无线分组网络安全建议

　　无线分组网络建设方案涉及到超大规模的网络设备和各种系统的互联，东软认为网络安全是一个管理和技术的平衡点。根据我们多年在网络安全防护领域的经验和实践针对无线分组网络安全建设的弱点和威胁从管理加固和技术加固方面提出以下建议。

　　管理加固建议

　　我们针对无线分组网的运营特点，从工程建设、网络维护、网络优化和日常管理制度等方面提出以下建议。

　　工程建设提倡安全评估

　　安全生产一直是多年来电信运营过程中强调的生产原则。安全生产除了要做到保证新的设备入网时不破坏现网运行的设备以外，还要保证新旧设备互联导致的网络拓扑变化不会存在安全隐患。东软建议在紧张的网络建设和扩容过程中稍稍放慢脚步，从全局角度考虑一下网络安全问题的设计和可扩展性。可以咨询安全专家来评估新的拓扑会出现哪些安全风险，原有的安全策略需要进行哪些调整，或者需要增加哪些安全设备部署，融安全设计到工程建设或扩容的设计方案中。实践证明，一个优秀的网络建设或扩容方案会弥补很多网络整改的成本。使“安全第一”真正落到实处，让安全真正成为盈利手段。

　　网络维护集中安全管理

　　无线分组网络系统基本为总部-省公司-地市分公司的三级结构，包括全国中心、省中心和地市三层节点，全国中心由总部统一建设，各省负责省内系统的建设，其中设备和应用主要集中在省中心，地市仅负责汇接功能，各系统的建设模式导致全国中心、省中心以及各地市之间有大量的数据通信，如各系统单独建设，将会造成了传输设备和资源的浪费，因此建议统一考虑网络安全管理问题。选择的安全产品应支持统一的管理平台，可实现集中式安全监控管理和配置管理。

　　网络优化不忘安全优化

　　在不断的网络优化过程中，建议增加对现有的安全策略进行优化的项目。比如现有防火墙部署的网络，是否考虑合理部署IDS和漏洞扫描。从安全角度和业务角度综合考虑进行网络路由结构优化、网络拓扑优化，可以增强网络稳定性和可扩展性，并有利于节约重复建设带来的成本。

　　健全安全管理制度

　　为加强网络安全建设、管理与运行维护，东软建议无线分组网要首先建立健全安全管理制度：

　　1. 建立安全组织机构

　　由于网络安全系统将直接影响各业务系统的安全性、稳定性，因此需要由专门机构(指定现有相关部门或者设立新机构，可以设置在网管中心)负责日常的管理、维护工作，该机构的职责、职能主要包括：

　　(1)负责保证全公司的网络安全系统的正常运行;(2)网络安全故障排除与分析诊断，与各业务系统管理人员共同排除各业务系统发生的故障，对故障进行分析，修改相应错误，保证以后不再发生类似故障;(3)对全公司网络安全系统进行优化，根据网管系统收集的整个网络性能数据，协助各业务系统管理人员共同完成业务系统的网络优化工作;(4)网络安全策略的制定与实施，根据各系统的发展情况制定和调整安全策略，并在各业务系统中实施;(5)定期对业务系统进行安全检查，发现和修补安全隐患。

　　2. 管理制度和操作规程

　　由于网络安全系统可以访问各业务系统的核心设备和数据，因此应有完善的管理制度。网络安全系统的操作人员应进行严格的权限控制，所有对核心设备的操作应有详细的日志记录，根据不同管理人员的工作职责，可以对设备进行查看、配置等不同操作。

　　技术加固建议

　　针对无线分组网的特点和安全威胁，从漏洞扫描、入侵检测、病毒防御、人员培训和安全产品服务建议等方面给出以下建议。

　　安全漏洞扫描

　　为什么要进行安全漏洞扫描?因为黑客也许会通过进攻一台主服务器邻近的疏于防范的计算机系统而绕道进攻主服务器，因此就要对大批应用服务器进行大规模系统安全检查。包括严格的服务分类，在实际应用中有时系统管理员为了自己使用的方便常常在某些服务器上开设了额外的服务，但这往往会给黑客可乘之机，因此将服务严格分类可以减少很多安全上的漏洞。对各系统进行系统安全扫描发现隐藏的系统安全漏洞，利用程序来修补系统关键的漏洞，针对系统的日常日志进安全检查。

　　安全漏洞扫描的工作方式在于主动进行扫描，找出系统中存在的安全漏洞和隐患，扫描对象包括两类：网络设备和主机设备。网络设备主要扫描防火墙、路由器等设备的配置是否存在安全漏洞，主机设备主要检查操作系统是否存在安全漏洞。找出安全隐患之后在执行过程中实现基于策略的安全风险管理。主机(系统)安全评估，对各业务系统的核心服务器的操作系统定期进行安全漏洞扫描和风险评估，根据扫描结果实现对主机操作系统加固，提升安全等级的工作。

　　目前成熟的网络安全防护系统一般采用客户端/服务器方式，主要的安全策略和系统软件集中在安全服务器上，在主机以及终端安装客户端软件实现安全检测。安全漏洞扫描由扫描服务器主动发起，对系统中的网络和主机设备进行检查，因此只需要在省中心设置安全服务器就可以检查全省各系统内设备的安全漏洞。

　　入侵检测

　　入侵检测实时监测系统中的数据包，对进出各系统的网络流量进行检测，识别非法连接请求及网络入侵，自动阻断连接，报警并记录日志;通过分析关键服务器上的内核级事件、主机日志和网络活动，执行实时的入侵检测并阻止恶意活动。无线分组网入侵检测的监测点应该为各系统的互联点和各系统与外部其它系统的连接点，也可以对每台主机进行检测。

　　网络入侵检测应该至少和防火墙联合使用，入侵检测系统和防火墙系统是互为补充的，建议每个防火墙后面均部署入侵检测系统。入侵检测系统还可以在内部误操作和内部攻击检测和审计方面起到巨大的作用，因此可以考虑在分组网的局域网内部署网络入侵检测系统。在一些重要的主机保护时，防火墙可能会带来性能和可用性的问题，这时候可以单独部署网络入侵检测系统。主机入侵检测系统从主机内部提供良好的防御和检测机制，但是主机入侵检测系统会对系统资源的使用造成一定影响，因此应该慎重对待。产品重要功能建议：1、自动预警功能：短信及时通知运维人员和主管运维的部长，以便能启动应急响应方案并及时制止各种非法访问;2、可持续性作业功能：对各业务系统与其它网络的接入点可以实施7X24小时的基于网络入侵检测。

　　病毒防护

　　病毒防护用于防止病毒在各系统传播和扩散，病毒防护系统应具有网络病毒防护能力，可以动态升级病毒库。对所有可能的病毒扩散途径进行，可以检查应用程序、电子邮件、网络下载文件以及网络浏览中的病毒传播。病毒防护实现方式基于目前网络系统的现状，病毒传播的隐患主要是由于部分业务系统和管理工作站的操作系统本身比较脆弱，易于感染病毒，从而可能成为病毒传播的基地。由于无线分组网络中设备种类复杂，操作系统类型不一(基本涵盖所有主流操作系统平台 WinNT,Win2000,Linux, Solaris,HP-UX,AIX,SCO-UNIX等)，主机和终端的管理人员分散，建议病毒防护系统采用客户端/服务器方式，在网管中心集中配置一台防病毒管理服务器，为所有需要保护的主机、终端等安装防病毒软件客户端，实现全网防病毒系统的一级集中管理，包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。