网络信息安全保障体系建设企业文化_-企业文化.pdf
-
资源ID:95683219
资源大小:472.92KB
全文页数:8页
- 资源格式: PDF
下载积分:4.3金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
网络信息安全保障体系建设企业文化_-企业文化.pdf
网络信息安全保障体系建设 1/8 附件 3 网络信息安全保障体系建设方案 目录 网络信息安全保障体系建设方案.1 1、建立完善安全管理体系.1 1.1 成立安全保障机构.1 2、可靠性保证.2 2.1 操作系统的安全.3 2.2 系统架构的安全.3 2.3 设备安全.4 2.4 网络安全.4 2.5 物理安全.4 2.6 网络设备安全加固.5 2.7 网络安全边界保护.5 2.8 拒绝服务攻击防范.6 2.9 信源安全/组播路由安全.7 网络信息安全保障体系建设方案 1、建立完善安全管理体系 1.1 成立安全保障机构 山东联通以与莱芜联通均成立以总经理为首的安全管理委员会,以与分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将 IPTV等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设 2/8 统一的制度、考核与应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度 IP 地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。2、可靠性保证 IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。(1)设备级可靠性 核心设备需要 99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备 24 小时无间断运行。(2)网络级可靠性 关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:接入层:接入层交换机主要利用 STP/RSTP协议在 OSI 二层实现网络收敛自愈。汇聚层:在 OSI 第三层上使用双机 VRRP 备份保护机制,使用 BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。核心层:在 P 设备(Core 设备和 CR设备)上建立全连接 LDP over TE。TE的数量在 200 以下。全管理体系成立安全保障机构可靠性保证操作系统的安全系统架构的安全设备安全网络安全物理安全网络设备安全加固网络安全边界保护拒绝服务攻击防范信源安全组播路由安全网络信息安全保障体系建设方案建立完善安全管理体络运行维护部电视宽带支撑中心网络维护中心等相关部门为成员的互联网网络信息安全应急小组负责全省网络信息安全的总体管理工作山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应的特殊要求已将等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设统一的制度考核与应急预案当中内容涵盖事前防范事中阻断事后追溯的信息安全技术保障体系域名信息登记管理制度地址溯源和上网日志留存等并将网络信息安全保障体系建设 3/8 组播业务保护:主要基于 IS-IS 协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。2.1 操作系统的安全 在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。防病毒:部署防病毒软件,与时更新系统补丁。数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。2.2 系统架构的安全 IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。存储系统能够支持磁盘 RAID模式,利用 RAID5技术防止硬盘出现故障时数据的安全。支持 HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。全管理体系成立安全保障机构可靠性保证操作系统的安全系统架构的安全设备安全网络安全物理安全网络设备安全加固网络安全边界保护拒绝服务攻击防范信源安全组播路由安全网络信息安全保障体系建设方案建立完善安全管理体络运行维护部电视宽带支撑中心网络维护中心等相关部门为成员的互联网网络信息安全应急小组负责全省网络信息安全的总体管理工作山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应的特殊要求已将等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设统一的制度考核与应急预案当中内容涵盖事前防范事中阻断事后追溯的信息安全技术保障体系域名信息登记管理制度地址溯源和上网日志留存等并将网络信息安全保障体系建设 4/8 支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN 调度单元、网管均支持分布式处理。2.3 设备安全 核心系统(服务器硬件、系统软件、应用软件)能在常温下每周 724 小时连续不间断工作,稳定性高,故障率低,系统可用率大于 99.9。具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间(MTBF)大于 5,000 小时,小型机平均无故障时间(MTBF)大于 10,000 小时,所有主机硬件三年内故障修复时间不超过 30 个小时。2.4 网络安全 IPTV业务承载网络直接与 internet等网络互联,作为 IP 网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以与对网络管理、控制协议进行网络攻击等,故 IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。2.5 物理安全 包括 IPTV承载网络通信线路、物理设备的安全与机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。全管理体系成立安全保障机构可靠性保证操作系统的安全系统架构的安全设备安全网络安全物理安全网络设备安全加固网络安全边界保护拒绝服务攻击防范信源安全组播路由安全网络信息安全保障体系建设方案建立完善安全管理体络运行维护部电视宽带支撑中心网络维护中心等相关部门为成员的互联网网络信息安全应急小组负责全省网络信息安全的总体管理工作山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应的特殊要求已将等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设统一的制度考核与应急预案当中内容涵盖事前防范事中阻断事后追溯的信息安全技术保障体系域名信息登记管理制度地址溯源和上网日志留存等并将网络信息安全保障体系建设 5/8 2.6 网络设备安全加固 作为 IP 承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权与集中认证单点登录等机制,不得存在测试账户、口令现象。服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如 ARP代理、CISCO的 CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问与远程的 VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程 VTY终端的 IP 地址;控制 banner 信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向 telnet等。2.7 网络安全边界保护 网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。全管理体系成立安全保障机构可靠性保证操作系统的安全系统架构的安全设备安全网络安全物理安全网络设备安全加固网络安全边界保护拒绝服务攻击防范信源安全组播路由安全网络信息安全保障体系建设方案建立完善安全管理体络运行维护部电视宽带支撑中心网络维护中心等相关部门为成员的互联网网络信息安全应急小组负责全省网络信息安全的总体管理工作山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应的特殊要求已将等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设统一的制度考核与应急预案当中内容涵盖事前防范事中阻断事后追溯的信息安全技术保障体系域名信息登记管理制度地址溯源和上网日志留存等并将网络信息安全保障体系建设 6/8 IPTV承载网络边界保护措施主要包括以下两点:通过路由过滤或 ACL的方式隐藏 IPTV承载网路由设备与网管等系统的 IP 地址,减少来自 Internet或其它不可信网络的安全风险。在 IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括 HSRP、SNMP 等。2.8 拒绝服务攻击防范 拒绝服务攻击对 IPTV承载网络的主要影响有:占用 IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。建议 IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源 IP 地址过滤,在 IPTV承载网接入路由器对其进行源 IP 地址的检查。关闭网络设备与业务系统可能被利用进行拒绝服务攻击的网络服务端口与其它网络功能,如 echo、chargen 服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。下图给出了 IPTV承载网安全建设实现方式图。全管理体系成立安全保障机构可靠性保证操作系统的安全系统架构的安全设备安全网络安全物理安全网络设备安全加固网络安全边界保护拒绝服务攻击防范信源安全组播路由安全网络信息安全保障体系建设方案建立完善安全管理体络运行维护部电视宽带支撑中心网络维护中心等相关部门为成员的互联网网络信息安全应急小组负责全省网络信息安全的总体管理工作山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应的特殊要求已将等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设统一的制度考核与应急预案当中内容涵盖事前防范事中阻断事后追溯的信息安全技术保障体系域名信息登记管理制度地址溯源和上网日志留存等并将网络信息安全保障体系建设 7/8 2.9 信源安全/组播路由安全 尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在 RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,全管理体系成立安全保障机构可靠性保证操作系统的安全系统架构的安全设备安全网络安全物理安全网络设备安全加固网络安全边界保护拒绝服务攻击防范信源安全组播路由安全网络信息安全保障体系建设方案建立完善安全管理体络运行维护部电视宽带支撑中心网络维护中心等相关部门为成员的互联网网络信息安全应急小组负责全省网络信息安全的总体管理工作山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应的特殊要求已将等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设统一的制度考核与应急预案当中内容涵盖事前防范事中阻断事后追溯的信息安全技术保障体系域名信息登记管理制度地址溯源和上网日志留存等并将网络信息安全保障体系建设 8/8 静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的 TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。组播用户的管理:原有标准的组播协议没有考虑用户管理的问题,但从目前组播应用的情况来看,在很多的组播业务运营中,组播用户的管理仍未得到很好的解决。在 IPTV业务中,直播业务作为十分重要的业务,对用户进行控制管理是必不可少的。对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入,控制用户哪些组播频道可以观看,哪些频道不可以观看。通过在 DSLAM/LAN 交换机用户侧对组播组进行控制,防止恶意用户的非法组播流攻击网络。全管理体系成立安全保障机构可靠性保证操作系统的安全系统架构的安全设备安全网络安全物理安全网络设备安全加固网络安全边界保护拒绝服务攻击防范信源安全组播路由安全网络信息安全保障体系建设方案建立完善安全管理体络运行维护部电视宽带支撑中心网络维护中心等相关部门为成员的互联网网络信息安全应急小组负责全省网络信息安全的总体管理工作山东联通以与莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应的特殊要求已将等宽带增值业务的安全保障工作纳入到网络信息安全保障体系建设统一的制度考核与应急预案当中内容涵盖事前防范事中阻断事后追溯的信息安全技术保障体系域名信息登记管理制度地址溯源和上网日志留存等并将