四川移动网络安全解决方案

四川移动网络安全解决方案内容摘要：

主机动态指定IP地址和网络参数的机制，它减轻了网络管理员的网络规划、配置、维护工作，简化了主机的网络配置，也就是我们利用 Radius 认证与DHCP 相结合的手段，来先认证后分配 IP 地址，从而实现每个 分配的IP 地址都和身份信息绑定。 强大的 API功能  IDSentrie的身份管理 XMLAPI 接口是一套操作简单功能强大的接口，任意第三方系统都能够通过把 IP 地址， MAC 地址或时间范围发送给 IDSentrie 而得到用户的身份信息。  没有 IDSentrie 就没有身份信息，没有身份信息就只能够用 IP地址，而 单靠人工来识别身份和绑定到 IP 地址是非常浪费时间和精力的事情。  同时 IDSentrie 还提供认证相关的 API，任意的业务系统，只要在系统中加上了我们的 API，就都可以将它的身份认证请求 15 转发到 IDSentrie 上，从而实现集中用户接入管理。 IDSentrie 如何保证网络安全 需要及时确定 IP 使用者的 ID（即： 网络地址实名制 ）。 便于对网络非法行为及时进行定位或隔离。 当今的网络世界，无论是用固定 IP 地址管理，还是用动态网址管理，网管人员都很难及时地、准确地确定 IP 地址的使用者。 由于无法及时确定 IP 地址的使用者，几乎不可能对用户实施网络行为实名制的管理。 而无法确定用户身份的网络行为记录更是形同虚设。 同时， 由于用户不断更换 IP 地址，网管人员不能及时判断数据源所在位置及采取相应的隔离措施，延误网络故障 的解决时间。 确定了 IP使用者的 ID 身份后，可以在非法网络行为发生的第一时间，及时进行故障定位或隔离，最大限度减低整个网络的损失。 需要对用户的网络登录认证及网络行为进行集中统一管理 在传统的网络中，用户对网络的访问，是由各节点上的网络设备单独进行认证的。 每种设备都会有自己的认证方式及用户权限分配策略。 这就必然会造成难管理、不便于配置、输入量大、不能及时同步等问题。 网管人员几乎无法集中管理及监控整个网络的用户访问。 而 IDSentrie™从根本上解决了这一 安全问题。 IDSentrie™可以对所有 网 络接入设备进行统一无缝管理。 无论用户从任何接入设备进行登录， IDSentrie™都可以通过 接入设备对用户接入进行认证，并记录网络行为，综合产生用户网络行为实名报表。 IDSentrie™可以帮 16 助 网管人员对网络进行全方位的监控和管理。 需要在统一协调下，对各个地区的网段分别授权、分级管理 网络中，存在着不同功能的服务区。 这些服务区的重要程度是不同的。 没有对访问人员进行基于身份的访问限制，就会存在机密信息流失或被更改的可能。 网络中的不同网段用户，应该按一定划分原则，分别获得不同的访问权限。 并且在管理时， 也可以分别使用力度不同的管理手段。 这样符合整个网络安全的需要。 国内国外法律规定，需要对网络用户行为按 ID进行监察（ 网络监察实名制 ） 网络用户只有 IP地址，没有身份 ID 的情况下，更容易被人恶意仿冒或更改，用来进行非法网络操作。 网络中用户产生网络行为时，应该以 ID 身份为依据进行监察。 这也符合 萨班斯法案（参见附件 身份管理和萨班斯法案 ） 和 公安部第82 号令 —— 《 互联网安全保护技术 措施规定》的要求。 所产生的依据，可以作为网络案件诉讼时的法律证据。 需要对网管人员的行为进行监察及记录 网管人员作为网络的监管人员，有对整个网络的操作权限，他们的某些错误或恶意操作，对整个网络的打击是具有毁灭性的。 因此，其自身的网络行为应该有严格的记录，并且这种记录是不能被修改或删除的。 需要严格网络接入。 支持 802. 1X,EAP 等最新认证协议的硬 17 件支持系统。 网络中存在多种不同的接入方式，采用不同的接入认证手段，在网络设备不能够提供全部兼容时，容易造成网络设备之间的不兼容或影响网络效率。 并且对其 认证的强度不够，会过整个网络带来威胁。 在不同局域网络接入整个网络时，应该严格控制接入者的访问权限，避免重要数据的失密。 并且，应该能够支持 ， EAP 等多种认证协议的使用，为网络应用的复杂化提供应用基础。 出于稳定运行的考虑，认证系统应该是基于硬件的，能够提供比软件系统更稳定可靠的运行环境。 需要为网络从 IP 网向 ID 网的进化打好基础 随着网络应用的复杂化，及国家电子保密法规的制定，网络使用已日趋实名化。 基于 IP进行管理的网络，已不符合此项变化的趋势。 随着网络应用的日趋复杂，接入方式 的灵活化。 对网络的管理仍局限在 IP 地址上，已经不能够适应网络的变化。 并且，未来的网络，将是基于身份的 ID 网络。 不但是网络中的用户，还将包括网络设备，都将采用基于用户身份 ID 的管理方式，现在使用基于用户真实身份ID 的管理设备与管理方式，为将来网络的进化预先打好了基础。 本方案涉及到的安全产品和服务 虽然四川移动网管中心网络系统中已经部署了一些网络安全产品，但是这些产品没有形成体系，尚有许多薄弱环节没有覆盖到。 为了实现全面的安全目标，需要全面考虑对于安全产品和服务的部署需求，实现全网安全的目标。 18 根据上面的 分析，我们建议有重点地按照下面的策略来布署安全产品以大幅度提升全网的安全水平：  部署 IDSentrie™用其中的统一用户管理来集中管理所有数据库和主机系统中的账号信息；  部署 IDSentrie™用其中的认证部分作为集中的认证服务器或集中的认证代理服务器，来提高全网的认证和访问控制能力；  建立 动态口令下发系统 ， 例如利用手机短信方式动态生成口令；  在关键业务和数据网段部署 IDSentrie™用其中的日志分析系统，提高对安全事件的分析、定位、追查等能力，提高全网的安全事件可视化水平，同时也要提供针对各种 强审计系 统 的接口，保证审计信息的统一集中管理；  配置 VPN 或更多的防火墙设备，来建立健全外部用户访问内网的加密隧道和访问策略；  部署全网统一的风险评估软件和安全信息库，提升全网的安全审计和风险管理能力；  另外也建议建立完善的 反病毒体系 来增强全网的抗病毒和蠕虫攻击能力； 二、本解决方案所要解决的问题 网络安全的水平体现在：使用经济上合理的投资来控制网络安全威胁在可以接受的水平，挫败潜在的威胁方。 建立全网的策略、管理、组织和安全技术体系。 参照后面的描述， 19 建立起结合实际业务情况和安全需求的策略并通过相应的管理、组织 、和技术体系进行落实和跟进。 实现关键业务的 6 个重要安全属性：机密性、完整性、可用性、可靠性、认证性、审计性。 体现在对内部网络用户访问主机和对业务系统的访问等过程都通过了严格的加密和认证措施，所有关键访问相关的网络活动被记录和审查。 统一集中管理访问业务系统主机系统账户信息，同时实现关键访问的“全程全网”安全事件可视化。 体现在全网关键业务和数据相关的网络事件可以非常直观地可视化回放，保证安全策略没有被违反，有能力进行事后的分析和追查，提供可以“呈堂”的证据。 全网的安全风险处于可管理、可控制状态下。 对网络安 全风险的不间断的评估和控制措施调整，使得全网的整体安全状况和风险情况以定性或半定量的形式及时展现出来。 保证全网相关业务活动在网络安全方面的法律法规符合性。 在整个技术和商务活动中，都将建立法律法规符合性审核制度，保证四川移动网管中心的内部网络安全和利益不受伤害。 基于上面的出发点，我们设计的整个方案完整实施后，将保证四川移动网管中心网络达到以下几个目标： 20 集中接入与授权 IDSentrie™ 1000 的 RADIUS 认证组件配合智能网络交换机、路由 器或防火墙等安全设备中的 Radius 认证功能为企业的本地服务器以及任何远程接入服务器（如拨号、 IPSec VPN、 SSL VPN 等）提供安全认证，同时它还可以提供认证代理服务。 网络管理人员通过使用IDSentrie 1000 提供的认证策略，利用现有帐户和数据库的信息，对企业内部重要系统的网络接入进行有效的控制，而且所有的安全策略都是根据用户身份来制定的，只有具有真实身份而且口令安全策略均都满足的情况下才能够接入网络，安全策略清楚明了，各种设备、用户的相关认证管理也是一目了然。 同时 IDSentrie 具有和第三 方强身份认证设备的接口， IDSentrie 本身已经集成了 SecureID 设备的驱动，对于其它动态动态口令系统，例如短信动态口令生成也能够提供很好的集成。 21 例如：  路由器、交换机  防火墙  VPN 设备  无线设备 等网络设备集中接入的控制，在应用层之上的网络层就对用户进行实名制的二次鉴权接入访问控制，保证访问应用系统的用户具有真实身份、合法。 同样，针对网络层的访问控制也需要有一个过程来逐步梳理，网络区域划分，用户分组、权限的划分等。 集中接入的典型应用场 景： 案例说明： IDSentrie 内置世界性能最高的 Radius 认证服务器，每秒能够处理 6000个认证请求，同时本身具备强大的身份管理功能，目前的版本能够支持一百万用户 ID，它能够管理一千个网络设备，包括路由器、交换机、防火墙等。 案例拓扑结构图： 22 S W Cis co 3750S W Cis co 3750S W Cis co 3750S W Cis co 3750S W Cis co 2950S W Cis co 2950S W Cis co 2950办公室桌面办公室桌面办公室桌面S。