長沙電信網絡安全解決方案湖南計算機股份有限公司網絡通信及安全事業部

目錄TOC\o"1-4"\h\z一、長沙電信網絡安全現狀 1二、長沙電信網絡安全需求分析 2三、網絡安全解決方案 3四、網絡安全設計和調整建議 8五、服務支持 8六、附錄 91、Kill與其他同類產品比較 92、方正方御防火墻與重要競爭對手產品比較 113、湘計網盾與重要競爭對手產品比較 124、湖南計算機股份有限公司簡介 13

一、長沙電信網絡安全現狀由于長沙電信信息網上的網絡體系越來越復雜，應用系統越來越多，網絡規模不斷擴大，逐漸由Intranet擴展到Internet。內部網絡通過ADSL、ISDN、以太網等直接與外部網絡相連，對整個生產網絡安全構成了巨大的威脅。具體分析，對長沙電信網絡安全構成威脅的重要因素有：1) 應用及管理、系統平臺復雜，管理困難，存在大量的安全隱患。2) 內部網絡和外部網絡之間的連接為直接連接，外部用戶不僅可以訪問對外服務的服務器，同時也很容易訪問內部的網絡服務器，這樣，由于內部和外部沒有隔離措施，內部系統極為容易遭到襲擊。3) 來自外部及內部網的病毒的破壞，來自Internet的Web瀏覽也許存在的惡意Java/ActiveX控件。病毒發作情況難以得到監控，存在大范圍系統癱瘓風險。4) 缺少有效的手段監視、評估網絡系統和操作系統的安全性。目前流行的許多操作系統均存在網絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC。管理成本極高，減少了工作效率。5) 缺少一套完整的管理和安全策略、政策，相稱多的用戶安全意識匱乏。6) 與競爭對手共享資源（如聯通），潛在安全風險極高。7) 上網資源管理、客戶端工作用機使用管理混亂，存在多點高危安全隱患。8) 計算機環境的缺陷也許引發安全問題；公司中心主機房環境的消防安全檢測設施，長時間未經確認其可用性，存在一定隱患。9) 各重要計算機系統及數據的常規備份恢復方案，目前都處在人工管理階段，缺少必要的自動備份支持設備。10)目前電信分公司沒有明確的異地容災方案，如出現劫難性的系統損壞，完全沒有恢復的也許性。11)遠程拔號訪問缺少必要的安全認證機制，存在安全性問題。二、長沙電信網絡安全需求分析網絡安全設計是一個綜合的系統工程，其復雜性絲毫不亞于設計一個龐大的應用系統。長沙電信信息網的安全設計，需要考慮涉及到承載的所有軟硬件產品及解決環節，而總體安全往往取決于所有環節中的最薄弱環節，假如有一個環節出了問題，總體安全就得不到保障；具體就以下幾個方面來分析。物理安全：在設計時需要考慮門禁、防盜、防火、防塵、防靜電、防磁、電源系統等等。網絡結構安全：通過層次設計和分段設計可以更好的實現網絡之間的訪問控制，結構設計需要對網絡地址資源分派、路由協議選擇等方面進行合理規劃。通常應當規定網絡集成商在網絡設計時對結構安全加以考慮，并在運營維護過程中不斷改善和完善。網絡安全：對重要網段加以保護。通過防火墻做接入點的安全；通過掃描軟件對網絡范圍內的所有提供網絡服務的設備進行漏洞掃描和修補；通過基于網絡的入侵檢測系統動態的保護重要網段。系統安全：對網上運營的所有重要服務器加以保護，并從自身實行一定的安全措施。通過操作系統升級和打安全補丁減少系統漏洞；通過掃描軟件對服務器進行漏洞掃描和修補；通過安裝基于主機的入侵檢測系統來保護重要的服務器。數據庫安全：通過專業的數據庫掃描軟件檢測數據庫系統存在的安全漏洞并進行修補，保護關鍵應用系統存放在數據庫中的數據。應用系統和數據的安全：對于應用系統的安全，一方面可以借助掃描工具對軟件安裝的主機進行評估，另一方面相應用系統所占用的網絡服務、用戶權限和資源使用情況進行分析，找出也許存在的安全問題。對于數據的安全，通過使用防病毒產品進行全方位的數據掃描服務，保證整個生產網處在安全無毒的環境。網絡安全是個長期的過程，不僅需要有好的規劃設計，還要有良好的安全策略、及時的安全評估和完善的安全管理體系，綜合運用各種安全工具，方能保證系統處在最佳安全狀態。以下是僅對長沙電信網絡的一個集各項先進技術、國內優秀品牌網絡安全產品的網絡安全解決方案。三、網絡安全解決方案防火墻：我們采用方正方御的1U型防火墻。該防火墻屬于集成模塊型狀態檢測防火墻，用戶可根據需要選擇功能模塊。在這里我們選擇的是入侵檢測模塊、掃描器模塊、VPN模塊，并考慮在中心機房的防火墻上選擇安全評估模塊。*中心機房防火墻將重要數據與內外網絡隔離，在長沙節點與四個縣之間、長沙節點與骨干網之間、PSTN，DDN接入網絡處分別配置防火墻，并根據原有的冗余鏈路運用防火墻提供的內外網口實現關鍵鏈路的雙機熱備；*VPN模塊可實現點-網關、網關-網關的VPN加密通道，數字證書作為防火墻之間的身份認證，保證PSTN遠程撥號訪問傳輸數據的完整性和保密性；*入侵檢測模塊結合掃描器可對關鍵鏈路進行實時監控；*安全評估可以全面的評估公司范圍內的所有網絡服務、防火墻、應用服務器、數據庫服務器等系統的安全狀況，找出存在的安全漏洞并給出修補建議。*防火墻還可以將公司內部PC的MAC地址和IP地址進行捆綁，這樣可以避免內部人員隨意修改IP地址；*URL過濾功能可限制公司內部員工訪問一些特定性質的站點。*網絡地址轉換（NetworkAddressTranslation）功能不僅可以隱藏內部網絡地址信息，使外界無法直接訪問內部網絡設備，同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中上公用地址和私有地址的內部網用戶順利的訪問Internet的信息資源，不僅不會導致任何網絡應用的阻礙，同時還可以節省大量的網絡地址資源，解決公司IP地址資源不夠的問題。防病毒軟件：我們采用的是北京冠群金辰公司的Kill系列防病毒軟件，KILL防病毒軟件有專門針對Email服務器和OA服務器的版本以及KillForLotus，KillForUNIX，KillForNT等等，合用于電信行業這樣的大型網絡。在內部網絡中選擇一臺服務器作為KILL下載服務器，可以定期的從網絡中下載最新的病毒庫，然后分發到客戶端KILL的機器上面。大大簡化了防病毒的管理工作。升級問題是反病毒軟件的一個重要考核標準，因此，KILL所提供的自動簡樸升級方法也是KILL系列產品的一個重要優勢。KILL積極郵件服務功能，可以直接將最新升級版本用電子郵件的方式發送到指定電子郵箱中。同時，公司內部網通過簡樸配置，在一臺服務器上下載升級文獻便可以自動完畢全域內所有計算機升級工作。即系統管理員可以將文獻服務器作為下載升級文獻服務器，當文獻服務器升級文獻下載成功后，KILL會自動將升級文獻分發給其他服務器和NT工作站；在終端用戶登錄到升級后的服務器時，客戶端會自動運營升級程序，從而完畢客戶端升級工作。整個升級工作如下圖所示：入侵檢測系統軟件：我們知道，Intranet的保護需要有適當的工具（比如防火墻）。但值得注意的是，假如我們在有了適當的工具以后還缺少必要的審核手段，仍有也許導致公司的巨大損失。據一些著名防火墻專家的估測，在現已安裝的防火墻中，大約有50%以上的防火墻實現是不妥的。而導致這一現狀的重要因素就是用戶在配置的細節以及基本操作系統的易受襲擊上。正是由于這一因素，在網絡日益成為當今公司公司賴以生存的手段的時候，它在將用戶與必要的資源相連接的同時，傳輸著至關重要并且往往是高度敏感的信息。但是隨著網絡規模的擴大、復雜性的增長，防止它們受到諸如低檔協議襲擊、服務器與桌面電腦入侵之類的威脅就變得越來越困難。更有其它危險來自于通過內部網絡傳播的病毒和惡意小程序。因此與往常同樣，我們很有必要檢測和阻止對內部服務和桌面的不合理訪問以及不正常的外部URL。那么網絡在被動保護自己不受侵犯的同時，能否采用某些技術，積極保護自身的安全呢？入侵檢測技術就是一種積極保護自己免受黑客襲擊的一種網絡安全技術。入侵檢測技術可以幫助系統對付網絡襲擊，擴展系統管理員的安全管理能力(涉及安全審計、監視、進攻辨認和響應)，提高信息安全基礎結構的完整性。它從計算機網絡系統中的關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，它在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部襲擊、外部襲擊和誤操作的實時保護。湘計網盾入侵檢測系統產品介紹應用環境：TCP/IP10/100M以太網；兼容性：與控制臺通信加密，與控制臺互相認證；合用性：獨立操作系統；功能描述網絡監聽能力：支持10/100M以太網監聽；監聽網口不綁定IP。網絡流預解決能力：支持TCP流重組，可以監控的并發活動TCP連接數為60,000以上；支持IP碎片重組。協議支持與信息收集：arp監控，收集MAC/IP信息；generalIP/TCP/UDP流監控，能支持辨認syn-attack、portscan；ICMP監控，涉及traceroute行為、主機與端口不可達信息。行為檢測：實時分析支持基于規則匹配的內容分析；支持各類約1000多個事件描述；自動通過管理端網口將事件信息傳遞給Console，通信協議要支持實時流量轉儲的吞吐量；根據配置，能自動實時阻斷某種特性的連接，也可以根據Console的請求阻斷某些特性的連接；TCPRST；ICMPUNREACHABLE；ARPTakeover；管理控制權限分級，參照公安部規定執行，至少分：管理員、授權管理人員、授權用戶，詳見公安部標準；集中管理集中管理一個或多個Sensor(理論上對Sensor無限制)；負責策略的配置；可以對Sensor進行入侵庫和軟件的升級；規則庫與規則定制系統規則庫有事件的具體說明和分級；系統提供幾套缺省入侵檢測集供用戶選用；用戶可以自行制定入侵檢測集；用戶可以自行定制入侵檢測匹配規則；記錄分析對一個或多個Sensor上傳的日記進行記錄分析；可以根據日記分析并鑒別下列行為，并生成分析日記，（同時自動將相關事件日記復制到分析日記關聯庫中，以防原始事件日記被回卷）：黑客襲擊（35大類，1290多種），并能通過網絡接口進行檢測庫和程序的升級檢測端口掃描襲擊檢測常見的web襲擊對不正常的請求icmp報警檢測運用finger的襲擊檢測運用ftp的襲擊對少見的ip選項報警檢測常見的后門檢測運用RPC漏洞的襲擊檢測運用緩沖區溢出的襲擊根據分析結果，觸發響應完善的審計、日記功能對所有管理員操作進行記錄；對所有Sensor上傳事件信息進行記錄；根據不同等級的事件設立各自獨立的回滾存儲區；審計信息應能加密存儲（需要明確：審計信息涉及哪些）；支持流行數據庫報表用直觀的柱行圖或餅圖記錄襲擊的各情況；入侵響應可以針對不同事件等級、記錄分析結果等級制定不同的響應方式；中斷連接（通過Sensor執行）；提醒系統維護，漏洞更新多種報警，告知方式Email、聲音、切斷連接、記錄到數據庫等。四、網絡安全設計和調整建議》盡快與尋呼、移動網絡從物理上完全分離；》物理安全的保護重要網絡設備和各種業務服務器的安全（涉及確認防火、防盜，自動煙霧檢測系統的工作正常，以及防塵、防靜電防磁、電源系統等）；》毀滅性劫難發生時的異地容災（從節約資金的角度，現重要考慮數據磁帶的異地備份）；》應用系統按其重要性分段，重要系統在條件允許時盡量集中放置，以便集中實行安全策略。維護人員的桌面機所在網段應與重要網段邏輯上隔離；》針對桌面平臺現狀，制定規范化管理方案。統一操作系統版本并安裝相應的補丁。不允許在辦公用機上私自安裝各種非生產用的軟件。非計算機專業維護部門不允許私自拆卸計算機設備。五、服務支持湖南計算機股份有限公司網絡通信及安全事業部一直提倡與客戶共同發展，客戶的成長才是我們連續發展的源動力。我們的網絡安全服務重要業務如下： 》網絡安全征詢服務：重要通過度析用戶的業務需求和現有網絡結構，提出實用明確的網絡的方案，根據網絡功能和業務制定完善的安全策略； 》制定網絡安全管理制度體系：幫助用戶解決網絡中由于制度和結構導致的問題，設計網絡安全整體解決方案和建立網絡安全管理制度體系，根據實際安全需要和客戶預算，增長和配置網絡安全產品。 》安全產品集成與網絡安全技術服務：在用戶網絡安全建設中，網絡安全相關的軟硬件建設是一個很重要的環節。我們精心選擇了部分網絡安全產品提供商結成戰略合作伙伴，可以向用戶提供全方位、成系列的網絡安全解決方案及定期與不定期相結合的完善周到的網絡安全技術服務，幫助擁護了解自身網絡的安全狀況，消除用戶網絡中潛在的隱患，提高用戶網絡安全等級。 》應用系統安全評估：安全是一個系統的工程，整體安全評估和安全規劃服務的目的是對客戶的安全工程建設有一個整體上的把握并且提供針對性的建議。 *整體安全評估和安全規劃 *主機安全評估 *即時漏洞報告 網絡安全知識培訓：提供網絡安全知識普及培訓、網絡安全管理人員培訓等培訓服務。 *網絡安全知識普及培訓 *網絡安全管理人員培訓六、附錄Kill與其他同類產品比較KILLNorton公司背景及技術實力中國公安部和全球第二大軟件公司冠群電腦（CA）合資成立冠群金辰軟件有限公司。本地化的研發隊伍，融合CA的世界級先進技術，開發出適合國內用戶的KILL系列國產安全產品。公司直接負責產品生產、銷售和技術服務。國際著名安全產品公司，產品在國外開發，銷售、服務由國內總代理負責。防病毒產品全中文操作界面，非常適合國內用戶使用所有產品中文操作界面，適合國內用戶使用。網絡防病毒基本性能系統資源占用率比較其他同類產品對系統資源占用較少，用戶還可以根據實際使用情況調配系統資源占有率，保證查殺病毒過程不會影響用戶系統的使用。中文產品占用系統資源較多，有時會嚴重影響系統的運營速度和用戶應用程序的運營。查、殺病毒能力依靠北京冠群金辰公司在國內與國際上建立的獨一無二的病毒監測網，及時收集國內和國際出現的最新病毒，使KILL能及時為用戶提供新型病毒的解決方案，在查、殺病毒，特別是國產病毒方面優于國外產品。只有國外的病毒監測網，查、殺國產病毒的能力遜于國產殺毒軟件。自動修復注冊表KILL可以自動修復被蠕蟲病毒等修改的系統注冊表信息，清毒更徹底。無自動刪除特洛伊木馬程序KILL可以自動刪除由病毒產生的特洛伊木馬程序，清毒更徹底，完全自動化只能由用戶手工刪除網絡防病毒產品總體特點服務器和客戶端可以集中管理，安裝、配置操作簡樸、方便。服務器和客戶端可以集中管理，但安裝、配置較復雜。安裝方式一點安裝，處處安裝WindowsNT/2023的機器安裝可以在一臺機器上通過遠程安裝來統一完畢。Win98/95客戶端軟件可以在用戶登錄服務器時自動安裝完畢，不需要用戶干預。也就是說，可以在一臺機器上完畢對整個網絡中所有計算機的安裝。WindowsNT的機器安裝可以在一臺機器上通過遠程安裝來統一完畢。對于Win98/95客戶端用戶一方面要手動從服務器下載并安裝客戶端代理程序（Agent），Win98/95軟件可以通過度發，或在用戶登錄服務器時自動安裝完畢。客戶端的安裝不能完全自動化。管理系統支持。自動探測進行管理。可以進行分布式（分級）集中管理，適合大型機構/公司管理模式的規定，管理方式靈活、多樣。通過KILL管理服務器，對網絡中所有計算機進行集中分布式管理，并基于策略實行管理。網絡管理員可以在網絡中任意NT/2023機器上進行遠程管理控制，制定網絡防病毒策略。在發現病毒后的管理方面，KILL網絡版具有跟蹤病毒源獲取具體的信息并采用隔離的措施來防止該用戶的進一步操作，從而保證網絡安全。可以跨平臺管理，KILL網絡版可以管理Unix、NetWare的網絡防病毒。通過“控制中心”進行控制。網絡管理員在安裝了“防病毒控制中心”的NT服務器上進行防病毒的配置操作、管理控制。病毒庫升級自動多級分發升級系統：網絡版的升級可以由一臺服務器下載最新的升級文獻，然后分發到其他的NT/2023/9X/ME的機器上。設立好的分發系統，由KILL自動控制完畢，不需要用戶干預。完全自動增量升級。網絡升級分發功能與其安裝方式同樣，在服務器上要安裝“控制程序”，在Win98/95客戶端安裝客戶端代理程序（Agent）。網絡升級容錯具有升級校驗功能。即：先實驗，后運營。在自動升級過程中，下載來的升級文獻先在本機進行升級實驗，假如升級成功則進行下一步的分發和自動升級工作。假如發現升級過程有誤，則自動重新下載升級文獻，然后再一次進行實驗，直到升級成功為止，然后進行下一步的升級過程。沒有升級容錯校驗功能。目前國內因特網的傳輸質量很差，用戶在下載升級文獻時，經常產生錯誤，下載的文獻內容有錯或不完整，不進行校驗就強行將升級文獻進行分發，就會對網絡產生不安全的因素，對用戶的網絡運營構成威脅。技術服務技術支持本地研發中心，廠家直接負責行業售前、售后技術服務與支持國外研發中心，售前、售后技術服務由本地總代理負責客戶服務全國授權服務網積極郵件服務全國授權經銷商網上病毒碼更新和升級特殊服務成立專為行業用戶提供支持的技術小組，可以隨時進行全方位的技術維護和支持。防火墻產品比較表公司名稱方正數碼東大阿爾派防火墻產品比較表公司名稱方正數碼東大阿爾派北京天融信產品名稱FG2NetEye2.0NGFW3000產品類型（路由器、軟件、硬件設備）硬件設備硬件硬件接口三個10/100Base-TX(內網口、外網口、DMZ口和控制口)

兩個串口(控制串口和熱備串口)●三個10/100Base-TX接口●一個Console口三個10/100Base-TX接口●一個Console口

列出支持的LAN接口類型（以太網/FDDI等）以太網以太網以太網服務器平臺專用平臺專用平臺專用平臺協議支持

建立VPN通道的協議IKE,IPSecIKE,IPSecIKE，IPSEC支持視頻會議協議支持支持不支持支持VLAN的TRUNK協議支持支持加密支持加密支持

支持的VPN加密標準使用IPSEC技術進行隧道通訊，使用3DES技術等進行加解密，使用IKE進行密鑰管理，使用X.509進行身份認證未知DES，3DES，MD5，RC4，RSA，國家許可專用算法除了VPN之外，加密的其他用途遠程管理遠程管理遠程管理提供基于硬件的加密專用加密硬件

專用加密硬件專用加密硬件認證支持

支持的認證類型客戶認證可以使用多種認證方式，用戶可以自行設定用戶賬號、密碼，并使用這些內置用戶賬號進行認證，也可以使用NT域認證或者Rudius認證專用OTP，RADIUS列出支持的認證標準和CA互操作性

X.509

無X.509支持數字證書√√

√湘計網盾與重要競爭對手產品比較產品名稱湘計網盾HDIDSCAeTrustIntrusionDetection硬件/軟件硬件軟件基于主機是是基于主機否系統結構傳感器/控制臺傳感器/控制臺控制臺操作系統及硬件需求WindowsNT/2023，166MHzPentium，64M內存，100M空間WindowsNT/95/98/2K，166MHzPentium，64M內存，100M空間傳感器操作系統及硬件需求機架式網絡設備，256MWindowsNT/95/98/2K，166MHzPentium，64M內存，200M空間被監控端的操作系統平臺Windows2023/NTWindows95/98/NT支持的網絡類型10/100M以太網10/100M以太網，FDDI，令牌環管理網口與監聽網口分離是是監聽網口不帶IP地址是TCP流重組是是監控的TCP連接數12023IP碎片重組8462分析的協議TCP/IPTCP/IP,UDP/IP分析的高層應用協議HTTP,FTP,telnet,SNMP,SMTP,NFS,rsh,DNS,POP3,IMAP,TFTP,finger,ICMP等HTTP,FTP,teln