中国移动企业网络安全规划与建设.docx

广东移动城域网络规划与建设摘要随着计算机网络的迅猛发展，高度信息化已成为电信运营商可持续发展的必然趋势；而中国移动公司作为最大的电信运营商，对于网络的依赖性非常强，一个高度安全的、稳定可靠的城域网络系统已经成为广东移动公司日常办公和业务应用的基础支撑体系。由于计算机网络具有连接形式多样性、网络体系结构复杂性，终端分布不均匀性和网络的开放性等特征，致使网络易受黑客、病毒、垃圾邮件等的干扰和攻击，特别对于移动公司的城域网络，所以如何保证我公司的数据网络的安全成为一个重要的问题。本论文的主要内容围绕设计和建设一套适合通信行业和广东移动自身特点的城域网络安全防护体系，该防护体系能解决广东移动公司城域网网络的各种特殊问题和故障，能满足广东移动公司自身 城域网络的需要和发展。通过分析广东移动公司城域网络的特点和公司的Intranet网络在实际运行过程中出现的一些故障和问题，例如使用全功能的防火墙对网络进行安全防护给公司内网造成的问题；防火墙无法独立应对内网发起的攻击；安全设备无法阻止病毒入侵内网，内网病毒泛滥和垃圾邮件偶尔大规模流入等，并通过分析问题出现的原因和探索问题的具体解决方案，从而研究如何设计建设和完善适合广东移动公司城域网络自身特点的安全防御体系，保障公司业务顺利开展。 技术与管理是相辅相成的，我将两者结合在一起阐述，进一步表明只有将管理和技术紧密结合，才能有效保障企业网络的安全。关键词：防火墙技术，VPN技术，入侵检测，安全管理BUILD SECURE INTEANET OF TELECOMCORPORATIONABSTRACTAlong with the development of computer network, information become the goal of the ISP. As the largest ISP, China Mobile Ltd. lean up network more and more, a securer and stabilization network become the basic support system of Guangdong Mobile Ltd.But because the network is multiformity and open, the system of net is complexity, and the terminal distributing is asymmetry, lead the net liable to attack of the virus,especially for Guangdong Mobile Ltd. how to protect the safety of the Intranet is a very important problem.The content of this article is how to design and build anet-safty-defending system which can suit ISP and Guangdong Mobile Ltd. self. This system can solve the problems and troubles of Guangdong Mobile Ltd., and can suffice the development of Guangdong Mobile Ltd.s Intranet.This article analyse the trouble and problem of our companys Intranet in running, these troubles include protect security of Intranet by using all-around Firewall only, the firewall can not breast the attack coming from the inside, equipment can not prevent virus from entering the inside, and trash inflow now and then, and research how to by setting up a secure Intranet for Guangdong Mobile Ltd. by analyzing the cause of these problems and studying solve scheme of these problems to revent unlawful user from thieving , forging and destroying data by the bug of network. Also, technology and manager supplement each other. This article try hard to explain both of technology and manager, let the reader realize only by combining the technology and manager, we can protect the safety of our company Intranet .Key words: Firework，VPN，Intrusion Detection，security manager第一章 概述 随着信息网络技术的高速发展和广东移动公司在信息系统建设方面的不断加大投入，广东移动公司的 Intranet 网络的日益完善，为公司带来了降本增效、提升企业形象等好处。但是在感受网络化带来便利性的同时，公司也体验到病毒、黑客等不利因素带来的困扰。所以，必须建立完备的网络安全防护体系，确保广东移动公司Intranet 网络系统信息正常运转，保护企业的信息资源不受侵害。1.1 企业面临的网络安全问题12近年来，企业的信息化热潮快速兴起，然而在快步进入信息时代的过程中，由于多种原因，网络安全也成了企业必须重视并加以有效防范的问题。病毒、间谍软件、垃圾邮件这些无一不是企业信息网络的心腹大患，下面简单阐述一下广东移动公司面临的网络安全问题。本公司在信息化建设中所面临的网络安全问题主要来自以下几个方面。病毒、蠕虫、木马和间谍软件这些是目前广东移动 Intranet 网络最容易遇到的安全问题。病毒是可执行代码，它们可以破坏计算机系统，通常伪装成合法附件通过电子邮件发送，有的还通过即时信息网络发送。蠕虫与病毒类似，但比病毒更为普遍，蠕虫经常利用受感染系统的文件传输功能自动进行传播，从而导致网络流量大幅增加。木马程序程序可以捕捉密码和其它个人信息，使未授权远程用户能够访问安装了特洛伊木马的系统。间谍软件则是恶意病毒代码，它们可以监控系统性能，并将用户数据发送给间谍软件开发者。病毒和木马等经常渗透到广东移动的 Intranet 网络内部，对公司的办公自动化系统等造成严重的破坏。拒绝服务（DoS）攻击此类攻击会向服务器或路由器发出大量伪造请求，造成服务器或路由器超载，进而导致服务器或路由器丧失功能，从而影响广东移动业务的正常运行，会造成严重的后果。垃圾邮件尽管垃圾邮件未被正式定义为安全威胁，但同样也会严重破坏生产力。广东移动每日都会收到数量巨大的垃圾邮件，严重的时候，导致公司的邮件安全网关甚至是邮件服务器瘫痪；并且由于垃圾邮件信息携带的恶意软件和网页仿冒（phishing）软件日益增多，所以还会产生潜在风险。安全漏洞操作系统和应用软件中往往会存在一些“bug”这样的安全漏洞，心怀不满的外部人员或者具有一定网络知识的竞争对手甚至是内部员工，都可能利用这些漏洞向企业网络发起攻击。他们或者让某个程序或整个网络丧失功能，或者企图进行数据盗窃，这些行为都将威胁到公司的网络安全。误用和滥用对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明显的因果关系。误用和滥用都在很大程度上可归结与公司安全管理制度不完善或安全管理制度没有被严格执行。我们探讨的信息安全问题并不仅仅包括黑客行为所带来的经济或非经济损失，而是只要对信息设施的运行造成障碍的行为都能够被划归到信息安全范畴进行管理。1.2 广东移动 Intranet 网络安全系统设计所遵循的原则要解决信息化过程中所面临的日益严峻的安全问题，技术手段是必不可少的，并且同时规范管理制度。我们进行广东移动的 Intranet 网络安全系统设计主要遵循以下几个原则：合适性原则、安全性原则、整体性原则、相对先进性原则、实用性原则、可发展性原则、技术与管理相结合的原则，从而形成有效的网络安全解决方案。合适性原则3千篇一律的方案虽然通用，但是如果不适合通信行业和本公司的网络特点，不能解决网络安全的具体问题，也只是一个空架子。所以，在设计网络安全解决方案，要切合广东移动的 Intranet 网络自身的特点，有针对性进行设计的，设计方案必须能解决广东移动 Intranet 网络特有的问题和故障，这样才是一个合格、合适的网络安全解决方案。网络信息安全的安全性原则网络安全的原则是指对信息均衡、全面的进行保护。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的安全最低点的安全性能。网络信息安全的整体性原则广东移动要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，网络安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。 相对先进性原则广东移动采用的安全设备必须是行业内优秀公司的最先进的设备和软件，但同时考虑到最先进的设备和软件存在着较多的不稳定因素，所以公司同时要求新安装的安全设备和软件必须在类似行业内有过一定时间段的运行经验，故本公司对网络安全设备和软件的使用要求是“相对先进性原