭建具有主动防御能力的深层防御安全体系。
计策一:发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
计策二:网络层安全解决方案
网络层安全主要是基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行安全隔离。与此同时,还需要结合网络系统的安全防护与监控需要与实际应用环境,工作业务流程以及机构组织形式与机构进行了密切结合,从而在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御、系统访问控制、网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
计策三:网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测(如,冠群金辰公司的干将/莫邪入侵检测系统)产品,将工作站直接联接到主干交换机的监控端口(SPAN Port) ,用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别联接到多个子网的入侵检测工作站进行相应的监测。
计策四:主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet 技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
计策五:系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
