江蘇電信IP網(wǎng)自1996年5月份正式對(duì)社會(huì)開放以來,用戶發(fā)展迅速��,截至2001年11月底�,接入用戶數(shù)達(dá)到了323萬(wàn)。為了滿足用戶持續(xù)快速發(fā)展的需要�,我們的網(wǎng)絡(luò)經(jīng)歷了大大小小數(shù)次擴(kuò)容,規(guī)模不斷擴(kuò)大��,目前省內(nèi)骨干網(wǎng)總帶寬達(dá)90G��,出省帶寬10G���。
隨著網(wǎng)絡(luò)的發(fā)展�����,我們面臨的網(wǎng)絡(luò)濫用和攻擊等安全事件越來越多�,并且攻擊者采用的手段也越來越復(fù)雜多樣�����。在江蘇電信IP網(wǎng)發(fā)展的初期����,我們主要是通過加固主機(jī)系統(tǒng)來提高安全性,當(dāng)然僅靠技術(shù)人員手工檢查��、分析����、跟蹤是遠(yuǎn)遠(yuǎn)不夠的。1999年二期擴(kuò)容工程中�,增加了防火墻、一次性口令認(rèn)證系統(tǒng)�、安全掃描器等。但是總的來說�����,采用的技術(shù)手段及部署范圍仍比較有限。2001年��,江蘇電信IP網(wǎng)組織實(shí)施了三期擴(kuò)容���,并把網(wǎng)絡(luò)安全作為重要部分獨(dú)立實(shí)施����。
電信IP網(wǎng)面臨的主要安全問題
目前��,我們還沒有手段可以較全面地收集和統(tǒng)計(jì)IP網(wǎng)上形形色色的網(wǎng)絡(luò)濫用和攻擊�。從我們?nèi)粘E龅胶吞幚淼膯栴}來看,主要有幾個(gè)方面:
網(wǎng)上存在大量的端口掃描試探��、發(fā)送垃圾郵件等網(wǎng)絡(luò)濫用行為;
發(fā)現(xiàn)部分主機(jī)由于未及時(shí)安裝補(bǔ)丁程序或設(shè)置不當(dāng)或口令強(qiáng)度不夠等原因而被黑客入侵��,并被安裝后門程序;
拒絕服務(wù)攻擊發(fā)生頻率不高�,但一般影響較大;
蠕蟲病毒傳播和泛濫,如紅色代碼�����、尼姆達(dá)等���,危害不可小視�����。
安全防范的范圍和原則
作為網(wǎng)絡(luò)運(yùn)營(yíng)商�����,由于用戶眾多��,我們的主要精力還是考慮如何盡可能地保護(hù)由江蘇電信負(fù)責(zé)維護(hù)管理�、對(duì)外提供服務(wù)的網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)�����,同時(shí)對(duì)一些重要的網(wǎng)絡(luò)安全問題�,我們也盡力通知用戶,并幫助解決��。
在解決安全問題時(shí)�,我們注意遵循安全、效率及易用性兼顧的原則���。安全的目標(biāo)是為了保證業(yè)務(wù)的連續(xù)性����,保證數(shù)據(jù)的完整性、保密性和可用性��。但是安全�、效率及易用性常常是矛盾的,實(shí)施過于復(fù)雜的安全措施一方面會(huì)造成效率的下降��,另一方面對(duì)人員素質(zhì)的要求也會(huì)增加�����,而人員的培訓(xùn)和成長(zhǎng)需要過程���,因此需要均衡���,使得既能達(dá)到安全目標(biāo)的最低要求,又能不對(duì)效率產(chǎn)生顯著影響���,操作使用上不過于繁瑣����。
同時(shí)�����,我們還本著節(jié)約的原則。加強(qiáng)安全必然帶來成本的增加���,這既包括產(chǎn)品的采購(gòu)��、升級(jí)、服務(wù)費(fèi)用��,也包括管理成本��。我們?cè)谫Y金和人力上的投入應(yīng)該和被保護(hù)的資產(chǎn)價(jià)值相適應(yīng)���,在考慮采取什么樣的措施保護(hù)哪些對(duì)象的時(shí)候����,我們主要考慮被保護(hù)對(duì)象的重要性�����、威脅發(fā)生的可能性及可能產(chǎn)生的后果�,然后選用適當(dāng)?shù)募夹g(shù)措施以達(dá)到可以接受的安全等級(jí)。
主要技術(shù)措施
目前����,江蘇電信IP網(wǎng)已初步建立了一套網(wǎng)絡(luò)安全技術(shù)防御體系��,從保護(hù)對(duì)象上看��,重點(diǎn)是針對(duì)認(rèn)證計(jì)費(fèi)系統(tǒng)�����、網(wǎng)管系統(tǒng)�、集中郵件系統(tǒng)�����,同時(shí)還包括DNS服務(wù)器和WWW服務(wù)器��,對(duì)于接入服務(wù)器��、路由器���、交換機(jī)等��,則主要通過合理設(shè)置來提高安全性;從功能上看�����,主要包括六個(gè)系統(tǒng):一次性口令認(rèn)證系統(tǒng)��,防火墻系統(tǒng)����,主機(jī)訪問控制系統(tǒng),安全掃描系統(tǒng)��,集中日志管理系統(tǒng)����,入侵檢測(cè)系統(tǒng)等��。
一次性口令認(rèn)證系統(tǒng)
好的口令是網(wǎng)絡(luò)安全中最簡(jiǎn)單和最重要的部分����,據(jù)CERT估計(jì),約80%的網(wǎng)絡(luò)安全問題是由于不良的口令所造成的�����。而我們的管理員管理著眾多的網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)��,在日常工作中需要經(jīng)常登錄進(jìn)行維護(hù)�,即使管理員的口令設(shè)置符合安全性的原則�,但是仍存在口令在一個(gè)更改周期內(nèi)反復(fù)使用的問題�����,而在telnet過程中��,用戶名�、口令以明文方式在網(wǎng)上傳送,因而時(shí)刻面臨著被竊聽的威脅����。為此,我們選用了ACE Server及SecurID構(gòu)筑一次性口令認(rèn)證系統(tǒng)���,它提供了一種較為強(qiáng)壯的集中式�、雙要素的認(rèn)證方案�����。也就是說�,用戶在登錄時(shí),不僅要知道PIN碼��,還要有口令牌�����。口令牌上的口令每分鐘改變一次���,這樣有效地減少了口令丟失���、泄露所帶來的危害。
一次性口令認(rèn)證系統(tǒng)的實(shí)現(xiàn)方案如下:
1���、ACE Server配備實(shí)施異地備份��,一主一備�����,防止單點(diǎn)故障。
2���、使用范圍包括路由器��、核心局域網(wǎng)交換機(jī)及集中郵件系統(tǒng)���、認(rèn)證計(jì)費(fèi)系統(tǒng)����、WWW服務(wù)器���、DNS服務(wù)器�。其中路由器�、交換機(jī)采用Radius認(rèn)證方式,與ACE Server配合實(shí)現(xiàn)一次性口令認(rèn)證����。
防火墻
防火墻是安全系統(tǒng)的重要組成部分。我們?cè)谑≈行牟渴鹆薈heckPoint Firewall-1和NetScreen-1000硬件防火墻���,禁止普通用戶從Internet訪問我們的網(wǎng)管網(wǎng)�����,但網(wǎng)管網(wǎng)可通過防火墻訪問Internet以進(jìn)行軟件升級(jí)等操作;同時(shí)對(duì)進(jìn)出郵件系統(tǒng)的數(shù)據(jù)流量進(jìn)行檢查��、過濾�����,保證郵件系統(tǒng)的安全性����。
主機(jī)訪問控制系統(tǒng)
在一個(gè)基本的UNIX和Windows NT系統(tǒng)中,超級(jí)用戶具有對(duì)系統(tǒng)無(wú)限大的訪問權(quán)限����,可全面訪問應(yīng)用軟件、數(shù)據(jù)和審計(jì)記錄�。這樣可能會(huì)造成:
1、一旦超級(jí)用戶權(quán)限被網(wǎng)絡(luò)攻擊者取得���,系統(tǒng)可被完全控制�����,并且可以輕松地掩蓋痕跡�。
2�����、掌握超級(jí)用戶權(quán)限的用戶可能由于誤操作等原因破壞操作系統(tǒng)和應(yīng)用軟件的一些關(guān)鍵配置和屬性���。
基于此,我們?cè)谌≌J(rèn)證計(jì)費(fèi)系統(tǒng)�、集中電子郵件服務(wù)系統(tǒng)和省中心DNS服務(wù)器上部署了CA公司的eTrust Access Control����。eTrust Access Control是一種主機(jī)安全保護(hù)軟件�,eTrust Access Control在加強(qiáng)對(duì)用戶口令及違反安全策略的管理、細(xì)化對(duì)文件的訪問控制的同時(shí)�����,能限制超級(jí)用戶的權(quán)限���,保護(hù)主機(jī)資源的安全��。
安全掃描系統(tǒng)
對(duì)于一個(gè)大型網(wǎng)絡(luò)來說�,由于涉及網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)眾多���,并且經(jīng)常需要調(diào)整修改配置����,必須具備一種方便�、快捷的手段幫助安全員全面地、動(dòng)態(tài)地進(jìn)行弱點(diǎn)評(píng)估���,掌握網(wǎng)絡(luò)系統(tǒng)存在哪些安全漏洞�,以進(jìn)行修補(bǔ),提高自身免疫力���。而安全掃描軟件無(wú)疑是一個(gè)較好的工具����,它不僅可以彌補(bǔ)安全員在安全知識(shí)和經(jīng)驗(yàn)上的不足��,還可以有效縮短漏洞發(fā)現(xiàn)時(shí)間���,減少攻擊成功的可能性���。我們選用了Internet Scanner,它通過對(duì)網(wǎng)絡(luò)安全弱點(diǎn)的檢測(cè)與分析��,發(fā)現(xiàn)存在的安全漏洞�,做出安全評(píng)估,并能提出相應(yīng)的改進(jìn)建議�。網(wǎng)絡(luò)掃描器可將風(fēng)險(xiǎn)分為高、中�����、低三個(gè)等級(jí)����,并且根據(jù)不同的需要生成報(bào)表,從以企業(yè)管理者角度來分析的報(bào)告到為消除風(fēng)險(xiǎn)而給出的詳盡的逐步指導(dǎo)方案均可以體現(xiàn)在報(bào)表中��。
集中日志管理系統(tǒng)
網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志可以幫助管理員監(jiān)控和分析合法用戶的越權(quán)行為和可疑行為以及非法用戶的訪問嘗試等行為���。然而����,這些日志一般分散存放在各個(gè)設(shè)備上���,采用覆蓋方式存儲(chǔ)��,不便于管理員檢查審計(jì)�,也不便于保存歸檔����,同時(shí),還容易被入侵者在攻擊時(shí)篡改?�,F(xiàn)狀常常是系統(tǒng)雖然啟用了日志功能卻形同虛設(shè)��,管理員基本無(wú)暇顧及數(shù)量眾多的網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)日志,安全得不到保證�����。
為了解決這些問題���,我們建立了一套集中日志管理系統(tǒng)�����,根據(jù)日志的來源�����,對(duì)重要網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志進(jìn)行分類�,集中地收集���、存儲(chǔ)��、備份���,然后再進(jìn)行分析、查詢��。這樣,一方面大大提高了工作效率���,有利于及時(shí)發(fā)現(xiàn)問題����,另一方面�����,日志的異地存放使得攻擊者更加難以掩蓋痕跡�����,有利于管理員事后分析追蹤��。
入侵檢測(cè)系統(tǒng)
在考慮網(wǎng)絡(luò)安全問題的對(duì)策時(shí)����,我們不僅要考慮如何保護(hù)我們的網(wǎng)絡(luò)�,還要考慮如何實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)上的威脅,并及時(shí)地作出響應(yīng)��。為此�����,我們選用了RealSecure System Agent和Network Engine。其中��,實(shí)時(shí)系統(tǒng)代理 (RealSecure System Agent)是一種基于主機(jī)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品�,一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵,RealSecure可以中斷用戶進(jìn)程和掛起用戶賬號(hào)來阻止進(jìn)一步入侵��,同時(shí)它還會(huì)發(fā)出警報(bào)����、記錄事件等以及執(zhí)行用戶自定義動(dòng)作。實(shí)時(shí)系統(tǒng)代理 (RealSecure System Agent)還具有偽裝功能��,可以將服務(wù)器不開放的端口進(jìn)行偽裝�,進(jìn)一步迷惑可能的入侵者,提高系統(tǒng)的防護(hù)時(shí)間��。實(shí)時(shí)網(wǎng)絡(luò)傳感器 (RealSecure Network Engine) 是基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品�,在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。網(wǎng)絡(luò)入侵檢測(cè)RealSecure Network Engine在檢測(cè)到網(wǎng)絡(luò)入侵后�����,除了可以及時(shí)切斷攻擊行為之外��,還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略,使得防火墻成為一個(gè)動(dòng)態(tài)的�����、智能的防護(hù)體系�����。
通過部署入侵檢測(cè)系統(tǒng)��,我們實(shí)現(xiàn)了以下功能:
1��、在省網(wǎng)管中心和計(jì)費(fèi)中心采用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)�,對(duì)網(wǎng)絡(luò)攻擊進(jìn)行在線實(shí)時(shí)監(jiān)控����、告警并能自動(dòng)阻斷部分攻擊。
2���、在全省集中電子郵件系統(tǒng)����、DNS����、WWW服務(wù)器上采用了基于主機(jī)的入侵檢測(cè)系統(tǒng)����。
3�����、對(duì)于全省WWW服務(wù)器���,配置主頁(yè)的自動(dòng)恢復(fù)功能�����,即如果WWW服務(wù)器被攻破�、主頁(yè)被纂改���,系統(tǒng)能夠自動(dòng)識(shí)別并把它恢復(fù)至事先設(shè)定的頁(yè)面�����。
4�、入侵檢測(cè)系統(tǒng)與防火墻進(jìn)行“互動(dòng)”�����,即當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊后,通知防火墻�����,由防火墻對(duì)攻擊進(jìn)行阻斷�����。
同時(shí)在各地市節(jié)點(diǎn)使用sniffer軟件作為系統(tǒng)安全監(jiān)控的補(bǔ)充手段�。
網(wǎng)絡(luò)安全方面采取的主要管理措施
應(yīng)該說�����,網(wǎng)絡(luò)安全不僅僅是一個(gè)技術(shù)問題�����,實(shí)際上�����,從我們運(yùn)行維護(hù)的經(jīng)驗(yàn)來看�����,主要還是“人”的問題,因?yàn)樽罱K是人在執(zhí)行網(wǎng)絡(luò)安全方面的各項(xiàng)規(guī)定和操作����,這需要從管理、培訓(xùn)上循序漸進(jìn)地做大量工作��。這里����,我們簡(jiǎn)單介紹一下江蘇電信IP網(wǎng)在網(wǎng)絡(luò)安全方面所采取的部分管理措施。
(一)及時(shí)對(duì)最新發(fā)現(xiàn)的重要安全漏洞和病毒發(fā)布通告�����,制定應(yīng)對(duì)措施��。我們通過訂閱有關(guān)安全問題的郵件列表來及時(shí)了解安全方面的動(dòng)態(tài)�����,一旦發(fā)現(xiàn)與江蘇電信IP網(wǎng)運(yùn)行系統(tǒng)有關(guān)的重大安全問題�����,就立即著手研究制定解決方案和步驟,并通知相關(guān)單位��、部門以及用戶�����。
(二)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全掃描��,動(dòng)態(tài)掌握安全現(xiàn)狀���,發(fā)現(xiàn)漏洞及時(shí)修補(bǔ)����。注意對(duì)掃描結(jié)果進(jìn)行統(tǒng)計(jì)分析��,據(jù)此發(fā)現(xiàn)網(wǎng)上存在的主要問題�����,并通過考核的方式督促相關(guān)單位盡快解決���。
(三)注意對(duì)用戶的安全宣傳、教育,并簽訂安全協(xié)議����,明確責(zé)任.
