电信企业的IT网络安全探讨.doc

电信企业的IT网络安全探讨 罗振一 （单位：中国联通广西分公司 邮编：530000） 摘要：文中论述了电信企业的IT网络安全体系复杂性，阐明了建立计算机网络安全体系的必要性，提出了解决现有计算机网络安全技术方案。着重介绍了主动防御和被动防御的各种技术，通过具体的网络安全实例，阐述了电信企业计算机网络安全体系的合理构成。 关键词：网络拓扑 网络安全体系 防火墙 加密技术 入侵检测 虚拟局域网 1 网络架构及安全体系特点本文主要介绍电信企业中的IT网络安全体系，不涉及通信网络的安全问题。电信企业的IT网络组成主要有：计费网、营销网络、办公网络，计费网是核心网络；营销网络是整个企业的营销系统主体，办公网络是实现企业信息化及办公自动化的基础。网络安全体系主要基于计费网为核心网，营业网、办公网、其他外围网络作为接入网络，计费网做为核心网络，放置大部分的核心数据库和主机，具有最高的安全局别，主要考虑采用主动防御和被动防御相结合的方案；营销网络安全级别仅次于计费网，是整个公司营销的基石，营销网的特点是：覆盖的地域广、接入方式不统一、终端类型繁多、INTERNET网严格隔离等，网络安全主要采用被动防御安全技术；办公网主要是为企业信息化和办公自动化建设，办公网的特点主要是：网络拓扑清晰、接入公网、权限管理复杂，办公网的安全体系，建议采用被动防御为主，主动防御为辅。基于以上的网络特点，IT网络的整个安全体系是建立在以计费网为核心，保证核心能够免疫来自内部和外部的入侵和非法访问，各种接入网建立各自的安全体系，从而建立起多级、全方位的IT网络安全体系.2 网络安全技术经过几十年的研究和发展，网络安全（从属信息安全）已经成为计算机科学，非常重要的组成部分，形成比较成型的理论和应用技术。电信企业应该采用这些经验和技术，建立安全、可靠的IT网络，减少由于入侵、非法访问、病毒入侵、网络故障等引起的损失，为企业发展建立一个良好的环境。以下主要介绍一些主流的网络信息安全保护技术.2.1 主动防御保护技术 主动防御保护技术主要有：数据加密、身份鉴别、存取控制、权限设置、虚拟局域网等。在主动防御保护技术方面，电信企业一般主要采用：身份鉴别、存取控制、权限设置、虚拟局域网（VLAND）等技术。身份鉴别和权限设置在不同系统，有不同的要求，有分散设置、有统一设置，机制和手段都比较成熟，在这里不做简介。对于存储控制和虚拟局域网，许多IT网络在建设时候，都有这样的技术概念，但是真正有效应用起来比较少，原因可能比较简单，麻烦或没有必要。存取控制的内容包括人员限制、访问权限设定、数据标识、和风险分析等，是内部网络信息安全的重要方向，实现方式可以通过路由访问策略、网络监控、专用物理地址和IP地址的访问控制系统等等，有效的建立起存取控制机制，可以将网络的安全性、可靠性提高一个水平，目前很多企业的网络不够稳定或出现故障，经过故障排查后发现，真正的原因和存取控制机制不够健全有很大关系。对于虚拟局域网技术，相信大家都很熟悉，在此不做太多讨论，利用好虚拟局域网技术，非常廉价也很便利。某公司曾经发生大面积的IT网络瘫痪，经过排查，故障的原因很简单，主要是一台备用的服务器出现故障，不断在网络上大量发包，造成一台主用的业务服务器受到影响。经过重新分析和排查后，发现这样问题如果将应用服务器之间进行虚拟局域网划分和设定良好的路由策略，是完全可以避免的。2.2被动防御保护技术 被动防御保护技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证等。在电信企业的IT网络中，我们主要强调防火墙技术、入侵检测系统技术、安全扫描技术的应用。在很多公司的IT网络架构体系中，防火墙都起非常重要的做用，本文中，我们主要采用硬件防火墙,保证核心计费网同接入网实现安全隔离,办公网和公网的接入口,也采用硬件防火墙进行访问控制; 入侵监测系统(IDS)处于防火墙之后对计费网络活动进行实时检测/监控,保证核心网络安全;安全扫描器 由于核心计费网和公网或外网没有直接的接口,在建立网络安全体系的时候,安全扫描只是设置为定期操作,比如一周或1个月,为应用服务器或 普通终端升级或打补丁,提供数据依据.在规划网络架构的时候,建议将入侵检测系统、安全扫描器放置于一台主机上。2.3 反病毒技术。反病毒技术涉及内容很复杂和广泛，目前主要使用到的基本是成熟的杀毒工具，有网络杀毒工具和单机杀毒工具，电信企业应该更多的考虑到如何使用现有的杀毒技术，对核心计费网、营销网和办公网进行病毒防范。我们建立的反病毒机制主要是，对重要的应用服务器进行实时防毒监控，统一采用网络防毒工具，单机的终端安装单机的实时放病毒软件。，3网络安全体系的解决方案及实例根据IT网络架构特点，及安全层次要求，电信企业的网络安全体系，应该充分利用现有的网络安全技术，主要从三个方面入手：3.1 外来非法入侵的防范，即采用现有的网络防火墙技术，根据网络的拓扑结构特点，层层作防，把外来非法入侵的可能性降到最低点。3.2 采用现有的认证技术，比如PKI技术等等，建立完善的内部认证体系，把来自企业内部的非法访问控制到最低点，很多调查表明，很大比例的非法入侵是来自于企业内部，因此对于企业内部的访问认证控制，是建立网络安全体系的重要工作之一，也是保证营销网络和办公网络真正能达到信息安全的重要手段。3.3建立完善的反病毒机制，充分利用现有的很多著名的杀毒工具，比如瑞星反病毒工具、NORTON反病毒工具等，定时杀毒和作病毒防范，给公司员工灌注反病毒的意识。以下是一个简单的网络架构实例，主要根据电信企业的网络特点规划，也是部分电信企业目前的大致网络架构，没有涉及具体的业务和各种认证系统，这样的方案在很多集成商的案例中都可以看到，做为电信企业的IT技术人员，我着眼点主要是从整体上，从整个网络结构上规划IT网络的安全体系。这个网络逻辑架构也是我参与建设一个企业内部网，原始的网络构造逻辑图，该网络目前在运行很好，但是仍然存在一些问题，问题将在后面的总结中具体概括。 以上的网络架构及安全体系结构，只是一个大致的网络逻辑架构，简化了许多实际应用中需要考虑的问题，只是把主要涉及网络安全的部分重点画出。我在这里引用，主要是强调从网络规划，从网络架构上实现网络信息安全保护是极为重要的。4电信企业IT网络安全概括要建立完整的计算机网络安全体系，外来入侵的防范、内部访问的认证控制、反病毒机制的建立及完善缺一不可，网络安全体系的建立是一项长期而复杂的过程，电信企业只有不断的适应安全技术的新发展，不断完善企业网络的安全