某移動公司網(wǎng)絡(luò)安全設(shè)計

徐偉華

摘? 要：文章以某移動公司為例，通過全面系統(tǒng)分析主流網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用，進(jìn)而對其網(wǎng)絡(luò)安全需求進(jìn)行分析并設(shè)計以安全管理系統(tǒng)和安全技術(shù)為兩層架構(gòu)的立體安全防護體系來提高網(wǎng)絡(luò)安全質(zhì)量。

關(guān)鍵詞：網(wǎng)絡(luò);安全解決方案;網(wǎng)絡(luò)安全技術(shù)

中圖分類號：TP393? ? ? ? ?文獻(xiàn)標(biāo)志碼：A? ? ? ? ?文章編號：2095-2945（2020）09-0081-02

Abstract： In this paper， taking a mobile company as an example， through a comprehensive and systematic analysis of the mainstream network security technology and its application， the paper analyzes its network security requirements and design a three-dimensional security protection system based on security management system and security technology to improve the quality of network security.

Keywords： network; security solution; network security technology

1 某移動公司網(wǎng)絡(luò)安全概述

該移動公司設(shè)有綜合部和市場部2個部門，南區(qū)服務(wù)銷售中心和中區(qū)服務(wù)銷售中心2個服務(wù)銷售中心，12間“溝通100”服務(wù)廳。目前有交換網(wǎng)、傳輸網(wǎng)、基礎(chǔ)數(shù)據(jù)網(wǎng)、城域網(wǎng)等各類電信網(wǎng)絡(luò)、平臺及支撐系統(tǒng)及各業(yè)務(wù)系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)百臺，只有5%的人員以及眾多第三方運維人員負(fù)責(zé)對這些網(wǎng)絡(luò)、平臺及系統(tǒng)進(jìn)行日常維護工作。由于企業(yè)業(yè)務(wù)規(guī)模的不斷擴大，公司網(wǎng)絡(luò)安全體系暴露了很多的缺點。因而，該移動公司急切需要一個合理、有效的網(wǎng)絡(luò)安全解決方案來鞏固其網(wǎng)絡(luò)安全防線。

在這樣的網(wǎng)絡(luò)環(huán)境下存在下列安全需求。

（1）內(nèi)網(wǎng)安全建設(shè)總需求

網(wǎng)絡(luò)安全解決方案應(yīng)具有防火墻、入侵檢測與監(jiān)控系統(tǒng)、安全漏洞掃描、病毒防護等四項基本功能。同時該解決方案要能夠讓遠(yuǎn)程移動用戶對公司內(nèi)網(wǎng)進(jìn)行安全訪問。

（2）移動業(yè)務(wù)系統(tǒng)的安全需求

與普通的網(wǎng)絡(luò)應(yīng)用不同，移動業(yè)務(wù)系統(tǒng)的安全性是保障移動網(wǎng)絡(luò)應(yīng)用安全的核心，對于業(yè)務(wù)系統(tǒng)應(yīng)設(shè)置最高的網(wǎng)絡(luò)安全策略。因而有如下的安全需求。

數(shù)據(jù)安全：網(wǎng)絡(luò)安全解決方案必須保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性，要最大程度的保障企業(yè)各種敏感數(shù)據(jù)的安全性，做到數(shù)據(jù)不被非法盜用、修改等。

訪問控制：網(wǎng)絡(luò)安全解決方案必須確保企業(yè)的業(yè)務(wù)系統(tǒng)不被非法訪問。

入侵檢測：對于試圖破壞企業(yè)業(yè)務(wù)系統(tǒng)的惡意行為能及時進(jìn)行信息審計、記錄、跟蹤，提供非法攻擊的證據(jù)。

以及能防止來自內(nèi)網(wǎng)其他系統(tǒng)的破壞、誤操作而造成的安全隱患。

（3）對安全產(chǎn)品的需求

所有安全產(chǎn)品要求取得中華人民共和國公安部的銷售許可并有中華人民共和國國家信息化辦公室的安全認(rèn)證。

所有安全產(chǎn)品要求廠家擁有穩(wěn)定的服務(wù)保障和技術(shù)支持隊伍，能夠?qū)Ξa(chǎn)品進(jìn)行定時升級和企業(yè)員工技術(shù)培訓(xùn)等。

所有安全產(chǎn)品要求自身具有較高的安全性和穩(wěn)定性且界面友好，易安裝、易配置、易維護、易升級、易操作、易管理，當(dāng)然要有詳盡的技術(shù)幫助文檔。

所使用到的安全產(chǎn)品應(yīng)能與企業(yè)現(xiàn)有網(wǎng)絡(luò)的其它網(wǎng)管產(chǎn)品功能兼容并能有效整合。

所有安全產(chǎn)品要求功能模塊配置靈活，并具有良好的可擴展性。

2 某移動公司網(wǎng)絡(luò)安全建設(shè)方案設(shè)計與實現(xiàn)

通過研究設(shè)計的解決方案，一是設(shè)計的解決方案不能影響網(wǎng)絡(luò)效率，不能降低客戶應(yīng)用靈活性;二是要能降低管理費。因而總目標(biāo)是提高移動公司的網(wǎng)絡(luò)質(zhì)量，滿足各部門的安全需求，實現(xiàn)自主建設(shè)網(wǎng)絡(luò)安全體系并靈活的應(yīng)對企業(yè)各類突發(fā)的安全事故，最重要的是減少其網(wǎng)絡(luò)安全建設(shè)的各項成本。其余的建網(wǎng)目標(biāo)歸結(jié)如下。

（1）建立一套完整可行有效的網(wǎng)絡(luò)安全建設(shè)解決方案。

（2）能有效隔離內(nèi)外網(wǎng)，避免與外網(wǎng)直接通信。

（3）能對網(wǎng)內(nèi)各主機和服務(wù)器建立一個全方位的安全保護體系。

（4）設(shè)置授權(quán)用戶的訪問權(quán)限在最低限度同時加強用戶的訪問認(rèn)證。

（5）全面監(jiān)控公開的服務(wù)器及時響應(yīng)服務(wù)器各項異常反應(yīng)。

（6）加強對各類訪問的安全審計和記錄工作，強化系統(tǒng)的容災(zāi)備份能力。

（7）要加強對網(wǎng)絡(luò)安全的管理，提高其余員工的安全防范意識。

本方案是從技術(shù)和管理兩個方面來架構(gòu)的一個立體網(wǎng)絡(luò)安全防護體系。

技術(shù)方面是從七個技術(shù)模塊來進(jìn)行設(shè)計的。

（1）防火墻系統(tǒng)與控制端模塊：在移動綜合大樓的網(wǎng)絡(luò)出口尤其是與Internet等危險網(wǎng)絡(luò)的接口處安裝邊界防火墻，從而對內(nèi)外網(wǎng)進(jìn)行隔離和防止黑客非法攻擊，實現(xiàn)基于TCP服務(wù)的過濾、IP地址的過濾、IP動態(tài)包檢測過濾、惡意代碼的靜態(tài)過濾等功能，必要時還能實現(xiàn)網(wǎng)絡(luò)地址翻譯來保護內(nèi)網(wǎng)。

（2）入侵檢測系統(tǒng)與控制端模塊：將入侵檢測（IDS）探頭部署在重要的網(wǎng)段上。為了既能發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息又能發(fā)現(xiàn)系統(tǒng)日志中的異常情況，因而本文構(gòu)建的入侵檢測系統(tǒng)是基于網(wǎng)絡(luò)和主機兩種模式的。通過在一個控制端下掛多個IDS探頭，通過分布式的IDS探頭配置，實現(xiàn)全面的信息采集，然后控制端就綜合所有的信息進(jìn)行分析，從而制定行之有效的安全規(guī)則并且負(fù)責(zé)與其他的安全技術(shù)產(chǎn)品進(jìn)行信息交換和安全規(guī)則修改。

（3）防病毒系統(tǒng)與控制端模塊：在內(nèi)網(wǎng)和防火墻DMZ區(qū)內(nèi)的三個Windows NT服務(wù)器上安裝美國CA公司eTrust防病毒服務(wù)器，然后將其中一個作為一級控制端而剩下的兩個作為二級控制端，其他網(wǎng)絡(luò)上的計算機安裝eTrust防病毒系統(tǒng)客戶端。

（4）賬號集中管理系統(tǒng)模塊：賬號集中管理系統(tǒng)又叫AAA系統(tǒng)、3A系統(tǒng)，3A是一種基于C/S架構(gòu)的安全模式，因而要分別對客戶端和服務(wù)端進(jìn)行設(shè)置?？蛻舳耸蔷W(wǎng)絡(luò)接入設(shè)備，譬如VPN服務(wù)器、路由器、交換機等。而服務(wù)端是可以提供AAA服務(wù)的主機，不過必須先安裝思科的ACS服務(wù)端程序。鑒于3A所要實現(xiàn)的認(rèn)證、授權(quán)、統(tǒng)計三個功能，因此必須在3A服務(wù)器上建立一個有賬號信息的身份驗證數(shù)據(jù)庫，設(shè)置相應(yīng)的權(quán)限控制用戶行為。同時，在3A客戶端上監(jiān)視手機用戶行為動作并將信息反饋給3A服務(wù)器。

（5）安全漏洞掃描器模塊：安全漏洞掃描是一種較防火墻和入侵檢測系統(tǒng)主動的排查技術(shù)，能夠發(fā)現(xiàn)已知的安全漏洞在網(wǎng)絡(luò)中的分布情況并提出修補的意見，從而化被動防御為主動出擊。本課題主要是在瀏覽器和目標(biāo)主機之間設(shè)置一個網(wǎng)絡(luò)掃描器來遠(yuǎn)程檢查目標(biāo)主機TCP/IP不同端口的服務(wù)，然后記錄目標(biāo)給予的回答。這個漏洞掃描器包括端口掃描模塊、漏洞庫以及一個控制平臺。如：必須關(guān)閉135（遠(yuǎn)程過程調(diào)用）、139（共享服務(wù)）、445（局域網(wǎng)中的共享文件夾或共享打印機）等高危端口、禁用Guest、設(shè)置復(fù)雜的Administrator密碼等。而管理人員也要定期對目標(biāo)系統(tǒng)進(jìn)行安全掃描，如對發(fā)現(xiàn)的安全漏洞采取一些加固措施來提高企業(yè)網(wǎng)絡(luò)的安全性，增強對黑客和病毒的防御能力。

（6）域控制器模塊：通過接口域?qū)⑹鼙Ｗo的企業(yè)內(nèi)網(wǎng)系統(tǒng)和第三方人員、省網(wǎng)管網(wǎng)以及被管網(wǎng)元、CMNet等隔開。

首先在服務(wù)器端對企業(yè)網(wǎng)進(jìn)行WLAN域的劃分：在設(shè)置好的Active Directory（活動目錄）的Windows NT上登錄，選擇開始程序管理工具->Active Directory用戶和計算機->右擊“Computers”單擊“新建”->選擇“計算機”->填入要加入域的計算機名;然后進(jìn)行客戶端的設(shè)置：確認(rèn)計算機名稱是否正確，右擊桌面“網(wǎng)上鄰居”圖標(biāo)->點擊“屬性”設(shè)置窗口->確認(rèn)“主網(wǎng)絡(luò)登錄”為“Microsoft網(wǎng)絡(luò)用戶”->選中“Microsoft網(wǎng)絡(luò)用戶”->點擊“屬性”按鈕出現(xiàn)“Microsoft網(wǎng)絡(luò)用戶屬性”->選中登錄到“Windows NT域”在“Windows NT域”中輸入要登錄的域名。

（7）應(yīng)急故障處理模塊：對系統(tǒng)中出現(xiàn)的安全故障進(jìn)行管理、監(jiān)控、響應(yīng)、維護。如對數(shù)據(jù)庫和關(guān)鍵系統(tǒng)進(jìn)行定期備份，并做好應(yīng)急措施。

管理方面主要是使用中國移動安全管理系統(tǒng)（SOC）。SOC經(jīng)過中國移動長期以來的不斷發(fā)展，其各項功能都趨于完善。但是這是總公司的全局系統(tǒng)，面對移動的特有網(wǎng)絡(luò)狀況，SOC需要做相應(yīng)的更改，在設(shè)計部分會詳細(xì)的闡述。在本方案中SOC主要有以下三個作用。

（1）能夠明確保護對象，查找可能的安全隱患，實現(xiàn)對風(fēng)險的實時管理。

（2）能夠準(zhǔn)確判定可疑事件，提高系統(tǒng)的監(jiān)控效率，實現(xiàn)對防火墻、入侵檢測、防病毒等系統(tǒng)告警的集中監(jiān)控。

（3）能夠加速工作流轉(zhuǎn)、積累處理突發(fā)事件的經(jīng)驗，迅速安排相關(guān)人員進(jìn)行運維。

3 結(jié)束語

本論文從多方面描述了移動公司網(wǎng)絡(luò)安全解決方案，如防火墻、入侵檢測、防病毒等，論文從這些技術(shù)入手，深入研究各個方面的網(wǎng)絡(luò)安全問題的解決方法，可以使讀者對網(wǎng)絡(luò)安全技術(shù)有更深刻的了解。同時，本方案構(gòu)建的SOC與安全技術(shù)七個模塊兩層防護體系經(jīng)Packet Tracer分布設(shè)置實施，完成了全部設(shè)計，并在模擬運行時顯示成功。

參考文獻(xiàn)：

[1]王瑞梁.新時期企業(yè)網(wǎng)絡(luò)管理的現(xiàn)狀及對策研究[J].電腦與電信，2017（02）：47-48.

[2]江新輝.現(xiàn)代通信網(wǎng)絡(luò)安全防護技術(shù)的應(yīng)用[J].無線互聯(lián)科技，2016（14）：143-144.

[3]雷震甲.網(wǎng)絡(luò)工程師教程（4版）[M].北京：清華大學(xué)出版社，2014.

[4]劉永華.計算機網(wǎng)絡(luò)信息安全[M].北京：清華大學(xué)出版社，2014.