徐伟华
摘 要:文章以某移动公司为例,通过全面系统分析主流网络安全技术及其应用,进而对其网络安全需求进行分析并设计以安全管理系统和安全技术为两层架构的立体安全防护体系来提高网络安全质量。
关键词:网络;安全解决方案;网络安全技术
中图分类号:TP393 文献标志码:A 文章编号:2095-2945(2020)09-0081-02
Abstract: In this paper, taking a mobile company as an example, through a comprehensive and systematic analysis of the mainstream network security technology and its application, the paper analyzes its network security requirements and design a three-dimensional security protection system based on security management system and security technology to improve the quality of network security.
Keywords: network; security solution; network security technology
1 某移动公司网络安全概述
该移动公司设有综合部和市场部2个部门,南区服务销售中心和中区服务销售中心2个服务销售中心,12间“沟通100”服务厅。目前有交换网、传输网、基础数据网、城域网等各类电信网络、平台及支撑系统及各业务系统的服务器、网络设备、安全设备数百台,只有5%的人员以及众多第三方运维人员负责对这些网络、平台及系统进行日常维护工作。由于企业业务规模的不断扩大,公司网络安全体系暴露了很多的缺点。因而,该移动公司急切需要一个合理、有效的网络安全解决方案来巩固其网络安全防线。
在这样的网络环境下存在下列安全需求。
(1)内网安全建设总需求
网络安全解决方案应具有防火墙、入侵检测与监控系统、安全漏洞扫描、病毒防护等四项基本功能。同时该解决方案要能够让远程移动用户对公司内网进行安全访问。
(2)移动业务系统的安全需求
与普通的网络应用不同,移动业务系统的安全性是保障移动网络应用安全的核心,对于业务系统应设置最高的网络安全策略。因而有如下的安全需求。
数据安全:网络安全解决方案必须保证数据库软硬件系统的整体安全性和可靠性,要最大程度的保障企业各种敏感数据的安全性,做到数据不被非法盗用、修改等。
访问控制:网络安全解决方案必须确保企业的业务系统不被非法访问。
入侵检测:对于试图破坏企业业务系统的恶意行为能及时进行信息审计、记录、跟踪,提供非法攻击的证据。
以及能防止来自内网其他系统的破坏、误操作而造成的安全隐患。
(3)对安全产品的需求
所有安全产品要求取得中华人民共和国公安部的销售许可并有中华人民共和国国家信息化办公室的安全认证。
所有安全产品要求厂家拥有稳定的服务保障和技术支持队伍,能够对产品进行定时升级和企业员工技术培训等。
所有安全产品要求自身具有较高的安全性和稳定性且界面友好,易安装、易配置、易維护、易升级、易操作、易管理,当然要有详尽的技术帮助文档。
所使用到的安全产品应能与企业现有网络的其它网管产品功能兼容并能有效整合。
所有安全产品要求功能模块配置灵活,并具有良好的可扩展性。
2 某移动公司网络安全建设方案设计与实现
通过研究设计的解决方案,一是设计的解决方案不能影响网络效率,不能降低客户应用灵活性;二是要能降低管理费。因而总目标是提高移动公司的网络质量,满足各部门的安全需求,实现自主建设网络安全体系并灵活的应对企业各类突发的安全事故,最重要的是减少其网络安全建设的各项成本。其余的建网目标归结如下。
(1)建立一套完整可行有效的网络安全建设解决方案。
(2)能有效隔离内外网,避免与外网直接通信。
(3)能对网内各主机和服务器建立一个全方位的安全保护体系。
(4)设置授权用户的访问权限在最低限度同时加强用户的访问认证。
(5)全面监控公开的服务器及时响应服务器各项异常反应。
(6)加强对各类访问的安全审计和记录工作,强化系统的容灾备份能力。
(7)要加强对网络安全的管理,提高其余员工的安全防范意识。
本方案是从技术和管理两个方面来架构的一个立体网络安全防护体系。
技术方面是从七个技术模块来进行设计的。
(1)防火墙系统与控制端模块:在移动综合大楼的网络出口尤其是与Internet等危险网络的接口处安装边界防火墙,从而对内外网进行隔离和防止黑客非法攻击,实现基于TCP服务的过滤、IP地址的过滤、IP动态包检测过滤、恶意代码的静态过滤等功能,必要时还能实现网络地址翻译来保护内网。
(2)入侵检测系统与控制端模块:将入侵检测(IDS)探头部署在重要的网段上。为了既能发现网络中的攻击信息又能发现系统日志中的异常情况,因而本文构建的入侵检测系统是基于网络和主机两种模式的。通过在一个控制端下挂多个IDS探头,通过分布式的IDS探头配置,实现全面的信息采集,然后控制端就综合所有的信息进行分析,从而制定行之有效的安全规则并且负责与其他的安全技术产品进行信息交换和安全规则修改。
(3)防病毒系统与控制端模块:在内网和防火墙DMZ区内的三个Windows NT服务器上安装美国CA公司eTrust防病毒服务器,然后将其中一个作为一级控制端而剩下的两个作为二级控制端,其他网络上的计算机安装eTrust防病毒系统客户端。
(4)账号集中管理系统模块:账号集中管理系统又叫AAA系统、3A系统,3A是一种基于C/S架构的安全模式,因而要分别对客户端和服务端进行设置。客户端是网络接入设备,譬如VPN服务器、路由器、交换机等。而服务端是可以提供AAA服务的主机,不过必须先安装思科的ACS服务端程序。鉴于3A所要实现的认证、授权、统计三个功能,因此必须在3A服务器上建立一个有账号信息的身份验证数据库,设置相应的权限控制用户行为。同时,在3A客户端上监视手机用户行为动作并将信息反馈给3A服务器。
(5)安全漏洞扫描器模块:安全漏洞扫描是一种较防火墙和入侵检测系统主动的排查技术,能够发现已知的安全漏洞在网络中的分布情况并提出修补的意见,从而化被动防御为主动出击。本课题主要是在浏览器和目标主机之间设置一个网络扫描器来远程检查目标主机TCP/IP不同端口的服务,然后记录目标给予的回答。这个漏洞扫描器包括端口扫描模块、漏洞库以及一个控制平台。如:必须关闭135(远程过程调用)、139(共享服务)、445(局域网中的共享文件夹或共享打印机)等高危端口、禁用Guest、设置复杂的Administrator密码等。而管理人员也要定期对目标系统进行安全扫描,如对发现的安全漏洞采取一些加固措施来提高企业网络的安全性,增强对黑客和病毒的防御能力。
(6)域控制器模块:通过接口域将受保护的企业内网系统和第三方人员、省网管网以及被管网元、CMNet等隔开。
首先在服务器端对企业网进行WLAN域的划分:在设置好的Active Directory(活动目录)的Windows NT上登录,选择开始程序管理工具->Active Directory用户和计算机->右击“Computers”单击“新建”->选择“计算机”->填入要加入域的计算机名;然后进行客户端的设置:确认计算机名称是否正确,右击桌面“网上邻居”图标->点击“属性”设置窗口->确认“主网络登录”为“Microsoft网络用户”->选中“Microsoft网络用户”->点击“属性”按钮出现“Microsoft网络用户属性”->选中登录到“Windows NT域”在“Windows NT域”中输入要登录的域名。
(7)应急故障处理模块:对系统中出现的安全故障进行管理、监控、响应、维护。如对数据库和關键系统进行定期备份,并做好应急措施。
管理方面主要是使用中国移动安全管理系统(SOC)。SOC经过中国移动长期以来的不断发展,其各项功能都趋于完善。但是这是总公司的全局系统,面对移动的特有网络状况,SOC需要做相应的更改,在设计部分会详细的阐述。在本方案中SOC主要有以下三个作用。
(1)能够明确保护对象,查找可能的安全隐患,实现对风险的实时管理。
(2)能够准确判定可疑事件,提高系统的监控效率,实现对防火墙、入侵检测、防病毒等系统告警的集中监控。
(3)能够加速工作流转、积累处理突发事件的经验,迅速安排相关人员进行运维。
3 结束语
本论文从多方面描述了移动公司网络安全解决方案,如防火墙、入侵检测、防病毒等,论文从这些技术入手,深入研究各个方面的网络安全问题的解决方法,可以使读者对网络安全技术有更深刻的了解。同时,本方案构建的SOC与安全技术七个模块两层防护体系经Packet Tracer分布设置实施,完成了全部设计,并在模拟运行时显示成功。
参考文献:
[1]王瑞梁.新时期企业网络管理的现状及对策研究[J].电脑与电信,2017(02):47-48.
[2]江新辉.现代通信网络安全防护技术的应用[J].无线互联科技,2016(14):143-144.
[3]雷震甲.网络工程师教程(4版)[M].北京:清华大学出版社,2014.
[4]刘永华.计算机网络信息安全[M].北京:清华大学出版社,2014.