东软无线分组网络安全问题解决方案

　　第一章 无线分组网络安全现状

　　1.1从移动通信网络的发展看安全问题

　　移动业务通信运营商都以移动业务为基础，其网络按照业务划分主要包括移动网（GSM或CDMA）、互联网、数据网、无线分组网（GPRS或CDMA1X）、综合电信业务支撑系统等等。其中无线分组网是移动通信和数据通信相结合的产物，也是移动通信新的业务增长点。通过对移动无线系统的市场展望，可以看到范围广阔的业务需求正在日益增长，这些业务包括从语音和低速率数据传输一直到高速率数据传输，还包括诸如移动多媒体等的高级业务。

　　国际电信联盟（ITU）正在进行一项有史以来最富挑战性的工程：建立第三代移动通信系统的联盟使其能够在任何时间、任何地点为全球电信的基础设施提供无线接入。这一新的标准体制被称为国际移动通信－2000（IMT-2000），通用移动通信系统（UMTS）是IMT-2000体制发展起来的最重要的第三代移动通信系统之一。UMTS可以将话音、数据和多媒体等宽带信息直接传输给移动中的个人，由于它代表了未来信息社会中创立高度个人化与用户友好移动接入的唯一机会，www将成为第三代移动通信系统的关键应用。可见，移动通信的未来是一个与数据通信紧密融合的未来。

　　通过包交换和传输速率的提高，无线数据通信从此为传统的无线通信网络打开了多媒体移动应用的大门，同时也打开了Internet的大门。传统的以电路交换为主的无线侧网络必须打开数据接口，使用TCP/IP协议与外界通信。这就意味着我们在呼吸万维网新鲜空气的同时，不可避免要放进来几只苍蝇和蚊子！那么怎样防止“害虫”进入或进入后kill掉它们，让移动用户能更加愉快的共享网络阳光，就是网络安全要做的事情了。

　　移动业务通信网络有很多指标要求，其中最重要的莫过于网络可持续性运行。通过提高网络设备性能、优化设备配置、冗余备份等等手段来保证网络的可靠性是非常必要而可行的，但是这一切都只是从内因方面着手。一旦网络设备受到安全威胁即使再漂亮的配置和再完美网络部署也无济于事，其后果不亚于失去动力系统支持造成的系统瘫痪。

　　1.2从无线分组网的特点看安全问题

　　无线分组网系统由无线网络侧、分组网侧和internet网络侧组成（见附图），大致采用SS7和TCP/IP作为主要的通信协议，其中无线侧与分组侧的接口以及分组网与internet接口均采用TCP/IP协议类型，这就在传统的移动通信网使用SS7信令协议的基础上增加了运行维护的难度。另外，其主要服务器包括认证服务器、计费服务器、网管服务器、DNS服务器等等，多为UNIX或Windows NT操作系统。众所周知，TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。

　　1.3无线分组网安全问题产生的原因

　　我国的电信运营商拥有庞大而稳固的网络体系，但近年来也多次遭到国内外和黑客攻击，这并非是耸人听闻，国内首例黑客攻击ISP案例：“2002年11月至12月间，一名年仅23岁的男孩对辽宁省锦州某ISP互联网进行黑客攻击。方法是：分步式拒绝服务攻击(DDOS)。攻击的后果造成了该公司网络不能正常工作，全部停止。攻击的动机是对该公司领导及员工的安全意识薄弱的不满。”这个例子一方面说明系统的安全漏洞和系统的加密已经不再象以前一样仅仅为为数不多的专业人士知道，黑客攻击就在你我身边。另一方面也暴露出我国的电信运营商关于网络安全建设方面存在的一些弱点，这是导致网络出现安全问题的内因也是最主要原因，主要体现在管理和技术两方面。管理方面的弱点主要有：安全意识不足、缺乏安全策略和规范、缺乏信息资产风险管理观念、不完整的业务连续性计划等等；技术方面的弱点主要有：缺乏统一规划、安全技术手段使用不足、系统安全评估和增强不足、缺乏实时集中管理手段、缺乏足够的审计等等。

　　无线分组网络作为电信运营的一个网络，同样存在以上问题。因此也产生了外部入侵、内部误用和滥用以及病毒等安全威胁。本次方案针对无线分组网面临的安全威胁，给出如何从管理和技术等方面进行加固的建议，并提出安全评估服务和培训服务在加固方面的必要性。

　　第二章 安全服务能力

　　东软公司作为国内软件行业市场的先驱，早在1996年就开始进行网络安全领域的研究，是国内较早推出网络安全产品的公司，目前其防火墙产品在国内同类产品中占据着领先的地位。经过多年的研究和发展，东软公司在网络安全领域拥有了雄厚的技术实力，积累了丰富的经验，同时培养出了一批信息安全专家。东软拥有丰富的安全咨询、安全诊断和评估、安全体系构建、安全事故应急响应、安全培训等的知识和经验，可以为企业提供严谨、周到、强大的安全技术支持和服务。目前，东软公司提供的安全服务有：安全评估服务、安全加固服务、安全培训服务、、安全顾问服务、应急响应服务等等。

　　第三章 无线分组网络安全建议

　　无线分组网络建设方案涉及到超大规模的网络设备和各种系统的互联，东软认为网络安全是一个管理和技术的平衡点。根据我们多年在网络安全防护领域的经验和实践针对无线分组网络安全建设的弱点和威胁从管理加固和技术加固方面提出以下建议。

　　3．1 管理加固建议

　　我们针对无线分组网的运营特点，从工程建设、网络维护、网络优化和日常管理制度等方面提出以下建议。

　　3．1．1 工程建设提倡安全评估

　　安全生产一直是多年来电信运营过程中强调的生产原则。安全生产除了要做到保证新的设备入网时不破坏现网运行的设备以外，还要保证新旧设备互联导致的网络拓扑变化不会存在安全隐患。东软建议在紧张的网络建设和扩容过程中稍稍放慢脚步，从全局角度考虑一下网络安全问题的设计和可扩展性。可以咨询安全专家来评估新的拓扑会出现哪些安全风险，原有的安全策略需要进行哪些调整，或者需要增加哪些安全设备部署，融安全设计到工程建设或扩容的设计方案中。实践证明，一个优秀的网络建设或扩容方案会弥补很多网络整改的成本。使“安全第一”真正落到实处，让安全真正成为盈利手段。

　　3．1．2 网络维护集中安全管理

　　无线分组网络系统基本为总部－省公司－地市分公司的三级结构，包括全国中心、省中心和地市三层节点，全国中心由总部统一建设，各省负责省内系统的建设，其中设备和应用主要集中在省中心，地市仅负责汇接功能，各系统的建设模式导致全国中心、省中心以及各地市之间有大量的数据通信，如各系统单独建设，将会造成了传输设备和资源的浪费，因此建议统一考虑网络安全管理问题。选择的安全产品应支持统一的管理平台，可实现集中式安全监控管理和配置管理。

　　3．1．3 网络优化不忘安全优化

　　在不断的网络优化过程中，建议增加对现有的安全策略进行优化的项目。比如现有防火墙部署的网络，是否考虑合理部署IDS和漏洞扫描。从安全角度和业务角度综合考虑进行网络路由结构优化、网络拓扑优化，可以增强网络稳定性和可扩展性，并有利于节约重复建设带来的成本。

　　3．1．4 健全安全管理制度

　　为加强网络安全建设、管理与运行维护，东软建议无线分组网要首先建立健全安全管理制度：

　　1. 建立安全组织机构

　　由于网络安全系统将直接影响各业务系统的安全性、稳定性，因此需要由专门机构（指定现有相关部门或者设立新机构，可以设置在网管中心）负责日常的管理、维护工作，该机构的职责、职能主要包括：

　　（1）负责保证全公司的网络安全系统的正常运行；

　　（2）网络安全故障排除与分析诊断，与各业务系统管理人员共同排除各业务系统发生的故障，对故障进行分析，修改相应错误，保证以后不再发生类似故障；

　　（3）对全公司网络安全系统进行优化，根据网管系统收集的整个网络性能数据，协助各业务系统管理人员共同完成业务系统的网络优化工作；

　　（4）网络安全策略的制定与实施，根据各系统的发展情况制定和调整安全策略，并在各业务系统中实施；

　　（5）定期对业务系统进行安全检查，发现和修补安全隐患。

　　2. 管理制度和操作规程

　　由于网络安全系统可以访问各业务系统的核心设备和数据，因此应有完善的管理制度。网络安全系统的操作人员应进行严格的权限控制，所有对核心设备的操作应有详细的日志记录，根据不同管理人员的工作职责，可以对设备进行查看、配置等不同操作。

　　3．2 技术加固建议

　　针对无线分组网的特点和安全威胁，从漏洞扫描、入侵检测、病毒防御、人员培训和安全产品服务建议等方面给出以下建议。

　　3．2．1 安全漏洞扫描

　　为什么要进行安全漏洞扫描？因为黑客也许会通过进攻一台主服务器邻近的疏于防范的计算机系统而绕道进攻主服务器，因此就要对大批应用服务器进行大规模系统安全检查。包括严格的服务分类，在实际应用中有时系统管理员为了自己使用的方便常常在某些服务器上开设了额外的服务，但这往往会给黑客可乘之机，因此将服务严格分类可以减少很多安全上的漏洞。对各系统进行系统安全扫描发现隐藏的系统安全漏洞，利用程序来修补系统关键的漏洞，针对系统的日常日志进安全检查。

　　安全漏洞扫描的工作方式在于主动进行扫描，找出系统中存在的安全漏洞和隐患，扫描对象包括两类：网络设备和主机设备。网络设备主要扫描防火墙、路由器等设备的配置是否存在安全漏洞，主机设备主要检查操作系统是否存在安全漏洞。找出安全隐患之后在执行过程中实现基于策略的安全风险管理。主机（系统）安全评估，对各业务系统的核心服务器的操作系统定期进行安全漏洞扫描和风险评估，根据扫描结果实现对主机操作系统加固，提升安全等级的工作。

　　目前成熟的网络安全防护系统一般采用客户端/服务器方式，主要的安全策略和系统软件集中在安全服务器上，在主机以及终端安装客户端软件实现安全检测。安全漏洞扫描由扫描服务器主动发起，对系统中的网络和主机设备进行检查，因此只需要在省中心设置安全服务器就可以检查全省各系统内设备的安全漏洞。

　　3．2．2 入侵检测

　　入侵检测实时监测系统中的数据包，对进出各系统的网络流量进行检测，识别非法连接请求及网络入侵，自动阻断连接，报警并记录日志；通过分析关键服务器上的内核级事件、主机日志和网络活动，执行实时的入侵检测并阻止恶意活动。无线分组网入侵检测的监测点应该为各系统的互联点和各系统与外部其它系统的连接点，也可以对每台主机进行检测。

　　网络入侵检测应该至少和防火墙联合使用，入侵检测系统和防火墙系统是互为补充的，建议每个防火墙后面均部署入侵检测系统。入侵检测系统还可以在内部误操作和内部攻击检测和审计方面起到巨大的作用，因此可以考虑在分组网的局域网内部署网络入侵检测系统。在一些重要的主机保护时，防火墙可能会带来性能和可用性的问题，这时候可以单独部署网络入侵检测系统。主机入侵检测系统从主机内部提供良好的防御和检测机制，但是主机入侵检测系统会对系统资源的使用造成一定影响，因此应该慎重对待。产品重要功能建议：1、自动预警功能：短信及时通知运维人员和主管运维的部长，以便能启动应急响应方案并及时制止各种非法访问；2、可持续性作业功能：对各业务系统与其它网络的接入点可以实施7X24小时的基于网络入侵检测。

　　3．2．3病毒防护

　　病毒防护用于防止病毒在各系统传播和扩散，病毒防护系统应具有网络病毒防护能力，可以动态升级病毒库。对所有可能的病毒扩散途径进行，可以检查应用程序、电子邮件、网络下载文件以及网络浏览中的病毒传播。病毒防护实现方式基于目前网络系统的现状，病毒传播的隐患主要是由于部分业务系统和管理工作站的操作系统本身比较脆弱，易于感染病毒，从而可能成为病毒传播的基地。由于无线分组网络中设备种类复杂，操作系统类型不一（基本涵盖所有主流操作系统平台WinNT,Win2000,Linux, Solaris,HP-UX,AIX,SCO-UNIX等)，主机和终端的管理人员分散，建议病毒防护系统采用客户端/服务器方式，在网管中心集中配置一台防病毒管理服务器，为所有需要保护的主机、终端等安装防病毒软件客户端，实现全网防病毒系统的一级集中管理，包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。

　　3．2．4 人员培训

　　东软提供分层培训方案，并可以根据要求培养出若干名胜任于保证无线分组网络安全的高级网络安全专家。具体内容见第四章安全培训服务部分。

　　3．2．5选择最适合的安全产品和服务

　　目前网络安全市场上产品和服务种类很多，产品功能和服务特性都各有千秋。没有最好，只有最适合。我们认为根据自身网络特点选择了最适合自己的就是选择了最好的。

　　1、 安全服务建议：

　　针对无线分组网的特点我们首推安全评估服务和安全培训服务。

　　安全评估服务。电信运营级网络的复杂性决定了在制定安全策略前的评估起到了举足轻重的地位。如果评估技术不全面，评估结果不可靠，就会直接导致安全策略的错误和失败，对于大型运营网络来说不仅带来莫大的成本浪费，还有可能带来更大的安全隐患，因此选择优秀的评估服务就变得异常重要。

　　安全培训服务。为了能最快响应网络的安全问题和节省服务费用支出，最好的办法就是培养出自己的安全专家。

　　2、 安全产品建议：

　　自身具有高度安全性和稳定性

　　安全产品应能与网络系统中的网管产品，路由，交换等网络设备功能兼容并有效整合

　　功能模块配置灵活，并具有良好的可扩展性

　　第四章 安全服务方案

　　东软在国内率先推出了系统安全服务，解决了日常运营维护中的系统安全问题对网络建设者和运营商的困扰。在诸多安全服务中，我们针对无线分组网的实际情况，建议首先应该重视在工程建设方面加强安全评估工作，在网络维护方面加强安全培训工作。

　　4．1安全评估服务

　　东软安全评估服务可以帮助运营商：

　　准确了解企业的信息安全现状

　　明晰企业的信息安全需求

　　制定企业信息系统的安全策略和安全解决方案