启明星辰电信运营商网络安全综合解决方案

　　北京启明星辰信息技术有限公司

　　一、前言

　　安全解决方案的使命就是在先进的理念与方法论的指导下，综合运用安全技术、产品、工具，提供客户化的服务，全面系统地解决客户面临的安全问题。

　　1.理念与方法论

　　理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。一个解决方案中最核心的部分是解决方案所基于的理念与方法论，它好比解决方案的神经中枢。尤其是对那些看起来相似的安全需求，基于不同的理念与方法论会得到大相径庭的安全解决方案。

　　良好安全理念和方法论力图挖掘和把握信息安全的本质规律，以便为客户提供可行的，易实施的安全解决方案。

　　2.需求获取

　　客户的安全需求是整个解决方案的起源和持续的推动力。没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前，不可能得到切合实际的解决方案。

　　在需求分析过程中，会采用多种需求分析方法。比如，BDH方法，就是从业务、分布、层次等三个方向进行分解，同时考虑业务分解后的各要素之间的内在联系，力求完整而准确地获取客户的安全需求。

　　3.安全措施

　　安全措施是解决方案中具体的方法、技术、服务和产品等的集合，但又不是简单的堆砌。一个解决方案除了要有正确的安全理念和方法作为基础，全面、清晰地把握客户安全需求之外，还要对可用的各种安全措施（产品与服务）的特点有准确的了解和把握，深刻理解各种措施之间的内在联系，取长补短，充分发挥服务和产品的特性，最终提供有效的实施方案。

　　4.安全实现

　　安全实现是解决方案的最后一步。所谓“行百里者半九十”，优秀的安全解决方案必须通过完美地实现才能真正生效，满足客户的安全需求。

　　在努力完善理念和方法论的同时，要注重安全实现与执行。从项目管理、质量保障等方面全面加强。

　　二、解决方案指导思路

　　三观安全包括：微观安全、宏观安全和中观安全。

　　三观安全的一个典型模型就是上图的执行模型。上面的执行模型分为底层的实现层，体现为安全部件，即安全产品和规范化的安全服务；中间的运营层，体现为对于安全产品的集成管理和各种安全任务的流程管理；顶层的决策层，包括决策支持、残余风险确认，以及顶尖上的“使命”。

　　任何安全系统、安全项目、安全工作都要在三个层次体现和实现：都要上传到决策层，以确保决策层的支持和指导，并且能够保证对于机构真正使命的支撑和达成；都要下达到实现层，以确保所有问题都落实得非常具体，达成安全要求；而且还要通过运营层，协调、控制、反馈、管理实现层的安全要素，已达成决策层的安全使命和决策。

　　从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程，从中观到微观是一个控制和配置的过程.

　　事实上，同一安全要素可能同时包括了微观、中观、宏观三个层次的内容。例如安全策略中，执行流程是微观的内容，规范是中观的内容，而安全策略的基本方针则是宏观的内容。

　　三、电信运营商网络安全需求分析

　　目前影响电信运营商的主要安全事件主要表现为：

　　全网爆发性的蠕虫和病毒

　　对于全网的拒绝服务攻击

　　对于支撑网和OA网的入侵

　　软硬件设备的故障导致系统重大灾难

　　从技术层面来看，运营商最关注的安全属性可以归结为：

　　在设计电信运营商网络安全系统的过程中，都充分考虑各项措施对于上面安全目标属性的直接和间接支撑。力图将安全的能力侧重在这些重要的点上。

　　同时，未来的安全建设也要持续考虑上面的目标属性要求，而且还要不断检查和改进上述判断。

　　四、电信运营商网络总体安全监控解决方案

　　1、对IP骨干网进行全面流量监测，发现异常流量和蠕虫、拒绝服务等突发安全事件

　　电信运营商IP骨干网络总体分为IP公共服务骨干网和IP支撑服务骨干网，分别承载IP公共服务业务系统和电信运营商的电信网络运行维护及营业服务支撑系统。针对IP骨干网络的高位流量监测一大特点是能够比较容易的从宏观的角度观测到整个网络的整体状况，IP、端口、协议等流量是反映骨干网整体状况的最好也是最直接的事件对象。自动化蠕虫、恶意代码等在爆发前需要做大量的探测，扩大其可利用传染、控制途径，特定的网络流量时间走势和流量分布会发生明显的变化，这是作为网络流量异常的典型特征。

　　在IP骨干网进行流量异常检测，相当是在一个高位上建立宏观监测的机制，其监测分析结果就具有典型代表性。

　　启明星辰最新推出天阗流量异常监测系统可以对1G-16G的高速网络进行全面的流量监测。

　　天阗流量异常监测系统是三层分布式结构，由管理控制中心、流量监测中心、流量监测引擎（流量异常监测阵列引擎）组成。

　　通过流量检测，描绘出连续的流量曲线，可以发现异常安全事件的突然爆发。

　　通过对定义关注的恶意流量特征，描绘出连续的事件流量分布曲线，可以发现由于安全事件（特别是蠕虫）发生带来的附加流量等在网络中分布变化趋势。

　　基于滑动时间窗置信区间的自学习异常发现功能能够通过对一个时间窗（包括系统默认时间窗口，如：24小时自动滑动窗口模型，和用户自定义滑动时间窗口）内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量异常监测的基础，在实际运行中不断自我调整、逼近，最后自动剔除历史时间窗内的异常历史数据，实现历史时间窗数据与网络实际正常流量行为特征的高度吻合，从而可以提高对异常流量报警的准确性。

　　因此，通过在骨干网络层面对各种异常进行分析，就有可能在各种安全事件爆发前，从事后到事前、从被动到主动、从预警到保障地建立安全事件反应机制。

　　帮助用户建立的正常流量模型，在第一时间迅速发现网络流量的异常，并研究其原因，做出及时而准确的流量异常报警和安全响应；

　　帮助用户研究和发现网络攻击和蠕虫病毒的发生发展的规律，估计可能造成的影响、发生的范围，从而研究相应的防范对策。

　　2、建立全面的入侵检测和漏洞扫描体系，及时发现安全问题和建立预警、应急措施

　　在整体的宏观网络安全中，依靠安全策略的指导行必要的系统防护有积极的意义。但是，随着技术的发展，网络中新的安全事件和安全漏洞会不断出现，带来新的安全风险。

　　在攻击与防御的较量中，监测（Detection）是处在一个核心的地位。在实时监测中，入侵检测和漏洞扫描系统是目前最为主要的一个广泛应用的技术和管理手段，用来对网络中的入侵事件的监测采集和安全漏洞的分布统计，以及时调整安全策略和修补防护。

　　对于电信运营商来说，入侵检测和漏洞扫描系统属于跨地区的广泛部署。因此在管理上需要采取集中监测、分级部署的方式。各个点的入侵检测系统和漏洞扫描通过自带的管理软件进行配置和本地区的事件监测，同时将各地产生的事件上报，形成集中的安全报告。

　　启明星辰天阗入侵检测与管理系统可以统一管理入侵检测和漏洞扫描系统，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。

　　因此，通过建立全面的入侵检测和漏洞扫描体系实施，将实现以下目标：

　　（1）建立全网统一策略的大规模入侵检测体系

　　（2）建立全网网络和应用系统漏洞扫描机制和漏洞扫描监测体系

　　（3）建立全网对于重大潜在攻击和破坏源的预警体系

　　（4）逐步建立网络应急响应体系

　　3、安全管理需要技术支撑管理平台---安全监测平台

　　安全管理从三个层面考虑：信息资产、安全相关设备和系统、安全监测平台系统。

　　信息资产指电信运营商的的IP骨干网络及各承载业务平台，包括服务器和工作站、网络设备、数据库系统、各种应用业务系统等。

　　安全相关设备和系统包括为保证电信运营商各信息资产的安全，部署到各个网络、系统的防火墙、入侵检测设备、防病毒系统、访问控制系统等。

　　安全监测平台采取集中管理的方式，在更高的层面上接收来自安全相关设备或者系统报送来的各种安全事件，同时也支持从信息资产直接采集其自身产生的各种和安全有关的日志。在集中收集到各种安全事件的基础上，安全管理中心负责对这些事件进行深层的分析，统计和关联，提供处理方法和建议。

　　启明星辰安全监测平台的解决方案，通过安全监测平台的建设将安全体系进行整合管理，采用范式化、聚并、过滤、关联分析、联动、可视化技术，将安全管理的主要工作信息化，为全局性的安全管理提供技术手段，提高安全管理、维护的水平；优化安全工作流程；提供准备判断安全事件原因的技术手段；缩短安全事件处理的响应时间和处理时间；保证业务网络、支撑网络、业务系统以及整个信息化系统的安全高效的运行；有效支持客户服务水平的提高。

　　启明星辰安全监测平台解决方案的功能体系架构如下图所示：

　　启明星辰安全监测平台解决方案的特点：

　　全面支持电信运营商已部署的安全设备与系统

　　强大的安全事件集中收集和分析处理能力

　　构筑了基于信息资产和拓扑的风险管理体系

　　完善的安全事件响应管理能力

　　可适应多级不同的安全管理模式

　　良好的可扩展性

　　具备高容错性和高可用性

　　灵活的可定制的客户化的安全风险统计分析报告和强大的实时安全管理显示系统

　　五、配套的电信运行安全管理措施

　　1、加强安全域管理

　　安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。

　　根据启明星辰对运营商的了解和相关经验，认为：

　　电信运营商之间的竞争日趋激烈，在业务上需要不断创新。而随着应用的不断发展，网络结构越来越复杂。

　　清晰的安全域管理非常困难

　　规范的资产管理也难于实现

　　这些都是非常严重的宏观和中观问题。通过加强安全域管理可以比较有效地解决这个问题。不过彻底清晰的安全域管理也是非常复杂的问题，不是通过简单的服务和整理工作可以完成的，必须有持续、有效和严格的安全域管理制度。

　　具体的安全域管理工作建议在修补加固过程中对网络拓扑结构上的问题进行评估和重大问题修补，其他的安全与防护工作都融入到防火墙和入侵检测系统的建设中。

　　启明星辰建议结合实际要求，对安全域管理单独立项，同时还要建立安全与管理制度。

　　2、加强安全管理和维护团队

　　根据启明星辰对于运营商的了解和相关经验，认为：

　　缺乏全面安全管理制度，而且对于管理制度没有足够手段落实。

　　对自身安全状态和外部威胁状况还不够了解，难于做到全局的可控。

　　安全系统的运行维护很难充分发挥作用，缺少合格的安全运行维护人员。

　　解决这些宏观和中观的重大问题，需要长期的、持续不断的安全建设，特别是安全运维服务和定期风险评估工作制度的建立。

　　六、启明星辰可以发挥的作用

　　启明星辰倡导的安全理念和方法论力图挖掘和把握信息安全的本质规律，针对不同行业、不同规模、不同阶段的各种客户和系统，应用不同的需求分析方法深入挖掘客户需求，最终得到令客户满意的解决方案。

　　启明星辰不仅提供国际一流的安全产品与专业安全服务，而且掌握各种主流的安全措施，根据被广泛认可和接受的安全模型，遵循相关安全标准，深入分析各种安全措施之间的内在联系，灵活运用，提出了三观安全体系VISAF-TVS与安全保障功能要素模型VISAF-FEM相结合的安全措施框架体系。

　　启明星辰拥有国际一流的实施队伍与专业的安全咨询顾问，在安全解决方案的实施中提供基于全程高效沟通的工程质量保障，可以帮助客户把完美的安全蓝图变成现实。