XX电信信息安全系统解决方案.doc

的
贵州电信信息安全系统
解决方案
北京绿盟科技有限公司
2005年7月
目录
1贵州电信安全风险与安全需求分析 4
安全风险分析 4
系统脆弱性和潜在的危险性分析 4
安全风险评估 7
安全需求分析 8
信息安全管理体系的建设需求 8
物理与链路层安全需求 11
网络层安全需求 11
主机与系统层安全需求 12
应用层安全需求 13
2贵州电信安全系统总体设计与规划 15
15
总体安全策略 17
技术策略 18
管理策略 22
统一安全综合管理平台设计 23
需求及现状分析 23
主要问题以及建设必要性 24
系统总体目标 26
安全综合管理平台框架 29
系统主要功能及实施 31
通信平台安全体系 39
物理安全措施 39
链路传输加密系统设计 41
网络平台安全体系 42
网络安全优化 42
防火墙子系统设计 44
入侵检测与安全审计系统设计 46
主机平台安全体系 50
系统安全***与加固子系统设计 50
操作系统安全子系统 54
3 信息安全管理体系 56
在安全管理的主要内容 56
安全管理技术平台 57
安全管理体系 58
安全体系 58
安全组织机构 59
安全管理制度 60
基于策略的安全管理 66
4安全服务 70
安全咨询服务 70
安全需求分析 70
安全顾问 71
安全方案设计 72
安全研究与产品测评 72
安全技术支持服务 73
安全产品实施 73
网络安全日常维护 73
安全信息通告服务 74
安全评估服务 74
安全评估对象 74
安全评估内容 75
应急响应服务 75
安全应急响应体系 75
应急响应服务的内容 77
安全培训服务 78
1贵州电信安全风险与安全需求分析
安全风险分析
在贵州电信信息网络系统中,由于在网络技术与协议上的开放性,以及根据我们前面分析的各种在网络使用和管理上、技术上、安全管理等多方面暴露出的问题,使得整个网络存在着各种类型的安全隐患和潜在的危险,黑客及怀有恶意的人员将可能利用这些安全隐患对网络进行攻击,造成严重的后果。因此如何保护重要信息不受黑客和不法分子的入侵,保证贵州电信信息网络系统的可用性、保密性和完整性等安全目标的问题摆在我们面前。
系统脆弱性和潜在的危险性分析
我们根据贵州电信信息网络系统的实际情况,结合用户的安全现状以及存在的安全问题,对贵州电信网络中潜在的安全威胁与安全隐患进行综合分析与评估,具体分析如下:
1、传输线路信息泄漏:贵州电信行业网是大型的广域网络系统,网络覆盖的范围广,用户数据量大而且采用的都是通用的协议和平台,因此在网络上的信息和数据容易遭到外部人员的窃听,特别是在通过公共通信网传输数据的通道或平台上。
2、来自“外部”的入侵:贵州电信行业网是一个有分布式的广域网络,整体比较复杂,相连,并向外提供信息发布的服务,具有一定的开放性;而目前没有严格的安全防范措施,上黑客的攻击。此外,省烟草网络还通过广域网与其它单位(卷烟厂、分市公司等)相连,也存在被下级单位或分支机构攻击的可能性。
3、非授权访问:有意避开系统访问控制机制,对系统设备及资源进行非正常使用,擅自扩大权限,越权访问信息。在贵州电信信息网络系统中具体表现在:
破坏信息的完整性;
更改信息的内容、形式;
删除某个消息或消息的某些部分;
在消息中插入一些信息,让收方读不懂或接收错误的信息。
4、冒充合法用户:网上“黑客”非法增加节点,使用假冒主机欺骗合法用户及主机;使用假冒的系统控制程序套取或修改使用权限、口令、密钥等信息,然后,利用这些信息进行登录,从而达到欺骗系统,占用合法用户资源的目的。贵州电信信息网络系统中存在这方面的安全隐患,具体有:
假冒主机欺骗合法主机及合法用户;
假冒网络控制程序套取或修改使用权限等信息,越权使用网络设备和资源;
接管合法用户,欺骗系统,占用合法用户的资源。
5、破坏数据的完整性:以非法手段窃得对数据的使