江苏电信IP网自1996年5月份正式对社会开放以来,用户发展迅速,截至2001年11月底,接入用户数达到了323万。为了满足用户持续快速发展的需要,我们的网络经历了大大小小数次扩容,规模不断扩大,目前省内骨干网总带宽达90G,出省带宽10G。
随着网络的发展,我们面临的网络滥用和攻击等安全事件越来越多,并且攻击者采用的手段也越来越复杂多样。在江苏电信IP网发展的初期,我们主要是通过加固主机系统来提高安全性,当然仅靠技术人员手工检查、分析、跟踪是远远不够的。1999年二期扩容工程中,增加了防火墙、一次性口令认证系统、安全扫描器等。但是总的来说,采用的技术手段及部署范围仍比较有限。2001年,江苏电信IP网组织实施了三期扩容,并把网络安全作为重要部分独立实施。
电信IP网面临的主要安全问题
目前,我们还没有手段可以较全面地收集和统计IP网上形形色色的网络滥用和攻击。从我们日常碰到和处理的问题来看,主要有几个方面:
网上存在大量的端口扫描试探、发送垃圾邮件等网络滥用行为;
发现部分主机由于未及时安装补丁程序或设置不当或口令强度不够等原因而被黑客入侵,并被安装后门程序;
拒绝服务攻击发生频率不高,但一般影响较大;
蠕虫病毒传播和泛滥,如红色代码、尼姆达等,危害不可小视。
安全防范的范围和原则
作为网络运营商,由于用户众多,我们的主要精力还是考虑如何尽可能地保护由江苏电信负责维护管理、对外提供服务的网络设备和主机系统,同时对一些重要的网络安全问题,我们也尽力通知用户,并帮助解决。
在解决安全问题时,我们注意遵循安全、效率及易用性兼顾的原则。安全的目标是为了保证业务的连续性,保证数据的完整性、保密性和可用性。但是安全、效率及易用性常常是矛盾的,实施过于复杂的安全措施一方面会造成效率的下降,另一方面对人员素质的要求也会增加,而人员的培训和成长需要过程,因此需要均衡,使得既能达到安全目标的最低要求,又能不对效率产生显著影响,操作使用上不过于繁琐。
同时,我们还本着节约的原则。加强安全必然带来成本的增加,这既包括产品的采购、升级、服务费用,也包括管理成本。我们在资金和人力上的投入应该和被保护的资产价值相适应,在考虑采取什么样的措施保护哪些对象的时候,我们主要考虑被保护对象的重要性、威胁发生的可能性及可能产生的后果,然后选用适当的技术措施以达到可以接受的安全等级。
主要技术措施
目前,江苏电信IP网已初步建立了一套网络安全技术防御体系,从保护对象上看,重点是针对认证计费系统、网管系统、集中邮件系统,同时还包括DNS服务器和WWW服务器,对于接入服务器、路由器、交换机等,则主要通过合理设置来提高安全性;从功能上看,主要包括六个系统:一次性口令认证系统,防火墙系统,主机访问控制系统,安全扫描系统,集中日志管理系统,入侵检测系统等。
一次性口令认证系统
好的口令是网络安全中最简单和最重要的部分,据CERT估计,约80%的网络安全问题是由于不良的口令所造成的。而我们的管理员管理着众多的网络设备和主机系统,在日常工作中需要经常登录进行维护,即使管理员的口令设置符合安全性的原则,但是仍存在口令在一个更改周期内反复使用的问题,而在telnet过程中,用户名、口令以明文方式在网上传送,因而时刻面临着被窃听的威胁。为此,我们选用了ACE Server及SecurID构筑一次性口令认证系统,它提供了一种较为强壮的集中式、双要素的认证方案。也就是说,用户在登录时,不仅要知道PIN码,还要有口令牌。口令牌上的口令每分钟改变一次,这样有效地减少了口令丢失、泄露所带来的危害。
一次性口令认证系统的实现方案如下:
1、ACE Server配备实施异地备份,一主一备,防止单点故障。
2、使用范围包括路由器、核心局域网交换机及集中邮件系统、认证计费系统、WWW服务器、DNS服务器。其中路由器、交换机采用Radius认证方式,与ACE Server配合实现一次性口令认证。
防火墙
防火墙是安全系统的重要组成部分。我们在省中心部署了CheckPoint Firewall-1和NetScreen-1000硬件防火墙,禁止普通用户从Internet访问我们的网管网,但网管网可通过防火墙访问Internet以进行软件升级等操作;同时对进出邮件系统的数据流量进行检查、过滤,保证邮件系统的安全性。
主机访问控制系统
在一个基本的UNIX和Windows NT系统中,超级用户具有对系统无限大的访问权限,可全面访问应用软件、数据和审计记录。这样可能会造成:
1、一旦超级用户权限被网络攻击者取得,系统可被完全控制,并且可以轻松地掩盖痕迹。
2、掌握超级用户权限的用户可能由于误操作等原因破坏操作系统和应用软件的一些关键配置和属性。
基于此,我们在全省认证计费系统、集中电子邮件服务系统和省中心DNS服务器上部署了CA公司的eTrust Access Control。eTrust Access Control是一种主机安全保护软件,eTrust Access Control在加强对用户口令及违反安全策略的管理、细化对文件的访问控制的同时,能限制超级用户的权限,保护主机资源的安全。