導(dǎo)語：移動(dòng)公司網(wǎng)絡(luò)安全設(shè)計(jì)分析一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：文章以某移動(dòng)公司為例，通過全面系統(tǒng)分析主流網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用，進(jìn)而對(duì)其網(wǎng)絡(luò)安全需求進(jìn)行分析并設(shè)計(jì)以安全管理系統(tǒng)和安全技術(shù)為兩層架構(gòu)的立體安全防護(hù)體系來提高網(wǎng)絡(luò)安全質(zhì)量。

關(guān)鍵詞：網(wǎng)絡(luò)；安全解決方案；網(wǎng)絡(luò)安全技術(shù)

1某移動(dòng)公司網(wǎng)絡(luò)安全概述

該移動(dòng)公司設(shè)有綜合部和市場(chǎng)部2個(gè)部門，南區(qū)服務(wù)銷售中心和中區(qū)服務(wù)銷售中心2個(gè)服務(wù)銷售中心，12間“溝通100”服務(wù)廳。目前有交換網(wǎng)、傳輸網(wǎng)、基礎(chǔ)數(shù)據(jù)網(wǎng)、城域網(wǎng)等各類電信網(wǎng)絡(luò)、平臺(tái)及支撐系統(tǒng)及各業(yè)務(wù)系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)百臺(tái)，只有5%的人員以及眾多第三方運(yùn)維人員負(fù)責(zé)對(duì)這些網(wǎng)絡(luò)、平臺(tái)及系統(tǒng)進(jìn)行日常維護(hù)工作。由于企業(yè)業(yè)務(wù)規(guī)模的不斷擴(kuò)大，公司網(wǎng)絡(luò)安全體系暴露了很多的缺點(diǎn)。因而，該移動(dòng)公司急切需要一個(gè)合理、有效的網(wǎng)絡(luò)安全解決方案來鞏固其網(wǎng)絡(luò)安全防線。在這樣的網(wǎng)絡(luò)環(huán)境下存在下列安全需求。（1）內(nèi)網(wǎng)安全建設(shè)總需求網(wǎng)絡(luò)安全解決方案應(yīng)具有防火墻、入侵檢測(cè)與監(jiān)控系統(tǒng)、安全漏洞掃描、病毒防護(hù)等四項(xiàng)基本功能。同時(shí)該解決方案要能夠讓遠(yuǎn)程移動(dòng)用戶對(duì)公司內(nèi)網(wǎng)進(jìn)行安全訪問。（2）移動(dòng)業(yè)務(wù)系統(tǒng)的安全需求與普通的網(wǎng)絡(luò)應(yīng)用不同，移動(dòng)業(yè)務(wù)系統(tǒng)的安全性是保障移動(dòng)網(wǎng)絡(luò)應(yīng)用安全的核心，對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)設(shè)置最高的網(wǎng)絡(luò)安全策略。因而有如下的安全需求。數(shù)據(jù)安全：網(wǎng)絡(luò)安全解決方案必須保證數(shù)據(jù)庫(kù)軟硬件系統(tǒng)的整體安全性和可靠性，要最大程度的保障企業(yè)各種敏感數(shù)據(jù)的安全性，做到數(shù)據(jù)不被非法盜用、修改等。訪問控制：網(wǎng)絡(luò)安全解決方案必須確保企業(yè)的業(yè)務(wù)系統(tǒng)不被非法訪問。入侵檢測(cè)：對(duì)于試圖破壞企業(yè)業(yè)務(wù)系統(tǒng)的惡意行為能及時(shí)進(jìn)行信息審計(jì)、記錄、跟蹤，提供非法攻擊的證據(jù)。以及能防止來自內(nèi)網(wǎng)其他系統(tǒng)的破壞、誤操作而造成的安全隱患。（3）對(duì)安全產(chǎn)品的需求所有安全產(chǎn)品要求取得中華人民共和國(guó)公安部的銷售許可并有中華人民共和國(guó)國(guó)家信息化辦公室的安全認(rèn)證。所有安全產(chǎn)品要求廠家擁有穩(wěn)定的服務(wù)保障和技術(shù)支持隊(duì)伍，能夠?qū)Ξa(chǎn)品進(jìn)行定時(shí)升級(jí)和企業(yè)員工技術(shù)培訓(xùn)等。所有安全產(chǎn)品要求自身具有較高的安全性和穩(wěn)定性且界面友好，易安裝、易配置、易維護(hù)、易升級(jí)、易操作、易管理，當(dāng)然要有詳盡的技術(shù)幫助文檔。所使用到的安全產(chǎn)品應(yīng)能與企業(yè)現(xiàn)有網(wǎng)絡(luò)的其它網(wǎng)管產(chǎn)品功能兼容并能有效整合。所有安全產(chǎn)品要求功能模塊配置靈活，并具有良好的可擴(kuò)展性。

2某移動(dòng)公司網(wǎng)絡(luò)安全建設(shè)方案設(shè)計(jì)與實(shí)現(xiàn)

通過研究設(shè)計(jì)的解決方案，一是設(shè)計(jì)的解決方案不能影響網(wǎng)絡(luò)效率，不能降低客戶應(yīng)用靈活性；二是要能降低管理費(fèi)。因而總目標(biāo)是提高移動(dòng)公司的網(wǎng)絡(luò)質(zhì)量，滿足各部門的安全需求，實(shí)現(xiàn)自主建設(shè)網(wǎng)絡(luò)安全體系并靈活的應(yīng)對(duì)企業(yè)各類突發(fā)的安全事故，最重要的是減少其網(wǎng)絡(luò)安全建設(shè)的各項(xiàng)成本。其余的建網(wǎng)目標(biāo)歸結(jié)如下。（1）建立一套完整可行有效的網(wǎng)絡(luò)安全建設(shè)解決方案。（2）能有效隔離內(nèi)外網(wǎng)，避免與外網(wǎng)直接通信。（3）能對(duì)網(wǎng)內(nèi)各主機(jī)和服務(wù)器建立一個(gè)全方位的安全保護(hù)體系。（4）設(shè)置授權(quán)用戶的訪問權(quán)限在最低限度同時(shí)加強(qiáng)用戶的訪問認(rèn)證。（5）全面監(jiān)控公開的服務(wù)器及時(shí)響應(yīng)服務(wù)器各項(xiàng)異常反應(yīng)。（6）加強(qiáng)對(duì)各類訪問的安全審計(jì)和記錄工作，強(qiáng)化系統(tǒng)的容災(zāi)備份能力。（7）要加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理，提高其余員工的安全防范意識(shí)。本方案是從技術(shù)和管理兩個(gè)方面來架構(gòu)的一個(gè)立體網(wǎng)絡(luò)安全防護(hù)體系。技術(shù)方面是從七個(gè)技術(shù)模塊來進(jìn)行設(shè)計(jì)的。（1）防火墻系統(tǒng)與控制端模塊：在移動(dòng)綜合大樓的網(wǎng)絡(luò)出口尤其是與Internet等危險(xiǎn)網(wǎng)絡(luò)的接口處安裝邊界防火墻，從而對(duì)內(nèi)外網(wǎng)進(jìn)行隔離和防止黑客非法攻擊，實(shí)現(xiàn)基于TCP服務(wù)的過濾、IP地址的過濾、IP動(dòng)態(tài)包檢測(cè)過濾、惡意代碼的靜態(tài)過濾等功能，必要時(shí)還能實(shí)現(xiàn)網(wǎng)絡(luò)地址翻譯來保護(hù)內(nèi)網(wǎng)。（2）入侵檢測(cè)系統(tǒng)與控制端模塊：將入侵檢測(cè)（IDS）探頭部署在重要的網(wǎng)段上。為了既能發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息又能發(fā)現(xiàn)系統(tǒng)日志中的異常情況，因而本文構(gòu)建的入侵檢測(cè)系統(tǒng)是基于網(wǎng)絡(luò)和主機(jī)兩種模式的。通過在一個(gè)控制端下掛多個(gè)IDS探頭，通過分布式的IDS探頭配置，實(shí)現(xiàn)全面的信息采集，然后控制端就綜合所有的信息進(jìn)行分析，從而制定行之有效的安全規(guī)則并且負(fù)責(zé)與其他的安全技術(shù)產(chǎn)品進(jìn)行信息交換和安全規(guī)則修改。（3）防病毒系統(tǒng)與控制端模塊：在內(nèi)網(wǎng)和防火墻DMZ區(qū)內(nèi)的三個(gè)WindowsNT服務(wù)器上安裝美國(guó)CA公司eTrust防病毒服務(wù)器，然后將其中一個(gè)作為一級(jí)控制端而剩下的兩個(gè)作為二級(jí)控制端，其他網(wǎng)絡(luò)上的計(jì)算機(jī)安裝eTrust防病毒系統(tǒng)客戶端。（4）賬號(hào)集中管理系統(tǒng)模塊：賬號(hào)集中管理系統(tǒng)又叫AAA系統(tǒng)、3A系統(tǒng)，3A是一種基于C/S架構(gòu)的安全模式，因而要分別對(duì)客戶端和服務(wù)端進(jìn)行設(shè)置。客戶端是網(wǎng)絡(luò)接入設(shè)備，譬如VPN服務(wù)器、路由器、交換機(jī)等。而服務(wù)端是可以提供AAA服務(wù)的主機(jī)，不過必須先安裝思科的ACS服務(wù)端程序。鑒于3A所要實(shí)現(xiàn)的認(rèn)證、授權(quán)、統(tǒng)計(jì)三個(gè)功能，因此必須在3A服務(wù)器上建立一個(gè)有賬號(hào)信息的身份驗(yàn)證數(shù)據(jù)庫(kù)，設(shè)置相應(yīng)的權(quán)限控制用戶行為。同時(shí)，在3A客戶端上監(jiān)視手機(jī)用戶行為動(dòng)作并將信息反饋給3A服務(wù)器。（5）安全漏洞掃描器模塊：安全漏洞掃描是一種較防火墻和入侵檢測(cè)系統(tǒng)主動(dòng)的排查技術(shù)，能夠發(fā)現(xiàn)已知的安全漏洞在網(wǎng)絡(luò)中的分布情況并提出修補(bǔ)的意見，從而化被動(dòng)防御為主動(dòng)出擊。本課題主要是在瀏覽器和目標(biāo)主機(jī)之間設(shè)置一個(gè)網(wǎng)絡(luò)掃描器來遠(yuǎn)程檢查目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)，然后記錄目標(biāo)給予的回答。這個(gè)漏洞掃描器包括端口掃描模塊、漏洞庫(kù)以及一個(gè)控制平臺(tái)。如：必須關(guān)閉135（遠(yuǎn)程過程調(diào)用）、139（共享服務(wù)）、445（局域網(wǎng)中的共享文件夾或共享打印機(jī)）等高危端口、禁用Guest、設(shè)置復(fù)雜的Administrator密碼等。而管理人員也要定期對(duì)目標(biāo)系統(tǒng)進(jìn)行安全掃描，如對(duì)發(fā)現(xiàn)的安全漏洞采取一些加固措施來提高企業(yè)網(wǎng)絡(luò)的安全性，增強(qiáng)對(duì)黑客和病毒的防御能力。（6）域控制器模塊：通過接口域?qū)⑹鼙Ｗo(hù)的企業(yè)內(nèi)網(wǎng)系統(tǒng)和第三方人員、省網(wǎng)管網(wǎng)以及被管網(wǎng)元、CMNet等隔開。首先在服務(wù)器端對(duì)企業(yè)網(wǎng)進(jìn)行WLAN域的劃分：在設(shè)置好的ActiveDirectory（活動(dòng)目錄）的WindowsNT上登錄，選擇開始程序管理工具->ActiveDirectory用戶和計(jì)算機(jī)->右擊“Computers”單擊“新建”->選擇“計(jì)算機(jī)”->填入要加入域的計(jì)算機(jī)名；然后進(jìn)行客戶端的設(shè)置：確認(rèn)計(jì)算機(jī)名稱是否正確，右擊桌面“網(wǎng)上鄰居”圖標(biāo)->點(diǎn)擊“屬性”設(shè)置窗口->確認(rèn)“主網(wǎng)絡(luò)登錄”為“Microsoft網(wǎng)絡(luò)用戶”->選中“Microsoft網(wǎng)絡(luò)用戶”->點(diǎn)擊“屬性”按鈕出現(xiàn)“Mi－crosoft網(wǎng)絡(luò)用戶屬性”->選中登錄到“WindowsNT域”在“WindowsNT域”中輸入要登錄的域名。（7）應(yīng)急故障處理模塊：對(duì)系統(tǒng)中出現(xiàn)的安全故障進(jìn)行管理、監(jiān)控、響應(yīng)、維護(hù)。如對(duì)數(shù)據(jù)庫(kù)和關(guān)鍵系統(tǒng)進(jìn)行定期備份，并做好應(yīng)急措施。管理方面主要是使用中國(guó)移動(dòng)安全管理系統(tǒng)（SOC）。SOC經(jīng)過中國(guó)移動(dòng)長(zhǎng)期以來的不斷發(fā)展，其各項(xiàng)功能都趨于完善。但是這是總公司的全局系統(tǒng)，面對(duì)移動(dòng)的特有網(wǎng)絡(luò)狀況，SOC需要做相應(yīng)的更改，在設(shè)計(jì)部分會(huì)詳細(xì)的闡述。在本方案中SOC主要有以下三個(gè)作用。（1）能夠明確保護(hù)對(duì)象，查找可能的安全隱患，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的實(shí)時(shí)管理。（2）能夠準(zhǔn)確判定可疑事件，提高系統(tǒng)的監(jiān)控效率，實(shí)現(xiàn)對(duì)防火墻、入侵檢測(cè)、防病毒等系統(tǒng)告警的集中監(jiān)控。（3）能夠加速工作流轉(zhuǎn)、積累處理突發(fā)事件的經(jīng)驗(yàn)，迅速安排相關(guān)人員進(jìn)行運(yùn)維。

3結(jié)束語

本論文從多方面描述了移動(dòng)公司網(wǎng)絡(luò)安全解決方案，如防火墻、入侵檢測(cè)、防病毒等，論文從這些技術(shù)入手，深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決方法，可以使讀者對(duì)網(wǎng)絡(luò)安全技術(shù)有更深刻的了解。同時(shí)，本方案構(gòu)建的SOC與安全技術(shù)七個(gè)模塊兩層防護(hù)體系經(jīng)PacketTracer分布設(shè)置實(shí)施，完成了全部設(shè)計(jì)，并在模擬運(yùn)行時(shí)顯示成功。

參考文獻(xiàn)：

[1]王瑞梁.新時(shí)期企業(yè)網(wǎng)絡(luò)管理的現(xiàn)狀及對(duì)策研究[J].電腦與電信，2017（02）：47-48.

[2]江新輝.現(xiàn)代通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用[J].無線互聯(lián)科技，2016（14）：143-144.

[3]雷震甲.網(wǎng)絡(luò)工程師教程（4版）[M].北京：清華大學(xué)出版社，2014.

[4]劉永華.計(jì)算機(jī)網(wǎng)絡(luò)信息安全[M].北京：清華大學(xué)出版社，2014.

作者:徐偉華 單位:廣州南洋理工職業(yè)學(xué)院