东软认为网络安全是一个管理和技术的平衡点。根据我们多年在网络安全防护领域的经验和实践针对无线分组网络安全建设的弱点和威胁从管理加固和技术加固方面提出以下建议。
应 用 摘 要
通常看来,在电信运营商进行安全相关的项目属于成本中心(Cost Center),相关的项目包括购买安全设备、购买安全服务、安全培训等,不直接产生营收和经济效益,所以在许多的网络建设项目中安全子系统属于附加的、从属的地位,反映在通常作为网管工程的补充,处于后台运行。这种观念在很大程度上使得“安全第一”流于空话,很多场合让位于具有严格考核指标的“生产第一”。事实上,在世界领先的电信企业中,越来越多地开始将安全本身作为一个新兴的产业来经营,主要体现在以下方面:电信网络进行了安全加强后,附带来的安全水平提高通过反映在服务水平条约(SLA)上面的提升而带来附加的收入,并且隐含的市场竞争力提升也为高等级安全电信商带来的额外的好处。在当前国内电信市场逐渐开放的氛围下,能够提供良好安全保证和客户信心的运行上必然会逐步取得竞争优势,赚取高于市场的超额利润。电信商利用自己得天独厚的带宽、机房、运行维护经验等方面的巨大优势将会成为未来管理安全服务(MSS)市场的主角。相应的业务甚至有可能成为电信商的主要业务增长点。客户在选择了该电信商提供的承载业务的同时,也意味着选择了对该电信商的某种程度上的信任。这种信任关系在未来的信息基础设施供需市场竞争中弥足珍贵。这也意味着电信商选择为用户提供附加的安全顾问和集成服务时,除了自己的网络集成经验之外,还有更高一层的竞争优势。所以,对于电信商来说,本质上加强自身安全水平的一个前提是领导决策层对于网络信息安全的观点,将它看成防护本身(成本、开销),还是将它看成业务(市场、营收),带来的决策策略也不相同。随着因特网的诞生,人们的生活方式改变了,电信运营的业务类型改变了,网络安全的概念和重要程度改变了……因此,在电信运营商激烈的市场竞争中,谁能紧紧把握住与世界联网这个时代的脉搏,更早的转变运营观念,谁就能够更好的建立好与广大用户的相互信赖关系,谁就能更早的决胜于一念之间!如何帮助电信运营商将安全相关的建设从成本中心转变成效益中心,让运营商以及广大用户“与世界安全联网”正是东软致力于解决的主题。
应 用 领 域
电信
方 案 内 容
从移动通信网络的发展看安全问题
移动业务通信运营商都以移动业务为基础,其网络按照业务划分主要包括移动网(GSM或CDMA)、互联网、数据网、无线分组网(GPRS或CDMA1X)、综合电信业务支撑系统等等。其中无线分组网是移动通信和数据通信相结合的产物,也是移动通信新的业务增长点。通过对移动无线系统的市场展望,可以看到范围广阔的业务需求正在日益增长,这些业务包括从语音和低速率数据传输一直到高速率数据传输,还包括诸如移动多媒体等的高级业务。国际电信联盟(ITU)正在进行一项有史以来最富挑战性的工程:建立第三代移动通信系统的联盟使其能够在任何时间、任何地点为全球电信的基础设施提供无线接入。这一新的标准体制被称为国际移动通信-2000(IMT-2000),通用移动通信系统(UMTS)是IMT-2000体制发展起来的最重要的第三代移动通信系统之一。UMTS可以将话音、数据和多媒体等宽带信息直接传输给移动中的个人,由于它代表了未来信息社会中创立高度个人化与用户友好移动接入的唯一机会,www将成为第三代移动通信系统的关键应用。可见,移动通信的未来是一个与数据通信紧密融合的未来。
通过包交换和传输速率的提高,无线数据通信从此为传统的无线通信网络打开了多媒体移动应用的大门,同时也打开了Internet的大门。传统的以电路交换为主的无线侧网络必须打开数据接口,使用TCP/IP协议与外界通信。这就意味着我们在呼吸万维网新鲜空气的同时,不可避免要放进来几只苍蝇和蚊子!那么怎样防止“害虫”进入或进入后kill掉它们,让移动用户能更加愉快的共享网络阳光,就是网络安全要做的事情了。
移动业务通信网络有很多指标要求,其中最重要的莫过于网络可持续性运行。通过提高网络设备性能、优化设备配置、冗余备份等等手段来保证网络的可靠性是非常必要而可行的,但是这一切都只是从内因方面着手。一旦网络设备受到安全威胁即使再漂亮的配置和再完美网络部署也无济于事,其后果不亚于失去动力系统支持造成的系统瘫痪。
从无线分组网的特点看安全问题
无线分组网系统由无线网络侧、分组网侧和internet网络侧组成(见附图),大致采用SS7和TCP/IP作为主要的通信协议,其中无线侧与分组侧的接口以及分组网与internet接口均采用TCP/IP协议类型,这就在传统的移动通信网使用SS7信令协议的基础上增加了运行维护的难度。另外,其主要服务器包括认证服务器、计费服务器、网管服务器、DNS服务器等等,多为UNIX或Windows NT操作系统。众所周知,TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。
技 术 路 线
无线分组网络安全建议
无线分组网络建设方案涉及到超大规模的网络设备和各种系统的互联,东软认为网络安全是一个管理和技术的平衡点。根据我们多年在网络安全防护领域的经验和实践针对无线分组网络安全建设的弱点和威胁从管理加固和技术加固方面提出以下建议。
管理加固建议
我们针对无线分组网的运营特点,从工程建设、网络维护、网络优化和日常管理制度等方面提出以下建议。
工程建设提倡安全评估
安全生产一直是多年来电信运营过程中强调的生产原则。安全生产除了要做到保证新的设备入网时不破坏现网运行的设备以外,还要保证新旧设备互联导致的网络拓扑变化不会存在安全隐患。东软建议在紧张的网络建设和扩容过程中稍稍放慢脚步,从全局角度考虑一下网络安全问题的设计和可扩展性。可以咨询安全专家来评估新的拓扑会出现哪些安全风险,原有的安全策略需要进行哪些调整,或者需要增加哪些安全设备部署,融安全设计到工程建设或扩容的设计方案中。实践证明,一个优秀的网络建设或扩容方案会弥补很多网络整改的成本。使“安全第一”真正落到实处,让安全真正成为盈利手段。
网络维护集中安全管理
无线分组网络系统基本为总部-省公司-地市分公司的三级结构,包括全国中心、省中心和地市三层节点,全国中心由总部统一建设,各省负责省内系统的建设,其中设备和应用主要集中在省中心,地市仅负责汇接功能,各系统的建设模式导致全国中心、省中心以及各地市之间有大量的数据通信,如各系统单独建设,将会造成了传输设备和资源的浪费,因此建议统一考虑网络安全管理问题。选择的安全产品应支持统一的管理平台,可实现集中式安全监控管理和配置管理。
网络优化不忘安全优化
在不断的网络优化过程中,建议增加对现有的安全策略进行优化的项目。比如现有防火墙部署的网络,是否考虑合理部署IDS和漏洞扫描。从安全角度和业务角度综合考虑进行网络路由结构优化、网络拓扑优化,可以增强网络稳定性和可扩展性,并有利于节约重复建设带来的成本。
健全安全管理制度
为加强网络安全建设、管理与运行维护,东软建议无线分组网要首先建立健全安全管理制度:
1. 建立安全组织机构
由于网络安全系统将直接影响各业务系统的安全性、稳定性,因此需要由专门机构(指定现有相关部门或者设立新机构,可以设置在网管中心)负责日常的管理、维护工作,该机构的职责、职能主要包括:
(1)负责保证全公司的网络安全系统的正常运行;(2)网络安全故障排除与分析诊断,与各业务系统管理人员共同排除各业务系统发生的故障,对故障进行分析,修改相应错误,保证以后不再发生类似故障;(3)对全公司网络安全系统进行优化,根据网管系统收集的整个网络性能数据,协助各业务系统管理人员共同完成业务系统的网络优化工作;(4)网络安全策略的制定与实施,根据各系统的发展情况制定和调整安全策略,并在各业务系统中实施;(5)定期对业务系统进行安全检查,发现和修补安全隐患。
2. 管理制度和操作规程
由于网络安全系统可以访问各业务系统的核心设备和数据,因此应有完善的管理制度。网络安全系统的操作人员应进行严格的权限控制,所有对核心设备的操作应有详细的日志记录,根据不同管理人员的工作职责,可以对设备进行查看、配置等不同操作。
技术加固建议
针对无线分组网的特点和安全威胁,从漏洞扫描、入侵检测、病毒防御、人员培训和安全产品服务建议等方面给出以下建议。
安全漏洞扫描
为什么要进行安全漏洞扫描?因为黑客也许会通过进攻一台主服务器邻近的疏于防范的计算机系统而绕道进攻主服务器,因此就要对大批应用服务器进行大规模系统安全检查。包括严格的服务分类,在实际应用中有时系统管理员为了自己使用的方便常常在某些服务器上开设了额外的服务,但这往往会给黑客可乘之机,因此将服务严格分类可以减少很多安全上的漏洞。对各系统进行系统安全扫描发现隐藏的系统安全漏洞,利用程序来修补系统关键的漏洞,针对系统的日常日志进安全检查。
安全漏洞扫描的工作方式在于主动进行扫描,找出系统中存在的安全漏洞和隐患,扫描对象包括两类:网络设备和主机设备。网络设备主要扫描防火墙、路由器等设备的配置是否存在安全漏洞,主机设备主要检查操作系统是否存在安全漏洞。找出安全隐患之后在执行过程中实现基于策略的安全风险管理。主机(系统)安全评估,对各业务系统的核心服务器的操作系统定期进行安全漏洞扫描和风险评估,根据扫描结果实现对主机操作系统加固,提升安全等级的工作。
目前成熟的网络安全防护系统一般采用客户端/服务器方式,主要的安全策略和系统软件集中在安全服务器上,在主机以及终端安装客户端软件实现安全检测。安全漏洞扫描由扫描服务器主动发起,对系统中的网络和主机设备进行检查,因此只需要在省中心设置安全服务器就可以检查全省各系统内设备的安全漏洞。
入侵检测
入侵检测实时监测系统中的数据包,对进出各系统的网络流量进行检测,识别非法连接请求及网络入侵,自动阻断连接,报警并记录日志;通过分析关键服务器上的内核级事件、主机日志和网络活动,执行实时的入侵检测并阻止恶意活动。无线分组网入侵检测的监测点应该为各系统的互联点和各系统与外部其它系统的连接点,也可以对每台主机进行检测。
网络入侵检测应该至少和防火墙联合使用,入侵检测系统和防火墙系统是互为补充的,建议每个防火墙后面均部署入侵检测系统。入侵检测系统还可以在内部误操作和内部攻击检测和审计方面起到巨大的作用,因此可以考虑在分组网的局域网内部署网络入侵检测系统。在一些重要的主机保护时,防火墙可能会带来性能和可用性的问题,这时候可以单独部署网络入侵检测系统。主机入侵检测系统从主机内部提供良好的防御和检测机制,但是主机入侵检测系统会对系统资源的使用造成一定影响,因此应该慎重对待。产品重要功能建议:1、自动预警功能:短信及时通知运维人员和主管运维的部长,以便能启动应急响应方案并及时制止各种非法访问;2、可持续性作业功能:对各业务系统与其它网络的接入点可以实施7X24小时的基于网络入侵检测。
病毒防护
病毒防护用于防止病毒在各系统传播和扩散,病毒防护系统应具有网络病毒防护能力,可以动态升级病毒库。对所有可能的病毒扩散途径进行,可以检查应用程序、电子邮件、网络下载文件以及网络浏览中的病毒传播。病毒防护实现方式基于目前网络系统的现状,病毒传播的隐患主要是由于部分业务系统和管理工作站的操作系统本身比较脆弱,易于感染病毒,从而可能成为病毒传播的基地。由于无线分组网络中设备种类复杂,操作系统类型不一(基本涵盖所有主流操作系统平台WinNT,Win2000,Linux, Solaris,HP-UX,AIX,SCO-UNIX等),主机和终端的管理人员分散,建议病毒防护系统采用客户端/服务器方式,在网管中心集中配置一台防病毒管理服务器,为所有需要保护的主机、终端等安装防病毒软件客户端,实现全网防病毒系统的一级集中管理,包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。
第 三 方 支 持
东软提供分层培训方案,并可以根据要求培养出若干名胜任于保证无线分组网络安全的高级网络安全专家。具体内容见第四章安全培训服务部分。