电信行业用户办公局域网安全解决方案.docVIP

　　电信行业用户办公局域网安全解决方案～教育资源库 　　安全建设背景 　　作为支撑电信MSS系统的重要组成，电信行业用户办公局域网承载了集团总部OA、企业门户、财务等管理信息系统，处理着企业大量重要管理与运营数据与信息，而这些信息与应用对网络的安全性提出了极高的要求。而现有的安全措施已经不能满足当前的需要，电信行业用户的办公局域网大都面临着病毒和木马威胁与破坏、互联网恶意访问、整体安全事件管理的压力，对局域网内承载的各类应用带来严重威胁。 　　2006年底，中国电信集团公司对其IT系统进行了全面的评估，根据评估结果，电信行业用户办公局域网普遍存在的安全问题包括：关键业务系统缺乏有效的访问控制措施;终端系统缺乏整体的安全管理能力，终端操作系统缺乏统一的升级手段，无法从整体上限制病毒、蠕虫、木马等恶意脚本的传播;终端缺乏有效的准入控制，任何人都可以接入办公局域网，很容易造成非法及非授权的访问;终端对互联网的访问缺乏有效控制，对于非法网站的访问很容易造成恶意代码的传播;办公局域网缺少网络控制与网络安全流量控制，跨业务的非授权访问难于发现和控制，无法有效控制网络病毒的发作区域和影响。另外，作为上市公司，中国电信的安全建设必须满足资本市场监管要求，即满足内控支撑系统建设的要求等等;这些安全问题对电信行业用户的办公局域网带来新的挑战，安全建设势在必行。 　　安全建设目标 　　针对电信行业用户办公局域网的安全威胁，参考中国电信《CTS-MBOSS总体技术规范》及电信行业信息化建设的总体要求，归纳出当前应重点进行的安全建设目标包括： 　　应严格按照规范对电信行业用户办公局域网进行安全域划分，并根据安全域的特点，针对关键业务执行严格的隔离与强制访问控制; 　　应实现有效的终端管理，对电信行业用户办公局域网的终端实现有效防护; 　　应针对电信行业用户办公局域网多重类型的访问终端，实现不同强度的接入控制措施; 　　应对电信行业用户办公局域网的互联网出口实现有效的管理，防止P2P、流媒体等应用对带宽的浪费;禁止访问非法的站点;对互联网传播的病毒进行有效查杀; 　　对电信行业用户办公局域网的移动办公进行保护，实现远程数据通信的机密性、完整性保障; 　　应建设集中的安全运营中心，加强内部控制，从IT角度提升公司的管理水平，降低公司的运营风险。 　　安全方案设计 　　针对安全建设目标，天融信依据《中国电信CTG-MBOSS安全规范》的相关要求，充分结合电信行业用户应用复杂、对安全性能要求极高、对安全功能要求全面的需求特点，针对电信行业办公局域网的安全建设目标，设计应采取以下的安全措施： 　　实现合理的区域划分 　　根据技术规范，电信行业用户的办公局域网可划分为电信互联域、电信接入域、电信服务域(电信MSS和电信OA)、电信支撑域四个大域，安全区域的划分使得保护目标更加突出，策略更有重点，为安全设计打下良好的基础。 　　实现强制的访问控制 　　从保护边界的角度，针对电信行业用户办公局域网的各个安全区域边界，在技术上采用了天融信安全隔离网关，作用于电信MSS、D、OA等关键应用区域，实现包括强制访问控制、边界身份认证、边界入侵防范、网络防病毒、访问内容监测、边界抗攻击、安全传输加密等多重安全机制，有效地保障了电信行业用户办公局域网的关键业务应用; 　　实现有效的终端管理 　　技术上引入了天融信网络卫士终端安全管理系统，针对电信行业用户办公局域网的终端系统，实现对终端的资产管理、终端自身安全防护、终端安全状态监控(比如是否停用了防病毒系统等)、终端异常行为监控和阻断、终端操作系统补丁的统一升级、终端的异常进程的监控、终端安装的软件信息监管等多重安全措施;有效地提升终端的安全能力。 　　实现有效的接入管理 　　针对电信行业用户办公局域网的非法接入需求，天融信提出了针对电信特有的四类用户(特权用户、普通用户、外来用户以及访客)的接入控制解决方案，利用天融信安全接入网关和终端监管系统，对电信行业用户办公局域网的终端设备分角色执行不同的控制策略，彻底解决了电信行业用户办公局域网因终端非法接入和非法使用而带来的威胁，并附合电信行业用户对接入控制的灵活性要求。 　　保护互联网出口安全 　　天融信针对电信行业用户的互联网管理缺陷，推出了互联网访问监管平台，平台整合了天融信行为审计、安全隔离、内容过滤等安全技术，实现对互联网访问的控制管理、网络聊天监控管理、P2P下载控制管理、网络娱乐控制管理、带宽流量分配管理、信息收发监控管理、互联网活动审计、其他应用控制管理、恶意网站封堵、恶意流量过滤等一系列安全功能，有效解决了因终端对互联网的非法访问而造成的带宽无端浪费;因终端访问了恶意网站而造成恶意代码传播;