江苏电信IP网网络安全解决方案

安全扫描系统

对于一个大型网络来说，由于涉及网络设备和主机系统众多，并且经常需要调整修改配置，必须具备一种方便、快捷的手段帮助安全员全面地、动态地进行弱点评估，掌握网络系统存在哪些安全漏洞，以进行修补，提高自身免疫力。而安全扫描软件无疑是一个较好的工具，它不仅可以弥补安全员在安全知识和经验上的不足，还可以有效缩短漏洞发现时间，减少攻击成功的可能性。我们选用了Internet Scanner，它通过对网络安全弱点的检测与分析，发现存在的安全漏洞，做出安全评估，并能提出相应的改进建议。网络扫描器可将风险分为高、中、低三个等级，并且根据不同的需要生成报表，从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。

集中日志管理系统

网络设备和主机系统的日志可以帮助管理员监控和分析合法用户的越权行为和可疑行为以及非法用户的访问尝试等行为。然而，这些日志一般分散存放在各个设备上，采用覆盖方式存储，不便于管理员检查审计，也不便于保存归档，同时，还容易被入侵者在攻击时篡改。现状常常是系统虽然启用了日志功能却形同虚设，管理员基本无暇顾及数量众多的网络设备和主机系统日志，安全得不到保证。

为了解决这些问题，我们建立了一套集中日志管理系统，根据日志的来源，对重要网络设备和主机系统的日志进行分类，集中地收集、存储、备份，然后再进行分析、查询。这样，一方面大大提高了工作效率，有利于及时发现问题，另一方面，日志的异地存放使得攻击者更加难以掩盖痕迹，有利于管理员事后分析追踪。

入侵检测系统

在考虑网络安全问题的对策时，我们不仅要考虑如何保护我们的网络，还要考虑如何实时检测网络上的威胁，并及时地作出响应。为此，我们选用了RealSecure System Agent和Network Engine。其中，实时系统代理 (RealSecure System Agent)是一种基于主机的实时入侵检测产品，一旦发现对主机的入侵，RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵，同时它还会发出警报、记录事件等以及执行用户自定义动作。实时系统代理 (RealSecure System Agent)还具有伪装功能，可以将服务器不开放的端口进行伪装，进一步迷惑可能的入侵者，提高系统的防护时间。实时网络传感器 (RealSecure Network Engine) 是基于网络的实时入侵检测产品，在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecure Network Engine在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的、智能的防护体系。

通过部署入侵检测系统，我们实现了以下功能：

1、在省网管中心和计费中心采用基于网络的入侵检测系统，对网络攻击进行在线实时监控、告警并能自动阻断部分攻击。

2、在全省集中电子邮件系统、DNS、WWW服务器上采用了基于主机的入侵检测系统。

3、对于全省WWW服务器，配置主页的自动恢复功能，即如果WWW服务器被攻破、主页被纂改，系统能够自动识别并把它恢复至事先设定的页面。

4、入侵检测系统与防火墙进行"互动"，即当入侵检测系统检测到网络攻击后，通知防火墙，由防火墙对攻击进行阻断。

同时在各地市节点使用sniffer软件作为系统安全监控的补充手段。

网络安全方面采取的主要管理措施

应该说，网络安全不仅仅是一个技术问题，实际上，从我们运行维护的经验来看，主要还是"人"的问题，因为最终是人在执行网络安全方面的各项规定和操作，这需要从管理、培训上循序渐进地做大量工作。这里，我们简单介绍一下江苏电信IP网在网络安全方面所采取的部分管理措施。

(一)及时对最新发现的重要安全漏洞和病毒发布通告，制定应对措施。我们通过订阅有关安全问题的邮件列表来及时了解安全方面的动态，一旦发现与江苏电信IP网运行系统有关的重大安全问题，就立即着手研究制定解决方案和步骤，并通知相关单位、部门以及用户。

(二)定期对网络进行安全扫描，动态掌握安全现状，发现漏洞及时修补。注意对扫描结果进行统计分析，据此发现网上存在的主要问题，并通过考核的方式督促相关单位尽快解决。

(三)注意对用户的安全宣传、教育，并签订安全协议，明确责任.