××电信网络安全解决方案1

1、 (1) 电信网络安全解决方案 长沙电信网络安全解决方案 网络通信及安全事业部 湖南计算机股份有限公司 网络通信及安全事业部 1 网络通信及安全事业部 录目1 . 一、长沙电信网络安全现状 2 二、长沙电信网络安全需求分析 . 3 . 三、网络安全解决方案 8 . 四、网络安全设计和调整建议 8 . 五、服务支持 9 . 六、附录 9 . 1、Kill与其他同类产品比较 16 . 2、方正方御防火墙与主要竞争对手产品比较 18 . 、湘计网盾与主要竞争对手产品比较3 20 4、湖南计算机股份有限公司简介. 2 网络通信及安全事业部 一、长沙电信网络安全现状由于长沙电信信息网上的网络体系越来越复

2、杂，应用系统越来越多，网络规模不断扩、以太网等直接与外部ISDNADSL、大，逐渐由Intranet扩展到Internet。内部网络通过 网络相连，对整个生产网络安全构成了巨大的威胁。 具体分析，对长沙电信网络安全构成威胁的主要因素有： 应用及管理、系统平台复杂，管理困难，存在大量的安全隐患。1) 外部用户不但可以访问对外服务的服务2) 内部网络和外部网络之间的连接为直接连接，器，同时也很容易访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内 部系统极为容易遭到攻击。浏览可能存在的恶意的Web3) 来自外部及内部网的病毒的破坏，来自Internet 控件。病毒发作情况难以得到监控，存在

3、大范围系统瘫痪风险。Java/ActiveX缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统4) 管理成本极高，。桌面PCUNIX服务器，NT服务器及Windows如均存在网络安全漏洞， 降低了工作效率。 缺乏一套完整的管理和安全策略、政策，相当多的用户安全意识匮乏。5) ，潜在安全风险极高。6) 与竞争对手共享资源（如联通） 上网资源管理、客户端工作用机使用管理混乱，存在多点高危安全隐患。7) 计算机环境的缺陷可能引发安全问题；公司中心主机房环境的消防安全检测设施，长8) 时间未经确认其可用性，存在一定隐患。各重要计算机系统及数据的常规备份恢复方案，目前都处于人工管

4、理阶段，缺乏必要9) 的自动备份支持设备。目前电信分公司没有明确的异地容灾方案，如出现灾难性的系统损坏，完全没有恢复10) 的可能性。 远程拔号访问缺少必要的安全认证机制，存在安全性问题。11) 1 网络通信及安全事业部 二、长沙电信网络安全需求分析网络安全设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。长沙电信信息网的安全设计，需要考虑涉及到承载的所有软硬件产品及处理环节，而总体安全往往取决于所有环节中的最薄弱环节，如果有一个环节出了问题，总体安全就得 不到保障；具体就以下几个方面来分析。物理安全：在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等 等。网络

5、结构安全：通过层次设计和分段设计能够更好的实现网络之间的访问控制，结构设计需要对网络地址资源分配、路由协议选择等方面进行合理规划。通常应该要求网络集 成商在网络设计时对结构安全加以考虑，并在运营维护过程中不断改进和完善。网络安全：对重要网段加以保护。通过防火墙做接入点的安全；通过扫描软件对网络通过基于网络的入侵检测系统动范围内的所有提供网络服务的设备进行漏洞扫描和修补； 态的保护重要网段。系统安全：对网上运行的所有重要服务器加以保护，并从自身实施一定的安全措施。通过扫描软件对服务器进行漏洞扫描和修通过操作系统升级和打安全补丁减少系统漏洞； 补；通过安装基于主机的入侵检测系统来保护重要的服务器。

6、数据库安全：通过专业的数据库扫描软件检测数据库系统存在的安全漏洞并进行修 补，保护关键应用系统存放在数据库中的数据。应用系统和数据的安全：对于应用系统的安全，一方面可以借助扫描工具对软件安装的主机进行评估，另一方面对应用系统所占用的网络服务、用户权限和资源使用情况进行分析，找出可能存在的安全问题。对于数据的安全，通过使用防病毒产品进行全方位的数 据扫描服务，保证整个生产网处于安全无毒的环境。网络安全是个长期的过程，不仅需要有好的规划设计，还要有良好的安全策略、及时的安全评估和完善的安全管理体系，综合运用各种安全工具，方能保证系统处于最佳安全 状态。国内优秀品牌网络安全产品的网络以下是仅对长沙电

7、信网络的一个集各项先进技术、 安全解决方案。 2 网络通信及安全事业部 三、网络安全解决方案 型防火墙。该防火墙属于集成模块型状态检测防火墙，防火墙：我们采用方正方御的1U模VPN用户可根据需要选择功能模块。在这里我们选择的是入侵检测模块、扫描器模块、 块，并考虑在中心机房的防火墙上选择安全评估模块。长沙节点在长沙节点与四个县之间、*中心机房防火墙将重要数据与内外网络隔离，接入网络处分别配置防火墙，并根据原有的冗余链路利用防火DDNPSTN，与骨干网之间、 墙提供的内外网口实现关键链路的双机热备；加密通道，数字证书作为防火墙之间的网关的VPN模块可实现点-网关、网关-*VPN 远程拨号访问传输

8、数据的完整性和保密性；身份认证，保证PSTN 入侵检测模块结合扫描器可对关键链路进行实时监控；*安全评估能够全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据* 库服务器等系统的安全状况，找出存在的安全漏洞并给出修补建议。这样可以避免内部人地址进行捆绑，地址和的防火墙还可以将企业内部*PCMACIP 3 网络通信及安全事业部 地址；员随意修改IP 过滤功能可限制企业内部员工访问一些特定性质的站点。*URL）功能不仅可以隐藏内部网络地址网络地址转换（*Network Address Translation信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合的信

9、息资源，理地安排网络中上公用地址和私有地址的内部网用户顺利的访问Internet IP 解决公司不但不会造成任何网络应用的阻碍，同时还可以节省大量的网络地址资源， 地址资源不够的问题。防病毒软件KILLKill防病毒软件：我们采用的是北京冠群金辰公司的系列防病毒软件， Kill ，Kill For UNIX服务器的版本以及Email服务器和OAKill For Lotus，有专门针对 等等，适用于电信行业这样的大型网络。For NT下载服务器，可以定时的从网络中下载最新在内部网络中选择一台服务器作为KILL KILL的机器上面。大大简化了防病毒的管理工作。的病毒库，然后分发到客户端所提供的自动

10、简单升级方法KILL升级问题是反病毒软件的一个重要考核标准，因此，主动邮件服务功能，能够直接将最新升级版本KILLKILL系列产品的一个重要优势。也是用电子邮件的方式发送到指定电子邮箱中。同时，企业内部网通过简单配置，在一台服务即系统管理员可以将文件器上下载升级文件便能够自动完成全域内所有计算机升级工作。会自动将升级KILL服务器作为下载升级文件服务器，当文件服务器升级文件下载成功后，工作站；在终端用户登录到升级后的服务器时，客户端会自文件分发给其他服务器和NT 动运行升级程序，从而完成客户端升级工作。整个升级工作如下图所示： 4 网络通信及安全事业部 。但值Intranet的保护需要有适当的

11、工具（比如防火墙）入侵检测系统软件：我们知道，得注意的是，如果我们在有了适当的工具以后还缺乏必要的审核手段，仍有可能造成企业以上的的巨大损失。据一些著名防火墙专家的估测，在现已安装的防火墙中，大约有50%而造成这一现状的重要原因就是用户在配置的细节以及基本操作系防火墙实现是不当的。 统的易受攻击上。正是由于这一原因，在网络日益成为当今公司企业赖以生存的手段的时候，它在将用户与必要的资源相连接的同时，传输着至关重要而且往往是高度敏感的信息。但是随着网络规模的扩大、复杂性的增加，防止它们受到诸如低级协议攻击、服务器与桌面电脑入侵更有其它危险来自于通过内部网络传播的病毒和恶意小程之类的威胁就变得越来

12、越困难。序。因此与往常一样，我们很有必要检测和阻止对内部服务和桌面的不合理访问以及不正 常的外部URL。那么网络在被动保护自己不受侵犯的同时，能否采取某些技术，主动保护自身的安全入侵检测技呢？入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。包括安全审计、监视、(术可以帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。它从计算机网络系统中的关键点收进攻识别和响应)集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入它在不影响网络性能的情况下能对网络进侵检测被认为是防火墙之后的第二道安全闸门， 行监测，从而提供对内部攻击、外

13、部攻击和误操作的实时保护。 5 网络通信及安全事业部 湘计网盾入侵检测系统产品介绍 TCP/IP10/100M以太网；应用环境： 兼容性：与控制台通信加密，与控制台相互认证； 适用性：独立操作系统； 功能描述 网络监听能力： 。10/100M以太网监听；监听网口不绑定IP支持 网络流预处理能力： 以上；TCP连接数为60,000支持TCP流重组，能够监控的并发活动 碎片重组。支持IP 协议支持与信息收集： 信息；监控，收集MAC/IParp portscan；syn-attackgeneral IP/TCP/UDP流监控，能支持识别、 traceroute行为、主机与端口不可达信息。ICMP监

14、控，包括 行为检测： 实时分析 支持基于规则匹配的内容分析； 多个事件描述；支持各类约1000，通信协议要支持实时流量Console自动通过管理端网口将事件信息传递给 转储的吞吐量；的请求阻Console根据配置，能自动实时阻断某种特征的连接，也可以根据 断某些特征的连接； ；TCP RST ICMP UNREACHABLE； ARP Takeover； 管理控制权限分级，参照公安部要求执行，至少分：管理员、授权管理人员、授权用户，详见 公安部标准； 集中管理 )；理论上对集中管理一个或多个Sensor(Sensor无限制 负责策略的配置； Sensor进行入侵库和软件的升级；可以对 规则库与

15、规则定制 6 网络通信及安全事业部 系统规则库有事件的详细说明和分级； 系统提供几套缺省入侵检测集供用户选用； 用户可以自行制定入侵检测集； 用户可以自行定制入侵检测匹配规则； 统计分析 上传的日志进行统计分析；对一个或多个Sensor（同时自动将相关事件日志复制并生成分析日志，能够根据日志分析并鉴别下列行为， ：到分析日志关联库中，以防原始事件日志被回卷） ，并能通过网络接口进行检测库和程序的升级1290多种）黑客攻击（35大类， 检测端口扫描攻击 web攻击检测常见的 报警对不正常的请求icmp 的攻击检测利用finger 的攻击检测利用ftp 选项报警对少见的ip 检测常见的后门 检测利

16、用RPC漏洞的攻击 检测利用缓冲区溢出的攻击 根据分析结果，触发响应 完善的审计、日志功能 对所有管理员操作进行记录； Sensor上传事件信息进行记录；对所有 根据不同等级的事件设置各自独立的回滚存储区； ；审计信息应能加密存储（需要明确：审计信息包括哪些） 支持流行数据库 报表 用直观的柱行图或饼图统计攻击的各情况； 入侵响应 可以针对不同事件等级、统计分析结果等级制定不同的响应方式； ；中断连接（通过Sensor执行） 提醒系统维护，漏洞更新 多种报警，通知方式 Email、声音、切断连接、记录到数据库等。 7 网络通信及安全事业部 四、网络安全设计和调整建议 尽快与寻呼、移动网络从物理

17、上完全分离；物理安全的保护主要网络设备和各种业务服务器的安全（包括确认防火、防盗， 自动烟雾检测系统的工作正常，以及防尘、防静电防磁、电源系统等）；毁灭性灾难发生时的异地容灾（从节约资金的角度，现主要考虑数据磁带的异地 备份）；尽量集中放置，以便集中实施应用系统按其重要性分段，重要系统在条件允许时 安全策略。维护人员的桌面机所在网段应与重要网段逻辑上隔离；针对桌面平台现状，制定规范化管理方案。统一操作系统版本并安装相应的补丁。非计算机专业维护部门不允许私自拆不允许在办公用机上私自安装各种非生产用的软件。 卸计算机设备。 五、服务支持客户的成湖南计算机股份有限公司网络通信及安全事业部一直倡导与客

18、户共同发展， 长才是我们持续发展的源动力。 我们的网络安全服务主要业务如下：提出实用明确网络安全咨询服务：主要通过分析用户的业务需求和现有网络结构， 的网络的方案，根据网络功能和业务制定完善的安全策略；设帮助用户解决网络中由于制度和结构导致的问题， 制定网络安全管理制度体系： 计网络安全整体解决方案和建立网络安全管理制度体系，根据实际安全需要和客户预算， 增加和配置网络安全产品。网络安全相关的软硬在用户网络安全建设中，安全产品集成与网络安全技术服务： 件建设是一个很重要的环节。我们精心选择了部分网络安全产品提供商结成战略合作伙伴，能够向用户提供全方位、成系列的网络安全解决方案及定期与不定期相结

19、合的完善周消除用户网络中潜在的隐患，到的网络安全技术服务，帮助拥护了解自身网络的安全状况， 提高用户网络安全等级。 8 网络通信及安全事业部 应用系统安全评估： 整体安全评估和安全规划服务的目的是对客户的安全工程建设有安全是一个系统的工程， 一个整体上的把握并且提供针对性的建议。 整体安全评估和安全规划 * 主机安全评估 * 即时漏洞报告 * 提供网络安全知识普及培训、网络安全管理人员培训等培训服务。 网络安全知识培训： *网络安全知识普及培训 *网络安全管理人员培训 六、附录 与其他同类产品比较Kill1、 KILL Norton 公司背景及技术实 力中国公安部和全球第二大软件公司冠群电脑（

20、CA）合资成立冠群金辰软件有限公司。本的地化的研发队伍，融合CA世界级先进技术，开发出适合系列国产安国内用户的KILL全产品。公司直接负责产品生 产、销售和技术服务。全名安国际著产品产品公司，销在国外开发，服务由国内售、 总代理负责。 9 网络通信及安全事业部防病毒产 品文品中全中文操作界面，非常适合国所有产适合 操作界面，内用户使用 国内用户使用。 网络防病毒基本性能系统资源占用 率比较其他同类产品对系统资源占用较少，用户还可以根据实际使用情况调配系统资源占有率，确保查杀病毒过的使用影响户系统不程会 用。中文产品占用系统资源较多，有时会严重影响系统的运行速度和用户应用程序的 运行。 查、杀病

21、毒能力 依靠北京冠群金辰公司在国内与国际上建立的独一无二的病毒监测网，及时收集国内和国际出现的最新病毒，能及时为用户提供新使KILL型病毒的解决方案，在查、杀病毒，尤其是国产病毒方 面优于国外产品。只有国外的病毒监测网，查、杀国产病毒的能力逊于国产杀毒软 件。 10 网络通信及安全事业部自动修复注册 表可以自动修复被蠕虫病KILL信册表的修改系统注毒等 息，清毒更彻底。 无自动删除特洛伊木马程 序KILL可以自动删除由病毒产生的特洛伊木马程序，清毒 更彻底，完全自动化 只能由用户手工 删除网络防病毒产品 11 网络通信及安全事业部总体特点 服务器和客户端可以集中配置操作简单、管理，安装、方便。

22、 端户客服务器和可以集中管理，但复较装、配置安 杂。 安装 方 式 一点安装，处处安装Windows NT/2000的机器安装可以在一台机器上通过成。装来统一完远程安Win98/95客户端软件可以在用户登录服务器时自动安装完成，不需要用户干预。也就是说，可以在一台机器上完成对整个网络中所有计算机的安装。 NT的机器Windows 台以可在一安装程通过远机器上安装来统一完成。客对于Win98/95要先端用户首户下器从服务手动端客户装载并安序程理代，）（Agent可软Win98/95件以通过分发，或在器务服用户登录时自动安装完成。不装安端客户的 能完全自动化。 12 网络通信及安全事业部 管 理

23、系 统 支持。自动探测进行管理。 可以进行分布式（分级）集中管理，适合大型机构/管理企业管理模式的要求， 方式灵活、多样。通过KILL管理服务器，对网络中所有计算机进行并基于策集中分布式管理，略实施管理。 网络管理员可以在网络机器上进中任意NT/2000制定网络行远程管理控制， 防病毒策略。在发现病毒后的管理方网络版具有跟踪面，KILL病毒源获取详细的信息并采取隔离的措施来防止该从而保用户的进一步操作， 证网络安全。KILL 可以跨平台管理，、Unix管以可络网版理 NetWare的网络防病毒。 通过“控制中 心”进行控制。网装在安络管理员了“防病毒控制中服务器NT心”的上进行防病毒的配置操作

24、、管理控 制。 13 网络通信及安全事业部病 毒 库 升 级 自动多级分发升级系统：网络版的升级可以由一台服务器下载最新的升级文件，然后分发到其他的的机器上。NT/2000/9X/ME，分置好的发系统由设KILL自动控制完成，不需要用户干预。 完全自动增量升级。功分发网络升级式方与其安装能一样，在服务器上程“控制装要安Win98/95序”，在户安装客端客户序程代端理 ）（Agent。 14 网络通信及安全事业部 网 络升 级 容错 具备升级校验功能。即：先试验，后运行。 在自动升级过程中，下载来的升级文件先在本机进行升级试验，如果升级成功则进行下一步的分发和自动升级工作。如果发现升级过程有误，

25、则自动重新下然后再一次进载升级文件，行试验，直到升级成功为止，然后进行下一步的升级过程。 校错有升级容没 验功能。网内因特国目前的传输质量很差，级载升下用户在文件时，经常产生错误，下载的文件完不容内有错或整，不进行校验就件文将升级强行进行分发，就会对全不安产网络生的因素，对用户的威成运网络行构 胁。 技术服务技术支 持本地研发中心，厂家直接负责行业售前、售后技术服务与支 持国外研发中心，售后技术售前、总地本务服由 代理负责 15 网络通信及安全事业部客户服 务 全国授权服务网主动邮件服务 全国授权经销 商网上病毒码更 新和升级 特殊服 务成立专为行业用户提供支持的技术小组，可以随时进行全 方位

26、的技术维护和支持。 - 2方正方御防火墙与主要竞争对手产品比较、 防火墙产品比较表 北京天融信东大阿尔派公司名称方正数码 NGFW3000NetEye 2.0FG2产品名称 硬件硬件设备硬件产品类型（路由器、软件、硬 件设备） 接口10/100Base 三个三 三个个内网口、外-TX ( 口和控DMZ网口、10/100B10/100Bas )制口 以太网（以太以太网以太网接口类型列出支持的LAN 等）/FDDI网 专用平台专用平台服务器平台专用平台 协议支持 IPSEC，通道的协议VPN建立IKE,IPSecIKE,IPSecIKE 不支持支持支持视频会议协议支持 支持支持支持TRUNK的协议

27、VLAN 16 网络通信及安全事业部 加密支持 ，MD5未知技DES，3DES支持的VPN加密标准使用IPSEC ，国家许术进行隧道，RSARC4 可专用算法使用，通讯 等术3DES技 进行加解密， 远程管理远程管理 远程管理加之外，除了VPN 提供基于硬件的加密专用加密硬件专用加密硬件加专用 认证支持 支持的认证类型RADIUSOTP，客户认证可专用 种多以使用 认证方式，用 行自户可以账户设定用 号、密码，并 X.509X.509 列出支持的认证标准和CA互 无 操作性 支持数字证书 17 网络通信及安全事业部 湘计网盾与主要竞争对手产品比较3、 产品名称 HDIDS 湘计网盾CA eTr

28、ust Intrusion Detection 软件 /硬件 硬件 软件基于主机 是 是基于主机 否 系统结构传感器/控制台 控制台传感器/控制台操作系统及硬 件需求Windows NT/2000，166MHz Pentium，64M内存，100M空间 166MHz Windows NT/95/98/2K， 100M空间Pentium，64M内存，传感器操作系统及硬件需求 256M 机架式网络设备，166MHz Windows NT/95/98/2K， 空间64M，内存，200MPentium被监控端的操作系统 平台Windows 2000/NT Windows 95/98/NT 支持的网络类型 10/100M 以太网 ，令牌环10/100M 以太网，FDDI管理网口与监听网口 分离是 是 监听网口不带IP地址是 流重组TCP 是 是 连接数监控的TCP12000 IP碎片重组 8462 分析的协议 TCP/IP TCP/IP, UDP/IP 分析的高层应用协议SNMP, FTP, telnet, HTTP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP等HTTP, FTP, telnet, SNMP, SMTP, TFTP, PO