河南通信公司寬帶網(wǎng)絡安全應用案例備課講稿

1、背景:河南省通信公司是中國網(wǎng)絡通信集團公司的子公司之一，它擁有網(wǎng)絡技術優(yōu)勢、追求優(yōu)質(zhì)服務，承擔河南全省基礎電信網(wǎng)絡建設和運營功工作。河南省通信公司目前主要經(jīng)營項目有：國內(nèi)、國際各類固定電信網(wǎng)絡與設施(含本地無線環(huán)路)建設;基于電信網(wǎng)絡的話音、數(shù)據(jù)、圖像及多媒體通信與信息服務，即國內(nèi)里際長途電話、本地網(wǎng)電話、智能網(wǎng)等增值業(yè)務、各種寬帶接入服務、網(wǎng)絡元素出租業(yè)務;與通信及信息業(yè)務相關的系統(tǒng)集成、技術開發(fā)、技術服務、信息咨詢；通信設備銷售以及無線電尋呼業(yè)務。河南通信十分注重運用現(xiàn)代高科技手段提高網(wǎng)絡運行質(zhì)量和管理水平,建成了一批現(xiàn)代化的集中系統(tǒng),使得設備運行、動力環(huán)境、網(wǎng)絡資源、電話障礙受理、幽、計

2、費處理和查詢等業(yè)務實現(xiàn)了集中調(diào)度、集中監(jiān)控，提高了對客戶需求的響應速度和支撐能力，確保了網(wǎng)絡運行的安全、高效，暢通。應用需求：河南通信寬帶IP網(wǎng)絡結構為核心層、邊緣層、接入層。分別以千兆交換路由器設備和三層匯聚交換機組建。目前河南通信擁有覆蓋全省的數(shù)據(jù)網(wǎng)絡，計費認證、網(wǎng)管系統(tǒng)以及在各種相關的路由器、網(wǎng)絡交換機和關鍵的服務器主機上的安全防護手段不夠完善,得不到足夠的安全保護，使得網(wǎng)絡時刻受到來自病毒、黑客攻擊等方面的威脅，存在著極大的安全隱患，無法給用戶提供穩(wěn)定的數(shù)據(jù)服務。河南通信寬帶網(wǎng)絡安全系統(tǒng)要求要依據(jù)ISO17799信息安全管理標準和SSE-CMM安全系統(tǒng)工程成熟度,對企業(yè)信息安全進行評估

3、；完成安全系統(tǒng)功能的需求；制定安全策略與安全管理規(guī)范；提供安全服務。目標：本期工程的任務是要建設防護河南省通信公司IP骨干網(wǎng)絡計費平臺的安全系統(tǒng)。本期工程主要考慮網(wǎng)絡、主機、數(shù)據(jù)庫及應用系統(tǒng)等方面的安全保障。對本次安全系統(tǒng)工程的設計目標要求為:統(tǒng)一規(guī)劃一個全面系統(tǒng)的網(wǎng)絡安全防護體系,從硬件、軟件配置到安全管理及安全策略的制定，都將采用規(guī)范的流程，嚴格的管理制度，將產(chǎn)品功能與人員管理緊密的結合起來。工程實施后，網(wǎng)絡應具備以下安全能力；(1)通過防火墻系統(tǒng)的實施，達到良好的邊界保護和訪問控制的要求。(2)使用網(wǎng)絡入侵監(jiān)測系統(tǒng)監(jiān)控惡意用戶的攻擊行為。(3)實現(xiàn)對重要服務器的安全訪問控制。(4)具備對

4、操作系統(tǒng)和設備的安全漏洞的監(jiān)測能力。(5)具備記錄、審核重要服務器、網(wǎng)絡設備日志的能力。(6)實現(xiàn)對比較敏感的網(wǎng)絡及設備進行DoS,DDoS攻擊的安全防范。(7)網(wǎng)絡中的PC服務器和客戶端具有良好的病毒防范能力。解決方案河南通信公司網(wǎng)管及IP計費安全系統(tǒng)的總體設計原則為：在不影響河南通彳t公司網(wǎng)管及IP計費系統(tǒng)現(xiàn)有業(yè)務正常運行的前提下，全面有效的增強其網(wǎng)絡和系統(tǒng)的安全性，保障河南通信公司網(wǎng)管及IP計費系統(tǒng)的安全水平持續(xù)地、一致的提高；解決河南通信公司網(wǎng)管及IP計費兩大系統(tǒng)在網(wǎng)絡安全方面的常見病、多發(fā)病。該安全方案的設計還要遵循安全性原則、可靠性原則、先進性原則、可擴展性原則、兼容性原則和可管理

5、性原則。神州泰岳公司經(jīng)過對河南省通信公司網(wǎng)管及IP計費安全項目的總體設計目標的深入分析和總體理解，將系統(tǒng)整體設計思想確定為：采用"縱深防御策略”，從網(wǎng)絡架構、操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及業(yè)務系統(tǒng)等多個層面為河南省通信公司寬帶網(wǎng)絡系統(tǒng)和多媒體信息局建立綜合全面、高效安全、易擴展的網(wǎng)絡安全保障體系。縱深防御思想：縱深防御思想的目的是保障安全系統(tǒng)設計的廣度和深度,促進建立全面綜合、高效安全的網(wǎng)絡安全保障體系?？v深防御思想在廣度上要求從網(wǎng)絡架構、操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等各個層面考慮安全系統(tǒng)建設?？v深防御思想在深度上要求分層次的、由外而內(nèi)從網(wǎng)絡邊界、內(nèi)部網(wǎng)絡、核心服務器乃至桌面PC

6、各個層面考慮安全防御建設。動態(tài)信息安全體系思想：動態(tài)信息安全體系思想的根本目的是要保障安全系統(tǒng)設計具備良好的動態(tài)建設過程和安全可擴展性，促進建立易擴展的網(wǎng)絡安全保障體系。動態(tài)信息安全體系的建設過程如下所示：企業(yè)級信息安全評估階段,將形成系統(tǒng)信息安全現(xiàn)退魚，安全需求確認后形成信息安全建設工程建議書，并經(jīng)過反復的研究和磋商，雙方對安全需求達成一致。在需求確認后，依靠安全技術、安全產(chǎn)品，結合專業(yè)安全服務，進行網(wǎng)絡安全建設，建立河南省通信公司網(wǎng)管及IP計費安全系統(tǒng)，全面提升系統(tǒng)的網(wǎng)絡安全性能。安全策略和安全管理建設期間，將調(diào)整安全策略，加強安全管理。同時，在進行信息安全管理相關規(guī)范和條款的設計時，遵循

7、計算機信息系統(tǒng)安全保護等級劃分準則、系統(tǒng)安全工程成熟度模型(SSE-CMM)、信息安全管理(BS7799/ISO17799)等相關國內(nèi)外安全標準。經(jīng)過對ISO17799、ISO13335等多個信息安全標準的綜合研究，神州泰岳認為WPDRRC安全系統(tǒng)模型全面地涵蓋了各個安全因素，突出了人和管理(策略)的重要性，對于河南通信目前和未來的網(wǎng)絡安全系統(tǒng)設計具有深遠的指導意義。為此，在本項目的安全系統(tǒng)整體模型的設計中采用WPDRRC模型。WPDRRC安全系統(tǒng)模型示意圖如下所示W(wǎng)PDRRC安全系統(tǒng)整體模型在WPDRRC模型中，外圍是依次連接的預警、保護、檢測、響應、恢復、反擊六個環(huán)節(jié)，內(nèi)層是人、策略、技術

8、三個逐步擴展的同心六邊形。人是核心，策略是橋梁，技術是保證，將安全策略變?yōu)榘踩F(xiàn)實。技術應是落實在WPDRRC六個環(huán)節(jié)的各個方面，在各個環(huán)節(jié)中起作用。在本次河南通信寬帶網(wǎng)絡安全系統(tǒng)工程的整體設計上，采用產(chǎn)品和服務相結合的技術方式，對該模型的預警、保護、檢測、響應、恢復、反擊六個環(huán)節(jié)的技術保證措施作了完整的實現(xiàn)。以入侵檢測系統(tǒng)為主,結合其他各類安全產(chǎn)品的報警與日志，結合河南通信自身的網(wǎng)絡系統(tǒng)運行業(yè)經(jīng)驗，以及神州泰岳公司提供的專業(yè)信息安全評估服務，實現(xiàn)安全風險和安全事件"預警"；采用防火墻系統(tǒng)、主機防護系統(tǒng)、強口令認證系統(tǒng)、防病毒系統(tǒng)和抗拒絕服務系統(tǒng),結合入侵防御系統(tǒng)的部分功能

9、，結合神州泰岳公司專業(yè)的網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)的安全增強和優(yōu)化服務，實現(xiàn)對河南通信網(wǎng)絡系統(tǒng)的全方位、分層次的安全"保護”;采用漏洞掃描系統(tǒng),結合神州泰岳公司專業(yè)的安全評估服務、漏洞掃描服務、安全審計服務、滲透測試服務，實現(xiàn)對河南通信網(wǎng)絡系統(tǒng)整體的安全狀況"檢測”;依靠各安全子系統(tǒng)強大的審計、報警、跟蹤、處理(包括封堵、隔離、報告)功能，結合神州泰岳公司專業(yè)的安全技術支持服務以及應急響應服務,實現(xiàn)對河南通信安全事件的"響應"；依靠專業(yè)的信息安全服務體系，提高河南通信整體的網(wǎng)絡系統(tǒng)運行維護和安全管理能力，建設企業(yè)健康的業(yè)務運營管理的體系架構

10、，實現(xiàn)意外情況下的網(wǎng)絡運行、數(shù)據(jù)和應用"恢復"；結合安全產(chǎn)品的審計、回放、跟蹤等功能進行證據(jù)收集、追本朔源，依靠專業(yè)的信息安全服務，實現(xiàn)一定意義的安全"反擊"；通過整體的信息安全系統(tǒng)設計，在方案中需要完成的工作包括：加強對網(wǎng)絡邊界和核心服務器網(wǎng)絡的訪問控制能力；加強網(wǎng)絡邊界和關鍵服務器網(wǎng)絡的異常網(wǎng)絡行為的監(jiān)控能力;加強對網(wǎng)絡、主機、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)的安全漏洞掃描能力；加強統(tǒng)一的防病毒管理；對核心主機進行更深入的主機安全保護，加強核心主機的安全防護能力;加強身份認證的安全管理,建議部署強口令認證系統(tǒng)；采用技術和服務手段加強應用系統(tǒng)的安全防護；采用技術和

11、服務手段加強數(shù)據(jù)庫的安全防護；建立抗拒絕服務攻擊體系;建立河南省通信公司網(wǎng)管及IP計費系統(tǒng)信息網(wǎng)絡的安全應急響應體系；建立安全系統(tǒng)的集中管理中心。止匕外，在整個WPDRRC安全體系模型中"人"和"策略"將外圍的"預警"、"保護"、"檢測"、"響應"、"恢復"和"反擊"各技術手段聯(lián)系起來，起著安全管理核心的作用。為此，為河南通信提供對應的安全服務，包括人員安全技能培訓、人員安全意識培養(yǎng)等，同時也協(xié)助河南通信進行安全策略的制定完善、安全管理

12、的改善。整個WPDRRC模型是實現(xiàn)本次河南通信安全系統(tǒng)工程建設的方法論。多種技術手段和管理手段的結合，將保障河南通信企業(yè)信息和網(wǎng)絡系統(tǒng)的保密性、完整性和可用性。河南省通信公司是中國網(wǎng)絡通信集團公司的子公司之一，它擁有網(wǎng)絡技術優(yōu)勢、追求優(yōu)質(zhì)服務，承擔河南全省基礎電信網(wǎng)絡建設和運營功工作。河南省通信公司目前主要經(jīng)營項目有：國內(nèi)、國際各類固定電信網(wǎng)絡與設施（含本地無線環(huán)路）建設；基于電信網(wǎng)絡的話音、數(shù)據(jù)、圖像及多媒體通信與信息服務，即國內(nèi)國際長途電話、本地網(wǎng)電話、智能網(wǎng)等增值業(yè)務、各種寬帶接入服務、網(wǎng)絡元素出租業(yè)務；與通信及信息業(yè)務相關的系統(tǒng)集成、技術開發(fā)、技術服務、信息咨詢；通信設備銷售以及無線電

13、尋呼業(yè)務。河南通信十分注重運用現(xiàn)代高科技手段提高網(wǎng)絡運行質(zhì)量和管理水平，建成了一批現(xiàn)代化的集中監(jiān)控系統(tǒng)，使得設備運行、動力環(huán)境、網(wǎng)絡資源、電話障礙受理、檢測、計費處理和查詢等業(yè)務實現(xiàn)了集中調(diào)度、集中監(jiān)控，提高了對客戶需求的響應速度和支撐能力，確保了網(wǎng)絡運行的安全、高效，暢通。應用需求：河南通彳S寬帶ip網(wǎng)絡結構為核心層、邊緣層、接入層。分別以千兆交換路由器設備和三層匯聚交換機組建。目前河南通信擁有覆蓋全省的數(shù)據(jù)網(wǎng)絡，計費認證、網(wǎng)管系統(tǒng)以及在各種相關的路由器、網(wǎng)絡交換機和關鍵的服務器主機上的安全防護手段不夠完善，得不到足夠的安全保護，使得網(wǎng)絡時刻受到來自病毒、黑客攻擊等方面的威脅，存在著極大的安

14、全隱患，無法給用戶提供穩(wěn)定的數(shù)據(jù)服務。河南通信寬帶網(wǎng)絡安全系統(tǒng)要求要依據(jù)iso17799信息安全管理標準和sse-cmm安全系統(tǒng)工程成熟度，對企業(yè)信息安全進行評估；完成安全系統(tǒng)功能的需求;制定安全策略與安全管理規(guī)范;提供安全服務。目標:本期工程的任務是要建設防護河南省通信公司ip骨干網(wǎng)絡計費平臺的安全系統(tǒng)。本期工程主要考慮網(wǎng)絡、主機、數(shù)據(jù)庫及應用系統(tǒng)等方面的安全保障。對本次安全系統(tǒng)工程的設計目標要求為:統(tǒng)一規(guī)劃一個全面系統(tǒng)的網(wǎng)絡安全防護體系，從硬件、軟件配置到安全管理及安全策略的制定，都將采用規(guī)范的流程，嚴格的管理制度，將產(chǎn)品功能與人員管理緊密的結合起來。工程實施后，網(wǎng)絡應具備以下安全能力;(

15、1) 通過防火墻系統(tǒng)的實施，達到良好的邊界保護和訪問控制的要求。(2) 使用網(wǎng)絡入侵監(jiān)測系統(tǒng)監(jiān)控惡意用戶的攻擊行為。(3) 實現(xiàn)對重要服務器的安全訪問控制。(4) 具備對操作系統(tǒng)和設備的安全漏洞的監(jiān)測能力。(5) 具備記錄、審核重要服務器、網(wǎng)絡設備日志的能力。(6) 實現(xiàn)對比較敏感的網(wǎng)絡及設備進行dos,ddos攻擊的安全防范。(7) 網(wǎng)絡中的pc服務器和客戶端具有良好的病毒防范能力。解決方案:河南通信公司網(wǎng)管及ip計費安全系統(tǒng)的總體設計原則為:在不影響河南通信公司網(wǎng)管及ip計費系統(tǒng)現(xiàn)有業(yè)務正常運行的前提下，全面有效的增強其網(wǎng)絡和系統(tǒng)的安全性，保障河南通信公司網(wǎng)管及ip計費系統(tǒng)的安全水平持續(xù)地

16、、一致的提高;解決河南通信公司網(wǎng)管及ip計費兩大系統(tǒng)在網(wǎng)絡安全方面的常見病、多發(fā)病。該安全方案的設計還要遵循安全性原則、可靠性原則、先進性原則、可擴展性原則、兼容性原則和可管理性原則。神州泰岳公司經(jīng)過對河南省通信公司網(wǎng)管及ip計費安全項目的總體設計目標的深入分析和總體理解，將系統(tǒng)整體設計思想確定為:采用"縱深防御策略"，從網(wǎng)絡架構、操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及業(yè)務系統(tǒng)等多個層面為河南省通信公司寬帶網(wǎng)絡系統(tǒng)和多媒體信息局建立綜合全面、高效安全、易擴展的網(wǎng)絡安全保障體系?？v深防御思想:縱深防御思想的目的是保障安全系統(tǒng)設計的廣度和深度，促進建立全面綜合、高效安全的網(wǎng)絡安全保障

17、體系?？v深防御思想在廣度上要求從網(wǎng)絡架構、操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等各個層面考慮安全系統(tǒng)建設?？v深防御思想在深度上要求分層次的、由外而內(nèi)從網(wǎng)絡邊界、內(nèi)部網(wǎng)絡、核心服務器乃至桌面pc各個層面考慮安全防御建設。動態(tài)信息安全體系思想:動態(tài)信息安全體系思想的根本目的是要保障安全系統(tǒng)設計具備良好的動態(tài)建設過程和安全可擴展性，促進建立易擴展的網(wǎng)絡安全保障體系。動態(tài)信息安全體系的建設過程如下所示:企業(yè)級信息安全評估階段，將形成系統(tǒng)信息安全現(xiàn)報告，安全需求確認后形成信息安全建設工程建議書，并經(jīng)過反復的研究和磋商，雙方對安全需求達成一致。在需求確認后，依靠安全技術、安全產(chǎn)品，結合專業(yè)安全服務，進行網(wǎng)絡安全

18、建設，建立河南省通信公司網(wǎng)管及ip計費安全系統(tǒng)，全面提升系統(tǒng)的網(wǎng)絡安全性能。安全策略和安全管理建設期間，將調(diào)整安全策略，加強安全管理。同時，在進行信息安全管理相關規(guī)范和條款的設計時，遵循計算機信息系統(tǒng)安全保護等級劃分準則、系統(tǒng)安全工程成熟度模型(sse-cmm)、信息安全管理(bs7799/iso17799)等相關國內(nèi)外安全標準。經(jīng)過對iso17799、iso13335等多個信息安全標準的綜合研究，神州泰岳認為wpdrrc安全系統(tǒng)模型全面地涵蓋了各個安全因素，突出了人和管理(策略)的重要性，對于河南通信目前和未來的網(wǎng)絡安全系統(tǒng)設計具有深遠的指導意義。為此，在本項目的安全系統(tǒng)整體模型的設計中采用

19、wpdrrc模型。wpdrrc安全系統(tǒng)模型示意圖如下所示:wpdrrc安全系統(tǒng)整體模型在wpdrrc模型中，外圍是依次連接的預警、保護、檢測、響應、恢復、反擊六個環(huán)節(jié)，內(nèi)層是人、策略、技術三個逐步擴展的同心六邊形。人是核心，策略是橋梁，技術是保證，將安全策略變?yōu)榘踩F(xiàn)實。技術應是落實在wpdrrc六個環(huán)節(jié)的各個方面，在各個環(huán)節(jié)中起作用。在本次河南通信寬帶網(wǎng)絡安全系統(tǒng)工程的整體設計上，采用產(chǎn)品和服務相結合的技術方式，對該模型的預警、保護、檢測、響應、恢復、反擊六個環(huán)節(jié)的技術保證措施作了完整的實現(xiàn)。以入侵檢測系統(tǒng)為主，結合其他各類安全產(chǎn)品的報警與日志，結合河南通信自身的網(wǎng)絡系統(tǒng)運行維護經(jīng)驗，以及神

20、州泰岳公司提供的專業(yè)信息安全評估服務，實現(xiàn)安全風險和安全事件"預警"采用防火墻系統(tǒng)、主機防護系統(tǒng)、強口令認證系統(tǒng)、防病毒系統(tǒng)和抗拒絕服務系統(tǒng)，結合入侵防御系統(tǒng)的部分功能，結合神州泰岳公司專業(yè)的網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)的安全增強和優(yōu)化服務，實現(xiàn)對河南通信網(wǎng)絡系統(tǒng)的全方位、分層次的安全"保護"采用漏洞掃描系統(tǒng)，結合神州泰岳公司專業(yè)的安全評估服務、漏洞掃描服務、安全審計服務、滲透測試服務，實現(xiàn)對河南通信網(wǎng)絡系統(tǒng)整體的安全狀況"檢測II.依靠各安全子系統(tǒng)強大的審計、報警、跟蹤、處理（包括封堵、隔離、報告）功能，結合神州泰岳公司專業(yè)的安全技術支持服務以及應急響應服務，實現(xiàn)對河南通信安全事件的"響應"依靠專業(yè)的信息安全服務體系，提高河南通信整體的網(wǎng)絡系統(tǒng)運行維護和安全管理能力，建設企業(yè)健康的業(yè)務運營管理的體系架構