浅谈电信运营商业务平台安全防护体系规划.docVIP

　　浅谈电信运营商业务平台安全防护体系规划 1 引文 　　2014 年2 月27 日，习近平在中央X络安全和信息化领导小组第一次会议上强调，X络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。目前X络安全的现状如下： 　　(1)X络安全攻击呈现低龄化，由于X络技术的普及，越来越多的未成年人加入其中。 　　(2)工控系统的攻击增多，由于互联X技术在工控系统中的应用，工控系统目前也面临到大规模的。 　　(3)智能技术应用中存在的安全问题增多：随着智能技术在医疗、汽车、家居等行业中的应用，智能设备的安全问题将更加突出。 　　(4)云端安全事件将大量增加。 　　(5)移动设备和支付安全问题凸显。 　　电信运营商业务平台是利用现有电信X络资源和互联X丰富应用为用户提供基于电信运营商的服务，因此电信运营商业务平台安全防护体系规划需要考虑多个方面，保证电信X络和业务平台的安全。 　　2 X络安全威胁 　　X络的不安全主要于漏洞、后门和不确定的威胁。 　　漏洞是一种无意的行为，后门是一种有意的行为，不确定的威胁是无法预知的威胁。 　　漏洞是指一个系统存在的弱点或缺陷，系统对特定威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。 　　不确定的威胁，对不确定性而言，由于意外事件的独特性，根本不可预测其发生的概率。 　　3 X络安全防护体系 　　X络安全防护体系主要包括安全等级防护要求、安全风险评估和系统灾难备份及恢复三个方面，它们之间相互配合和补充，共同构成了X络安全防护体系。 　　3.1 安全防护要求 　　以业务系统安全防护为例，安全防护主要包括物理环境防护、业务及应用安全防护、系统安全防护、主机安全防护和管理安全防护。 　　物理环境防护主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击手段、防火、防水和防潮、防静电、温湿度控制、防尘、电力供应保障、电磁防护。 　　业务及应用安全防护，通用要求：结构安全、身份鉴别、访问控制、安全审计、资源控制、信息保护;特定业务相关要求。 　　系统安全防护：结构安全、身份鉴别、访问控制、安全审计、入侵防范、软件容错、X络及安全设备防护;主机安全防护：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、其他。 　　管理安全防护：包括安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理。 　　3.2 安全风险评估 　　指运用科学的方式，系统地分析X络所面临的威胁及其存在的脆弱性。 　　3.3 系统灾难备份及恢复要求 　　包括冗余系统、冗余设备及冗余链路要求、备份数据要求、人员和技术支持能力要求、运行维护管理能力要求、灾难恢复预案要求等。 　　4 安全技术措施 　　4.1 根据安全防护要求，常用的安全技术措施包括： 　　(1)结构安全：系统X络拓扑架构设计和子X划分。 　　(2)身份鉴别：包括账户口令;智能卡;生物特征;动态口令认证等。 　　(3)访问控制：防火墙;串口隔离;双X卡主机。 　　(4)安全审计：日志分析系统，4A 登录审计系统。 　　(5)资源控制：当用户和业务系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。应通过设定终端接入方式、X络地址范围等条件限制管理终端登录;X络监测和告警。 　　(6)入侵防范：入侵检测IDS;X络状态监控，IPS。 　　(7)软件容错：应提供数据有效性检验功能。 　　(8)恶意代码防范：防病毒技术，防木马技术。 　　(9)X络及安全设备防护：各类路由器、交换器、入服务器等X络设备应满足相关行业标准要求。 　　(10)信息保护：数据加密，报文鉴别、加密校验和、数字签名、时间戳、数据和页面防篡改技术等。 　　(11)特定业务相关要求(如垃圾邮件防护等)、高级可持续攻击应对技术以及其他要求。 　　(12)管理安全：包括安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理。 　　4.2 防火墙 　　防火墙是位于两个或多个X络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称，保证内部X的安全、保证内部X和外部X的连通。防火墙分类：包过滤防火墙、状态/ 动态检测防火墙、代理防火墙也叫应用层X关(Application Gate)，是进行入侵检测的软件与硬件的组合。 IDS 通过抓取X络和系统中的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使管理员清楚地了解X络和系统中发生的事件，并能够采取行动阻止可能的破坏。 　　入侵检测系统(IDS)是防火墙的补充解决方案，帮助系统对付X络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整