可以说,通信业是国内企业信息化做得比较好的领域之一。也正因为如此,系统的安全防护问题开始被越来越多的运营商所关注。试想,如果运营商的计费数据一旦被别有用心的黑客删除,运营商将如何向用户收取费用?如果病毒入侵导致某些重要的网管参数被莫名其妙的改动,通信网络也许会因此而瘫痪,我们的工作和生活又将造成多大的困扰。所以,作为运营的重要支撑,OSS必须在一个高度安全的环境中运行。
老措施遇到新问题
但是,许多以往建设的安全架构在对付日益复杂和精密的网络攻击时已显现出诸多不足。比如防火墙在网络安全方面发挥着重要作用,但仅靠防火墙并不能阻挡所有的攻击。由于大部分防火墙会配置开放端口,因此黑客就可通过这些开放端口入侵系统。此外,防火墙也不能有效地阻止诸如HTTP蠕虫等普通攻击、混合攻击和DDos/Dos攻击。事实上,当防火墙不能抵挡某次攻击时,其自身也会成为DoS之源。根据CSI/FBI安全报告显示,90%的攻击可以绕过放火墙。
有研究表明,近来对造成企业网络危害最大的是“黑客加病毒”构成的混合攻击。目前企业网络普遍都采取了一定的防护措施,但由于构建网络时存在认识的局限性以及当时的条件,防黑客的不能阻挡病毒,而防病毒软件也不能辨别黑客,所以一旦遭受混合威胁的攻击,这些防护措施就成为了摆设。特别是有些企业的防护措施是重点针对网络客户端的,而对企业经常保存重要信息的服务器等设备采取的防护举措不够健全,这就使得很多攻击得以通过日常网页浏览及文件下载来进行。因此,采取整合式防御手段来抵挡网络攻击成为了业内很多人的共识,而把多种安全功能集成在一起也成为了安全产品的一种发展趋势。
鉴于此,赛门铁克提出在网络的各个位置上都应该部署相应的网络安全产品,同时配备在基于主机/网络的风险管理工具,以找出有可能被利用的网络安全漏洞。也就是说,要借助于全面的网络安全防护架构解决方案,防火墙要和防病毒软件安全漏洞检测工具、信息安全集成管理系统等结合,来创建一个综合的保护屏障。目前他们力推的赛门铁克网关安全解决方案(Symantec Gateway Security),就是将五种核心安全功能(防火墙、病毒防护、入侵检测、内容过滤以及VPN)融合到单个机体之中,可使各种功能协同工作,所有安全功能都可通过Symantec Raptor管理控制台以GUI的形式进行本地或远程配置、管理,以此来保护整体网络的安全。
多道防线深度防御
在思科看来,“安全不仅仅是单点产品的集合,不能是事后加在系统中的”,而“应该是集成在网络系统中的”。所以,只有建立在深度防御基础上的整体安全系统,才能有效地保护系统中每一个点的安全;才能有效地防止外界的非法入侵;也才能在发生故障的情况下,迅速找出最佳方法来恢复业务。依照其“SAFE蓝图”,通过为网络设置多道分工明确又相互配合的防线,来构成了一套防护体系。比如用防火墙保护本网和其它网络互联的安全、路由器级的安全控制、用ACS对拨号用户和网络设备访问进行集中安全认证和用IDS实时监测网络入侵等。
路由器级的安全控制由四部分组成,包括使用访问控制列表(ACL)技术、IP地址转换技术、路由认证技术和路由器的自身保护等。针对有些网络数据交换频繁的特点,思科在网络和其它业务单位的网络之间,部署了防火墙产品,保证进入网络的访问都是经过授权的访问,从而保护了本网和其它网络互联的安全。
Cisco Secure ACS软件可以为作为AAA client的网络设备以及拨号用户提供AAA(Authentication, Authorization ,Accounting)的认证服务。使用ACS,可为拨号用户和网络设备访问提供集中的认证,提高了安全性。而IDS是Cisco安全系列产品(包括防火墙、加密组件和认证组件)中的动态安全组件。IDS可以在 Intranet和Internet的环境中运行,从而保护用户整个网络的安全。
这样,部署的网络安全体系既能有效地防止外界的非法入侵,又能兼顾企业未来业务和管理发展上的需要。同时尽管网络系统规模较大,设备复杂,但网络系统仍能具有较良好的可管理性。
