众所周知，电信行业的网络系统是以数据通信为基础的计算机综合信息网，实现了信息通信和资源共享，面向社会提供网络服务和信息服务。但是，随着企业电子商务和个人网络应用的发展，作为一个公共网络平台，电信行业的网络系统面临着如何保护企业和用户秘密，维护企业和用户一系列合法权益等一系列重要而棘手的问题。

我们面临的威胁

在电信行业的网络业务系统中，经过多年建设安全防护已经初具规模，但随着网络病毒和黑客的不断升级，现今的电信行业的安全体系已经不能满足以下的安全需求：

•网络业务系统大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX操作系统。虽然，TCP/IP和UNIX都是以开放性著称的，系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑，但只实现了基本安全控制功能，还存在一些许多的安全漏洞，对于病毒、黑客来说，网络协议的开放性使信息安全威胁的风险大为增加。

•电信的网络安全系统，虽然设计了防火墙系统，但该防火墙侧重在对通讯的源、目的地址和端口进行限制，鉴于当前IT系统安全性的严重状况，黑客还是可以从许多地方访问关键服务器，数据包中很可能包含入侵攻击代码，并没有形成一套完整的防护体系。

•黑客的入侵过程一般包括利用各种资源踩点、对最弱系统的攻击、攻击深入、获取关键资源以及撤退等几个步骤。因此，针对每一个黑客攻击的步骤，都需要制定相应的防范措施；而且其中具有技术部分的内容，更加重要的是管理方面的，也就是安全策略的制定和实行。

•以前并没有对于项目范围内的重要信息数据（比如，技术文档、源程序、企业运行数据、电子邮件、管理文档商业文档）的安全保护框架，以及承载这些数据的系统的安全保护框架进行全面的设计、评估。

显而易见，如果上述的安全需求得不到满足，由于信息安全威胁造成网络阻塞、应用中断（包括计费系统在内的关键应用），数据失窃都会对电信运营商带来严重的经济和形象上的损失。

解决之道建议

针对特殊信息安全当前的形势，冠群金辰建议广大电信企业从主动防护与被动监控、全面防护与重点防护相结合的角度出发，采用包括防火墙、防病毒、入侵检测、主机防护在内的信息安全产品，搭建具有主动防御能力的深层防御安全体系。

•发散性的技术方案设计思路

网络安全是一个循序渐进的过程，不可能一蹴而就。所以，冠群金辰建议在采用电信行业安全解决方案时首先需要对关键资源进行定位，然后以关键资源为基点，按照发散性的思路进行安全分析和保护，并将方案的目的确定为电信网络系统建立一个统一规范的安全系统，使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。

在冠群金辰的电信行业的解决方案中，首先利用了冠群金辰的主机保护技术保障关键服务器的安全性，然后采用网络隔离和网络安全检测技术对整个周边网络进行安全防范；不但包括各种安全方案，还给出了拓展的方案和整合方式，这样就保证了网络将会随着业务发展可以随时进行扩展。此外，冠群金辰还建议将所有安全系统都能够被整合在统一的网络管理平台或者专用的网络安全管理平台上进行管理。

•网络层解决方案

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。冠群金辰指出，针对网络层安全，应该主要是基于以下几点考虑：1控制不同的访问者对网络和设备的访问；2划分并隔离不同安全域；3防止内部访问者对无权访问区域的访问和误操作。

按照网络区域安全级别的不同，冠群金辰建议将网络划分成两大安全区域，即关键服务器区域和外部接入网络区域，在这两大区域之间需要进行安全隔离，在关键服务器区域内部，也同样需要按照安全级别的不同进行安全隔离。与此同时，还需要结合网络系统的安全防护与监控需要与实际应用环境，工作业务流程以及机构组织形式与机构进行了密切结合，从而在系统中建立一个完善的安全体系，包括企业级的网络实时监控、入侵检测和防御、系统访问控制、网络入侵行为取证等，形成综合的和全面的端到端安全管理解决方案，从而大大加强系统的总体可控性。

•网络层方案配置

在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测（如，冠群金辰公司的干将/莫邪入侵检测系统）产品，将工作站直接联接到主干交换机的监控端口（SPAN Port），用以监控局域网内各网段间的数据包，并可在关键网段内配置含多个网卡并分别联接到多个子网的入侵检测工作站进行相应的监测。入侵检测产品还具有安全事件取证系统，能够对网络中发生的所有事件进行忠实地记录和取证，即使黑客在主机上抹去了入侵的纪录，入侵检测也可以提供详细的入侵过程纪录。

•主机、操作系、数据库配置方案

由于电信行业的网络系统基于Intranet体系结构，兼呈局域网和广域网的特性，是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络，它面临的安全性威胁来自于方方面面。为此，冠群金辰建议每一个需要保护的关键服务器上都部署核心防护（龙渊服务器核心防护）产品进行防范，并在中央安全管理平台上部署中央管理控制台，对全部的核心防护产品进行中央管理。

具体来说，核心防护产品可以通过如下的途径实现更细粒度的权限管理和访问控制：

1.对核心的应用主机、数据库服务器实施安全保护。核心防护产品在操作系统的安全功能之上提供了一个安全保护层；通过从核心层截取文件访问控制，以加强操作系统安全性。它具有完整的用户认证，访问控制及审计的功能，采用集中式管理，克服了分布式系统在管理上的许多问题。

2.简便实现安全控制功能。可以在不改变系统执行文件，不修改内核的情况下变成操作系统的有效的一部分，可以在不重写Unix和透明的情况下实现安全控制功能，这主要利用专利型技术DSX(Dynamic Security Extensions，动态安全扩展)实现该功能。

3.跨平台的支持。实际上，服务器核心防护产品可将超级用户作一般用户看待，即超级用户无法透过其安全屏障去访问未经授权的文件。这样既可以防止一个单位的敏感数据(如财务、人事等)，也可以防止由于超级用户误操作而给系统带来的损失。

•防病毒

对于电信行业网络来说，一个完整的立体的病毒防护机制是十分必要的，公司网络中病毒的安全防护，是要建立企业整体防病毒体系，对从INTERNET/EXTRANET入口到网络内的服务器和所有计算机设备采取全面病毒防护，并且需要在网络中心设置病毒防护管理中心，可以使反病毒工作按照不同部门或地域的实际情况，分组设置反病毒管理工作。（冠群金辰提供的泰阿KILL安全胄甲，可通过KILL防病毒管理中心将局域网内所有服务器/工作站创建在同一防病毒管理域内，选定一台已安装了KILL安全胄甲的服务器作为KILL防病毒管理域的主服务器，可对整个KILL域进行防病毒管理，并通过KILL域管理器，制定统一的防毒策略，设定域扫描作业，安排系统自动查、杀病毒等操作）。

•系统、数据库漏洞扫描

此外，系统和数据库的漏洞扫描对电信行业这样的大型网络而言，具有重要的意义。充分利用已有的扫描工具完成这方面的工作，可免去专门购买其他的系统/数据库漏洞扫描工具。

赛迪网：http://industry.ccidnet.com/pub/article/c70_a278597_p1.html