天融信移动解决方案

2009年4月13日 16:53    通信世界网    评论()    

作 者：天融信

   一、项目背景

    国家的要求

    近年来，网络与信息安全的风险日益加大，国家对防范网络与信息安全风险非常重视。2003年7月，国家信息化领导小组颁发的27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》，对我国信息安全保障工作做出原则性战略性的规定，要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。计划经过五年左右的努力，基本形成国家信息安全保障体系。

    移动集团公司的要求

    XX移动网络信息系统作为国家基础信息网络，从国家要求和企业自身业务的要求考虑，都迫切需要提高信息安全保障水平，所以集团公司对安全工作非常重视。近年来，进行了一系列的安全组织、制度、管理和技术方面的安全建设工作，在近期要求的安全工作包括加强基础安全管理，包括落实组织保障和安全责任；加强日常安全生产工作；逐步开展安全建设。要从网络、主机、应用系统不同层面建设多层次、立体化安全防护体系；要集中统一建设必备的网络安全防护手段；在划分安全区域，统一边界的基础上，实现重点防护和隔离。

    移动自身的要求

    XX移动的网络规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。即使是其中的安全保障子系统也是由多种、来源于多个供货商的设备构成。它们通常在架构、协议、通信、操作等许多方面都存在相当大的差异性。这种差异性又进一步加大了系统的复杂度。

    所以，当前，XX移动的安全系统还存在许多问题，它表现在以下几个方面：

    ★虽然XX移动安全体系已初步形成，但安全体系的管理体制还不健全，管理能力不足，产生的数据无法为企业最高管理层提供准确的决策依据。

    ★各种安全设备间缺少信息层互通能力，各自为政。降低了系统整体的运作效率，增加了安全事件的发现时间和相应时间。

    ★事件分析能力不足，事件的检测和报告停留在较为“原始”的数据上，无法提供更为“信息化”、“知识化”的报告。使许多安全事件得不到挖掘，同时对安全管理员的技能要求居高不下，增加了企业的成本。

    ★许多安全产品的管理能力不足，无法做到大规模部署下的整体监管。从而造成整体系统产生的数据“条块分割”，不能反映整体大网的安全运行状况和威胁情况。

    ★由于安全管理能力不足，产生的数据无法为企业最高管理层提供准确的决策依据，从而安全体系的建设发展具有相对的盲目性

    因此，我们必须进一步完善安全体系，建设电信级“全程全网的可管理”的网络安全体系。

    ★全程全网的可管理的安全体系体现在以下方面：

    （1）强大的可扩展性。整体的管理能力不会随着系统规模、设备种类的增加而下降。

    （2）庞大的设备种类覆盖。体系可以覆盖业界几乎全部的主流入侵检测、防火墙、反病毒等安全设备、网络设备、主机操作系统、BOSS、MIS、ERP等各种应用系统。

    （3）高超的事件分析能力。通过多达千种的协议分析能力、深度的相关和数据挖掘能力，能够对系统可能出现的入侵、误用、滥用提供清晰的事件轮廓，重建整个事件的历史过程，准确的定位入侵深度和入侵者。多视角的二维、三维图形化分析手段使整个事件的来龙去脉一目了然。

    （4）量化安全。体系产生的各种历史数据和趋势分析可以准确的反映安全运行状况，为高层管理提供决策依据。

    （5）可考核安全。能够建立一整套安全策略、管理流程和考核体系，它们在可靠的量化安全基础上得到最为完整的实施。

    二、项目目标

    安全评估是对XX移动全网各系统以及信息安全状况进行评估，了解全网信息资产情况，发现存在的安全问题，提出相关解决方案和建议，为优化XX移动全网系统的安全管理和维护工作做好基础准备。通过安全风险评估，得到XX移动全网的整体安全现状；通过信息资产调查，得到XX移动全网的信息资产状况，并建立信息资产库；依照国家等级保护的要求，就XX移动全网的总体等级化安全体系、安全规划、安全策略、制度、规范、安全规划、安全解决方案、实施方案等方面的内容，提出详细的技术建议，以指导下一步安全建设工作。

    三、项目内容

    天融信为此项目设计的项目内容为对XX移动全部TCP/IP网络包含网元的安全风险评估，信息资产调查，安全体系设计、解决方案和安全策略制度设计。分为两个部分：调查与评估，体系规划与相应的策略方案建议，描述如下。

    调查与评估

    对XX移动全网的全部体系和承载网络包含网元进行摸底调查和评估，工作内容包括：

    1.信息资产调查

    调查和统计XX移动TCP/IP信息网络和承载网络所包含的信息资产（包含物理环境、网络设备、主机配置、操作系统、应用软件、服务及端口开放情况、网络互联单元、维护及管理人员情况、标准流程等），明确其现有状况、配置情况和管理情况。如主机系统，需要明确其平台、版本、补丁等基本情况外，还需明确开放端口、服务和进程等配置管理信息。并对所有信息资产按照一定标准进行资产赋值或用其它方式进行表示。

    拓扑结构调查工作包括对XX移动全网的全部体系和承载网络的拓扑结构进行调查，并按统一标准绘制成图，并可通过信息资产库进行动态管理；

    现有安全系统调查工作包括明确现有安全设备（包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器等）的部署情况和使用情况；同时了解在建网络与信息安全建设项目，使之服从统一部署原则。

    2.网络拓扑结构绘制

    拓扑结构调查工作包括对所有TCP/IP信息网络的拓扑结构进行调查，并按统一标准绘制成图，并可通过信息资产库进行动态管理，包括省网与集团互联拓扑，省网各系统拓扑、省网各系统网络连接拓扑、各系统省、市连接拓扑，要做好网络连接和逻辑连接的区分。

    3.全网安全系统调查

    检查现有安全设备(包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器等)的部署情况和使用情况；同时将在建网络与信息安全建设项目，使之服从统一部署原则。

    4.安全区域和等级划分的建议

    根据国家等级保护的区域划分要求和集团公司关于安全域划分的要求，提出对XX移动网络系统根据业务特性和安全要求划分成不同安全域的建议，确定安全保护等级的建议。

[1]  [2]  编 辑：高娟