面对当前严峻的网络安全形势，电信IP网应采用体系化的安全保障方案，将网络安全管理和技术手段相结合，通过各种安全策略、制度和机制的建设，并采用防火墙、入侵检测/防护、终端安全管理、安全扫描评估、异常流量的检测和过滤等技术实现多层保护的深度防御策略。以下各节将阐述电信IP网络安全保障体系的组成环节和要素，并对安全保障体系中的安全管理体系框架和安全技术体系框架进行介绍。

    二、网络安全保障体系的要素

    从目前电信IP网的脆弱性来分析，其原因主要来源于技术和管理两个层面，因此，一个完整的网络安全保障体系应该是安全管理和安全技术实施的结合，两者缺一不可。从横向看电信IP网络安全保障体系，主要包含安全管理和安全技术两个方面的要素，在采用各种安全技术控制措施的同时，我们必须制订层次化的安全策略，完善安全管理组织机构和人员配备，提高安全管理人员的安全意识和技术水平，完善各种安全策略和安全机制。

    其次，为了使网络安全保障体系更有针对性，在网络安全保障体系的构建中还必须考虑网络安全本身的特点：动态性、相对性和整体性。根据以上网络安全的特点，网络安全界提出了基于生命周期的网络安全解决方案，认为网络安全的实现是一个过程而不是目标，网络安全应该在循环往复的由安全评估、安全策略制订和更新、安全培训、安全技术实施、安全预警、网络安全检测、网络安全应急响应和灾难恢复等环节组成的生命周期中得到螺旋式的提高。因此电信IP网络安全保障体系在纵向上应该包含以上生命周期的各个环节和要素。

    另外，电信IP网络安全保障体系的建设还必须对照相关法律、法规、标准，以保证安全保障体系的全面性和规范性。

    三、网络安全管理体系框架

    安全保障体系的深度防御战略模型将防御体系分为人、技术和操作3个层次，网络安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系，明确技术实施和安全操作中相关人员的安全职责，从而达到对安全风险的及时发现和有效控制，提高安全问题发生时的反应速度和恢复能力，增强网络的整体安全保障能力。因此，网络安全管理体系首先要解决“人”的问题，建立完善的安全组织结构，其次是解决“人”和“技术”之间的关系，建立层次化的网络安全策略，包括纲领性策略、安全制度、安全指南和操作流程，最后是解决“人”与“操作”的问题，通过各种安全机制来提高网络的安全保障能力。

    1．网络安全组织体系建设

    安全组织作为网络安全工作的管理和实施体系，主要负责网络安全策略、制度、规划的制订和实施，确定网络中各种安全管理岗位和相应的安全职责，并负责选用合适的人员来完成相应岗位的安全管理工作，监督各种网络安全工作的开展，协调不同部门在网络安全实施中的分工和合作，保证安全目标的实现。

    为了提高网络安全管理水平，电信IP网络运营系统要逐步完善安全组织架构。在安全机构方面，总部最好能够成立专门的网络安全管理部门，并明确该部门在网络安全方面的管理职责和要求。下面各级至少应该指定相应的部门来负责安全方面的管理工作，这样形成一个自上到下的网络安全管理体系。对安全管理人员的配备上，在目前系统管理员的基础上，对每个IP网络节点配备专职的安全管理员，负责相关网络安全的操作和技术实施。

    2．层次化的网络安全策略建设

    网络安全策略是各项安全工作开展的依据，一个层次化的网络安全策略体系包含上到指导方针，下到实施细则的一系列指导性文档体系。

    纲领性策略是网络安全管理和技术实施的指导性文档，在网络安全保障体系中起着关键的作用，是各层次网络安全策略中首先要建立的，在纲领性安全策略中应该阐明网络整体的安全目标、安全需求、指导原则、实现方法和实施步骤的蓝图。

    在纲领性策略制订之后，我们应该根据纲领性策略的要求进行安全制度的制订，在安全制度中主要明确网络中管理员和用户的安全要求和职责，对网络管理员和用户、硬件系统、软件系统、网络服务和数据这些安全管理对象，制订相应的职责规定、使用要求以及相应的安全控制和反应过程，同时对各种违反安全管理制度的行为规定相应处理办法，使得安全管理制度发挥真正的规范和约束作用。

    各种安全规范和安全操作流程也是层次化安全策略体系的重要组成。由于电信IP网络各级管理人员在网络安全方面的水平参差不齐，很有必要根据电信IP网络中所采用的硬件和软件设备以及维护管理人员平时应该完成的操作工作，编写相应的安全规范、指南和操作流程，使各级管理员在从事管理和维护工作时有章可循，通过规范化的安全配置和操作流程来减少系统中存在的安全漏洞，并减小由于误操作而导致的安全问题。

    在层次化的安全策略体系制订之后，为了保证安全策略的贯彻和实施，还必须由管理部门对策略进行发布并开展相应的宣讲和培训，并在策略实施中配套相应的罚则。此外，为了保证策略与网络业务和网络安全状况变化的一致性，有关部门还必须在策略中制订相应的审查和修订制度，在每个网络安全生命周期内，由安全管理部门负责组织对策略的审查，根据网络安全情况和网络业务的保护要求对安全策略做相应的修订。

    3.网络安全保障机制的建设

    为了增加网络安全保障体系的防御深度，提高安全保护的层次性，我们在保障体系的建设中还必须完善各种网络安全保障机制，考虑到网络安全生命周期中各个安全环节的要求。

    目前在众多的软硬件设备中，几乎每一天都有新的安全漏洞被发现，因此电信IP网络运营商有必要建立网络安全预警机制，由专门的人员或组织对安全漏洞进行跟踪和分析，在发现可能影响到本网络的安全漏洞时着重进行分析，研究安全漏洞的机理、出现条件、影响范围、可能导致的后果、对本网络的影响程度等，在发现可能对本网络造成严重影响的安全漏洞时及时发出预警，对网络安全漏洞的解决方案进行研究和试验，提供相应的解决方案，并根据解决方案及时组织对安全漏洞的修补工作。

    定期的安全风险识别和控制机制就是通过远程安全扫描、主机系统安全扫描、数据库系统扫描、本地控制台安全审计或者综合的网络安全评估等方法定期地对网络系统中存在的安全漏洞进行扫描和分析，及时发现网络中存在的安全漏洞并对这些安全漏洞进行修补，实现网络安全风险的动态管理。在本机制中应该明确相应的人员、风险分析的对象、采用的方法、操作的周期、发现安全风险之后的处理方法和流程。

    安全应急响应机制应该是一个重要的安全保障机制，该机制主要由安全应急计划、安全响应流程和灾难恢复流程3个方面组成。

    网络用户和网络管理人员安全意识淡薄、安全技术水平低下是很多网络安全问题发生的根本原因，电信IP网络运营商，应该完善基于角色的安全培训机制。

    对安全工作进行评估和考核是激发各级人员信息化安全意识潜能，确保安全控制措施得到有效落实的重要手段。电信IP网络运营商应建立长效的网络安全工作考核机制，以提高员工信息化安全意识为导向，将定性与定量相结合，采取公开、公平、公正的原则，从多个维度进行考核。

    四、网络安全技术体系框架

    安全保障技术框通常包括区域边界保护、网络内部环境保护、网络基础设施保护和网络安全支持和服务设施，其中，网络安全支持和服务设施指的是为网络用户、设备、应用系统提供安全服务的基础设施。通常包括密钥管理设施、检测和响应基础设施。考虑到目前电信IP网络业务的特点，密钥管理设施特别是公钥管理设施PKI尚未成为电信IP网络的主要安全需求，因此电信IP网络的安全技术体系可以只包括区域边界保护、网络内部环境保护和网络基础设施保护三个部分，而将检测和响应的功能由区域边界保护和网络基础设施保护来完成。

    1．区域边界保护

    根据网络不同部分的重要性划分为不同的安全区域，并着重对这些重要的安全区域进行保护，其中安全区域的边界保护就是安全保障的重要方面。

    在电信IP网络中，重要的安全区域主要包括支撑系统、管理系统和业务系统，比如认证和计费系统、域名服务系统、网管中心、IDC系统等，这些系统的安全问题都会给电信业务的开展带来严重的影响。在实际中，网络中心和IDC等系统都是安全问题频发的系统，很多网络攻击案例就是通过入侵网管中心的主机系统，然后获得其它主机和设备的控制权从而实施进一步的攻击。

    对这些系统进行边界保护，目前最常用的是防火墙技术和入侵检测/防护技术。防火墙系统部署于受保护网络和外部网络的边界，通过执行网络之间的访问控制策略来达到对内部网络的保护目的。入侵检测系统（IDS）通常部署于防火墙之后，通过流量镜像等方法对网络流量进行实时的检查和分析，在发现攻击迹象时根据预先配置的方式做出响应。入侵防护系统（IPS）结合了入侵检测和防火墙技术，与其他网络设备进行串接，能在检测出入侵行为以后直接对其进行阻断，更及时地自动防范网络攻击行为。

    在采用防火墙技术和入侵检测/防护技术进行边界保护时，首先考虑的应该是产品性能的要求，这对电信IP网络环境尤为重要。防火墙系统，除了考虑产品的安全功能之外，还必须考虑产品的处理能力，避免由于边界保护对网络性能带来大的影响。入侵检测/防护系统，除了考虑产品对网络攻击的识别率和误报率外，还必须考虑产品能够处理的最大流量，保证产品能够应用于实际的带宽环境。

    此外，作为边界保护的准则，防火墙的访问控制策略与业务的一致性是保证系统访问控制策略是否得到实施的关键，因此对防火墙访问控制策略的定期检查和调整是区域边界保护中要注意的问题。此外，对内部接入点的控制和管理，比如内部拨号服务器、内部用户通过拨号与外部网络的连接都是区域边界保护的重要方面。

    2．网络内部环境保护

    在对重要的安全区域实施边界保护之后，还必须采用相应的安全技术来保证这些区域的网络内部环境安全。

    为了减少网络内部环境存在的安全漏洞，对网络中的主机系统和网络设备进行安全加固是一个经济有效的方法，通过对系统的安全升级、补丁程序安装、无关服务的关闭、口令策略的设置、文件权限的设定等方法可以在不必借助其它安全产品的条件下很大地提高系统的安全性，使用这种方法的一个约束是对系统管理员的安全水平有着比较高的要求，但如果安全管理工作到位，对常用的系统制订了相应的安全设置操作规范和指南，则可以在很大程度上解决这方面的问题。

    除了系统安全加固外，采用本地的安全扫描技术也是发现系统中所存在安全问题的重要途径,对不同的系统可以部署相应的网络安全扫描软件。同时部署终端安全管理系统和补丁管理系统也是保证终端符合整体安全策略要求，减少终端系统存在安全漏洞的有效措施。

    近来随着蠕虫病毒和网络安全漏洞的结合传播，蠕虫病毒的传播速度和危害性不断加大，也使得病毒防范在网络内部环境保护中占据了更加重要的地位。为了防止病毒在网络内部环境的传播，要尽量修补网络存在的安全漏洞，并且还必须采用防病毒系统，包括桌面防病毒系统和防病毒网关等，存在邮件服务器的网络，还应该实施邮件防病毒方案。此外为了提高防病毒系统的防范能力，还必须对病毒特征库定期进行更新。

    定期对系统日志的审查是及时发现网络攻击的重要手段，但有经验的网络攻击者在入侵系统后可能会删除系统中相应的日志记录，使得网络管理员无法及时发现网络攻击。为了解决这种问题，可以采用专门的集中式日志系统，将重要系统的日志都收集一个系统中，这不仅方便于管理员分析日志，及时发现网络攻击事件，而且有利于网络攻击的分析和追踪。

    最后，为了保证网络安全事件发生后的恢复能力，对重要的系统数据必须采用数据备份技术进行备份。

    3．网络基础设施的保护

    通过对重要网络区域的边界保护和网络内部环境的安全保护，可以保障电信IP网络中“点”的安全性，除此以外，我们还必须对整个电信IP网络的基础实施进行保护，实现对电信IP网络“面”的安全性，通过点面结合，保证安全技术体系防护的整体性。

    网络拓扑的安全可靠性主要通过网络基础实施的设备、物理链路、路由的冗余和备份来实现，这些方面对电信IP网络来说，一般在网络的规划设计和建设中就已经做了充分的考虑。

    提高网络设备特别是骨干设备的安全性通常由两个方面的途径来实现，首先是对网络设备的安全设置。对骨干路由器，可以通过关闭路由器上不需要开放的服务、加强网络设备用户管理、禁止IP的直接广播、禁止虚假源地址流量进入网络、启用ACL等方法来提高设备和网络的安全性，防范拒绝服务等网络攻击；其次是采用远程扫描技术，定期对网络基础设施进行安全扫描分析，及时发现安全漏洞并进行修补。

    由于IP网络本身的特点，目前国内大部分的电信IP网络都使用带内网管的方式对网络设备进行远程的管理，这很容易造成网络设备口令的泄漏而给设备的安全带来危害，因此,保证网络设备远程管理的安全性对网络基础设施的保护有着重要的意义。网络设备远程管理的安全性可以通过不同的技术来实现，为了解决远程登陆的口令明文传送问题，可以采用SSH的方式代替传统的Telnet方式。如果希望进一步提高远程管理身份认证的安全性，可以采用多因素认证密码系统（如RSA令牌）来防止密码劫持和重现攻击，如果希望保证整个远程管理的安全，则可以考虑采用VPN技术构筑安全的网管体系。

    此外,影响IP网络资源可用性的一个主要因素是大规模异常攻击流量、垃圾邮件、虚假地址流量等垃圾流量挤占网络带宽，从而造成网络拥塞，直接影响电信业务的服务质量。电信运营商应采用异常流量检测和过滤等技术来提高对网络中各种大规模异常流量的发现和响应能力,以保证网络资源可用性和网络的安全通畅。

转载地址:http://www.cww.net.cn/technique/2007/6/65965.htm