網絡安全產品

運行系統安全，即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行，避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失，避免由於電磁泄漏，產生信息泄露，干擾他人，受他人干擾。

網絡上系統信息的安全。包括用户口令鑑別，用户存取權限控制，數據存取權限，方式控制，安全審計，安全問題跟蹤，計算機病毒防治，數據加密。

網絡上信息傳播安全，即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網絡上大量自由傳輸的信息失控。

網絡上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用户的行為。本質上是保護用户的利益和隱私。

網絡安全應具有以下四個方面的特徵：

保密性：信息不泄露給非授權用户、實體或過程，或供其利用的特性。

完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關係統的正常運行等都屬於對可用性的攻擊；

可控性：對信息的傳播及內容具有控制能力。

1、物理安全

針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計，如構建屏蔽室。採用輻射干擾機，防止電磁輻射泄漏機密信息。對存有重要數據庫且有實時性服務要求的服務器必須採用UPS不間斷穩壓電源，且數據庫服務器採用雙機熱備份，數據遷移等方式保證數據庫服務器實時對外部用户提供服務並且能快速恢復。

2、系統安全

對於操作系統的安全防範可以採取如下策略：儘量採用安全性較高的網絡操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等）使用權限進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。

應用系統安全上，主要考慮身份鑑別和審計跟蹤記錄。這必須加強登錄過程的身份認證，通過設置複雜些的口令，確保用户使用的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的範圍內。充分利用操作系統和應用系統本身的日誌功能，對用户所訪問的信息做記錄，為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網絡的所有訪問進行很好的監測、響應並作記錄。

3、防火牆

防火牆是網絡安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網絡之間的隔離，達到有效的控制對網絡訪問的作用。

3.1省中心與各下級機構的隔離與訪問控制

防火牆可以做到網絡間的單向訪問需求，過濾一些不安全服務；

防火牆可以針對協議、端口號、時間、流量等條件實現安全的訪問控制。

防火牆具有很強的記錄日誌的功能，可以對您所要求的策略來記錄所有不安全的訪問行為。

3.2公開服務器與內部其它子網的隔離與訪問控制

利用防火牆可以做到單向訪問控制的功能，僅允許內部網用户及合法外部用户可以通過防火牆來訪問公開服務器，而公開服務器不可以主動發起對內部網絡的訪問，這樣，假如公開服務器造受攻擊，內部網由於有防火牆的保護，依然是安全的。

4、加密

VPN業務的三種類型：

1．撥號VPN業務（VPDN）2．專線VPN業務3．MPLS的VPN業務

移動互連網絡VPN業務應能為用户提供撥號VPN、專線VPN服務，並應考慮MPLSVPN業務的支持與實現。

VPN業務一般由以下幾部分組成：

（1）業務承載網絡（2）業務管理中心（3）接入系統（4）用户系統

我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。

5、安全評估系統

網絡系統存在安全漏洞（如安全配置不嚴密等）、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且，隨着網絡的升級或新增應用服務，網絡或許會出現新的安全漏洞。因此必需配備網絡安全掃描系統和系統安全掃描系統檢測網絡中存在的安全漏洞，並且要經常使用，對掃描結果進行分析審計，及時採取相應的措施填補系統漏洞，對網絡設備等存在的不安全配置重新進行安全配置。

6、入侵檢測系統

在許多人看來，有了防火牆，網絡就安全了，就可以高枕無憂了。其實，這是一種錯誤的認識，防火牆是實現網絡安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制（允許、禁止、報警）。但它是靜態的，而網絡安全是動態的、整體的，黑客的攻擊方法有無數，防火牆不是萬能的，不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統，對透過防火牆的攻擊進行檢測並做相應反應（記錄、報警、阻斷）。入侵檢測系統和防火牆配合使用，這樣可以實現多重防護，構成一個整體的、完善的網絡安全保護系統。

7、防病毒系統

針對防病毒危害性極大並且傳播極為迅速，必須配備從服務器到單機的整套防病毒軟件，防止病毒入侵主機並擴散到全網，實現全網的病毒安全防護。並且由於新病毒的出現比較快，所以要求防病毒系統的病毒代碼庫的更新週期必須比較短。

8、數據備份系統

安全不是絕對的，沒有哪種產品的可以做到百分之百的安全，但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份，通過網絡備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上，並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時，可以利用災難恢復系統進行快速恢復。

9、安全管理體制

安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高，行為的約束只能通過嚴格的管理體制，並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求，制定安全管理制度並嚴格按執行，並通過安全知識及法律常識的培訓，加強整體員工的自身安全意識及防範外部入侵的安全技術。

通過以上對網絡安全風險分析及需求分析，再根據需求配備相應安全設備，採用上述方案，我們認為一個電信網絡應該達到如下的安全目標：

建立一套完整可行的網絡安全與網絡管理策略並加強培訓，提高整體人員的安全意識及反黑技術。

利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌；

通過防火牆的一次性口令認證機制，實現遠程用户對內部網訪問的細粒度訪問控制；

通過入侵檢測系統全面監視進出網絡的所有訪問行為，及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌；

通過網絡及系統的安全掃描系統檢測網絡安全漏洞，減少可能被黑客利用的不安全因素；

利用全網的防病毒系統軟件，保證網絡和主機不被病毒的侵害；

備份與災難恢復---強化系統備份，實現系統快速恢復；

通過安全服務提高整個網絡系統的安全性。