广东省电信公司数据通讯局数据电路调试系统.doc

广东省电信公司数据通讯局数据电路调试系统广东省数据通信局主要负责全省数据通信网的统一规划、统一建设、统一业务经营管理，并负责全省数据通信网、数据信息处理系统、数据库系统的运行维护管理和质量管理，制定有关的规章制度和实施细则。数据局实行规模投资、规模建设，目前已建成全国最大的DDN 网、分组交换网、电子信箱系统和国际计算机互联网（Internet），还建成开通了全省多媒体可视信息服务（视聆通）网。分组交换网和DDN网已覆盖全省所有市县及全部发达乡镇，全省数据及多媒体用户数一直居于全国领先之位。然而，目前中国的电信业正处于不断变革的时期，国内的电信市场主要由中国电信、中国联通以及中国网通、中国吉通等拥有电信业务经营权的运营商共同经营。随着WTO的签定、国外运营商的逐步进入，电信政策将越来越宽松，中国电信业的格局将发生急剧的变化。在这种剧烈的变化下，谁为用户提供了更安全、快捷的服务，谁就将在巨大的中国电信市场抓住先机，快速壮大。在业务迅速发展壮大的同时，一个不得不面对的问题就是：网络安全成为关系到企业生死存亡的重大因素。 系统需求　　广东省数据通信局电路调度管理系统网络安全改造的需求主要是确保电路调度管理系统的数据安全，防止数据被寡改、丢失。 系统现状与分析　　广东省数据电路调度系统现有3台服务器：2台hp 8500作为主要服务器负责整个系统的运行，数据97网关服务器用1台DELL服务器，负责与国家数据97的数据交换。2台hp 8500作stand－by的双机热备份。3台服务器连同1台交换机上，在同一网段内。所有访问服务器的请求都须经过PIX防火墙的检查。所有用户通过Internet TCP/IP协议，使用IE浏览器连接上电路调度系统并进行使用。目前，广东省数据局电路调度系统现有的安全措施如下：*　Internet接入口：在Internet的接入点，已安装了防火墙 。*　双机切换：目前网上营业WEB服务器为两台，运行在WINDOW 2000 ADVANCES SERVER上，WEB SERVER为 IIS 5.0 。主备机采用stand－by的方式以提高系统的可靠性。*　数据备份：在数据库上设置了系统自动备份功能，每天备份一次；同时还另外设有一台备份机，每天将系统备份数据拷贝到备份机的硬盘中。 网络安全评估 　　针对数据局现存的网络，我们对其网络安全做一个完整的评估。分析其可能存在的网络安全漏洞，由于其服务器是对外开放的，因此其安全性是至关重要的，如果服务器被黑客或者不法分子攻破，整个网络系统将被完全控制。网络安全评估扫描工具可以根据以下两种方式来选取：*　能提供完全的安全漏洞扫描工具：采用SSS NetRecon安全评估扫描软件；*　根据常见的网络安全漏洞来选取相应的评估工具：如常见的系统漏洞有：IIS，Unicode，IDA/IDQ，终端服务和输入法漏洞，printer的远程溢出，asp漏洞等。　　网络安全评估的目标：根据评估软件所扫描出来的系统漏洞，再采取相应的措施来弥补存在的漏洞，如打补丁，关闭没有必要开放的服务端口等等。 网络安全设计防火墙　　将原有的PIX防火墙替换为NOKIA IP 650防火墙，构建一个高可用性的防火墙系统专门用于该系统的保护。　　对于远端的备份服务器，采用VPN的方式和中央系统进行数据的备份，这样可以大大提高数据在传输过程中的安全性。 入侵检测系统　　入侵检测系统IDS(Intrusion Detective system)可以弥补防火墙的不足，为网络安全提供实时主动的网络保护，它能够自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式。提供实时的入侵检测并采取相应的防护手段。　　入侵检测系统的实现：在该系统内安装基于网络的eTrust 入侵检测系统，在服务区安装一台控制主机用来作为网络服务区的安全评估和控制中心，可用来实现对服务区安全漏洞的扫描和评估。当发现有入侵行为时，可以通过控制中心采取紧急的策略来防御入侵，例如在防火墙上设置相应的防御策略。防病毒系统 　　广东省数据电路调度系统充分地利用了网络的数据交换特征，大量的业务数据通过网络来传输和处理。这种频繁的数据交换也为病毒通过网络传播大开了便利之门。实施网络防病毒系统的最终目的是能够实施发现病毒的入侵，并及时进行捕获和查杀。　　采用业界领先的McAfee防病毒软件建立防病毒体系：服务器防病毒产品Netshield。McAfee是美国网络联盟（NAI）公司的一家子公司，保护电子商务免遭安全漏洞与病毒攻击。McAfee大胆地专注于防病毒市场，积极开发各种防病毒系列产品。　　NetShield产品有一个强大的集中管理控制台，使得用户能够通过企业内的任意一台服务器或者工作站对所有受保护的服务器进行完全的控