某移動公司網絡安全設計

徐偉華

摘? 要：文章以某移動公司為例，通過全面系統分析主流網絡安全技術及其應用，進而對其網絡安全需求進行分析并設計以安全管理系統和安全技術為兩層架構的立體安全防護體系來提高網絡安全質量。

關鍵詞：網絡;安全解決方案;網絡安全技術

中圖分類號：TP393? ? ? ? ?文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）09-0081-02

Abstract： In this paper， taking a mobile company as an example， through a comprehensive and systematic analysis of the mainstream network security technology and its application， the paper analyzes its network security requirements and design a three-dimensional security protection system based on security management system and security technology to improve the quality of network security.

Keywords： network; security solution; network security technology

1 某移動公司網絡安全概述

該移動公司設有綜合部和市場部2個部門，南區服務銷售中心和中區服務銷售中心2個服務銷售中心，12間“溝通100”服務廳。目前有交換網、傳輸網、基礎數據網、城域網等各類電信網絡、平臺及支撐系統及各業務系統的服務器、網絡設備、安全設備數百臺，只有5%的人員以及眾多第三方運維人員負責對這些網絡、平臺及系統進行日常維護工作。由于企業業務規模的不斷擴大，公司網絡安全體系暴露了很多的缺點。因而，該移動公司急切需要一個合理、有效的網絡安全解決方案來鞏固其網絡安全防線。

在這樣的網絡環境下存在下列安全需求。

（1）內網安全建設總需求

網絡安全解決方案應具有防火墻、入侵檢測與監控系統、安全漏洞掃描、病毒防護等四項基本功能。同時該解決方案要能夠讓遠程移動用戶對公司內網進行安全訪問。

（2）移動業務系統的安全需求

與普通的網絡應用不同，移動業務系統的安全性是保障移動網絡應用安全的核心，對于業務系統應設置最高的網絡安全策略。因而有如下的安全需求。

數據安全：網絡安全解決方案必須保證數據庫軟硬件系統的整體安全性和可靠性，要最大程度的保障企業各種敏感數據的安全性，做到數據不被非法盜用、修改等。

訪問控制：網絡安全解決方案必須確保企業的業務系統不被非法訪問。

入侵檢測：對于試圖破壞企業業務系統的惡意行為能及時進行信息審計、記錄、跟蹤，提供非法攻擊的證據。

以及能防止來自內網其他系統的破壞、誤操作而造成的安全隱患。

（3）對安全產品的需求

所有安全產品要求取得中華人民共和國公安部的銷售許可并有中華人民共和國國家信息化辦公室的安全認證。

所有安全產品要求廠家擁有穩定的服務保障和技術支持隊伍，能夠對產品進行定時升級和企業員工技術培訓等。

所有安全產品要求自身具有較高的安全性和穩定性且界面友好，易安裝、易配置、易維護、易升級、易操作、易管理，當然要有詳盡的技術幫助文檔。

所使用到的安全產品應能與企業現有網絡的其它網管產品功能兼容并能有效整合。

所有安全產品要求功能模塊配置靈活，并具有良好的可擴展性。

2 某移動公司網絡安全建設方案設計與實現

通過研究設計的解決方案，一是設計的解決方案不能影響網絡效率，不能降低客戶應用靈活性;二是要能降低管理費。因而總目標是提高移動公司的網絡質量，滿足各部門的安全需求，實現自主建設網絡安全體系并靈活的應對企業各類突發的安全事故，最重要的是減少其網絡安全建設的各項成本。其余的建網目標歸結如下。

（1）建立一套完整可行有效的網絡安全建設解決方案。

（2）能有效隔離內外網，避免與外網直接通信。

（3）能對網內各主機和服務器建立一個全方位的安全保護體系。

（4）設置授權用戶的訪問權限在最低限度同時加強用戶的訪問認證。

（5）全面監控公開的服務器及時響應服務器各項異常反應。

（6）加強對各類訪問的安全審計和記錄工作，強化系統的容災備份能力。

（7）要加強對網絡安全的管理，提高其余員工的安全防范意識。

本方案是從技術和管理兩個方面來架構的一個立體網絡安全防護體系。

技術方面是從七個技術模塊來進行設計的。

（1）防火墻系統與控制端模塊：在移動綜合大樓的網絡出口尤其是與Internet等危險網絡的接口處安裝邊界防火墻，從而對內外網進行隔離和防止黑客非法攻擊，實現基于TCP服務的過濾、IP地址的過濾、IP動態包檢測過濾、惡意代碼的靜態過濾等功能，必要時還能實現網絡地址翻譯來保護內網。

（2）入侵檢測系統與控制端模塊：將入侵檢測（IDS）探頭部署在重要的網段上。為了既能發現網絡中的攻擊信息又能發現系統日志中的異常情況，因而本文構建的入侵檢測系統是基于網絡和主機兩種模式的。通過在一個控制端下掛多個IDS探頭，通過分布式的IDS探頭配置，實現全面的信息采集，然后控制端就綜合所有的信息進行分析，從而制定行之有效的安全規則并且負責與其他的安全技術產品進行信息交換和安全規則修改。

（3）防病毒系統與控制端模塊：在內網和防火墻DMZ區內的三個Windows NT服務器上安裝美國CA公司eTrust防病毒服務器，然后將其中一個作為一級控制端而剩下的兩個作為二級控制端，其他網絡上的計算機安裝eTrust防病毒系統客戶端。

（4）賬號集中管理系統模塊：賬號集中管理系統又叫AAA系統、3A系統，3A是一種基于C/S架構的安全模式，因而要分別對客戶端和服務端進行設置。客戶端是網絡接入設備，譬如VPN服務器、路由器、交換機等。而服務端是可以提供AAA服務的主機，不過必須先安裝思科的ACS服務端程序。鑒于3A所要實現的認證、授權、統計三個功能，因此必須在3A服務器上建立一個有賬號信息的身份驗證數據庫，設置相應的權限控制用戶行為。同時，在3A客戶端上監視手機用戶行為動作并將信息反饋給3A服務器。

（5）安全漏洞掃描器模塊：安全漏洞掃描是一種較防火墻和入侵檢測系統主動的排查技術，能夠發現已知的安全漏洞在網絡中的分布情況并提出修補的意見，從而化被動防御為主動出擊。本課題主要是在瀏覽器和目標主機之間設置一個網絡掃描器來遠程檢查目標主機TCP/IP不同端口的服務，然后記錄目標給予的回答。這個漏洞掃描器包括端口掃描模塊、漏洞庫以及一個控制平臺。如：必須關閉135（遠程過程調用）、139（共享服務）、445（局域網中的共享文件夾或共享打印機）等高危端口、禁用Guest、設置復雜的Administrator密碼等。而管理人員也要定期對目標系統進行安全掃描，如對發現的安全漏洞采取一些加固措施來提高企業網絡的安全性，增強對黑客和病毒的防御能力。

（6）域控制器模塊：通過接口域將受保護的企業內網系統和第三方人員、省網管網以及被管網元、CMNet等隔開。

首先在服務器端對企業網進行WLAN域的劃分：在設置好的Active Directory（活動目錄）的Windows NT上登錄，選擇開始程序管理工具->Active Directory用戶和計算機->右擊“Computers”單擊“新建”->選擇“計算機”->填入要加入域的計算機名;然后進行客戶端的設置：確認計算機名稱是否正確，右擊桌面“網上鄰居”圖標->點擊“屬性”設置窗口->確認“主網絡登錄”為“Microsoft網絡用戶”->選中“Microsoft網絡用戶”->點擊“屬性”按鈕出現“Microsoft網絡用戶屬性”->選中登錄到“Windows NT域”在“Windows NT域”中輸入要登錄的域名。

（7）應急故障處理模塊：對系統中出現的安全故障進行管理、監控、響應、維護。如對數據庫和關鍵系統進行定期備份，并做好應急措施。

管理方面主要是使用中國移動安全管理系統（SOC）。SOC經過中國移動長期以來的不斷發展，其各項功能都趨于完善。但是這是總公司的全局系統，面對移動的特有網絡狀況，SOC需要做相應的更改，在設計部分會詳細的闡述。在本方案中SOC主要有以下三個作用。

（1）能夠明確保護對象，查找可能的安全隱患，實現對風險的實時管理。

（2）能夠準確判定可疑事件，提高系統的監控效率，實現對防火墻、入侵檢測、防病毒等系統告警的集中監控。

（3）能夠加速工作流轉、積累處理突發事件的經驗，迅速安排相關人員進行運維。

3 結束語

本論文從多方面描述了移動公司網絡安全解決方案，如防火墻、入侵檢測、防病毒等，論文從這些技術入手，深入研究各個方面的網絡安全問題的解決方法，可以使讀者對網絡安全技術有更深刻的了解。同時，本方案構建的SOC與安全技術七個模塊兩層防護體系經Packet Tracer分布設置實施，完成了全部設計，并在模擬運行時顯示成功。

參考文獻：

[1]王瑞梁.新時期企業網絡管理的現狀及對策研究[J].電腦與電信，2017（02）：47-48.

[2]江新輝.現代通信網絡安全防護技術的應用[J].無線互聯科技，2016（14）：143-144.

[3]雷震甲.網絡工程師教程（4版）[M].北京：清華大學出版社，2014.

[4]劉永華.計算機網絡信息安全[M].北京：清華大學出版社，2014.