第一篇：電信網(wǎng)絡(luò)安全應(yīng)對策略解決方案[最終版]

電信網(wǎng)絡(luò)安全應(yīng)對策略解決方案

網(wǎng)絡(luò)安全是一個涉及面廣泛的問題。隨著人們對網(wǎng)絡(luò)依賴性的增強，電信網(wǎng)的安全性、可靠性與容災(zāi)能力越來越受到重視。雖然一開始，網(wǎng)絡(luò)設(shè)計者就采用SDH恢復(fù)、雙歸屬等技術(shù)來進行網(wǎng)絡(luò)的冗余與備份，以提高電信業(yè)務(wù)的抗災(zāi)能力，但是由于災(zāi)難的不可預(yù)測性，如何做到未雨綢繆以及在緊急情況下迅速提供電信業(yè)務(wù)一直是人們關(guān)注的焦點。此外，隨著WLAN、互聯(lián)網(wǎng)和3G的廣泛應(yīng)用，下一代網(wǎng)絡(luò)的安全性問題也日益受到重視。

一、網(wǎng)絡(luò)安全涉及的內(nèi)容

網(wǎng)絡(luò)安全涉及的層面非常廣，從網(wǎng)絡(luò)到信息，從物理網(wǎng)絡(luò)的保護到對各種病毒和網(wǎng)絡(luò)攻擊的預(yù)防，涉及IT行業(yè)的方方面面。一般來講，網(wǎng)絡(luò)安全可以簡單分為以下幾個層次。

1.電信網(wǎng)絡(luò)的安全可靠性

電信網(wǎng)絡(luò)的可靠性問題由來已久。傳統(tǒng)上，電信網(wǎng)的可靠性一般分為兩個方面，即預(yù)防網(wǎng)絡(luò)故障的發(fā)生以及電信網(wǎng)絡(luò)發(fā)生故障后的保護和恢復(fù)。目前隨著通信協(xié)議在網(wǎng)絡(luò)中的應(yīng)用越來越廣泛，通信協(xié)議的安全性也越來越重要，特別是在互聯(lián)網(wǎng)的開放環(huán)境中，對通信協(xié)議的安全性要求更高。

預(yù)防網(wǎng)絡(luò)故障的發(fā)生一般在網(wǎng)絡(luò)規(guī)劃和建設(shè)時就已經(jīng)考慮，但仍然需要根據(jù)構(gòu)成設(shè)備的可靠性來分析建成后系統(tǒng)的整體可靠性。

故障發(fā)生時的網(wǎng)絡(luò)保護和恢復(fù)能力也是電信網(wǎng)絡(luò)建設(shè)所考慮的重點，特別是隨著傳輸設(shè)備的交叉連接能力的增強，為傳輸網(wǎng)絡(luò)的故障恢復(fù)能力提供了重要保證。目前，IP網(wǎng)絡(luò)的相關(guān)故障恢復(fù)主要發(fā)生在以下三個層次：光傳輸層、ATM層和IP層。其中，越是底層的網(wǎng)絡(luò)，要求保護和恢復(fù)的時間越快、代價越高，也越不靈活。

2.互聯(lián)網(wǎng)的安全可靠性

由于互聯(lián)網(wǎng)是一種全球性、開放性、透明性的網(wǎng)絡(luò)，是無邊界的，任何團體或個人都可以在互聯(lián)網(wǎng)上方便地傳送或獲取各種各樣的信息。然而目前網(wǎng)絡(luò)自身的安全保護能力有限，許多應(yīng)用系統(tǒng)處于不設(shè)防或很少設(shè)防的狀態(tài)，存在很多漏洞，而將來對網(wǎng)絡(luò)的攻擊不僅僅是已經(jīng)出現(xiàn)的蠕蟲、病毒和黑客攻擊，還會有針對互聯(lián)網(wǎng)基本機理的攻擊，使關(guān)鍵的交換機、路由器和傳輸設(shè)備癱瘓。隨著上網(wǎng)單位和網(wǎng)上信息的日益增多，網(wǎng)絡(luò)與信息安全面臨的挑戰(zhàn)越來越大。

互聯(lián)網(wǎng)協(xié)議構(gòu)件的安全性問題也越來越嚴重，一方面與互聯(lián)網(wǎng)協(xié)議本身有關(guān)，另一方面也與互聯(lián)網(wǎng)的商業(yè)化進程密切相關(guān)，如目前由于互聯(lián)網(wǎng)運營模式的變化，可能受到的攻擊手段也在增加，特別是隨著VoIP業(yè)務(wù)使得互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)互連，對傳統(tǒng)電信網(wǎng)的信令系統(tǒng)也造成很大的威脅。因此對于互聯(lián)網(wǎng)架構(gòu)的安全性問題，一方面可以通過協(xié)議的安全性改進、實現(xiàn)的一致性、安全性問題標準化等措施來加強，另一方面則應(yīng)盡量減少協(xié)議受攻擊或者威脅的可能。

3.信息安全

網(wǎng)絡(luò)安全與信息安全是休戚相關(guān)的，網(wǎng)絡(luò)不安全，就談不上信息安全;然而網(wǎng)絡(luò)再安全，也不可能萬無一失，所以還要加強信息自身的安全性?，F(xiàn)在，基本上在網(wǎng)絡(luò)硬件、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)中的應(yīng)用程序、數(shù)據(jù)安全和用戶安全等五個層面上開展研究工作。除了常用的防火墻、代理服務(wù)器、安全過濾、用戶證書、授權(quán)、訪問控制、數(shù)據(jù)加密、安全審計和故障恢復(fù)等安全技術(shù)外，還要采取更多的措施來加強網(wǎng)絡(luò)的安全，例如，針對現(xiàn)有路由器、交換機、邊界網(wǎng)關(guān)協(xié)議(BGP)、域名系統(tǒng)(DNS)所存在的安全漏洞提出解決辦法;迅速采用增強安全性的網(wǎng)絡(luò)協(xié)議(特別是IPv6);對關(guān)鍵的網(wǎng)元、網(wǎng)站、數(shù)據(jù)中心設(shè)置真正的冗余、分集和保護;實時全面地觀察和了解整個互聯(lián)網(wǎng)的情況，對傳送的信息內(nèi)容負責(zé)，不盲目傳遞病毒或進行攻擊;嚴格控制新技術(shù)和新系統(tǒng)，在找到和克服安全漏洞或者另加安全性之前不允許把它們匆忙推向市場。

目前就信息的安全性要求來說，一般強調(diào)五個要求，即信息的可用性、保密性、完整性、真實性和不可抵賴性。

二、電信行業(yè)在網(wǎng)絡(luò)安全方面的經(jīng)驗

電信網(wǎng)絡(luò)一般指有線、無線、衛(wèi)星網(wǎng)絡(luò)以及互聯(lián)網(wǎng)等，電信網(wǎng)絡(luò)所受到的威脅主要是恐怖襲擊、自然災(zāi)難或類似情況。電信行業(yè)在安全方面的工作重點主要包括業(yè)務(wù)、網(wǎng)絡(luò)和企業(yè)的安全可靠性。

對于電信行業(yè)來講，安全隱患一般分為以下兩種：

脆弱性(vulnerability)：指通信網(wǎng)絡(luò)設(shè)施的某些方面容易損壞或受到安全威脅的特性;

威脅：可能損害或危及網(wǎng)絡(luò)安全的任何潛在因素。

1.通信設(shè)施主要安全問題及對策

通信設(shè)施的安全問題主要來自以下幾個方面，運營商應(yīng)該在問題發(fā)生之前采取預(yù)防措施，或在問題發(fā)生之后采取積極的補救措施。

(1)環(huán)境

包括建筑物、電纜溝槽、衛(wèi)星軌道的空間、海纜沿途等環(huán)境。沒有絕對安全的環(huán)境，要整體考慮環(huán)境安全計劃，需要定期對環(huán)境進行評估和再評估，特殊環(huán)境需要特殊考慮。

(2)供電

包括電池、地線、電纜、保險絲、備用應(yīng)急發(fā)電機和燃料。內(nèi)部電力設(shè)施常常被忽略，需要持續(xù)檢驗電力系統(tǒng)是否有效，業(yè)務(wù)提供商和網(wǎng)絡(luò)運營商要保證對重要的設(shè)備不間斷供電，在發(fā)生自然災(zāi)難(如臺風(fēng)、地震)時，能夠提供發(fā)電機的燃料供應(yīng)和后備電源的使用。

(3)硬件

包括硬件架構(gòu)、電子電路模塊和電路板、金屬件以及光纜、電纜、半導(dǎo)體芯片。關(guān)鍵網(wǎng)元的設(shè)備供應(yīng)商應(yīng)該對電子硬件進行測試，以確保兼容性、抗震性、耐壓性、溫度適應(yīng)性等。

(4)軟件

包括軟件版本的物理儲藏、開發(fā)與測試、版本控制與管理等。提供商應(yīng)提供安全的軟件傳送方式。

(5)網(wǎng)絡(luò)

包括節(jié)點的配置、多種網(wǎng)絡(luò)與技術(shù)、同步、冗余、物理與邏輯的分集。業(yè)務(wù)提供商和網(wǎng)絡(luò)運營商應(yīng)該開發(fā)一套嚴密的程序，以評估和管理各種危險(如迂回路由、緊急狀態(tài)快速反應(yīng))。

(6)負載

包括跨越網(wǎng)絡(luò)設(shè)施傳送的信息、業(yè)務(wù)量模型與統(tǒng)計、信息攔截偵聽。網(wǎng)絡(luò)運營商在設(shè)計網(wǎng)絡(luò)時應(yīng)該使?jié)撛诘男畔r截降到最小。

(7)人員

包括有意和無意的行為、限制、教育與培訓(xùn)、道德規(guī)范等。業(yè)務(wù)提供商與網(wǎng)絡(luò)運營商應(yīng)該考慮建立員工安全意識培訓(xùn)計劃。

2.運營商對互聯(lián)網(wǎng)采取的安全措施

互聯(lián)網(wǎng)是未來的發(fā)展方向，也是安全隱患最大的地方。目前，互聯(lián)網(wǎng)最常見的安全問題是病毒、蠕蟲、拒絕服務(wù)攻擊，網(wǎng)絡(luò)受到的攻擊越來越多。據(jù)美國計算機緊急響應(yīng)小組協(xié)調(diào)中心(CERTCC)統(tǒng)計，1999～2002年間，每年網(wǎng)絡(luò)受攻擊數(shù)分別為9859、21756、52 658、86 000次，網(wǎng)絡(luò)攻擊愈演愈烈之勢由此可見一斑。因此，運營商都在積極努力，以保證網(wǎng)絡(luò)的正常運行。AT&T已經(jīng)有七層安全協(xié)議來應(yīng)對外部攻擊，并且在其網(wǎng)絡(luò)中樞構(gòu)建了基于網(wǎng)絡(luò)的主動式安全系統(tǒng)，可以進行細致深入的分析并能預(yù)見到各種攻擊。

3.保護七號信令網(wǎng)

七號信令網(wǎng)絡(luò)是電信網(wǎng)重要的控制系統(tǒng)，目前七號信令及其安全性越來越受到關(guān)注。FCC在調(diào)查造成網(wǎng)絡(luò)癱瘓的因素時，專門對因七號信令而造成的事故進行了調(diào)查與研究。其2002年底的一份調(diào)查顯示，由于七號信令而造成的網(wǎng)絡(luò)故障有上升的趨勢。幾年前美國參議院司法委員會就提議運營商重視七號信令的安全，F(xiàn)BI國家基礎(chǔ)設(shè)施保護中心(NIPC)也把此列為工作重點。

七號信令攻擊具有以下一些共同的特點：

消息中帶有非相鄰信令節(jié)點的地址;

特定消息類型的量增加或異常;

特定消息類型的出現(xiàn)頻次增加或異常;

消息集中在某鏈路或鏈路集上。

高質(zhì)量的防衛(wèi)將是一個多元的安全政策，最好的防衛(wèi)是早期檢測。運營商必須安裝能夠監(jiān)控整個網(wǎng)絡(luò)的設(shè)備，該設(shè)備必須能夠?qū)崟r地檢測所有的信令消息并向中心地點報告這些情況，而且要能夠?qū)ο⑦M行分析。

運營商應(yīng)該認識到，對七號信令網(wǎng)絡(luò)真正的攻擊可能不只是簡單的攻擊，很可能是一個充分組織的復(fù)雜攻擊，因此更要積極防范。

三、網(wǎng)絡(luò)安全是NGN的重要內(nèi)容

NGN指移動與固定運營商未來將擁有的能夠提供一系列先進新業(yè)務(wù)的網(wǎng)絡(luò)設(shè)施。在NGN中，網(wǎng)絡(luò)安全是最重要的內(nèi)容，也是亟待解決的問題。隨著新技術(shù)特別是WLAN、IP分組網(wǎng)絡(luò)、3G等的發(fā)展與應(yīng)用，網(wǎng)絡(luò)中的薄弱環(huán)節(jié)也越來越多。

1.WLAN

如今，WLAN的安全性成為一個突出的問題。隨著WLAN的普遍實施，其安全性應(yīng)該引起業(yè)界足夠的重視。設(shè)備廠商在試圖通過加密與認證等方式來減少一些安全隱患。

針對WLAN存在的安全問題，目前有四項主要的技術(shù)措施：802.1x認證協(xié)議、專門針對WLAN的安全體系標準802.11/802.11i、VPN和實現(xiàn)WLAN中用戶隔離的虛擬局域網(wǎng)(VLAN)。這4項技術(shù)有的正在開發(fā)之中，有的又過于復(fù)雜，因此WLAN的安全問題在最近一段時間內(nèi)難以得到徹底的解決。

2.基于IP的分組交換網(wǎng)

在過去的電信網(wǎng)絡(luò)中，網(wǎng)絡(luò)所受到的安全威脅比較典型，如毀壞PBX、惡意撥號等。而基于IP的分組交換網(wǎng)的安全問題將更加突出，并且與以往的安全問題相比有很大的不同。

人們使用VoIP或者MPLS來構(gòu)筑VPN時，安全隱患將變大。因為人們在使用IP地址時會把自己“暴露”在大庭廣眾之中，這樣就會面臨電路交換網(wǎng)甚至ATM或者幀中繼中從未有過的安全問題。你可以從公共域“看到”別人，別人也可以采用標準的攻擊形式輕而易舉地破壞路由表。例如，攻擊一個交換機并非易事，但是攻擊一個實施了MPLS的交換設(shè)備卻方便得多，因為可以從內(nèi)部網(wǎng)看到它所擁有的IP地址。如果有人進到內(nèi)部網(wǎng)，就可以接入到交換機，從而帶來更大的安全隱患。

3.3G

3G電話更易受到攻擊。在2.5G網(wǎng)絡(luò)中，IP地址是在基站，黑客必須先攻擊基站才能攻擊到電話，而基站一般都有保護措施。然而在3G網(wǎng)絡(luò)中，IP地址實際上是在電話中，黑客可以直接攻擊電話。因此，3G在安全性方面與2.5G或者i-mode相比有很大的弱點。

四、結(jié)語

隨著技術(shù)的發(fā)展，電信網(wǎng)絡(luò)涵蓋的范圍越來越廣，以前單

一、封閉的網(wǎng)絡(luò)正在向開放多樣的網(wǎng)絡(luò)演進，因此電信行業(yè)面臨的安全問題更加復(fù)雜、多樣，保障電信網(wǎng)絡(luò)和業(yè)務(wù)的安全面臨著更加嚴峻的形勢。由于電信網(wǎng)絡(luò)是人們向信息社會邁進的基石，與人們的工作、生活息息相關(guān)，因此無論政府、運營商還是用戶，都應(yīng)該更多地關(guān)心電信網(wǎng)絡(luò)的安全問題。

第二篇：基于電信企業(yè)網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)教育學(xué)院

本 科 生 畢 業(yè) 論 文（設(shè) 計）

需要完整版請點擊屏幕右上的“文檔貢獻者”

題

目： 基于電信企業(yè)的網(wǎng)絡(luò)安全策略

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

內(nèi)容摘要

隨著企業(yè)辦公網(wǎng)絡(luò)的發(fā)展，如何保障網(wǎng)絡(luò)正常運行，網(wǎng)絡(luò)資源的合法訪問，使網(wǎng)絡(luò)免受黑客、病毒和其他不良意圖的攻擊顯得尤為重要。本文簡要介紹了企業(yè)網(wǎng)絡(luò)安全的威脅因素，根據(jù)網(wǎng)絡(luò)訪問機制給出了相應(yīng)的管理策略，并重點討論了信息加密以及內(nèi)外網(wǎng)互連的企業(yè)網(wǎng)絡(luò)安全策略。

關(guān)鍵詞：

I 電信網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；策略基于電信企業(yè)的網(wǎng)絡(luò)安全策略

目 錄

內(nèi)容摘要 ··························································································································· I 引

言 ···························································································································· 2 1 概述 ···························································································································· 3

1.1 研究背景 ·········································································································· 3 1.2 網(wǎng)絡(luò)安全現(xiàn)狀 ·································································································· 3 1.2 本文的主要內(nèi)容及組織結(jié)構(gòu) ·········································································· 4 2 企業(yè)網(wǎng)絡(luò)安全需求及隱患 ························································································ 5

2.1 企業(yè)網(wǎng)絡(luò)安全需求 ·························································································· 5 2.2 企業(yè)網(wǎng)絡(luò)安全隱患 ·························································································· 5 2.3 安全問題對企業(yè)網(wǎng)絡(luò)的危害 ·········································································· 5 3 電信企業(yè)網(wǎng)絡(luò)安全策略 ···························································································· 6

3.1 訪問控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 內(nèi)外網(wǎng)互聯(lián)安全策略 ······················································································ 6 4 數(shù)據(jù)備份策略 ············································································································ 8 5 結(jié)論 ···························································································································· 9 參考文獻 ························································································································ 10

１

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

引

言

隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)在信息獲取及傳遞中發(fā)揮著無可比擬的作用。眾多的企業(yè)、組織、政府部門與機構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到Internet上，以充分共享、利用網(wǎng)絡(luò)的信息和資源。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生各種各樣的問題，其中安全隱患日益突出，無論是企業(yè)、服務(wù)供應(yīng)商、政府部門還是研究和教育機構(gòu)，安全性顯然決定著網(wǎng)絡(luò)要求和工作的優(yōu)先級。對于企業(yè)而言，提高內(nèi)部信息集成，實現(xiàn)信息共享，提高工作效率，必須要建立完善、高效的網(wǎng)絡(luò)。

２

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 概述

1.1 研究背景

當今，互聯(lián)網(wǎng)的發(fā)展已經(jīng)出乎人們的想象，新技術(shù)、新概念層出不窮，互聯(lián)網(wǎng)實現(xiàn)了人們在信息時代的夢想，預(yù)示著新經(jīng)濟時代的到來。因特網(wǎng)的迅速發(fā)展使得信息資源可以迅速的高度共享。隨著全球的網(wǎng)絡(luò)化，經(jīng)濟的全球化，世界縮小了，人類的工作、生活變的更加快捷方便。隨著政府上網(wǎng)、海關(guān)上網(wǎng)、電子商務(wù)、網(wǎng)上娛樂等一系列網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，因特網(wǎng)正在越來越多地離開原來單純的學(xué)術(shù)環(huán)境，融入到經(jīng)濟、軍事、科技、教育等各個領(lǐng)域中。電子商務(wù)、遠程教育、網(wǎng)上醫(yī)療漸漸步入千家萬戶，網(wǎng)絡(luò)吸引了億萬用戶，它已經(jīng)成為人們生活的一部分。

1.2 網(wǎng)絡(luò)安全現(xiàn)狀

Internet正在越來越多地融入到社會的各個方面[1]。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關(guān)的“大事情”。尤其對于政府和軍隊而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)上內(nèi)容的豐富，互聯(lián)網(wǎng)猶如空氣、水融于世界每個角落。互聯(lián)網(wǎng)不只是高科技的象征，它已成為整個國民經(jīng)濟的神經(jīng)網(wǎng)絡(luò)。企業(yè)上網(wǎng)不僅是一種時尚，更成為企業(yè)成功的必選項。截止到年2001年4月3日，在我國已有的個網(wǎng)站中，企業(yè)網(wǎng)站所占比重最大，為77.8%，到,2001年底全國通過網(wǎng)絡(luò)進行的電子交易達近4萬億美元。然而，在企業(yè)紛紛享受現(xiàn)代文明成果之時，網(wǎng)絡(luò)潛在的危害也在威脅著企業(yè)[2]。據(jù)統(tǒng)計，2001年全球電腦病毒造成的經(jīng)濟損失高達129億美元，僅紅色代碼給企業(yè)和個人造成的經(jīng)濟損失就達26.2億美元，90%的網(wǎng)站均遭受過網(wǎng)絡(luò)攻擊。

2000年2月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務(wù)器，使 3

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

其不能提供正常服務(wù)。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。

國內(nèi)網(wǎng)站也未能幸免于難，新浪、當當書店、EC123等知名網(wǎng)站也先后受到黑客攻擊[3]。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運作。

客觀地說，沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計，平均每20秒鐘就有一個網(wǎng)絡(luò)遭到入侵。僅在美國，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟損失就超過100億美元。

1.2 本文的主要內(nèi)容及組織結(jié)構(gòu)

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 企業(yè)網(wǎng)絡(luò)安全需求及隱患

企業(yè)網(wǎng)絡(luò)通常采用TCP/IP、WWW、電子郵件、數(shù)據(jù)庫等通用技術(shù)和標準，依托多種通信方式進行廣域連接，覆蓋系統(tǒng)的大部分單位，傳輸、存儲和處理的信息大都涉及到行業(yè)內(nèi)部信息。因此必須對信息資源加以保護，對服務(wù)資源予以控制和管理。

2.1 企業(yè)網(wǎng)絡(luò)安全需求

2.2 企業(yè)網(wǎng)絡(luò)安全隱患

網(wǎng)絡(luò)的入侵不僅來自網(wǎng)絡(luò)外部，也來自于網(wǎng)絡(luò)內(nèi)部，由于辦公網(wǎng)絡(luò)在用途和實現(xiàn)方式上與公眾網(wǎng)絡(luò)有所不同，大部分辦公網(wǎng)絡(luò)都采用內(nèi)部網(wǎng)的形式進行組建，外部網(wǎng)相對而言網(wǎng)絡(luò)節(jié)點數(shù)量和信息量都較少，敏感信息一般存放在內(nèi)部網(wǎng)絡(luò)中，而且內(nèi)外網(wǎng)之間大多采用了較強的保護甚至物理隔離措施，因此大多數(shù)的安全威脅來自網(wǎng)絡(luò)內(nèi)部，而非外部，其原因主要有：

一般來說，大部分機構(gòu)的信息安全保護措施都是“防外不防內(nèi)”，很多辦公網(wǎng)絡(luò)賴以保障其安全的防火墻系統(tǒng)大部分位于網(wǎng)絡(luò)邊界，對來自內(nèi)部的攻擊毫無作用。

內(nèi)部人員最容易接觸敏感信息，而且對系統(tǒng)的結(jié)構(gòu)、運作都非常熟悉，因此行動的針對性很強，很容易危害系統(tǒng)的核心數(shù)據(jù)和資源，而且很難被發(fā)覺。

內(nèi)部人員可能采用常用的非法用戶技術(shù)和軟件對辦公網(wǎng)絡(luò)進行測試。

2.3 安全問題對企業(yè)網(wǎng)絡(luò)的危害

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 電信企業(yè)網(wǎng)絡(luò)安全策略

3.1 訪問控制策略

訪問控制的目的是防止非法訪問，實現(xiàn)用戶身份鑒別和對重要網(wǎng)絡(luò)、服務(wù)器的安全控制[4]。防火墻就是一類較有效并廣泛應(yīng)用的網(wǎng)絡(luò)訪問控制設(shè)備，它主要通過對IP地址、端口號等進行控制和設(shè)置應(yīng)用安全代理等措施，實現(xiàn)內(nèi)部被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離。

在安全規(guī)則上，企業(yè)網(wǎng)絡(luò)可以針對單獨的主機、一組主機、一段網(wǎng)絡(luò)，按照網(wǎng)絡(luò)協(xié)議進行設(shè)置，面向?qū)ο蟮陌踩?guī)則編輯；根據(jù)網(wǎng)絡(luò)通訊端口設(shè)置安全規(guī)則，針對企業(yè)保護對象只開放某些服務(wù)端口；根據(jù)信息傳輸方向設(shè)置安全規(guī)則，同時在安全規(guī)則中設(shè)置允許、拒絕等操作方式；按照星期幾或每一天具體的時間設(shè)置，實現(xiàn)訪問控制；根據(jù)網(wǎng)絡(luò)服務(wù)設(shè)置安全規(guī)則。

3.2 信息加密策略

信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)[5]。網(wǎng)絡(luò)加密常用的方法有鏈路加密、節(jié)點加密和端點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護；端端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

3.3 內(nèi)外網(wǎng)互聯(lián)安全策略

隨著網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，安全策略的制訂和實施是一個動態(tài)的延續(xù)過程。需要制定周密可靠的安全體制以保護內(nèi)網(wǎng)的機密信息、阻隔外網(wǎng)對內(nèi)網(wǎng)系統(tǒng)的有害侵襲以及有效的管理和限制內(nèi)網(wǎng)用戶對外網(wǎng)資源的訪問等。為保證企業(yè)辦公網(wǎng)絡(luò)的安全性，一般采用以下一些策略:(1)利用防火墻技術(shù)。它是以TCP/ IP體系架構(gòu)為核心，針對具體應(yīng)用和用戶角色進行智能決策的系統(tǒng)，以保護網(wǎng)絡(luò)的可用性、系統(tǒng)服務(wù)的連續(xù)性;防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問;檢測各種入侵、攻擊和異常事件，并以響應(yīng)的方式通知相關(guān)人員，管理人員根據(jù)警報信息及時修改相應(yīng)的安全策略;通過防火墻的http訪問控制管理，過濾網(wǎng)絡(luò)地址URL，對URL中的路徑部分以及網(wǎng)頁內(nèi)容進行過濾、對JAYAAP2 PLET、ACTIVEX過濾；通過防火墻的FTP訪問控制管理，提供命令級的過濾功能、部分命令參數(shù)的過濾功能、限制用戶的訪問，對用戶名進行 6

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

過濾、保護FTP服務(wù)器信息。

(2)利用入侵檢測技術(shù)。入侵檢測技術(shù)可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)，給網(wǎng)絡(luò)安全策略的制定提供依據(jù)。入侵檢測系統(tǒng)可以監(jiān)視、分析用戶級系統(tǒng)活動；構(gòu)造變化和弱點的審計;識別反映己知進攻的活動模式并向網(wǎng)管人員報警;操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

(3)利用VLAN技術(shù)。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。運用VLAN技術(shù)跨越交換機按功能對網(wǎng)絡(luò)進行統(tǒng)一的VLAN劃分，可以將通信限定在同一虛網(wǎng)中，形成特別有效的限制非授權(quán)訪問的屏障。如在集中式網(wǎng)絡(luò)環(huán)境下，將中心的所有服務(wù)器系統(tǒng)集中到一個VLAN中，將網(wǎng)管工作站、系統(tǒng)管理員經(jīng)常用來登陸服務(wù)器的工作站等高安全性的用戶組織到另一個VLAN中，在這些VLAN里不允許有任何用戶節(jié)點，從而較好的保護敏感資源，在分布式網(wǎng)絡(luò)環(huán)境下，可按機構(gòu)和部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點都在各自的VLAN內(nèi)，互不侵擾。

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 數(shù)據(jù)備份策略

對企業(yè)服務(wù)器及數(shù)據(jù)應(yīng)利用防火墻實現(xiàn)雙機熱備份和災(zāi)難冗余。對于需要高度可靠性的用戶，一定要選用具有雙機熱備份功能的防火墻，在同一個網(wǎng)絡(luò)節(jié)點使用兩個配置相同的防火墻，正常情況下一個處于工作狀態(tài)，另一個處于備份狀態(tài)，當工作狀態(tài)的系統(tǒng)出現(xiàn)故障時，備份狀態(tài)的防火墻自動切換到工作狀態(tài)，保證網(wǎng)絡(luò)的正常使用。備用防火墻系統(tǒng)能夠在一秒鐘內(nèi)完成整個切換過程，不需要人為操作和除兩個防火墻以外的其他系統(tǒng)的參與，而且整個切換過程不影響網(wǎng)絡(luò)上的任何通訊連接和信息傳輸。如果是不具有雙機熱備份功能的防火墻，即使能夠做到雙機熱備份，一旦出現(xiàn)故障時，備用防火墻需要10秒鐘以上才能替代主用防火墻正常工作，網(wǎng)絡(luò)上的所有服務(wù)連接均需要重新建立，費時費力而且會造成很大損失。

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 結(jié)論

隨著網(wǎng)絡(luò)建設(shè)的發(fā)展，企業(yè)網(wǎng)絡(luò)的規(guī)模將越來越大，網(wǎng)絡(luò)安全管理工作將越來越復(fù)雜，網(wǎng)絡(luò)安全維護將是企業(yè)的一項重要任務(wù)。在維護網(wǎng)絡(luò)安全時，必須結(jié)合網(wǎng)絡(luò)安全防范技術(shù)，綜合考慮安全因素，制定合理的管理方案、有效的技術(shù)方案，采取切實可行的安全防護措施，逐步完善的網(wǎng)絡(luò)安全防護體系，增強每個網(wǎng)絡(luò)用戶的安全意識，從根本上解決網(wǎng)絡(luò)安全問題。

榆林電信分公司網(wǎng)絡(luò)安全系統(tǒng)涉及的安全方案考慮到了榆林電信分公司網(wǎng)絡(luò)安全系統(tǒng)的實際情況，均衡了性能價格比，從整個系統(tǒng)的可靠性，穩(wěn)定性，安全性和可擴展性多方面進行了考慮，有如下優(yōu)勢：

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

參考文獻

[1]陳則徐.淺析企業(yè)網(wǎng)絡(luò)安全策略,電腦知識與技術(shù)2009.3，5(9):106-108 [2] Roberta Bmgg，CISSE Certified Information Systems Security Professional．北京：人民郵電出版社，2003：98～102 [4]胡春安.中小型企業(yè)網(wǎng)絡(luò)升級方案的研究:[碩士學(xué)位論文].華中科技大學(xué),2006.9,34-40 [4]仇劍鋒.基于VLAN和三層交換的企業(yè)網(wǎng)絡(luò)安全策略研究[碩士學(xué)位論文].中南大學(xué)，2006.10,8-12 [5] 1912E巖明，冼沛勇．建立數(shù)據(jù)安全系統(tǒng)，維護企業(yè)信息安全．計算機與網(wǎng)絡(luò)，2003，(24)：19-21 10

第三篇：淺談電信網(wǎng)絡(luò)安全

一、選題的依據(jù)及意義：

老師在課堂也也時刻點明這我們這個是隨著互聯(lián)網(wǎng)的興起的時代,而我們這些IT人又面臨著更新一步的IT技術(shù)。面對TCP/IP協(xié)議簇的采用,各種應(yīng)用層出不窮,傳統(tǒng)的固定網(wǎng)、移動網(wǎng)與互聯(lián)網(wǎng)的聯(lián)系越來越緊密。有線、無線等各種接入方式不斷推出,企業(yè)網(wǎng)、ISP、ICP、個人電腦等都以不同的方式與互聯(lián)網(wǎng)等網(wǎng)絡(luò)相聯(lián)。這樣,雖然用戶使用方便了,但網(wǎng)絡(luò)安全問題的威脅也增加了,往往一個點或一個地方的問題會影響到其他地方、其他網(wǎng)絡(luò),甚至多個網(wǎng)絡(luò)。

同時，我在外面所報名的華三H3C的NE課程中也認識到網(wǎng)絡(luò)安全問題的重要性：當前,威脅網(wǎng)絡(luò)安全的主要有木馬程序病毒、蠕蟲病毒、電子郵件攻擊、Web攻擊、軟件漏洞、系統(tǒng)漏洞、拒絕服務(wù)(DoS)攻擊、IP地址欺騙、即時通信攻擊、端到端攻擊、緩沖溢出等。

從上述威脅網(wǎng)絡(luò)的種種可以看出,黑客與病毒的目的不外呼是破壞系統(tǒng)和竊取信息。面對這一形勢,目前電信網(wǎng)絡(luò)如何增強其安全性呢?

二、本課題研究內(nèi)容：

首先我們就先來看互聯(lián)網(wǎng)和電信網(wǎng)的特點：

電信網(wǎng)絡(luò)的特點

傳統(tǒng)的電信網(wǎng)絡(luò)(PSTN)是基于電路交換的方式,面向連接,網(wǎng)絡(luò)QoS有保證。其網(wǎng)絡(luò)的安全性體現(xiàn)在網(wǎng)絡(luò)的可靠性和可用性,網(wǎng)絡(luò)的可靠性涵蓋了傳輸系統(tǒng)和相應(yīng)的設(shè)備,可靠性的指標很高,設(shè)備間的連接電路也有相同的可靠性要求,并且還設(shè)計了冗余備份和保護倒換等技術(shù)來進一步保證系統(tǒng)的可靠性。

PSTN對用戶的信息是透明的,網(wǎng)絡(luò)保證不對用戶信息進行任何的修改和破壞。用戶信息也不會對網(wǎng)絡(luò)節(jié)點設(shè)備構(gòu)成任何沖擊和危害。

PSTN的網(wǎng)絡(luò)安全還包含運營網(wǎng)絡(luò)不得隨意使用加密技術(shù),而對于個人用戶的私人保密是以不危及國家安全為限的。在傳統(tǒng)的電信網(wǎng)中,用戶數(shù)據(jù)加密是有規(guī)定的,普通用戶數(shù)據(jù)是不準加密的,商密用戶,普密用戶,絕密用戶可以使用密碼技術(shù)加密,但必需經(jīng)過相關(guān)部門批準。

互聯(lián)網(wǎng)的特點

互聯(lián)網(wǎng)是基于分組交換的方式,面向無連接,網(wǎng)絡(luò)QoS保證較差?；ヂ?lián)網(wǎng)又可稱為IP網(wǎng),傳統(tǒng)的PSTN網(wǎng)由于是面向連接,一條鏈路要么接通,要么不通,問題容易發(fā)現(xiàn)也容易解決。而IP網(wǎng)是無連接的,其網(wǎng)絡(luò)的路由和流量分配都是隨機的,不同的流量分配帶來的網(wǎng)絡(luò)效率也不一樣。IP網(wǎng)絡(luò)攻擊源無處不在,難以追蹤和查找,使IP網(wǎng)絡(luò)維護的復(fù)雜性大大增加。

近年來,由于互聯(lián)網(wǎng)的迅猛發(fā)展,新業(yè)務(wù)及傳統(tǒng)業(yè)務(wù)的迅速IP化,終端設(shè)備的智能化,網(wǎng)絡(luò)規(guī)模越來越大,網(wǎng)絡(luò)的安全問題也越來越突出,加上互聯(lián)網(wǎng)的不可管理,不可控制,網(wǎng)絡(luò)只保證通達,而把安全問題交給了用戶的一些網(wǎng)絡(luò)設(shè)計中,這樣就進一步惡化。上面所談的一些威脅安全的種類都是由于互聯(lián)網(wǎng)及其業(yè)務(wù)的發(fā)展所引起的。而當今互聯(lián)網(wǎng)已把PSTN和移動網(wǎng)緊密地聯(lián)系起來了,如VoIP業(yè)務(wù)的迅猛發(fā)展更是和每個網(wǎng)絡(luò)有關(guān)系。這樣上述的網(wǎng)絡(luò)安全的種種自然也帶給了電信網(wǎng)絡(luò)。

從客觀來講二者之間的差異一目了然，可二者的技術(shù)關(guān)聯(lián)是密不可分的?；ヂ?lián)網(wǎng)和電信網(wǎng)的普遍性、加密性、覆蓋面廣決定了我們所依賴此類網(wǎng)絡(luò)的前提。下面我們談?wù)勂浞婪叮?/p>

網(wǎng)絡(luò)安全的防范

網(wǎng)絡(luò)安全的防范是一個體系和系統(tǒng),必需協(xié)調(diào)法律,技術(shù)和管理三個方面。要集成防護,監(jiān)測,響應(yīng),恢復(fù)等多種技術(shù)。

網(wǎng)絡(luò)安全的防范是通過各種計算機,網(wǎng)絡(luò),密碼和信息安全技術(shù),保護在網(wǎng)絡(luò)中傳輸,交換和存儲信息的機密性,完整性和真實性,并對信息的傳播及內(nèi)容進行控制。

網(wǎng)絡(luò)按全的防范從技術(shù)層次上看,主要有防火墻技術(shù),入侵監(jiān)測(IDS/IPS,IPS可以做到一手檢測,一手阻擊)技術(shù),數(shù)據(jù)加密技術(shù)和數(shù)據(jù)恢復(fù)技術(shù),此外還有安全協(xié)議,安全審計,身份認證,數(shù)字簽名,拒絕服務(wù)等多種技術(shù)手段。這里特別需要指出的是防火墻,防病毒和安全協(xié)議的技術(shù)。防火墻守住網(wǎng)絡(luò)門戶,防病毒是網(wǎng)絡(luò)的第一把保護傘,安全協(xié)議提供了身份鑒別,密鑰分配,數(shù)據(jù)加密,防信息重傳,以及通信雙方的不可否認性等重要功能。

三、研究目標、主要特色及工作進度：這里的電信網(wǎng)包括電信,移動等運營商的固定網(wǎng)和移動網(wǎng),以及專門供運營商使用的專用網(wǎng),如DCN(數(shù)據(jù)通信網(wǎng))等。電信網(wǎng)絡(luò)的安全保障可從以下幾方面考慮:

1.在電信網(wǎng)絡(luò)各節(jié)點處構(gòu)筑防御(如防火墻),防止外網(wǎng)影響內(nèi)網(wǎng)。這里說的節(jié)點就是與其他各種網(wǎng)絡(luò)連接的地方,除固定網(wǎng)與移動網(wǎng)外,還有ISP,ICP,企業(yè)網(wǎng),個人電腦等許多終端設(shè)備。

2.建立一個統(tǒng)一,完善的安全防護體系,該體系不僅包括防火墻,網(wǎng)關(guān),防病毒及殺毒軟件等產(chǎn)品,還有對運營商安全保障的各種綜合性服務(wù)措施,通過對網(wǎng)絡(luò)的管理和監(jiān)控,可以在第一時間發(fā)現(xiàn)問題,解決問題,防患于未然。

3.在互聯(lián)網(wǎng)日益廣泛應(yīng)用的今天,為保障電信網(wǎng)絡(luò)的安全,必需樹立全程安全的觀念。全程安全就是在安全的每個過程中,如物理層,網(wǎng)絡(luò)層,接入終端,服務(wù)層面,人員管理等每個和安全有關(guān)的過程都要添加相應(yīng)的安全措施,并且還要考慮安全隨時間變化的因素,也就是說,無論用戶在任何特定的時間,用戶的安全性都能得到保障。

4.需要建立安全管理機制。例如,口令管理;各種密鑰的生成,分發(fā)與管理;全網(wǎng)統(tǒng)一的管理員身份鑒別與授權(quán);建立全系統(tǒng)的安全評估體系;建立安全審計制度;建立系統(tǒng)及數(shù)據(jù)的備份制度;建立安全事件/安全報警反應(yīng)機制和處理預(yù)案;建立專門的安全問題小組和快速響應(yīng)體系的運作等。為了增強系統(tǒng)的防災(zāi)救災(zāi)能力,應(yīng)制定災(zāi)難性事故的應(yīng)急計劃,如緊急行動方案,資源(硬件,軟件,數(shù)據(jù)等)備份及操作計劃,系統(tǒng)恢復(fù)和檢測方法等。

5.建立專門的數(shù)據(jù)容災(zāi)系統(tǒng)。其內(nèi)容主要是數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)。數(shù)據(jù)容災(zāi)是指建立一個異地的數(shù)據(jù)系統(tǒng),該系統(tǒng)是本地關(guān)鍵應(yīng)用的一個實時復(fù)制,當本地數(shù)

據(jù)及整個應(yīng)用系統(tǒng)發(fā)生災(zāi)難時,系統(tǒng)至少在異地保存一份可用的關(guān)鍵業(yè)務(wù)的數(shù)據(jù)。應(yīng)用容災(zāi)是在數(shù)據(jù)容災(zāi)的基礎(chǔ)上在異地建立一套完整的,與本地相當?shù)膫浞輵?yīng)用系統(tǒng)(可以互為備用),在遇到災(zāi)難時,遠程系統(tǒng)迅速接管業(yè)務(wù)運行。

2、主要特色：網(wǎng)絡(luò)管理是電信網(wǎng)絡(luò)運營商的重要手段之一。它監(jiān)控網(wǎng)絡(luò)話務(wù)量及路由繁忙的情況,以及設(shè)備及鏈路的可靠運行。網(wǎng)絡(luò)管理在網(wǎng)絡(luò)內(nèi)部安全方面具有先天的優(yōu)勢,它可以通過對網(wǎng)絡(luò)流量發(fā)生異常的分析及深度檢測,對IP數(shù)據(jù)進行截獲,發(fā)現(xiàn)已知及未知的新型侵入者。通過網(wǎng)絡(luò)管理中增加的安全手段還可對多數(shù)安全設(shè)備顧及不到的4-7 層的內(nèi)容安全與網(wǎng)絡(luò)行為的法律取證等采取有效措施。因此,網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全管理相結(jié)合將使電信運營商能更有效地保障電信網(wǎng)絡(luò)的安全。

第四篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進行完善擴充，建成互聯(lián)互通、標準統(tǒng)一、結(jié)構(gòu)簡單、功能完善、安全可靠、高速實用、先進穩(wěn)定的級別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對所有的信息資源、空間、信用等數(shù)據(jù)進行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機房、安全管理與維護。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵擾、網(wǎng)絡(luò)資源的非法使用以及計算機病毒等。都將對政府機構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對其網(wǎng)絡(luò)進行專門安全設(shè)計。

所謂電子政務(wù)就是政府機構(gòu)運用現(xiàn)代計算機技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時實現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，向全社會提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動社會信息化的新途徑，創(chuàng)造了政府實施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。非法進入的攻擊者可能竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險分析

網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風(fēng)險分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機關(guān)內(nèi)部網(wǎng)上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴重的安全威脅。因此，對于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過數(shù)字簽名及認證技術(shù)來保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。

遠程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對外的應(yīng)用。如何地有效解決遠程用戶安全訪問網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴展性強、便于管理和實現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。根據(jù)國家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過現(xiàn)有公有平臺搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過認證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認證，但它沒有很強的訪問控制功能，例如狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下，防火墻無法對VPN的數(shù)據(jù)流量進行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當前安全產(chǎn)品的發(fā)展趨勢，能提供一個靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點是，它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴格的訪問控制策略的檢查，保護VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實現(xiàn)兩個或多個政府機關(guān)之間跨越因特網(wǎng)的政府機關(guān)內(nèi)部網(wǎng)絡(luò)連接，實現(xiàn)了安全的政府機關(guān)內(nèi)部的數(shù)據(jù)通信。通過防火墻內(nèi)部策略控制體系，對VPN的數(shù)據(jù)可以進行有效的控制和管理，使政府機關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴展性和管理性。

圖示：政府機關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過加密封裝在另外一個IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強度的、動態(tài)變換的密鑰來保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級別的安全防御體系，使政府機關(guān)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達到政府機關(guān)內(nèi)部網(wǎng)絡(luò)安全擴展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析

（一）來自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴重的安全威脅。因為，每天黑客都在試圖闖入Internet節(jié)點，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過Sniffer等程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進行攻擊。

入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進行攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應(yīng)用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進行安全配置，比如，填補安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內(nèi)部網(wǎng)是不容易，這需要相當高的技術(shù)水平及相當長時間。因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統(tǒng)帶來不安全因素。

病毒侵害

自從1983年世界上第一個計算機病毒出現(xiàn)以來，在20多年的時間里，計算機病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計算機之間的遠程控制越來越方便，傳輸文件也變得非?？旖?，正因為如此，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴重，病毒的發(fā)作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強大而易學(xué)的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡(luò)上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對政府行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取，篡改?，F(xiàn)今很多先進技術(shù)，黑客或一些工業(yè)間諜會通過一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對政府行業(yè)用戶來說，是決不允許的。

管理的安全風(fēng)險分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。

機房重地卻是任何都可以進進出出，來去自由。存有惡意的入侵者便有機會得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。即除了從技術(shù)上下功夫外，還得依靠安全管理來實現(xiàn)。

防火墻系統(tǒng)設(shè)計方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進行訪問控制的功能。通過防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計，控制授權(quán)合法用戶可以訪問到授權(quán)服務(wù)，而限制非授權(quán)的訪問。曙光天羅防火墻分為百兆和千兆兩個系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計異常的入侵檢測功能，實現(xiàn)了可擴展的攻擊檢測庫，真正實現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊，可以自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個網(wǎng)絡(luò)提供動態(tài)的網(wǎng)絡(luò)保護。

3、利用曙光天羅防火墻自帶的VPN功能，實現(xiàn)多級VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠程訪問虛擬網(wǎng)(撥號VPN)和政府機關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實現(xiàn)他們之間分層次的政府機關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN)；而對于一些規(guī)模比較小的區(qū)線或移動用戶，通過安裝VPN客戶端，實現(xiàn)遠程訪問虛擬網(wǎng)(撥號VPN)，整個構(gòu)成一個安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對象減少對昂貴租用線路和復(fù)雜遠程訪問方案的依賴性。

也是至關(guān)重要的一點，它可以使移動用戶和一些小型的分支機構(gòu)的網(wǎng)絡(luò)開銷減少達50%或更多；

政府機關(guān)新增的分支機構(gòu)或站點可以非常迅速方便地加入政府機關(guān)已建的基于VPN的INTRANET，所以VPN的可擴展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機關(guān)INTRANET的技術(shù)手段，如點對點專線或長途撥號；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機會，包括：進行全球電子商務(wù)，可以在減少銷售成本的同時增加銷售量；實現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動用戶。

在當今全球激烈競爭的環(huán)境下，最先實現(xiàn)VPN的政府機關(guān)將在競爭獲得優(yōu)勢已經(jīng)是不爭的事實，許多政府機關(guān)也開始紛紛利用經(jīng)濟有效的VPN來傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)； ◆ 實現(xiàn)本地撥號接入的功能來取代遠距離接入，這樣能顯著降低遠距離通信的費用； ◆ 遠端驗證撥入用戶服務(wù)基于標準，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來； ◆ 強大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴展性，簡便地對加入網(wǎng)絡(luò)的新用戶進行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時也支持傳統(tǒng)的應(yīng)用，可以從小的政府機關(guān)擴展到最大的政府機關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進入同一Internet連接。VPN代表了當今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點（簡單和低成本），必將成為未來傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過硬件和軟件的方式來實現(xiàn)VPN功能，一般用戶都會使用硬件設(shè)備。在總部架設(shè)一個帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個最大的優(yōu)點是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對服務(wù)器的保護

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實施方案時要對服務(wù)器的安全進行一系列安全保護。

如果服務(wù)器沒有加任何安全防護措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著“黑客”各種方式的攻擊，安全級別很低。因此當安裝防火墻后，所有訪問服務(wù)器的請求都要經(jīng)過防火墻安全規(guī)則的詳細檢測。只有訪問服務(wù)器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對內(nèi)網(wǎng)的保護

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，我們必須要對它進行詳盡的分析，盡可能防護到網(wǎng)絡(luò)的每一節(jié)點。

對于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機沒有進行基本的安全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機到單機訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時。一般內(nèi)部用戶對于網(wǎng)絡(luò)安全防范的意識不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報道，如果網(wǎng)絡(luò)主機保護不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機會、方法很多，如果沒有專門的安全防護，“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊（CRACK），對于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來進行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨立的控制體系，對于內(nèi)部網(wǎng)的訪問同樣要進行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護：結(jié)合物理層和鏈路層的特點，在物理層和鏈路層的接口處實施安全控制，實施IP/MAC綁定。

IDS詳述

IDS（入侵檢測系統(tǒng)）對于關(guān)心網(wǎng)絡(luò)安全防護的人們來說已不再是一個陌生的名詞，在許多行業(yè)的計算機網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認證加密等系統(tǒng)外，有近15%的安全項目會涉及到IDS系統(tǒng)，而且這些項目一般都對安全等級的要求非常高，對數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對它進行合理部署。通常IDS監(jiān)控保護的基本單位是一個網(wǎng)段，單個網(wǎng)段的最小組成元素是各臺主機，政府機關(guān)對各主機、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護對象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測策略，而在防火墻之外部署則可采用較為寬松的策略，因為經(jīng)過防火墻過濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對比較簡單，而外部的情況則較為復(fù)雜，誤報的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機也可能會觸發(fā)IDS的檢測引擎，從而形成報警，而對于用戶來說，這些報警事件是沒有什么參考價值的，所以需要在檢測范圍中排除這些主機的IP地址；通常IDS系統(tǒng)中都有一個過濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項，可以允許用戶加入所有他們所信任的主機IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測技術(shù)來組建，它們的基本原理是對網(wǎng)絡(luò)上的所有數(shù)據(jù)包進行復(fù)制并檢測，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫（規(guī)則庫）進行匹配比較，如果相符即產(chǎn)生報警或響應(yīng)。這種檢測方式雖然比異常統(tǒng)計檢測技術(shù)要更加精確，但會給IDS帶來較大的負載，所以需要對檢測策略作進一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對所選的策略進行修改，選擇具有參考價值的檢測規(guī)則，而去除一些無關(guān)緊要的選項，如對于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外，還提供了對端口掃描檢測規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對網(wǎng)絡(luò)上各種非法行為產(chǎn)生報警外還能對一些特定的事件進行實時的響應(yīng)，因為只有采取及時的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對網(wǎng)絡(luò)中的非法連接進行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進行監(jiān)控時，不但需要查看它的報警提示，而且需要參考它所提供的實時狀態(tài)信息。因為在網(wǎng)絡(luò)中發(fā)生異常行為時，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機正遭到拒絕服務(wù)攻擊時（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會急速上升，這時可以從包流量或字節(jié)流量等實時的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實時狀態(tài)信息還包括當前的活動TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價值之一是它能提供事后統(tǒng)計分析，所有安全事件或?qū)徲嬍录男畔⒍紝⒈挥涗浽跀?shù)據(jù)庫中，可以從各個角度來對這些事件進行分析歸類，以總結(jié)出被保護網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢，及時發(fā)現(xiàn)網(wǎng)絡(luò)或主機中存在的問題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計一個高安全性、高可靠性及高性能的防火墻安全保護系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。

各局的局域網(wǎng)計算機工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機上。由于工作站分布較廣且全部連接，可以通過電子政務(wù)網(wǎng)絡(luò)進行相互訪問，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進行隔離防護。

如下圖，我們在各局路由器后安裝曙光TLFW千兆防火墻，以有三千用戶在同時上Internet網(wǎng)計算，千兆防火墻的并發(fā)連接超過600,000，完全可以滿足整個網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對安全性的不同需求，將它們分等級劃分為不同的區(qū)域，并通過詳細的包過濾規(guī)則制定，將這些服務(wù)器徹底保護起來，保證它們之間不能跨級別訪問，這樣實現(xiàn)分級的安全性。

通過安裝防火墻，可以實現(xiàn)下列的安全目標：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護措施，保證系統(tǒng)安全；

3)利用防火墻對來自非內(nèi)部網(wǎng)的服務(wù)請求進行控制，使非法訪問在到達主機前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計記錄，形成一個完善的審計體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計拓撲圖：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓撲

根據(jù)以上的分析，在整個政府網(wǎng)絡(luò)安全體系中，除了負責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測系統(tǒng)進行共同防范，達到整個系統(tǒng)的高安全性。

同時因為用戶有撥號VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計的全中文化WWW管理界面，通過直觀、易用的界面來管理強大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強大的訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過濾等功能。

根據(jù)電子政務(wù)的實際需要，充分利用了曙光天羅防火墻的各功能模塊，實現(xiàn)了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)的重點防護，構(gòu)建了一個整合的動態(tài)安全門戶，以比較經(jīng)濟實惠的方式，實現(xiàn)了對電子政務(wù)網(wǎng)絡(luò)的整體安全防護。

第五篇：電信企業(yè)計算機網(wǎng)絡(luò)安全構(gòu)建策略分析

電信企業(yè)計算機網(wǎng)絡(luò)安全構(gòu)建策略分析

摘要 隨著互聯(lián)網(wǎng)的應(yīng)用，我國的電信網(wǎng)絡(luò)安全面臨著越來越多的挑戰(zhàn)。本文對我國電信計算機網(wǎng)絡(luò)的現(xiàn)狀進行了分析，從技術(shù)層面和管理層面出發(fā)提出了改進計算機網(wǎng)絡(luò)安全的建議。

關(guān)鍵詞 電信網(wǎng)絡(luò)；計算機網(wǎng)絡(luò)；安全

0引言

隨著計算機技術(shù)和通信技術(shù)的融合，電信企業(yè)建立起了以計算機網(wǎng)絡(luò)作為基礎(chǔ)的電信支撐系統(tǒng)。這提高了電信企業(yè)的運營水平，但是同時也帶來了很多新的問題。因此，加強電信企業(yè)計算機網(wǎng)絡(luò)的安全管理，讓安全的網(wǎng)絡(luò)為暢通的電信系統(tǒng)保駕護航至關(guān)重要。本文擬對電信計算機網(wǎng)絡(luò)中存在的安全問題進行分析，并對提高電信計算機網(wǎng)絡(luò)安全建設(shè)策略提出了建設(shè)思路。電信計算機網(wǎng)絡(luò)的安全現(xiàn)狀

1.1 源自網(wǎng)絡(luò)層面的相關(guān)問題

這其中最主要的問題是由于網(wǎng)絡(luò)的開放性和交互性的增強，計算機病毒橫行，而電信網(wǎng)絡(luò)規(guī)模大，無法避免在某個時段和環(huán)節(jié)與因特網(wǎng)相連，因此感染計算機病毒，常見和棘手，有些病毒諸如網(wǎng)絡(luò)蠕蟲病毒，可以消耗帶寬，造成拒絕服務(wù)攻擊。其次，雖然電信計算機網(wǎng)絡(luò)上也有防火墻系統(tǒng)，但是防火墻系統(tǒng)主要阻止的是來自網(wǎng)絡(luò)外部的，非法的訪問，對于各專業(yè)子系統(tǒng)間的不安全訪問無法發(fā)揮多大作用。再次，盡管部分路由器配置了ACL，但是訪問控制表不能實現(xiàn)復(fù)雜繁復(fù)的安全控制策略。由于所有的系統(tǒng)都有可能存在漏洞，所以，增加了因為IOS協(xié)議漏洞造成路由器遭受攻擊的可能性。另外，由于用戶的增加，網(wǎng)絡(luò)結(jié)構(gòu)的不合理也漸漸暴露，因特網(wǎng)的骨干網(wǎng)一般都是網(wǎng)狀結(jié)構(gòu)，容易出現(xiàn)網(wǎng)絡(luò)擁堵。在電信企業(yè)內(nèi)部，由于計算機網(wǎng)絡(luò)都是管理存在保留IP地址的做法，因此IP地址的合理分配是網(wǎng)絡(luò)安全的重要保證，曾經(jīng)就發(fā)生過由于IP地址混亂造成電信計算機網(wǎng)無絡(luò)法使用的現(xiàn)象[1]。

1.2 人為因素帶來的安全問題

工作人員在日常工作中安全意識薄弱，可能由于各種原因丟失了主機口令，或者不能及時對主機口令等更新，這使得保護系統(tǒng)設(shè)備和網(wǎng)絡(luò)的口令容易被黑客破解，黑客獲取了權(quán)限，就會嚴重危害電信計算機網(wǎng)絡(luò)系統(tǒng)。在公司內(nèi)部的安全管理上，各個安全機構(gòu)間信息交流少，不能協(xié)調(diào)配合處理安全事件。比如電信網(wǎng)絡(luò)的交換機，不同的應(yīng)用系統(tǒng)常劃分了不同的VLAN，VLAN間互相聯(lián)通，但是，在管理上卻是由不同的部門管理的，這就給協(xié)調(diào)的配合的處理安全事件成了障礙。

1.3 對電信計算機網(wǎng)絡(luò)安全的認識誤區(qū)

首先很多人認為電信計算機網(wǎng)絡(luò)是很安全的，唯一要提起注意的就是計算機病毒，所以計算機網(wǎng)絡(luò)安全就是及時殺毒。這是不全面的看法，網(wǎng)絡(luò)安全還受到外部黑客攻擊，內(nèi)部員工的管理等等的影響。其次，網(wǎng)絡(luò)安全問題的產(chǎn)生不僅僅都來自網(wǎng)絡(luò)外部。在實際運行過程中，很多公司出現(xiàn)網(wǎng)絡(luò)安全問題，都是來自公司內(nèi)部。比如浙江省電信系統(tǒng)某市的計費系統(tǒng)破壞事件，就是由于公司內(nèi)部員工把機密數(shù)據(jù)打包帶走。另外，不能認為有CA認證系統(tǒng)就夜宴

安全了，CA認證確實在一定時間內(nèi)代表了一定程度的網(wǎng)絡(luò)安全等級，但是不是絕對的安全。2 電信計算機網(wǎng)絡(luò)安全措施

2.1 提高網(wǎng)絡(luò)安全的技術(shù)保證

2.1.1 采用防火墻機制和Anti-DDOS系統(tǒng)

防火墻是一組或者一個網(wǎng)絡(luò)設(shè)備，比如計算機系統(tǒng)或者路由器，目的是加強多個網(wǎng)絡(luò)間的訪問控制，保護網(wǎng)絡(luò)不受到來自其他網(wǎng)絡(luò)的攻擊。為了加強電信網(wǎng)絡(luò)的安全，要在每臺交換機的操作系統(tǒng)和終端安裝防火墻，防止來自外網(wǎng)的攻擊。

2.1.2 采用訪問控制策略

訪問控制策略是電信計算機網(wǎng)絡(luò)安全的主要保護策略。通過訪問控制，可以保證電信網(wǎng)絡(luò)資源不被非法訪問和使用。目前訪問控制策略的實現(xiàn)有多種途徑，比如可以使用的入網(wǎng)訪問控制，網(wǎng)絡(luò)權(quán)限控制，網(wǎng)絡(luò)服務(wù)器安全控制，網(wǎng)絡(luò)監(jiān)測和鎖定控制，網(wǎng)絡(luò)端口和節(jié)點的安全控制等等措施。這樣的措施實施后，如果遇到無權(quán)用戶或者權(quán)限受限用戶，系統(tǒng)就會自動的終止訪問或者屏蔽一部分訪問的地址。對于需要保護的服務(wù)器也可以使用主機訪問控制軟件，鑒別請求人的合法身份以及請求的合法性[2]。

2.1.3 采用入侵檢測機制和漏洞檢測機制

分布式漏洞掃描器IS主要是通過模擬入侵，找出網(wǎng)絡(luò)的漏洞，驗證系統(tǒng)的安全，從而讓工作人員能夠及時發(fā)現(xiàn)安全隱患，采取相對的措施，比如打補丁和優(yōu)化系統(tǒng)，進行補救。分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS，和異常流量分析設(shè)備不同，異常流量分析的原理是流量采樣統(tǒng)計，在大流量的環(huán)境下有較強的檢測能力，分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)則主要是用來發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且可以為截獲和追蹤，分析網(wǎng)絡(luò)攻擊行為提供原始數(shù)據(jù)，幫助監(jiān)督和管理計算機網(wǎng)絡(luò)安全。

2.2 增強電信網(wǎng)絡(luò)的安全管理

2.2.1 建立有效的電信網(wǎng)絡(luò)安全管理制度

盡管目前我們已經(jīng)不斷提高計算機網(wǎng)絡(luò)安全技術(shù)，但是也不能忽略人員的管理工作。建立有效的管理制度很重要。筆者認為可以成立安全管理團隊，系統(tǒng)的負責(zé)的管理和監(jiān)督電信網(wǎng)路安全。管理小組可以通過分析日志，檢查漏洞等方法定期對網(wǎng)絡(luò)的安全進行檢驗，建立網(wǎng)絡(luò)安全的專人負責(zé)，對于口令也要每月修改至少一次。這樣可以充分調(diào)動人員的積極性。

2.2.2 增強電信工作人員的安全意識

電信工作人員的安全和保密意識非常重要。對員工定期進行培訓(xùn)，讓員工意識到從最基礎(chǔ)的物理層到接入終端，人員管理等等和安全有關(guān)的所有過程，都可能出現(xiàn)安全問題。在提升他們的專業(yè)能力時，也要提高他們的保密和安全意識，對相關(guān)的法律知識進行宣傳。另外，2.2.3 增強電信網(wǎng)絡(luò)的應(yīng)急能力

為了增加應(yīng)對突發(fā)情況，應(yīng)當做一個備份系統(tǒng)與其他地方的管理系統(tǒng)相連。這樣當遇到重大問題時，這個系統(tǒng)可以及時啟動，接管發(fā)生問題的系統(tǒng)。另外，應(yīng)當制定應(yīng)急預(yù)案，并且定期演習(xí)，增加網(wǎng)絡(luò)的應(yīng)急能力。結(jié)論

電信計算機網(wǎng)絡(luò)和公眾的通信息息相關(guān)，其安全運行關(guān)系到了社會的穩(wěn)定和經(jīng)濟活動的順利進行。隨著電信網(wǎng)絡(luò)不斷擴大規(guī)模，面臨著安全問題也更加嚴峻，所以必須加強電信計算機網(wǎng)絡(luò)的安全，提高電信網(wǎng)絡(luò)的安全水平。

夜宴