从分析来看,我们综合目前电信公司面临的所有的风险和问题,主要集中以下三个方面:
缺乏统一的安全规划和安全职责部门,缺乏技术手段,统一的部署安全策略,响应安全事故,控制安全风险。
尽管已经采用了一些安全措施,但是目前安全措施的采用还是严重不足的,存在大量这样、那样的风险和漏洞。
安全管理仍然存在大幅度改进的空间,安全意识培训、安全策略和业务连续性计划都必须逐步完成并实施。
与此相对应的,我们建议针对这三个方面问题采取三种针对性的解决方案:
其一,我们强烈建议建设安全管理中心(SOC),进行统一集中的网络安全管理
其二,建设安全防护体系:从安全产品和服务方面对现有网络和数据的保护进行加强
其三,从管理方面进行策略、组织机构和管理考核制度方面执行安全考虑。
安全管理中心(SOC)
传统的安全管理方式是将分散在各地、不同种类系统就近分别管理,这样导致安全信息互不相通,安全策略难以保持一致。这种传统的管理运行方式是许许多多安全隐患形成的根源。
安全管理中心是针对传统管理方式的一种重大变革。它将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。
我们建议的安全管理中心(SOC)所涉及的安全管理管理范围包括:
所有的基于IP的网络和应用系统的安全:包括支撑网本身、业务支撑系统(如决策支持系统、网管)、业务系统本身和其上应用)。
所有安全产品组成的安全体系的实时管理和监控都应当受到SOC的管理。
所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全管理中心中,保证及时安全时间的发现、分析和响应。
负责协同高层领导,制定和实施企业长期安全目标和策略,并将其分解为中期和短期策略,负责日常安全配置和维护。
安全产品和服务
从前面的业务环境分析,我们知道虽然电信公司网络系统中已经部署了一些网络安全产品,但是这些产品没有形成体系,尚有许多薄弱环节没有覆盖到,不少安全产品没有得到有效利用。为了实现全面的安全目标,需要全面考虑对于安全产品和服务的部署需求,实现“全网”安全的目标。针对全网不同业务类型子网的相应的安全产品和服务详细布署方案将在下一步中提供。
安全产品和安全服务
根据上面的分析,我们建议有重点地按照下面的策略来布署安全产品以大幅度提升全网的安全水平,安氏有能力就如下几方面提供全面的技术解决方案:
• 配置(增加)更为先进的防火墙和入侵检测系统,来增强已有的访问控制和审计响应手段;
• 配置国际先进的对抗DoS产品和一定的网络冗余设计来增强全网的抗拒绝服务攻击打击能力;
• 完善的反病毒体系(部分替换)来增强全网的抗病毒和蠕虫攻击能力;
• 布署全网统一的风险评估软件和安全信息库,提升全网的安全审计和风险管理能力;
• 布署集中的认证服务器和相应软件(带有高可靠性冗余设计),来提高全网的认证和访问控制能力;
• 在关键业务和数据网段布署国际先进的事件分析软件,提高对安全事件的分析、定位、追查等能力,提高全网的安全事件可视化水平;
• 在全网范围内布署适当的、基于PKI体系的加密、数字签名和安全认证产品和技术,提高全网关键业务的保密性、完整性、可靠性以及抗抵赖等安全属性
• 在安全管理中心布署集中的安全管理软件,集中监视全网关键设备和安全应用的运行状态和安全事件。
在具体配置和建设安全体系时,安氏建议采用以下的步骤和原则:
首先应该划分安全域:从大的层面来说、支撑网体系,合作伙伴接入是3个主要的安全域;每个安全域中间,有分成小的安全域,每个系统里面又可以划分成子域。使用安全域的概念,便于衡量不同的安全需求、威胁,从而确定如何采用访问控制、权限控制。
防火墙:当不同安全域对于安全需求程度不同,并且可以进行隔离的时候,应该使用防火墙进行隔离,必须注意的是,接口数量应该尽量控制,统一规划,不能到处都是防火墙隔开的接口。防火墙配置的主要位置:Internet接口、合作伙伴接口、拨号接入接口(电信公司办公和维护用)、各安全域之间、重点主机保护、数据库、DMZ保护等。
入侵检测:网络入侵检测应该至少和防火墙联合使用,入侵检测系统和防火墙系统是互为补充的,建议每个防火墙后面均部署入侵检测系统。入侵检测系统还可以在内部误操作和内部攻击检测和审计方面起到巨大的作用,因此可以考虑在重要的局域网内均部署网络入侵检测系统。在一些重要的主机保护时,防火墙可能会带来性能和可用性的问题,这时候可以单独部署网络入侵检测系统。主机入侵检测系统从主机内部提供良好的防御和检测机制,但是主机入侵检测系统会对系统资源的使用造成一定影响,因此应该慎重对待。
防毒系统:现代防毒最主要注重防毒系统的管理能力,只有有很强的集中管理能力的防毒系统,才可能贯彻杀毒和更新。防毒除了要体统通常的工作站防毒,email防毒和网关式防毒已经越来越越成为消除病毒源的关键。电信公司原来已经部署了部分防毒软件,我们建议把不适合集中管理的系统更换掉。首先保证邮件服务器和关键的PC服务器有防毒系统的保护,然后建立保证OA、座席、营业员等工作站系统完全实现可集中管理的防毒体系。
SOC功能:SOC内置的功能至少应该包括:实时集中监控和告警系统、漏洞评估系统、基于资产的风险管理系统、集中认证和认证管理功能、故障解决跟踪和控制系统(trouble ticket机制)、报表和分析系统。SOC管理的主要对象是全部安全系统,如防火墙、入侵检测系统等,同时也应该可以覆盖关键业务系统的安全状况,这些信息收集可以通过agent、syslog、snmp来实现。
PKI:PKI体系建立可以解决全网基本所有的认证要求,例如营业、客服的认证需求,客户服务的认证需求,OA的Email、内部Portal访问的需求,Internet客户自服务的需求,VPN认证和密钥交换的需求等等。但是PK的全面部署并非意味着购买和安装CA服务器。重点是相应的应用软件需要进行修改或者购置新的模块,因此PKI应该是一个长期的目标,并使用较长的时间来达到最终目标。