應用摘要

　　通常看來，在電信運營商進行安全相關的項目屬于成本中心(Cost Center)，相關的項目包括購買安全設備、購買安全服務、安全培訓等，不直接產生營收和經濟效益，所以在許多的網絡建設項目中安全子系統屬于附加的、從屬的地位，反映在通常作為網管工程的補充，處于后臺運行。這種觀念在很大程度上使得“安全第一”流于空話，很多場合讓位于具有嚴格考核指標的“生產第一”。事實上，在世界領先的電信企業中，越來越多地開始將安全本身作為一個新興的產業來經營，主要體現在以下方面：電信網絡進行了安全加強后，附帶來的安全水平提高通過反映在服務水平條約(SLA)上面的提升而帶來附加的收入，并且隱含的市場競爭力提升也為高等級安全電信商帶來的額外的好處。在當前國內電信市場逐漸開放的氛圍下，能夠提供良好安全保證和客戶信心的運行上必然會逐步取得競爭優勢，賺取高于市場的超額利潤。電信商利用自己得天獨厚的帶寬、機房、運行維護經驗等方面的巨大優勢將會成為未來管理安全服務(MSS)市場的主角。相應的業務甚至有可能成為電信商的主要業務增長點。客戶在選擇了該電信商提供的承載業務的同時，也意味著選擇了對該電信商的某種程度上的信任。這種信任關系在未來的信息基礎設施供需市場競爭中彌足珍貴。這也意味著電信商選擇為用戶提供附加的安全顧問和集成服務時，除了自己的網絡集成經驗之外，還有更高一層的競爭優勢。所以，對于電信商來說，本質上加強自身安全水平的一個前提是領導決策層對于網絡信息安全的觀點，將它看成防護本身(成本、開銷)，還是將它看成業務(市場、營收)，帶來的決策策略也不相同。隨著因特網的誕生，人們的生活方式改變了，電信運營的業務類型改變了，網絡安全的概念和重要程度改變了……因此，在電信運營商激烈的市場競爭中，誰能緊緊把握住與世界聯網這個時代的脈搏，更早的轉變運營觀念，誰就能夠更好的建立好與廣大用戶的相互信賴關系，誰就能更早的決勝于一念之間!如何幫助電信運營商將安全相關的建設從成本中心轉變成效益中心，讓運營商以及廣大用戶“與世界安全聯網”正是東軟致力于解決的主題。

　　應用領域

　　電信

　　方案內容

　　從移動通信網絡的發展看安全問題

　　移動業務通信運營商都以移動業務為基礎，其網絡按照業務劃分主要包括移動網(GSM或CDMA)、互聯網、數據網、無線分組網(GPRS或CDMA1X)、綜合電信業務支撐系統等等。其中無線分組網是移動通信和數據通信相結合的產物，也是移動通信新的業務增長點。通過對移動無線系統的市場展望，可以看到范圍廣闊的業務需求正在日益增長，這些業務包括從語音和低速率數據傳輸一直到高速率數據傳輸，還包括諸如移動多媒體等的高級業務。國際電信聯盟(ITU)正在進行一項有史以來最富挑戰性的工程：建立第三代移動通信系統的聯盟使其能夠在任何時間、任何地點為全球電信的基礎設施提供無線接入。這一新的標準體制被稱為國際移動通信-2000(IMT-2000)，通用移動通信系統(UMTS)是IMT-2000體制發展起來的最重要的第三代移動通信系統之一。UMTS可以將話音、數據和多媒體等寬帶信息直接傳輸給移動中的個人，由于它代表了未來信息社會中創立高度個人化與用戶友好移動接入的唯一機會，www將成為第三代移動通信系統的關鍵應用。可見，移動通信的未來是一個與數據通信緊密融合的未來。

　　通過包交換和傳輸速率的提高，無線數據通信從此為傳統的無線通信網絡打開了多媒體移動應用的大門，同時也打開了Internet的大門。傳統的以電路交換為主的無線側網絡必須打開數據接口，使用TCP/IP協議與外界通信。這就意味著我們在呼吸萬維網新鮮空氣的同時，不可避免要放進來幾只蒼蠅和蚊子!那么怎樣防止“害蟲”進入或進入后kill掉它們，讓移動用戶能更加愉快的共享網絡陽光，就是網絡安全要做的事情了。

　　移動業務通信網絡有很多指標要求，其中最重要的莫過于網絡可持續性運行。通過提高網絡設備性能、優化設備配置、冗余備份等等手段來保證網絡的可靠性是非常必要而可行的，但是這一切都只是從內因方面著手。一旦網絡設備受到安全威脅即使再漂亮的配置和再完美網絡部署也無濟于事，其后果不亞于失去動力系統支持造成的系統癱瘓。

　　從無線分組網的特點看安全問題

　　無線分組網系統由無線網絡側、分組網側和internet網絡側組成(見附圖)，大致采用SS7和TCP/IP作為主要的通信協議，其中無線側與分組側的接口以及分組網與internet接口均采用TCP/IP協議類型，這就在傳統的移動通信網使用SS7信令協議的基礎上增加了運行維護的難度。另外，其主要服務器包括認證服務器、計費服務器、網管服務器、DNS服務器等等，多為UNIX或Windows NT操作系統。眾所周知，TCP/IP和UNIX都是以開放性著稱的。系統之間易于互聯和共享信息的設計思路貫穿于系統的方方面面，對訪問控制、用戶驗證授權、實時和事后審計等安全內容考慮較少，只實現了基本安全控制功能，實現時還存在一些這樣那樣的漏洞。

　　技術路線

　　無線分組網絡安全建議

　　無線分組網絡建設方案涉及到超大規模的網絡設備和各種系統的互聯，東軟認為網絡安全是一個管理和技術的平衡點。根據我們多年在網絡安全防護領域的經驗和實踐針對無線分組網絡安全建設的弱點和威脅從管理加固和技術加固方面提出以下建議。

　　管理加固建議

　　我們針對無線分組網的運營特點，從工程建設、網絡維護、網絡優化和日常管理制度等方面提出以下建議。

　　工程建設提倡安全評估

　　安全生產一直是多年來電信運營過程中強調的生產原則。安全生產除了要做到保證新的設備入網時不破壞現網運行的設備以外，還要保證新舊設備互聯導致的網絡拓撲變化不會存在安全隱患。東軟建議在緊張的網絡建設和擴容過程中稍稍放慢腳步，從全局角度考慮一下網絡安全問題的設計和可擴展性。可以咨詢安全專家來評估新的拓撲會出現哪些安全風險，原有的安全策略需要進行哪些調整，或者需要增加哪些安全設備部署，融安全設計到工程建設或擴容的設計方案中。實踐證明，一個優秀的網絡建設或擴容方案會彌補很多網絡整改的成本。使“安全第一”真正落到實處，讓安全真正成為盈利手段。

　　網絡維護集中安全管理

　　無線分組網絡系統基本為總部-省公司-地市分公司的三級結構，包括全國中心、省中心和地市三層節點，全國中心由總部統一建設，各省負責省內系統的建設，其中設備和應用主要集中在省中心，地市僅負責匯接功能，各系統的建設模式導致全國中心、省中心以及各地市之間有大量的數據通信，如各系統單獨建設，將會造成了傳輸設備和資源的浪費，因此建議統一考慮網絡安全管理問題。選擇的安全產品應支持統一的管理平臺，可實現集中式安全監控管理和配置管理。

　　網絡優化不忘安全優化

　　在不斷的網絡優化過程中，建議增加對現有的安全策略進行優化的項目。比如現有防火墻部署的網絡，是否考慮合理部署IDS和漏洞掃描。從安全角度和業務角度綜合考慮進行網絡路由結構優化、網絡拓撲優化，可以增強網絡穩定性和可擴展性，并有利于節約重復建設帶來的成本。

　　健全安全管理制度

　　為加強網絡安全建設、管理與運行維護，東軟建議無線分組網要首先建立健全安全管理制度：

　　1. 建立安全組織機構

　　由于網絡安全系統將直接影響各業務系統的安全性、穩定性，因此需要由專門機構(指定現有相關部門或者設立新機構，可以設置在網管中心)負責日常的管理、維護工作，該機構的職責、職能主要包括：

　　(1)負責保證全公司的網絡安全系統的正常運行;(2)網絡安全故障排除與分析診斷，與各業務系統管理人員共同排除各業務系統發生的故障，對故障進行分析，修改相應錯誤，保證以后不再發生類似故障;(3)對全公司網絡安全系統進行優化，根據網管系統收集的整個網絡性能數據，協助各業務系統管理人員共同完成業務系統的網絡優化工作;(4)網絡安全策略的制定與實施，根據各系統的發展情況制定和調整安全策略，并在各業務系統中實施;(5)定期對業務系統進行安全檢查，發現和修補安全隱患。

　　2. 管理制度和操作規程

　　由于網絡安全系統可以訪問各業務系統的核心設備和數據，因此應有完善的管理制度。網絡安全系統的操作人員應進行嚴格的權限控制，所有對核心設備的操作應有詳細的日志記錄，根據不同管理人員的工作職責，可以對設備進行查看、配置等不同操作。

　　技術加固建議

　　針對無線分組網的特點和安全威脅，從漏洞掃描、入侵檢測、病毒防御、人員培訓和安全產品服務建議等方面給出以下建議。

　　安全漏洞掃描

　　為什么要進行安全漏洞掃描?因為黑客也許會通過進攻一臺主服務器鄰近的疏于防范的計算機系統而繞道進攻主服務器，因此就要對大批應用服務器進行大規模系統安全檢查。包括嚴格的服務分類，在實際應用中有時系統管理員為了自己使用的方便常常在某些服務器上開設了額外的服務，但這往往會給黑客可乘之機，因此將服務嚴格分類可以減少很多安全上的漏洞。對各系統進行系統安全掃描發現隱藏的系統安全漏洞，利用程序來修補系統關鍵的漏洞，針對系統的日常日志進安全檢查。

　　安全漏洞掃描的工作方式在于主動進行掃描，找出系統中存在的安全漏洞和隱患，掃描對象包括兩類：網絡設備和主機設備。網絡設備主要掃描防火墻、路由器等設備的配置是否存在安全漏洞，主機設備主要檢查操作系統是否存在安全漏洞。找出安全隱患之后在執行過程中實現基于策略的安全風險管理。主機(系統)安全評估，對各業務系統的核心服務器的操作系統定期進行安全漏洞掃描和風險評估，根據掃描結果實現對主機操作系統加固，提升安全等級的工作。

　　目前成熟的網絡安全防護系統一般采用客戶端/服務器方式，主要的安全策略和系統軟件集中在安全服務器上，在主機以及終端安裝客戶端軟件實現安全檢測。安全漏洞掃描由掃描服務器主動發起，對系統中的網絡和主機設備進行檢查，因此只需要在省中心設置安全服務器就可以檢查全省各系統內設備的安全漏洞。

　　入侵檢測

　　入侵檢測實時監測系統中的數據包，對進出各系統的網絡流量進行檢測，識別非法連接請求及網絡入侵，自動阻斷連接，報警并記錄日志;通過分析關鍵服務器上的內核級事件、主機日志和網絡活動，執行實時的入侵檢測并阻止惡意活動。無線分組網入侵檢測的監測點應該為各系統的互聯點和各系統與外部其它系統的連接點，也可以對每臺主機進行檢測。

　　網絡入侵檢測應該至少和防火墻聯合使用，入侵檢測系統和防火墻系統是互為補充的，建議每個防火墻后面均部署入侵檢測系統。入侵檢測系統還可以在內部誤操作和內部攻擊檢測和審計方面起到巨大的作用，因此可以考慮在分組網的局域網內部署網絡入侵檢測系統。在一些重要的主機保護時，防火墻可能會帶來性能和可用性的問題，這時候可以單獨部署網絡入侵檢測系統。主機入侵檢測系統從主機內部提供良好的防御和檢測機制，但是主機入侵檢測系統會對系統資源的使用造成一定影響，因此應該慎重對待。產品重要功能建議：1、自動預警功能：短信及時通知運維人員和主管運維的部長，以便能啟動應急響應方案并及時制止各種非法訪問;2、可持續性作業功能：對各業務系統與其它網絡的接入點可以實施7X24小時的基于網絡入侵檢測。

　　病毒防護

　　病毒防護用于防止病毒在各系統傳播和擴散，病毒防護系統應具有網絡病毒防護能力，可以動態升級病毒庫。對所有可能的病毒擴散途徑進行，可以檢查應用程序、電子郵件、網絡下載文件以及網絡瀏覽中的病毒傳播。病毒防護實現方式基于目前網絡系統的現狀，病毒傳播的隱患主要是由于部分業務系統和管理工作站的操作系統本身比較脆弱，易于感染病毒，從而可能成為病毒傳播的基地。由于無線分組網絡中設備種類復雜，操作系統類型不一(基本涵蓋所有主流操作系統平臺WinNT,Win2000,Linux, Solaris,HP-UX,AIX,SCO-UNIX等)，主機和終端的管理人員分散，建議病毒防護系統采用客戶端/服務器方式，在網管中心集中配置一臺防病毒管理服務器，為所有需要保護的主機、終端等安裝防病毒軟件客戶端，實現全網防病毒系統的一級集中管理，包括客戶端自動化的安裝、維護、配置、病毒定義碼和掃描引擎的升級、定時調度、實時防護等。

　　第三方支持

　　東軟提供分層培訓方案，并可以根據要求培養出若干名勝任于保證無線分組網絡安全的高級網絡安全專家。具體內容見第四章安全培訓服務部分。

文章作者：張爽