《电信行业解决方案》.doc

中安源TM（ChinaSec）TM电信服务资源安全保护方案 项目需求 随着信息网络建设和完善，网络信息服务越来越受到人们的青睐，而作为信息服务的最大提供商电信行业服务网络和服务系统的安全性和稳定性显得尤为重要，如何保证网络系统的安全性成为人们关注的一个焦点电信部门目前的网络和系统主要需求如下： 服务资源授权访问和保护。 为了给众多的用户提供各种电信服务，电信系统运行着大量的服务器系统。因为这些服务器系统一般集中放置在机房，其维护通常经过远程的登陆进行管理，这就使得服务器群面临以下的安全问题： 缺乏统一规划:电信公司都建立了多种(多个)统一平台，极大地提高了生产效率和投资回报，但同时也让安全问题更加复杂了，这样的统一平台要求全面统一考虑安全系统的建设，可以看出，目前的很多规划是基于单个系统的，这样考虑存在较大问题，我们认为，应当以安全域管理和划分为原则，统一规划整个安全体系的建设，集用户身份管理、终端管理和内部信息安全保密等于一体。 安全技术手段使用不足:电信公司都会采用了一些防火墙、入侵检测和防毒系统，但是大部分系统都存在大量空白的空间，不同安全域之间的连接都没有通过防火墙进行访问控制，无论是安全体系的纵深还是安全体系的强度都严重不足。 普通的用户名/口令登陆方式对服务器的保护力度不够，大量的UNIX/WINDOWS/NOTES等系统的缺省配置，开放不必要的端口，没有打安全补丁，口令强度严重不足，缺省的SNMP口令配置，这些弱点在电信公司均普遍存在。因为关键服务器负担着全部通信系统的稳定性和安全性，所以必须提供一种高强度的身份认证方式，只有合法授权的用户才能够访问服务器； 网络业务系统大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX操作系统。虽然，TCP/IP和UNIX都是以开放性著称的，系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑，但只实现了基本安全控制功能，还存在一些许多的安全漏洞，对于病毒、黑客来说，网络协议的开放性使信息安全威胁的风险大为增加。因为服务器一般可以远程登陆，所以任何能够与之相连的网络都能够进行访问，例如远程拨号联通也能够进行访问，这就带来重大的安全隐患。而这种安全很可能是由于内部人员无意中造成的。因为客户端和服务器之间传输的信息涉及到用户/口令和其它敏感数据信息，必须对传输的信道进行加密，保护敏感信息，根除开放性协议带来的威胁。 因为一般来说，不同的人员分管不同的服务器，为了降低服务器受攻击的风险，必须对人员能够访问的服务器进行授权，所以应该能够灵活地给各个人员分别进行不同的授权。同时，也能够对计算机终端进行限制，限制特定的客户端才能够访问特定的服务器群。 内部计算机资源管理和应用服务授权管理 电信办公网络内部各个部门计算机存有不同程度的保密信息，并且根据业务部门的划分，一般不同业务部门的计算机指定了特定的人员需要。需要提供一种有效的手段，能够对计算机进行有效的控制和授权，并且能够根据职能部门将计算机划分成不同的安全域，进行有效的控制。实现电信企业中的重要信息在可控的范围内安全传播，即有效的控制信息传播的范围，防止重要信息泄漏给电信企业外部的组织或人员。 对于重点的部门，如财务部门和一些数据服务部门，存在敏感的信息需要进行保密，为此需要提供有效的手段，防止计算机内的有价值信息被有意或者无意识泄漏出去。 缺乏实时集中管理手段:安全事故监控和响应都缺乏技术手段，缺乏必要的流程和组织。要通过少数人保证庞大的电信公司IP系统的安全，就必须充分利用集中监控、集中响应的技术机制。 缺乏足够的审计:作为所有安全防御机制的补充，审计工具和机制是一种重要的检测机制，通过他可以发现内部的误用和异常的趋势。 内部误用和滥用。各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的，通常的比例高达70%。这样，如何高效地防止误用损失、阻止滥用、监测业务网络的健康运行，并且在实践发生后能够成功地进行定位和取证分析，这样的能力对于一个成功的电信级企业显得至关重要。 对有些多人共同使用的计算机，可以提供个人的保密空间。 系统功能 中安源（ChinaSec）可信网络认证系统 中安源可信网络认证系统提供一个完整的基础认证平台，解决信息资源统一用户授权和管理的问题。中安源可信认证系统包括服务器、控制台、客户端代理、用户USB令牌和认证代理五个部分组成，其列表清单如下： 组件名称 组件形态 简单说明 服务器（TIS Server） 软件 管理和数据中心，负责所有客户端代理的监控和管理 控制台（TIS MC） 软件 管理员的可视操作中心 客户端代理（TIS Agent） 软件 客户端认证代理 用户USB令牌（TIS