网通CNCNet骨干网全方位安全系统(1)

　　中国网通作为新一代的电信运营商，肩负着“体制创新与技术创新相结合，探索建立中国新一代通信公司的管理、发展与竞争模式，为国企改革、电信体制改革和知识创新的战略服务”的历史使命。为实现这样的历史使命，完成作为电信运营企业主业的任务，如何保证全网的安全运营已成为重要环节之一，因此CNC提出了针对骨干网络、核心业务的安全增强和管理需求，同时也提出了建立完整的CNC安全管理体系的需求。

　　 设计原则：整体与集中

　　 北京玛赛网络系统有限公司曾为多家电信运营商提供专业安全服务，也成为本期工程的承接者。玛赛在进行CNCnet骨干一期安全解决方案的设计时，遵循以下几个原则。

　　 整体性原则。安全作为一个特殊的技术领域，有着自己的特点。安全问题必须遵从整体性原则，网络中的任何一个漏洞或隐患都可能造成整网被黑客入侵。

　　 中国网通业务系统复杂，网络系统和网络协议多种多样，对数据和网络的安全性要求很高，所以在本次设计中，需要从全网角度出发，关注各业务系统安全，根据各业务系统特点提出相应的解决方案，而不是治标不治本。

　　 集中性原则。安全重在管理，所谓“三分技术，七分管理”阐述了安全的本质，而安全管理重在集中。中国网通的设备和主机类型众多，业务系统也相对复杂，且管理机构和管理模式也千差万别。在全网安全方案的设计中，无论是安全管理制度的制定和施行，或是安全产品的选型和实施，还是长期安全服务方案的制定，都根据集中性原则，目标是实现对各设备和系统的集中安全管理以及安全事件发生后的集中响应，这些都依赖于管理制度统一、集中的制定和施行。

　　 层次性原则。在中国网通安全方案设计中，无论具体的软硬件部署，还是管理制度的制定，都遵循层次性原则，其中包括管理模式的层次性和防护技术的层次性。

　　 在中国网通安全方案中，由于涉及到众多网管人员以及地点，需要一种层次性的管理模式。比如：用户管理需要分层次的授权机制；防病毒体系的病毒库分发或报警也需要分层次机制；安全紧急响应的流程也需要建立分层监控，逐级响应的机制。

　　 层次性还表现在防护技术上。针对业务系统的防护往往有多种防护设备和手段，需要根据业务系统特点提出多层次防护机制，保证在外层防护被黑客入侵的情况下，内部防护层还可以起到防护作用。另一方面，各层之间的配合也是层次性原则的重要特点之一。

　　 长期性原则。安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决一直在发展的系统安全问题，所以针对安全问题的特点，提供面向中国网通全面的安全服务，其中包括设备产品的技术支持和服务，以及安全审计、安全响应等专业安全服务。

　　 网络安全

　　 网络是业务赖以生存的底层架构，如果网络与通信本身的安全性不能得到保障，那么就像车辆跑在随时会坍塌的道路上，其危险性不言而喻。在本项目的网络与通信安全上，玛赛部署了包括防火墙和入侵监测系统在内的安全产品防护线，以及对关键网络设备的增强。

　　 防火墙部署

　　 玛赛认为，在选择防火墙时，应当注意的方面有：性能、安全性、抗攻击/检测攻击能力、可扩展性、易于配置、集中管理能力。

　　 综合以上几点，通过对目前市场上防火墙产品的比较，同时经过对网通安全现状和投入产出比的考虑，玛赛使用了在实际使用中可以灵活调整通过流量的防火墙，同时考虑备份冗余的情况，进行了高可靠性部署。

　　 入侵检测系统部署

　　 在部署了防火墙系统后，为什么还要部署IDS系统呢？玛赛的考虑如下：很多攻击手法是防火墙无法阻挡的，比如一些缓冲区溢出攻击如著名的Sadmind RPC等。防火墙虽然可以挡住某些攻击，但是通常无法留下细节的攻击记录。有些主动或被动的攻击行为来自防火墙内部。

　　 基于以上几方面的需求，在关键业务前部署入侵检测系统并辅以有效的检测策略是完全必要的，但也面临非常实际的问题：目前主流的百兆IDS不能适应诸如IDC等高带宽环境，而如果部署IDS负载平衡设备，则投资过大。有些IDS无法同时监控多个VLAN的数据，如果需要监控每个VLAN，则成本太高。

　　 因此，在经过综合考虑之后，玛赛提出了切实可行的IDS选型和部署方案。