[摘要] 对本地网电信公司内部数据通信网络(L_DCN)存在的安全风险进行描述,并从网络安全、系统安全、应用安全、信息安全、管理安全等方面提出相应的安全解决方案。
L_DCN是支撑本地网电信公司所有信息化应用系统的网络平台。L_DCN给电信公司的客户服务、生产经营、业务发展、内部管理带来巨大便利的同时,也带来了众多挑战,其中安全问题尤为突出。如何保证L_DCN的安全,已成为电信公司信息化建设健康发展所必须考虑和解决的重要问题。本文通过对L_DCN进行安全风险评估分析,提出安全解决方案。
1、L_DCN现状
L_DCN是一个以数据通信为基础的计算机综合信息网,实现了电信公司信息通信和资源共享。L_DCN承载的主要信息化应用系统:综合业务管理系统(即“九七”系统)、计费帐务系统、客户服务系统(即10000号系统)、各专业网管系统、OA等。图1为某本地网电信公司L_DCN拓扑示意图,本文所有的阐述均基于该拓扑。
L_DCN比较复杂,各信息化应用系统分属不同的子网,这些子网是L_DCN的主要组成部分,办公网则融合在各子网之中。L_DCN出口较多,对省公司和县(市)分公司都有接口,计费帐务系统对银行有接口,10000号系统有自己的因特网出口。此外,L_DCN中的客户机很多,且分布广,有时会有ADSL或电话拨号上网用户。各出口处缺少相应的安全隔离设备,在不同的安全区域未采取相应的安全措施,整个网络中缺少必要的安全审计措施,易受到来自电信公司内、外部的各种攻击和威胁。
2、L_DCN安全风险
通过分析L_DCN的网络结构,并利用ISS Scanner、X-Scan、Nmap和Sniffer。
对L_DCN内的主机、网络、数据库和应用系统进行扫描、监听,得出L_DCN安全风险主要来源于:
2.1 网络安全风险
2.1.1 因特网的安全风险
因特网的共享与开放使网上信息安全存在严重隐患,因其赖以生存的TCP/IP族缺乏相应的安全机制,在安全可靠、QoS、带宽等方面存在不适应性,而且网民的意图也是形形色色的。L_DCN中存在着ADSL或电话拨号上网的客户机,使得L_DCN面临着诸如黑客试图闯入的安全隐患。
2.1.2 外联网络的安全风险
L_DCN外联网络主要包括与省公司、县(市)公司、各银行等的接口,外联网络节点存在不可信区域,对L_DCN造成一定的安全威胁。比如:入侵者可使用Scanner等嗅探程序,通过扫描网络及操作系统存在的安全漏洞,如开放的TCP端口、保存用户名和口令的文件等,并通过攻击程序对L_DCN进行攻击;入侵者可通过Sniffer等网络监听手段获得L_DCN用户名、口令等,进而假冒内部合法身份进行非法登录,窃取电信公司内部重要信息,如客户资料、财务数据等。图2中标识的漏洞,可以远程缓冲区溢出得到用户口令。
2.1.3 内部网络的安全风险
在已知的网络安全事件中,约70%的攻击是来自内部网。L_DCN承载的各信息化应用系统都有属于自己的私有信息数据,在内部网络节点之间,也存在很大的安全风险。例如:通过局域网完全共享目录,就可能在无意中把重要的信息(如大客户资料)存放在共享目录下,造成信息泄漏;内部管理人员有意或者无意泄漏系统管理员的用户名及口令等。图3是利用超级用户弱口令浏览用户机器中信息的一个示例。
2.2 系统的安全风险
L_DCN中存在各类服务器系统、路由器、交换机以及大量的桌面系统。在服务器上主要有操作系统、数据库系统和各种应用软件系统;路由器和交换机也有相应的操作系统。各系统或多或少地存在着的“后门”和漏洞,缺省配置、弱口令或空口令、不必要的服务、安全补丁未打等构成重大的安全隐患。图4表示的是SQL server配置中sa用户口令为空。
2.3 数据传输的风险
L_DCN中传输的数据很多是明文的,攻击者可以在网络的传输线路上(尤其是广域网)安装窃听装置,窃取在网络中传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性。这种数据在网络中传输的不安全因素对电信公司构成了严重的安全威胁。
2.4 应用的安全风险
应用是广泛的、动态的,应用的安全性也是多方面的。目前L_DCN中存在WWW网上浏览、E-mail、软件的漏洞和“后门”、资源共享、病毒等应用的安全风险。
2.5 网络管理的风险
网络管理是L_DCN安全的重要组成部分。安全管理制度的不完善是网络风险的重要来源之一。网络管理员配置不当或者操作系统未及时升级补丁程序造成的安全漏洞;使用弱口令;用户安全意识不强,将自己的帐号随意告诉他人等,这些管理上的问题是无论多么精妙的安全策略和网络安全体系都不能解决的,都会使L_DCN处于危险之中。
3、L_DCN安全整体解决方案
L_DCN安全整体解决方案包括网络安全、系统安全、应用安全、信息安全、管理安全等方面,主要通过在L_DCN中部署防火墙、入侵检测系统(IDS)、SUS(software update services)、网络版防病毒软件、因特网统一出口防火墙等来实现,对图1所示的L_DCN进行网络安全改造后的拓扑见图5。
3.1 网络安全
根据网络所处地位、性质和作用的不同,L_DCN可划分为不同的安全区域,在这些区域之间采用安全技术来防范来自不同网络的安全威胁。主要包括:外网(因特网,各银行等外联单位网络)对内网,各局域网中重要服务器网段的安全。
3.1.1 隔离和访问控制
1)对L_DCN结构进行合理优化。比如,对L_DCN内各局域网交换机划分VLAN,以实现不同部门、不同级别用户之间的访问控制。
2)在L_DCN中部署防火墙(图5中),如采用基于状态包过滤的流过滤体系结构的NetEye防火墙,用于内外网之间(10000号系统与因特网、计费帐务系统与各银行)、重要服务器区域(“九七”系统、计费帐务系统、各专业网管系统等的数据库及应用服务器)的安全隔离,保护内网和重要资源的安全。各防火墙的规则可按需进行基于源地址、目的地址、源端口、目的端口、时间、MAC地址等来设置,对重要服务器进行应用层的细粒度控制,控制其他网络和业务系统对它们的访问。同时配置相应的审计策略,记录通过防火墙的数据连接,选择蜂鸣、mail等报警方式。通过网络实时监控功能,查看当前L_DCN运行情况,可实时断开可疑连接。
3)在L_DCN中部署因特网统一出口防火墙(图5中),为L_DCN内的用户提供因特网资源访问的认证与授权。电信公司员工提出访问因特网的需求,管理员进行认证用户名及密码的分配,并进行因特网访问权限设定(如网站、服务、端口、时间等)。同时清理L_DCN上原有的ADSL及电话拨号上网,确保L_DCN中的计算机必须通过该防火墙才能访问因特网。
3.1.2 安全检测和审计
在L_DCN服务器群区域的核心交换机、10000号系统与因特网入口处部署IDS(图5中)。通过对数据包的解码分析,有效阻止网络攻击、入侵,及时报警、阻断,并实现日志审计分析。防火墙系统属静态防护安全体系,对来自L_DCN内部的以及一些允许通过防火墙的访问而导致的攻击行为,防火墙是无能为力的。通过配备IDS,对“九七”和计费账务系统等特定网段、主机建立攻击监控体系,以阻止外部黑客的入侵和来自内部网络的攻击。
3.2 系统安全
主要指L_DCN中的服务器操作系统、数据库系统、网络设备操作系统及各应用软件系统等。针对系统安全,可采用诸如以下的措施:
3.2.1 系统安全维护
1)由于L_DCN中的客户机绝大数安装了微软操作系统,故有必要在L_DCN上部署SUS服务器(图5中),使所有Windows客户机能及时、自动安装微软发布的最新补丁程序,并修补安全漏洞;
2)在系统配置中关闭FTP、Telnet、finger等存在安全隐患或不需要的服务;
3)加强登录过程的身份认证,设置复杂、难猜测的登录口令,并经常变更;
4)严格限制系统中关键文件(如Unix下的/.rhost、etc/host、passwd等)的使用许可权限,并严格控制登录访问者的操作权限;
5)定期检查系统安全日志和系统状态,以便及早发现系统中可能出现的非法入侵行为,为安全决策和事后审查提供依据。
3.2.2 网络安全评估
定期对L_DCN进行网络安全评估。对于黑客的攻击,除了被动防御外,还应做到主动预防。通过网络安全性扫描分析系统对L_DCN进行扫描,检查、分析其存在的弱点和漏洞,及时提出补救措施建议和安全策略的报告,并修改L_DCN的配置,提高网络的安全性。
3.2.3 加强访问控制
在L_DCN中重要服务器系统上安装访问控制软件,通过制定相应的访问控制策略,为操作系统提供增强的安全防护,加强对关键服务器的安全控制,提供更完善的访问控制和安全审计。
3.3 应用安全
3.3.1 病毒防护
计算机网络是病毒传播最快的途径。可在L_DCN中部署支持自动安装及集中部署的网络版防病毒软件(图5中),例如趋势的OfficeScan 6.5企业版,使所有客户机自动更新病毒码,以保证L_DCN各个环节对计算机病毒的防范能力。病毒无论从外部还是内部网络中的某台计算机进入网络系统,通过防病毒软件的实时检测功能,将会把病毒扼杀在发起处,防止病毒的扩散。
3.3.2 Web服务器防护
可利用防火墙特有的应用层保护功能,保护Web服务器的安全。拒绝对被保护内容的非法操作。对非法活动进行及时报警,对特定文件和目录进行保护。
3.4 信息安全
3.4.1 加密传输
要保护L-DCN中数据在传输过程中不被泄露,必须对数据进行加密。在L_DCN中可使用ssh代替Telnet。可在链路层、网络层和应用层分别进行加密。
3.4.2 信息鉴别
保护数据的完整及可靠也是L_DCN安全防护的一个重要方面。数据在传输过程中存在着被非法窃取、篡改的安全威胁。为保证数据的完整性,必须采用信息鉴别技术。身份认证是信息鉴别的一种手段。L_DCN中可建立统一的用户管理平台(见图5),采用统一的身份认证机制,实现口令管理、用户管理、用户操作的安全。
3.4.3 数据备份和恢复
数据备份和恢复是对L-DCN中可能出现的各种灾难(如计算机病毒、系统故障、人为破坏等)进行的保证系统及数据连续性和可靠性的一种防范措施。数据备份可以采用磁带库、光盘库、硬盘作为介质。必须确保备份数据能方便地恢复。
3.5 管理安全
L_DCN的安全性不仅与产品技术有关,还与安全管理和使用有着极为密切的关系。在安全管理上,至少要做到:
1)加强基础设施和运行环境建设。计算机机房应严格管理,接入监控系统;计算机设备采用UPS不间断电源供电;供电、通信线路要布线规范、连接牢靠;机房环境要干净、整洁,保持特定的温度和湿度等。
2)加强设备管理和使用工作。建立包括设备购置、使用、维修等内容的规章制度。定期对设备运行环境和运行状况、各项规章制度、操作规程的执行情况进行检查,对发现的问题及时解决。
3)建立健全安全管理内控制度。建立计算机系统使用管理规定、计算机密码管理规定等内控管理制度;禁止公用和公开密码;对重要数据的处理要经过授权由专人负责,并登记日志;建立健全备份制度,核心程序及数据结构要严格保密,实行专人分工保管;对已制定的规章制度,要专人负责,真正落实,从根本上杜绝内部安全隐患。
4)加强员工思想和安全意识教育。一方面要经常对员工进行思想道德水平和法制观念教育,使他们不违法、不犯罪;另一方面要提高员工的安全防范意识和能力,不给犯罪分子以可乘之机。
4、结束语
L_DCN的安全是一项复杂的系统工程,涉及到技术、产品和管理等多个层面。只有通过对L_DCN进行充分调研和安全风险评估,根据网络风险分析结果,采用合理的技术手段和产品构建一个完整的安全技术体系,并且需要重视和加强网络管理,最终才能实现L_DCN的真正安全。
