电信行业解决方案

1、中安源tm（chinasec）tm电信服务资源安全保护方案1. 项目需求随着信息网络建设和完善，网络信息服务越来越受到人们的青睐，而作为信息服务的最大提供商电信行业服务网络和服务系统的安全性和稳定性显得尤为重要，如何保证网络系统的安全性成为人们关注的一个焦点电信部门目前的网络和系统主要需求如下：1) 服务资源授权访问和保护。为了给众多的用户提供各种电信服务，电信系统运行着大量的服务器系统。因为这些服务器系统一般集中放置在机房，其维护通常经过远程的登陆进行管理，这就使得服务器群面临以下的安全问题：a) 缺乏统一规划:电信公司都建立了多种(多个)统一平台，极大地提高了生产效率和投资回报，但同时也让

2、安全问题更加复杂了，这样的统一平台要求全面统一考虑安全系统的建设，可以看出，目前的很多规划是基于单个系统的，这样考虑存在较大问题，我们认为，应当以安全域管理和划分为原则，统一规划整个安全体系的建设，集用户身份管理、终端管理和内部信息安全保密等于一体。b) 安全技术手段使用不足:电信公司都会采用了一些防火墙、入侵检测和防毒系统，但是大部分系统都存在大量空白的空间，不同安全域之间的连接都没有通过防火墙进行访问控制，无论是安全体系的纵深还是安全体系的强度都严重不足。c) 普通的用户名/口令登陆方式对服务器的保护力度不够，大量的unix/windows/notes等系统的缺省配置，开放不必要的端口，没

3、有打安全补丁，口令强度严重不足，缺省的snmp口令配置，这些弱点在电信公司均普遍存在。因为关键服务器负担着全部通信系统的稳定性和安全性，所以必须提供一种高强度的身份认证方式，只有合法授权的用户才能够访问服务器；d) 网络业务系统大都采用tcp/ip作为主要的网络通讯协议，主要服务器为unix操作系统。虽然，tcp/ip和unix都是以开放性著称的，系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑，但只实现了基本安全控制功能，还存在一些许多的安全漏洞，对于病毒、黑客来说，网络协议的开放性使信息安全威胁的风险大为增加。因为服务器

4、一般可以远程登陆，所以任何能够与之相连的网络都能够进行访问，例如远程拨号联通也能够进行访问，这就带来重大的安全隐患。而这种安全很可能是由于内部人员无意中造成的。因为客户端和服务器之间传输的信息涉及到用户/口令和其它敏感数据信息，必须对传输的信道进行加密，保护敏感信息，根除开放性协议带来的威胁。e) 因为一般来说，不同的人员分管不同的服务器，为了降低服务器受攻击的风险，必须对人员能够访问的服务器进行授权，所以应该能够灵活地给各个人员分别进行不同的授权。同时，也能够对计算机终端进行限制，限制特定的客户端才能够访问特定的服务器群。2) 内部计算机资源管理和应用服务授权管理a) 电信办公网络内部各个部

5、门计算机存有不同程度的保密信息，并且根据业务部门的划分，一般不同业务部门的计算机指定了特定的人员需要。需要提供一种有效的手段，能够对计算机进行有效的控制和授权，并且能够根据职能部门将计算机划分成不同的安全域，进行有效的控制。实现电信企业中的重要信息在可控的范围内安全传播，即有效的控制信息传播的范围，防止重要信息泄漏给电信企业外部的组织或人员。b) 对于重点的部门，如财务部门和一些数据服务部门，存在敏感的信息需要进行保密，为此需要提供有效的手段，防止计算机内的有价值信息被有意或者无意识泄漏出去。c) 缺乏实时集中管理手段:安全事故监控和响应都缺乏技术手段，缺乏必要的流程和组织。要通过少数人保证庞

6、大的电信公司ip系统的安全，就必须充分利用集中监控、集中响应的技术机制。d) 缺乏足够的审计:作为所有安全防御机制的补充，审计工具和机制是一种重要的检测机制，通过他可以发现内部的误用和异常的趋势。e) 内部误用和滥用。各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的，通常的比例高达70%。这样，如何高效地防止误用损失、阻止滥用、监测业务网络的健康运行，并且在实践发生后能够成功地进行定位和取证分析，这样的能力对于一个成功的电信级企业显得至关重要。f) 对有些多人共同使用的计算机，可以提供个人的保密空间。2. 系统功能2.1 中安源（chinasec）可信网络认证系

7、统中安源可信网络认证系统提供一个完整的基础认证平台，解决信息资源统一用户授权和管理的问题。中安源可信认证系统包括服务器、控制台、客户端代理、用户usb令牌和认证代理五个部分组成，其列表清单如下：组件名称组件形态简单说明服务器（tis server）软件管理和数据中心，负责所有客户端代理的监控和管理控制台（tis mc）软件管理员的可视操作中心客户端代理（tis agent）软件客户端认证代理用户usb令牌（tis usb key）硬件用户身份的唯一标识，每个用户一个认证代理网关（tis gateway）硬件服务器资源认证代理，放置在服务器前端中安源可信网络认证系统主要实现了以下功能：1) 实现

8、统一集中的信息服务器资源和计算机资源管理，通过在信息服务器前端放置本系统认证代理网关，可以实现在本系统服务器统一对用户进行各个服务器资源和计算机资源的访问授权，而不再需要分别对每台服务器和计算机进行配置，极大降低了管理工作量；2) 实现了计算机资源的有效管理，管理员可以指定每台计算机的一个或者多个使用者，也可以指定某个用户只能使用那些计算机资源；并且如果用户离机拔出usb key，用户计算机随即锁定系统，增强了计算机使用的安全性；3) 实现了基于pki技术的双因素高强度认证，通过usb key内置的密码芯片和pin码保护，实现了高强度身份认证，用户身份冒充可能性降到很低；4) 提供了安全保密磁

9、盘，针对每个用户，可以建立自己的保密磁盘，在公共使用的计算机上拥有自己的私人空间，加强了保密性；5) 提供了详细的用户登陆记录，对用户访问服务器资源和登陆计算机的动作进行了详细的记录，利于单位对用户的行为做出评估和审计；6) 支持通用ca中心颁发的x.509证书，可以建立单位统一的认证体系，包括内部资源管理、网上银行、网上报税、数字签名以及其它基于数字证书的应用。2.2 中安源（chinasec）可信网络保密系统中安源可信网络保密系统按照安全级别将网络划分成多个虚拟保密子网（vcn），对虚拟子网内网络通信和文件系统数据交换全面保护。中安源可信网络保密系统包括服务器（vcn server）、管理

10、中心（vcn mc）、安全网关（vcn gateway）、转发网关（vcn switcher）和客户端代理（vcn agent）五个部分组成，其列表清单如下：组件名称组件形态简单说明服务器（vcn server）软件管理和数据中心，负责所有客户端代理的监控和管理控制台（vcn mc）软件管理员的可视操作中心客户端代理（vcn agent）软件客户端认证代理安全网关（vcn gateway）硬件服务器资源认证代理，放置在服务器前端转发网关（vcn switcher）硬件虚拟保密子网通信网关，防止在网络中中安源可信保密系统主要实现了以下功能：1) 实现对物理网络逻辑上划分成不同的虚拟保密子网，每个

11、虚拟保密子网授权访问服务器区域和internet，虚拟保密子网之间可以设定信任关系，只有信任的保密子网才能够相互访问，不在虚拟保密网内的计算机不能访问虚拟保密子网中的计算机。2) 通过安全网关硬件设备建立受保护的服务器区域，只有经过认证的计算机才能访问这个区域的服务器资源，非法用户禁止访问服务器资源。3) 网络通信数据内容加密，防止非法接入，保证资网络资源及机密数据不被非法接入的计算机占用、攻击及盗取；防止用户通过拨号设备连接internet泄漏机密数据。4) 对移动存储设备授权管理，只有经过认证的移动存储设备才能够使用，非法用户的移动存储设备不能在系统中使用，移动存储设备可以认证为正常读写、

12、加密读写、只读、信任域只读、信任域读写等策略，控制了移动存储设备使用权限，保证了数据安全，同时认证后的移动存储设备数据读写对用户透明，不影响用户使用习惯。5) 操作系统盘禁止写数据，防止用户通过操作系统盘泄密数据。本地硬盘数据加密，在不影响用户使用习惯情况下，对本地硬盘数据读写实行透明加解密，防止硬盘丢失后数据泄密。2.3 中安源（chinasec）可信网络监控系统中安源可信网络监控系统是针对计算机终端管理和控制而设计的安全产品。可以对计算机网络连接、操作系统已安装程序、正在运行的程序、服务、驱动、网络共享、网邻使用情况、用户桌面等状态信息进行监控，对计算机进程、程序窗口、计算机各种类型外设端

13、口进行控制，有效的管理和控制了计算机终端，达到了对计算机用户行为的管理和审计。中安源可信网络监控系统包括服务器（mgt server）、管理中心（mgt mc）和客户端代理（mgt agent）三个部分组成，其列表清单如下：组件名称组件形态简单说明服务器（mgt server）软件管理和数据中心，负责所有客户端代理的监控和管理控制台（mgt mc）软件管理员的可视操作中心客户端代理（mgt agent）软件客户端认证代理中安源可信保密系统主要实现了以下功能：1) 实现计算机实时状态监控，实时监视客户端运行服务及状态、正在打开的程序窗口、正在运行的进程、网络连接状态、共享文件夹状态、用户和用户文

14、件夹状态、系统事件日志等等，随时了解计算机状态；2) 计算机外部设备开关式管理，对红外端口、拨号设备、usb输入设备（鼠标、键盘、优盘等）、串口、并口、1394端口、pcmica、软盘、光盘驱动器的开关控制；3) 计算机网络控制，使用黑白名单方式对计算机进出数据进行双向控制，对网络中重要数据进行保护；4) 计算机用户行为控制和违规记录审计，对计算机运行进程、窗口、服务进行控制，防止非法程序运行，监控用户行为，同时用户行为进行审计，达到事后追溯的目的。5) 计算机在线离线两种策略，笔记本电脑在公司执行一种策略，离开公司后执行另一种策略，严格控制笔记本电脑使用，防止泄密。6) 支持不用用户在一台计

15、算机上设定不同的策略，方便一台计算机多个用户使用。3. 系统部署针对与以上的需求和系统的功能，系统部署如下：（1） 部署chinasec可信网络认证系统、chinasec可信网络保密系统和chinasec可信网络监控系统。（2） 服务器群前面放置认证/安全网关，对用户身份进行认证和授权控制；如果有多个服务器群，可以使用多个认证/安全网关；（3） 在所有可能需要管理服务器的计算机终端安装部署chinasec可信网络认证系统；（4） 所有需要管理的客户端计算机安装chinasec可信网络监控系统，实现对全网计算机的集中安全管理和审计；（5） 在需要保密和安全性高的计算机安装部署chinasec可信网络保密系统，按照安全级别将计算机终端划分入不同的保密子网（vcn），各个保密子网间设定相应的信任关系，只有受信任的保密子网才能后相互访问。（6） 对外计算机本地和服务器的访问通过usb令牌认证，保证用户身份的真实性、合法性。参考下面的部署图。4. 实施效果本方案在电信系统中使用了中安源（chinasec）可信网