安全服务为电信运营商保驾护航.doc

安全服务为电信运营商保驾护航2003-08-11 14:33冠群金辰目前，互联网已经为更多的商务活动开辟了新的纪元，而随着用户接入Internet后，互联网的开放性也使不少企业的珍贵的商务数据面临各种敌意的攻击，网络安全成为突出问题。安全服务的灵活性和广泛的适用性，一直受到用户的喜欢，但这同时也导致安全服务本身内容复杂，环节众多。用户面对众多的安全服务商，众多的安全服务包无从下手。如何有效地组织安全服务体系并确保其完整性和适用性成为摆在专业安全厂家面前的问题。完整的安全体系应该不仅能帮助用户解决现有的安全问题，还能够帮助他们预计未来的趋势，规划安全的长期发展。 与此同时，有效的网络安全服务已不再局限于售后服务，而是贯穿前期咨询、安全风险评估、项目实施、安全培训、售后技术支持、产品更新换代、安全外包等全过程的服务。作为全面整体网络安全解决方案及服务提供商冠群金辰软件有限公司则根据用户需求量身定制基于风险管理基础之上的安全服务解决方案，该解决方案具有很强的前瞻性，并且已为南方某电信运营商成功应用。 风险评估 南方某电信运营商是该省最重要的网络进出口，冠群金辰作为其安全服务商，提供了最全面的安全评估服务，从前期的需求分析、信息资产分类到漏洞审计加固培训为用户提供了一套完整的安全服务。通过本项目的工作使得该电信运营商对项目范围内的信息资产及其风险得到很好的分析，对安全基础设施的建设提供全面的需求分析、功能分析、框架设计、部署和实施初步方案设计等。 本项目针对该公司所在省的十一个地市及重点抽查的省会城市电信评估作为策略制定的依据，从管理、应用、系统、网络各个层面对用户进行了评估。在策略制定时冠群金辰根据用户的实际业务运行情况及时调整策略直到最终满足用户需求，同时协助用户采用技术手段和行政手段最终落实相关策略，在整个项目的评估过程中冠群金辰的工程师对所有实施的技术手段做有效的技术转移，技术培训穿插在整个评估服务的过程当中。 通过本项目，对于项目范围内的重要信息数据（比如，技术文档、源程序、企业运行数据、电子邮件、管理文档商业文档）的安全保护框架，以及承载这些数据的系统的安全保护框架进行全面的设计。在本项目中涉及的安全性涵盖： 完整性 Integrity 机密性 Confidential 可用性 Availability 可靠性 Reliability 正确性、真实性 Authentication 责任定位、可审计性 Accountability 策略制定 本项目对该电信运营商所在省的电信网络所有涉及IT的策略进行全面的评估，以便使得所有策略能够共同确保信息安全策略的执行。对目前的安全政策、标准和指导方针进行评审。评估事件通知方法及事件危机程度汇报体系，以确定联系人。冠群金辰安全技术顾问和客户网络安全负责人及安全技术人员一起，对电信公司的业务和信息系统的具体情况进行充分分析后，提供一个该省电信信息系统安全策略评估结果说明书。说明书详尽地分析该省电信网络系统的具体安全需求。此说明书作为该省电信网络系统进行安全管理的根据。针对管理、系统、应用、网络，冠群金辰公司为该电信运营商提供了一系列完整的安全策略建议书，包括如下： 信息安全总则制订 信息安全人员组织管理规章制定 信息安全需求分析和功能分析 信息安全管理总体纲要 信息安全评估准则 信息安全实施和管理指南 信息安全检查执行指南 信息安全紧急响应指南 信息安全保密等级制度 实施信息安全策略流程 审计加固 整个安全评估历经60天，通过冠群金辰公司的安全顾问们检查客户网络的拓扑结构，根据网络的拓扑结构的特点，再结合网络中现有设备的安装，使用情况，做出安全分析，找出存在的安全漏洞；检查网络设备的安装、设置和使用情况，从而评估它们的安全性；检查操作系统的安全设置、漏洞修补和使用情况，根据这些情况对它们作出安全评估，找出安全隐患；针对网络设备和主机操作系统检测出来的漏洞进行相应的漏洞修补和系统升级。 本项目审计加固的内容包括： 各种不同品牌的交换路由设备的性能调整 宽带接入设备的安全加固 操作系统安全加固 数据库安全加固 网络安全产品优化配置 整体网络结构安全加固 操作系统加固优化 根据对操作系统安全评估所产生的安全评估报告，针对该电信运营商操作系统平台所存在的安全问题（系统自身的安全漏洞，系统自身存在的安全配置问题等）和安全隐患（可能存在的病毒或者特洛伊木马等）进行有针对性的补丁加固，并在不影响系统正常工作的前提下，对系统性能进行优化。利用eTrust Access Control对关键系统进行重点固化。 网络设备安全加固和优化 依据对该电信运营商的网络设备的安全评估报告，对存在于网络系统中的网络设备进行安全加固和优化，包括：网络设备的安全配置，网络设备的安全加固，网络设备的优化配置等。 数据库系统加固优化 根据对该省电信数据库和应用软件评估所产生的安全评估报告，对当前的数据库系统以及应用软件系统进行安全加固，主要包括加固安全补丁，修正具有安全隐患的应用软件系统，优化应用系统结构等。 网络结构安全加固和优化 根据先期对该电信运营商的网络的安全评估和整个信息系统的风险分析，提出网络结构加固和优化方案，主要包括： 更加合理的网络拓扑结构 提供分层次，全方位和多种保护手段的网络结构 更易于规划和管理的网络结构 紧急响应 冠群金辰提供完整的全面服务中包括当用户的网络发生任何异常情况的时候都可以请求冠群金辰的工程师到达现场做技术支持，本次项目中冠群金辰曾先后多次为该电信运营商提供及时的紧急响应服务。以下简单描述一个响应过程。 7月12中午12：00，该电信运营商因发现网络无法正常访问向冠群金辰公司提出书面形式的一级紧急响应请求。 12下午2：00 公司当地技术人员首先到达现场，经过现场勘察发现照成网络堵塞主要原因是因为该电信运营商提供DNS服务的两台主机器不能提供正常的请求，查看主机后发现DNS服务器CPU资源占用率达到满负荷状态。造成整个该域名解析停止正常服务，大量用户无法正常访问互联网。 下午3：00经过冠群金辰公司远程技术指导，在主要事发网段接入网络监听设备EID，发现大量DNS并发请求，立即定位采集事发网段下相关数据包便于事后追查。 下午 5:00 经冠群金辰公司与该电信运营商技术协商紧急采用技术控制手段，对部分可疑地址进行封堵，情况得到有效控制。 晚上 8:00 冠群金辰公司安全工程师达到用户现场，并对部分网络数据做记录，根据冠群金辰公司安全服务部总部公司提出的解决方案配合用户进一步控制事态状况。 晚上 9:00 该省市电信相关领导亲临现场进行工作协调及现场指挥。并向公安机关报案。 晚上 12:00 对封堵暂时开放，发现仍有持续攻击，于是恢复紧急封堵状态。DNS服务恢复正常。 7月13日上午8：30分，DNS服务再次中断，分析发现是攻击者改换IP再次发起攻击，进行封堵后，情况得到控制。 此后，情况趋于平静，局领导决定对此事进行调查，于是冠群金辰派出资高级安全顾问协助调查。 下午4：00，攻击者再次改换IP进行攻击，但已经得到控制并无任何影响。 晚上 8:00 冠群金辰公司高级安全顾问到达用户现场，会同三方工程师对事件进行记录分析，根据会议分析最终确定一实际IP地址目标为重点可疑对象。 晚上12:00 冠群金辰公司高级安全顾问根据先前到达的安全工程师提供的相关记录资料进行攻击事故分析，发现攻击者采用大量并发的DNS请求，来拒绝服务DNS主机导致CPU资源满负荷。同时发现该攻击曾有过试图冒充其他网段IP进行攻击的记录，由可以确定该攻击者是有计划有目的的一次攻击行为。通过大量记录数据的分析与比较，发现所有攻击请求包完全一样，且并发连接非常多，不是普通正常请求，同时根据TTL回应计算得出该IP为一个真实有效的地址，且证实攻击数据包来自该台主机。 次日协调公安追查攻击源头，事发第48个小时到达实际攻击发起源的地方并对现场进行勘察。相关攻击破坏人员已由公安机关立案调查。 信息安全管理总体纲要 信息安全评估准则 信息安全实施和管理指南 信息安全检查执行指南 信息安全紧急响应指南 信息安全保密等级制度 实施信息安全策略流程 审计加固 整个安全评估历经60天，通过冠群金辰公司的安全顾问们检查客户网络的拓扑结构，根据网络的拓扑结构的特点，再结合网络中现有设备的安装，使用情况，做出安全分析，找出存在的安全漏洞；检查网络设备的安装、设置和使用情况，从而评估它们的安全性；检查操作系统的安全设置、漏洞修补和使用情况，根据这些情况对它们作出安全评估，找出安全隐患；针对网络设备和主机操作系统检测出来的漏洞进行相应的漏洞修补和系统升级。 本项目审计加固的内容包括： 各种不同品牌的交换路由设备的性能调整 宽带接入设备的安全加固 操作系统安全加固 数据库安全加固 网络安全产品优化配置 整体网络结构安全加固 操作系统加固优化 根据对操作系统安全评估所产生的安全评估报告，针对该电信运营商操作系统平台所存在的安全问题（系统自身的安全漏洞，系统自身存在的安全配置问题等）和安全隐患（可能存在的病毒或者特洛伊木马等）进行有针对性的补丁加固，并在不影响系统正常工作的前提下，对系统性能进行优化。利用eTrust Access Control对关键系统进行重点固化。 网络设备安全加固和优化 依据对该电信运营商的网络设备的安全评估报告，对存在于网络系统中的网络设备进行安全加固和优化，包括：网络设备的安全配置，网络设备的安全加固，网络设备的优化配置等。 数据库系统加固优化 根据对该省电信数据库和应用软件评估所产生的安全评估报告，对当前的数据库系统以及应用软件系统进行安全加固，主要包括加固安全补丁，修正具有安全隐患的应用软件系统，优化应用系统结构等。网络结构安全加固和优化 根据先期对该电信运营商的网络的安全评估和整个信息系统的风险分析，提出网络结构加固和优化方案，主要包括： 更加合理的网络拓扑结构 提供分层次，全方位和多种保护手段的网络结构 更易于规划和管理的网络结构 紧急响应 冠群金辰提供完整的全面服务中包括当用户的网络发生任何异常情况的时候都可以请求冠群金辰的工程师到达现场做技术支持，本次项目中冠群金辰曾先后多次为该电信运营商提供及时的紧急响应服务。以下简单描述一个响应过程。 7月12中午12：00，该电信运营商因发现网络无法正常访问向冠群金辰公司提出书面形式的一级紧急响应请求。 12下午2：00 公司当地技术人员首先到达现场，经过现场勘察发现照成网络堵塞主要原因是因为该电信运营商提供DNS服务的两台主机器不能提供正常的请求，查看主机后发现DNS服务器CPU资源占用率达到满负荷状态。造成整个该域名解析停止正常服务，大量用户无法正常访问互联网。 下午3：00经过冠群金辰公司远程技术指导，在主要事发网段接入网络监听设备EID，发现大量DNS并发请求，立即定位采集事发网段下相关数据包便于事后追查。 下午 5:00 经冠群金辰公司与该电信运营商技术协商紧急采用技术控制手段，对部分可疑地址进行封堵，情况得到有效控制。 晚上 8:00 冠群金辰公司安全工程师达到用户现场，并对部分网络数据做记录，根据冠群金辰公司安全服务部总部公司提出的解决方案配合用户进一步控制事态状况。 晚上 9:00 该省市电信相关领导亲临现场进行工作协调及现场指挥。并向公安机关报案。 晚上 12:00 对封堵暂时开放，发现仍有持续攻击，于是恢复紧急封堵状态。DNS服务恢复正常。 7月13日上午8：30分，DNS服务再次中断，分析发现是攻击者改换IP再次发起攻击，进行封堵后，情况得到控制。 此后，情况趋于平静，局领导决定对此事进行调查，于是冠群金辰派出资高级安全顾问协助调查。 下午4：00，攻击者再次改换IP进行攻击，但已经得到控制并无任何影响。 晚上 8:00 冠群金辰公司高级安全顾问到达用户现场，会同三方工程师对事件进行记录分析，根据会议分析最终确定一实际IP地址目标为重点可疑对象。 晚上12:00 冠群金辰公司高级安全顾问根据先前到达的安全工