网通CNCNet骨干网全方位安全系统(2)

　　网络设备安全增强

　　 路由器、交换机等网络设备能否安全稳定地运行，直接影响着中国网通的网络。不管因为什么原因出现网络设备死机、拒绝服务或是运行效率急剧下降，其结果都将是灾难性的。一般来讲，黑客针对网络设备的攻击主要分为以下两种类型：一是通过某种手段或途径获取管理权限，直接侵入到系统的内部；一是采用远程攻击的办法，造成网络设备崩溃死机或是运行效率显著下降。相较而言，前者的难度要大一些。

　　 玛赛针对骨干网核心路由器实施了网络设备安全增强配置服务，以全面提高网络设备自身的安全性和抗攻击性。

　　 主机和操作系统安全

　　 UNIX系统安全

　　 玛赛在本次工程中，通过实施完全定制化的安全增强配置服务来全面提高网通UNIX主机的安全性。

　　 玛赛提供的UNIX安全服务，是为网通量身定制的安全解决方案、包括以下几大方面：网络方面的增强配置、文件系统方面的增强配置、安全等级方面的增强配置，以及在UNIX系统上的一些相关安全增强软件的安全和配置。

　　 在经过玛赛的UNIX安全增强配置服务后，可以使网通的UNIX系统的安全性得到有效增强，有效阻止非法攻击者入侵。

　　 Windows系统安全

　　 玛赛对关键Windows NT/2000服务器实施了安全增强配置服务，以使之达到理想的安全性。同时，玛赛还设置严格的口令策略、事件审核策略等，并实施必要的防病毒软件，进一步提升Windows NT/2000系统的安全性。

　　 信息安全管理

　　 安全管理中心的建设

　　 网络安全管理中心的建立对于中国网通的全网安全有着非常大的意义，通过安全中心可以动态了解和控制全网安全状况。一方面针对全网的安全设备进行集中管理，另一方面，可以利用集中管理软件收集全网网络和主机安全信息，用于安全分析和统计，进而对全网安全进行决策和支持。玛赛公司建议网通的安全管理中心分为安全决策支持中心和安全设备管理中心。

　　 安全审计中心。玛赛使用了Marsec Auditing Center作为中国网通的安全审计软件。因为传统扫描器总存在一些缺点，诸如扫描和监控绑定不利于部署、攻击模式库更新慢、缺乏服务以及中文化支持差等弱点。而Auditing Center扫描后的全网主机和设备的安全信息均存放在数据库中，其中包括主机的操作系统版本、漏洞情况、patch情况等安全信息。一方面，网管人员可以通过这个集中安全数据库查询全网安全状况，另一方面，在发生安全事件或紧急响应时，使公司和客户迅速了解受害机情况，找到对策，减少损失。同时，Auditing Center提供接口，便于用户输入设备安全信息，也进一步增强该软件的决策支持能力。所以Marsec Auditing Center是一个服务和软件的结合。

　　 玛赛在中国网通网管中心部署一套Marsec Auditing Center，用于全网的安全审计。网络型扫描器对主机服务和网络性能的影响取决于扫描模块、扫描时间的选取，所以专业的审计流程是必须的，而Marsec Auditing Center软件和服务结合的模式可以帮助客户解决在审计过程中所遇问题。

　　 日志分析中心。用于全网设备和主机日志的收集和分析，避免分散日志的安全性，增加安全事件的事后可跟踪性。

　　 玛赛在日志中心的选择上考虑Marsec Log Analysis Center。它是一个集中式的日志存储和分析系统软件。它能接收网络上syslog格式的日志消息，进行基于策略的消息过滤和消息规格化，然后保存到数据库系统。

　　 网通用防火墙增值

　　 防火墙的选择、部署和使用方案，是在综合考虑网通的客户特点及目前网络流量情况下进行的，所以本次防火墙方案有下列优点：

　　 从功能上而言，本次防火墙系统不仅能够提供针对网通IDC网络内外攻击的防护，包括对多种诸如DDoS攻击的防护，还能提供强大的日志管理监控工具。

　　 从性能上而言，本次防火墙系统能够提供高的流量吞吐率，满足了网通的客户需求，不会给用户的业务带来网络性能上的影响。

　　 从可靠性上讲，本次选择的防火墙本身支持双电源，具有很好的高可用性，冗余架构，保证了某台设备出现故障后，可以迅速切换到另一台设备上。

　　 从增值角度而言，一方面可以利用目前的防火墙系统租用给客户保障其系统；另一方面，可以利用防火墙的虚拟系统和VPN功能提供多种增值服务，还可以利用丰富的报表功能提供用户增值报表统计功能。这一点也成为整体方案设计中的亮点：安全的投入并不是COST（成本），而是一种增值服务，是一个PROFIT的创造源，这样能够真正确保电信运营企业投入和产出的良性循环。

　　 提供安全培训

　　 人员的安全观念、系统管理员的实际安全知识，直接影响到整个系统安全方案的实施。而一个安全的网络系统的保护，不仅和系统管理员的系统安全知识有关，而且和领导的决策、工作环境中每个员工的安全操作等都有关系。系统安全培训方案根据用户的不同类型分为两类：安全知识培训和安全技术培训。

　　 针对管理人员，玛赛提出安全意识培训的概念，在工程现场，玛赛提供现场的安全操作培训和产品培训。而针对系统管理人员的初级安全培训和中级安全培训，将全部采取实例教学的方式进行。