江蘇電信IP網(wǎng)網(wǎng)絡(luò)安全解決方案

江蘇電信IP網(wǎng)自1996年5月份正式對(duì)社會(huì)開(kāi)放以來(lái)，用戶(hù)發(fā)展迅速，截至2001年11月底，接入用戶(hù)數(shù)達(dá)到了323萬(wàn)。為了滿(mǎn)足用戶(hù)持續(xù)快速發(fā)展的需要，我們的網(wǎng)絡(luò)經(jīng)歷了大大小小數(shù)次擴(kuò)容，規(guī)模不斷擴(kuò)大，目前省內(nèi)骨干網(wǎng)總帶寬達(dá)90G，出省帶寬10G。

隨著網(wǎng)絡(luò)的發(fā)展，我們面臨的網(wǎng)絡(luò)濫用和攻擊等安全事件越來(lái)越多，并且攻擊者采用的手段也越來(lái)越復(fù)雜多樣。在江蘇電信IP網(wǎng)發(fā)展的初期，我們主要是通過(guò)加固主機(jī)系統(tǒng)來(lái)提高安全性，當(dāng)然僅靠技術(shù)人員手工檢查、分析、跟蹤是遠(yuǎn)遠(yuǎn)不夠的。1999年二期擴(kuò)容工程中，增加了防火墻、一次性口令認(rèn)證系統(tǒng)、安全掃描器等。但是總的來(lái)說(shuō)，采用的技術(shù)手段及部署范圍仍比較有限。2001年，江蘇電信IP網(wǎng)組織實(shí)施了三期擴(kuò)容，并把網(wǎng)絡(luò)安全作為重要部分獨(dú)立實(shí)施。

電信IP網(wǎng)面臨的主要安全問(wèn)題

目前，我們還沒(méi)有手段可以較全面地收集和統(tǒng)計(jì)IP網(wǎng)上形形色色的網(wǎng)絡(luò)濫用和攻擊。從我們?nèi)粘Ｅ龅胶吞幚淼膯?wèn)題來(lái)看，主要有幾個(gè)方面：

網(wǎng)上存在大量的端口掃描試探、發(fā)送垃圾郵件等網(wǎng)絡(luò)濫用行為;

發(fā)現(xiàn)部分主機(jī)由于未及時(shí)安裝補(bǔ)丁程序或設(shè)置不當(dāng)或口令強(qiáng)度不夠等原因而被黑客入侵，并被安裝后門(mén)程序;

拒絕服務(wù)攻擊發(fā)生頻率不高，但一般影響較大;

蠕蟲(chóng)病毒傳播和泛濫，如紅色代碼、尼姆達(dá)等，危害不可小視。

安全防范的范圍和原則

作為網(wǎng)絡(luò)運(yùn)營(yíng)商，由于用戶(hù)眾多，我們的主要精力還是考慮如何盡可能地保護(hù)由江蘇電信負(fù)責(zé)維護(hù)管理、對(duì)外提供服務(wù)的網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)，同時(shí)對(duì)一些重要的網(wǎng)絡(luò)安全問(wèn)題，我們也盡力通知用戶(hù)，并幫助解決。

在解決安全問(wèn)題時(shí)，我們注意遵循安全、效率及易用性兼顧的原則。安全的目標(biāo)是為了保證業(yè)務(wù)的連續(xù)性，保證數(shù)據(jù)的完整性、保密性和可用性。但是安全、效率及易用性常常是矛盾的，實(shí)施過(guò)于復(fù)雜的安全措施一方面會(huì)造成效率的下降，另一方面對(duì)人員素質(zhì)的要求也會(huì)增加，而人員的培訓(xùn)和成長(zhǎng)需要過(guò)程，因此需要均衡，使得既能達(dá)到安全目標(biāo)的最低要求，又能不對(duì)效率產(chǎn)生顯著影響，操作使用上不過(guò)于繁瑣。

同時(shí)，我們還本著節(jié)約的原則。加強(qiáng)安全必然帶來(lái)成本的增加，這既包括產(chǎn)品的采購(gòu)、升級(jí)、服務(wù)費(fèi)用，也包括管理成本。我們?cè)谫Y金和人力上的投入應(yīng)該和被保護(hù)的資產(chǎn)價(jià)值相適應(yīng)，在考慮采取什么樣的措施保護(hù)哪些對(duì)象的時(shí)候，我們主要考慮被保護(hù)對(duì)象的重要性、威脅發(fā)生的可能性及可能產(chǎn)生的后果，然后選用適當(dāng)?shù)募夹g(shù)措施以達(dá)到可以接受的安全等級(jí)。

主要技術(shù)措施

目前，江蘇電信IP網(wǎng)已初步建立了一套網(wǎng)絡(luò)安全技術(shù)防御體系，從保護(hù)對(duì)象上看，重點(diǎn)是針對(duì)認(rèn)證計(jì)費(fèi)系統(tǒng)、網(wǎng)管系統(tǒng)、集中郵件系統(tǒng)，同時(shí)還包括DNS服務(wù)器和WWW服務(wù)器，對(duì)于接入服務(wù)器、路由器、交換機(jī)等，則主要通過(guò)合理設(shè)置來(lái)提高安全性;從功能上看，主要包括六個(gè)系統(tǒng)：一次性口令認(rèn)證系統(tǒng)，防火墻系統(tǒng)，主機(jī)訪問(wèn)控制系統(tǒng)，安全掃描系統(tǒng)，集中日志管理系統(tǒng)，入侵檢測(cè)系統(tǒng)等。

一次性口令認(rèn)證系統(tǒng)

好的口令是網(wǎng)絡(luò)安全中最簡(jiǎn)單和最重要的部分，據(jù)CERT估計(jì)，約80%的網(wǎng)絡(luò)安全問(wèn)題是由于不良的口令所造成的。而我們的管理員管理著眾多的網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)，在日常工作中需要經(jīng)常登錄進(jìn)行維護(hù)，即使管理員的口令設(shè)置符合安全性的原則，但是仍存在口令在一個(gè)更改周期內(nèi)反復(fù)使用的問(wèn)題，而在telnet過(guò)程中，用戶(hù)名、口令以明文方式在網(wǎng)上傳送，因而時(shí)刻面臨著被竊聽(tīng)的威脅。為此，我們選用了ACE Server及SecurID構(gòu)筑一次性口令認(rèn)證系統(tǒng)，它提供了一種較為強(qiáng)壯的集中式、雙要素的認(rèn)證方案。也就是說(shuō)，用戶(hù)在登錄時(shí)，不僅要知道PIN碼，還要有口令牌�？诹钆粕系目诹蠲糠昼姼淖円淮�，這樣有效地減少了口令丟失、泄露所帶來(lái)的危害。

一次性口令認(rèn)證系統(tǒng)的實(shí)現(xiàn)方案如下：

1、ACE Server配備實(shí)施異地備份，一主一備，防止單點(diǎn)故障。

2、使用范圍包括路由器、核心局域網(wǎng)交換機(jī)及集中郵件系統(tǒng)、認(rèn)證計(jì)費(fèi)系統(tǒng)、WWW服務(wù)器、DNS服務(wù)器。其中路由器、交換機(jī)采用Radius認(rèn)證方式，與ACE Server配合實(shí)現(xiàn)一次性口令認(rèn)證。

防火墻

防火墻是安全系統(tǒng)的重要組成部分。我們?cè)谑≈行牟渴鹆薈heckPoint Firewall-1和NetScreen-1000硬件防火墻，禁止普通用戶(hù)從Internet訪問(wèn)我們的網(wǎng)管網(wǎng)，但網(wǎng)管網(wǎng)可通過(guò)防火墻訪問(wèn)Internet以進(jìn)行軟件升級(jí)等操作;同時(shí)對(duì)進(jìn)出郵件系統(tǒng)的數(shù)據(jù)流量進(jìn)行檢查、過(guò)濾，保證郵件系統(tǒng)的安全性。

主機(jī)訪問(wèn)控制系統(tǒng)

在一個(gè)基本的UNIX和Windows NT系統(tǒng)中，超級(jí)用戶(hù)具有對(duì)系統(tǒng)無(wú)限大的訪問(wèn)權(quán)限，可全面訪問(wèn)應(yīng)用軟件、數(shù)據(jù)和審計(jì)記錄。這樣可能會(huì)造成：

1、一旦超級(jí)用戶(hù)權(quán)限被網(wǎng)絡(luò)攻擊者取得，系統(tǒng)可被完全控制，并且可以輕松地掩蓋痕跡。

2、掌握超級(jí)用戶(hù)權(quán)限的用戶(hù)可能由于誤操作等原因破壞操作系統(tǒng)和應(yīng)用軟件的一些關(guān)鍵配置和屬性。

基于此，我們?cè)谌�省認(rèn)證計(jì)費(fèi)系統(tǒng)、集中電子郵件服務(wù)系統(tǒng)和省中心DNS服務(wù)器上部署了CA公司的eTrust Access Control。eTrust Access Control是一種主機(jī)安全保護(hù)軟件，eTrust Access Control在加強(qiáng)對(duì)用戶(hù)口令及違反安全策略的管理、細(xì)化對(duì)文件的訪問(wèn)控制的同時(shí)，能限制超級(jí)用戶(hù)的權(quán)限，保護(hù)主機(jī)資源的安全。