电信运营商内网安全解决方案Word格式.docx
《电信运营商内网安全解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《电信运营商内网安全解决方案Word格式.docx(12页珍藏版)》请在冰点文库上搜索。
(七)流量使用难以控制....................................................................................................................................................-6-
(八)软硬资产难以管理....................................................................................................................................................-6-
(九)无关程序私自滥用....................................................................................................................................................-6-
(十)出现问题无法审计....................................................................................................................................................-6-
二、构建“外防内控”的安全防护体系.....................................................-7-
三、GM-SMP内网安全管理平台功能描述....................................................-9-
四、GM-SMP平台优势...................................................................................-10-
五、关于国迈科技........................................................................................-10-
概要
随着信息化进程的不断加快,信息安全的问题也越来越突出,引起了各企事业单位领导和IT管理部门的高度重视。
在信息化建设过程中,企事业单位管理人员必须把信息安全工作提上战略地位,要一手抓信息化建设,一手抓信息安全保障工作。
保护国家涉密信息、单位内部核心资料、知识产权、财务信息、客户挡案等信息安全是当前各企事业单位在信息化建设中一项十分重要和紧迫的任务。
目前,大多数单位都已经部署了防火墙、杀毒软件,一些单位也进一步地部署了VPN、入侵检测和漏洞扫描,这些产品从某个程度上解决了外来安全问题,但却无法解决最容易产生问题的内网安全隐患,如何进行风险管理,保障网络高效、安全稳定地运行,已经成为各层领导普遍关注的焦点。
从各种权威的统计分析资料得知,网络受到的攻击和损失有70%以上来自内部,因此,采用先进的内网管理技术手段减轻网络管理过程中复杂、烦琐、低效的工作,主动有效地降低网络安全风险,提高网络防护能力,严防失泄密事件的发生,同时也利用技术手段能使单位的计算机管理条例和保密制度得以更好地贯彻执行,使各级信息中心的安全管理从被动的“消防队”的角色,创造主动式、预防性的管理模式,这已经迫在眉睫,势在必行。
作为内网安全专业厂商――国迈科技(荣获“XX中国最受用户欢迎的内网安全品牌”),依据国家保密标准BMB17-XX《涉及国家秘密的计算机信息系统分级保护技术要求》、以及通过对ITIL、ITSM、ISO27001、1SO17799、BS7799等IT管理标准、信息安全管理标准以的理解和实践,结合对单位信息安全管理和网络运维管理的实际问题的深入分析,向您推荐使用业界领先的“GM-SMP国迈内网安全综合管理平台”,为各单位构建“外防内控”的信息安全防护体系提供有力保障。
GM-SMP系统从信息安全控制、网络行为审计和网络运维管理三大方面着重构建完善的内网安全体系,先后荣获国家保密局、公安部、解放军保密委员会的权威认证,并已经广泛应用于部队、军工企业、政府、电信运营商、科研单位、大型跨国企业、高科技企业和制造业。
一、企事业单位内网管理面临的十大难题
(一)信息泄密防不胜防
随着信息技术的发展,信息泄密的途径也越来越复杂,我们知道泄密的途径有电磁泄漏、拷贝、
打印、文件共享、邮件、载体介质丢失、违规联网导致黑客入侵等,其中内部合法使用人员导致信息
泄密达到70%以上。
虽然有些单位网络一般采用内外网隔离,尽管如此,信息泄漏和非法外联仍然存
在很多的途径。
目前威胁主要有:
1、移动存储介质的威胁。
今年全国各省由国家保密局和国防科工委牵头组织的保密大检查中,暴露问题最多的是移动存
储介质的管理问题。
多样化的U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、以及各类FlashDisk
等移动存储介质体积越来越小,携带使用方便。
这类产品为信息传递带来便捷的同时,也给信息安
全带来严重的威胁:
?
威胁之一:
U盘信息泄漏
U盘、MP3、手机、数码相机等多样化的移动存储介质,由于携带方便、隐蔽性强、拷贝简单,
也容易丢失,这已经成为信息外泄的重要途径之一,对单位的机要信息保护带来巨大威胁。
也有些合法使用者在内外切换到外网时U盘忘了拔除也导致信息泄漏。
很多单位已经意识到问题严
重性,相继出台移动存储介质的使用管理制度,但是由于缺乏技术手段,违规现象屡禁不止。
如何
防止移动存储有意无意的违规使用,并能确保即使丢失也不会导致泄密?
威胁之二:
U盘病毒传播
通过U盘传播的病毒已呈快速蔓延之势。
据监测,“U盘寄生虫”病毒最近登上病毒排行榜榜首,成
为互联网面临的重大威胁之一。
而另一传播较广泛的病毒“随机8位数”也是通过U盘传播,病毒制
造者已经重点瞄准U盘的传播途径。
2、外设端口使用威胁。
其他常规的有线和无线输入输出端口:
软驱、光驱、本地打印机、数码图形仪、调制解调器、串
行通讯口、并行通讯口、1394、红外通讯口、无线网卡、无线蓝牙等也是信息泄漏和非法外联的
重要途径。
3、其他信息泄密途径。
电磁泄漏、拷贝、打印、文件共享、邮件、存储载体介质丢失、违规上网。
(二)非法外联时有发生
单位内网存在很多重要机要信息,不少单位对存有机要信息的重点部门计算机采用内外网隔离方
式,并制度上严格要求禁止与互联网等其他网络发生直接或间接的连接。
但是仍然有个别人员出于各
种原因违规操作,私自连接到互联网,如通过MODEM、CDMA/GPRS无限上网卡、WLAN、蓝牙、
手机数据线等途径非法外联,导致所谓的内外网分开行同虚设,而信息中心却缺乏有效手段来发现并
阻断非法外联行为。
而一旦出现非法外联行为,除了可能导致信息泄漏外,还给本单位各级领导的工
作(包括违规处理和检讨等)带来巨大的麻烦。
(三)非法接入无法监控
办公楼层规模化的网络接口方便了计算机接入网络,但这既方便了内部计算机,同时也方便了外
来计算机,信息中心网管人员对此类情况难以准确判定并加以监视和控制,如有内部不自觉人员或者
有其他目的的外来计算机接入,可能造成对网络资源的滥用、病毒传播或窃密,也给单位网络安全和
信息安全带来潜在的威胁。
(四)IP地址使用混乱
·
员工随意设置IP地址,可能造成IP地址冲突,加上ARP欺骗泛滥,IP地址使用存在一定混乱,
如果没有严格的管理策略,不仅日常工作效率受到影响,甚至会导致关键设备的工作异常,影响不可
估量。
若出现恶意盗用、冒用IP地址以进行恶意攻击或发布负面甚至非法信息,甚至谋求非法利益
窃取重要资料,后果将更为严重。
(五)系统补丁安装复杂
微软不定期地发布修复系统漏洞的补丁,但很多用户不能及时使用这些补丁对系统进行修复,系
统的安全漏洞仍然存在,容易造成重大损失。
现在网络结构庞大,网管要保证每台终端及时全面地安
装上补丁,工作量很大,且很难实现,而且如何检查哪些计算机已经安装了补丁,哪些没有安装补丁,
也十分困难。
(六)终端维护工作量大
由于计算机网络的庞大性和分散性,经常某台计算机出现哪怕可能是简单的问题,网维人员都需
要跑来跑去进行维护,导致人力资源的巨大浪费,再加上人手不足,也可能导致同事抱怨和投诉,有
损单位内部和谐。
能否借助远程在线维护和远程截屏等技术手段,减少上下来回跑动,提高工作效率,
也是IT管理十分关心的问题。
篇二:
运营商-Chinasec数据安全解决方案简版-
电信运营商行业
Chinasec数据安全解决方案
北京明朝万达科技有限公司
XX/12
1前言
随着全面信息化时代的到来和电信运营商业务支撑网的快速发展,对于电信运营商自身来说,业务支撑网包含了很多重要的信息资料,如业务支撑网积累和掌握了大量的客户信息、生产数据和运营信息等,企业不希望这些资料离开内部的网络环境,甚至不允许在网络外部传递与交流,该采取什么防范措施?
现代企业不能拒绝互联网的交互,不能将机构封闭在一个信息孤岛。
但用户在随意上传下载和发行网络中的文件的同时,可能会把企业的许多重要信息流通到网络外部,从而单位内部敏感数据受到严重侵害。
敏感数据的保护需要依靠法律和行政手段进行规范和管理,同时利用必要的技术手段辅助实现敏感数据保护的可管理性。
从管理和技术两个层面杜绝机密信息的泄漏,才是解决问题的根本办法,才能防患于未然。
2信息现状
由于运营商的核心目的是通过网络技术来加快人与人之间信息化交流,因此目前国内各大运营商的IT建设相对超前与其他行业,建设了包括boss系统、bomc系统、客服系统等,此类系统统称为业务支撑系统,同时还包括OA、CRM系统等常规办公系统。
由于每个系统所关注的业务角度不同,因此其涉及到的人员也有所不同。
在此基础上,每个系统的人员又根据‘使用环节’和‘运维环节’而定义出不同的工作形态。
因此,目前国内运营商的业务网络相对其他行业而言比较复杂。
但是,根据数据生命周期的基本原则:
生成->
存储->
使用->
传输,我们可以进行比较明确的归类,本文以BOSS系统为例,如下图所示:
我们可以按照这种思路,继续推衍出其他系统的相关架构,由于运营商的业务系统太多,本文此处不一一进行归类。
3风险分析
在目前运营商的业务体系中,数据在应用过程中不管在服务器上还是在终端计算机上,都是处于明文存储状态,任何人只要接触这个文件既可以进行恣意的传播。
一旦把重要资料交给他人,就完全失去了对文档的管理控制,接收方获取文件后可以进行任意的传播,并且是无限期拥有,可以随时使用资料。
虽然业务系统本身提供很多系统运行相关的日志,但是对于敏感信息保存在各终端计算机以后就完全失去了监控权,信息即使出现泄密也无法准确的找到泄密的源头,无法追究相关的责任,因此需要数据加密技术对数据源进行保护。
同时,由于业务系统过于庞大,使用角色过多,所以人员身份的核实也需要进行相关的加强。
再次,由于前端人员的对工作效率的需求较强,因此会考虑通过网络准入、桌面管控等技术辅助数据保密工作。
考虑到目前运营商的业务以及人员的复杂性,不同的人员在不同的业务系统下是具有不同的风险以及需求,‘一刀切’的解决思路不合适于当前环境,所以首先要分析出运营商的
不同的风险点和需求点。
经过Chinasec的专家团队多年的市场调研,运营商的风险需求可以分为如下三大部分:
4Chinasec数据安全建设方案
Chinasec(安元)的专家团队通过多年对电信运营商行业信息化建设的调研,针对运营商遇到的内网数据安全问题,结合多年的服务经验,最终提出了一份适合运营商需求的数据安全的信息化改造方案。
核心业务系统数据安全解方案(如:
BOSS、OA等)
随着竞争的加剧,各运营商不断的依赖各个管理系统来提高自身管理水平及服务水平,目前,各管理系统都是通过帐号和密码等进行访问权限控制,当拥有权限的人从管理系统上导出数据后,就无法保证数据的安全性,为了规避此类风险,Chinasec(安元)应用保护系统为运营商业务系统构建了数据保密体系,精确定位数据泄密风险,客户端采用插件形式部署,当用户登陆系统后(用户的身份识别还是依赖管理系统)从受保护的业务系统导出数据,这个数据就是加密文件,通过对业务系统上下载的文件采用加密技术不仅仅精确定位受保护的数据而且还有效的规避了数据泄密的源头和风险点。
文档加密管理
为了解决从业务系统中导出的数据无法得到有效保护的问题,Chinasec(安元)应用保护系统可以自动判断访问的目标地址是否属于受保护的业务系统,如属于保护范围之内,Chinasec(安元)应用保护系统会自动对导出的文件进行加密处理,从而有效的保护了从业务系统中导出数据的安全性。
篇三:
电信网络安全及防护
电信网络安全及防护
摘要:
电信网络的安全问题不容忽视。
分析了电信网络安全现状,指出了影响电信网络安全的主要因素,并从技术角度提出了防护措施。
关键词:
电信;
网络安全;
技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。
电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。
电信网的安全状况直接影响这些基础设施的正常运行。
加强电信网络的安全防护工作,是一项重要的工作。
笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;
广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。
我国电信的网络安全保障体系建设起步较早。
XX年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。
安全保障体系分为管理体系和技术体系。
在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。
随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。
为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。
这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。
网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。
当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。
从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;
而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。
从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。
用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。
这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。
IP电话引入后,需要与传统电信网互联
互通,电信网的信令网不再独立于业务网。
IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。
IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。
NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。
此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。
特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。
如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复目前,我国电信领域基本形成了有效的竞争格局。
但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。
如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。
一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。
在规范电信运营企业安全保障建设方面,也缺乏法律依据。
运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
网络层安全解决方案
网络层安全要基于以下几点考虑:
控制不同的访问者对网络和设备的访问;
划分并隔离不同安全域;
防止内部访问者对无权访问区域的访问和误操作。
可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。
同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配
升级会员 