北京电信防病毒网关技术建议书.docx

北京电信防病毒网关技术建议书

2023-11

目 录

\l“_TOC_250009“第一局部背景 3

\l“_TOC_250008“其次局部安全风险与现状分析 4

\l“_TOC_250007“现状分析 4

\l“_TOC_250006“当前安全风险 5

\l“_TOC_250005“应用层恶意软件威逼分析 5

\l“_TOC_250004“网络层恶意软件威逼分析 6

\l“_TOC_250003“系统层恶意软件威逼分析 7

\l“_TOC_250002“整体恶意软件防护设计思路 7

\l“_TOC_250001“第三局部边界恶意软件防护需求与选型指南 8

\l“_TOC_250000“第四局部边界恶意软件防护解决方案 10

第一局部背景

近几年，国家信息化领导小组下发了“关于加强信息安全保障工作的意见”(中办发[2023]27号)文件把网络与信息安全工作提高为国家安全的重要组成局部，明确了加强信息安全保障工作的总体要求，即：“坚持乐观防范、综合防范的方针，全面提高信息安全防护力量，重点保障根底信息网络和重要信息系统安全，创立安全安康的网络环境，保障和促进信息化进展，保护公众利益，维护国家安全”。文件要求正确处理安全与进展的关系，统筹规划，突出重点，强化根底性工作。北京电信严格依据国家的相关政策和要求，依据不同的保护等级，从网络、主机、应用系统不同层面逐步建设由安全根底设施〔如防火墙、入侵检测、防病毒、账号治理等〕构成的多层立体防护体系。

在此背景下，北京电信对全网的病毒防护提出完整的技术要求，以完善全网病毒防护立体防护体系架构，防止病毒入侵，完善网络防病毒力量，阻挡蠕虫、木马、后门程序等通过互联网网关进入并通过局域网传播和集中，保障数据安全和网络的正常运行。

为了提高北京电信网络安全性，提出针对目前北京电信系统需要的边界安全防护技术需求。在此建议书中指出承受目前国内网主流的边界恶意软件防护技术，建设北京电信网络系统统一、安全、稳定、高效的病毒安全维护体系，形成涵盖北京电信终端、应用和治理等信息系统各个方面的安全总体病毒防护方案及安全策略。

其次局部安全风险与现状分析

现状分析

北京电信业务系统分为三出口多业务的架构，在各出口下发分别为彩信短信网关、来电提示、WAP站点、WAP网关、彩铃业务、智能网系统和ISAG等重要业务系统供给Internet接口以及外联DCN等接口。

从网络拓扑分析，全部核心业务系统均承受冗余链路与会聚交换机连接，同时会聚交换机、出口路由器、防火墙也均承受双链路连接。业务连续性、稳定性和冗余性得到充分保

障。

在安全性保证方面，分别在ChinaNet与DCN接口部署防火墙进展访问掌握策略与网

络层安全防护。由于ChinaNet出口能够连接至外网并为下级各业务效劳器供给Internet接入效劳，由于防火墙网络数据过滤的局限性，在防火墙所开放的重要业务端口如：80、21、25、110、143等都需要在防火墙开放，而且业务端口中传输的数据是否为正常数据、是否夹带了病毒程序等则难以区分。

网络示意图如下：

当前安全风险

当前90%以上的恶意软件都是来自于互联网，并且网络病毒和蠕虫攻击速度格外惊人。蠕虫、木马和间谍软件等恶意软件是当今最危急、最流行的安全威逼，传输途径主要包括SMTP和POP3邮件以及和FTP通讯。

上述病毒现在都被称为恶意代码(Malware)，为Malicioussoftware的简写。依据国际著名信息安全专家、克林顿安全办公室参谋，EdSkoudis的定义：“恶意代码是运行在你的计算机上，使系统依据攻击者意愿执行任务的一组指令。”

尽管近几年我们才目睹恶意代码的快速增长，但它并不是什么颖事物。二十多年前，第一次被报道的计算机病毒就在AppleII中被觉察，随着Internet的飞速进展，恶意代码更是肆虐传播。

依据其传播机制和危害，恶意代码可以区分为：计算机病毒、网络蠕虫、网页病毒、后门、木马、RootKit、间谍程序等，混合型恶意代码也越来越多。

要抵挡当今的病毒和混合型恶意代码，仅仅一个单一解决方案是远远不够的，除了针对桌面设备的强大反病毒保护以外，在互联网网关、内部网络之间等安全环节防范恶意软件，基于边界、终端的恶意软件防护组合并已成为恶意代码立体防范技术的进展趋势。

应用层恶意软件威逼分析

应用层的恶意软件通常来自于以下五种传播途径：

互联网接口：

由于互联网接口与Internet相联，内部全部访问互联网的行为和内部效劳器对外供给的WEB效劳等都通过互联网接口子域与互联网通讯，虽然有防火墙，仍会受到来