信利軟件陜西省公眾多媒體通信網三期擴容安全項目

領測軟件測試網

項目簡要說明

該系統是陜西電信公眾多媒體通信網骨干網的安全項目，部署在陜西省十地市數據機房，能夠有效地預防和阻止來自互聯網的惡意攻擊和竊聽，有力的保護了陜西省及各地市骨干網網絡設備、

服務器以及管理通道的安全和保密性。

系統用戶: 陜西電信各地市數據網絡管理人員

功能說明:

防火墻放在網絡出口處提供高性能的總體網絡邊界保護；能對網絡的流量進行全面的實時的監控；可對各種基于TCP/IP的網絡提供全面的安全保護；可依據不同的網絡環境定制符合本部門需求的安全策略來降低網絡的風險；在保證網絡性能的情況下保證最大限度的安全。

將具備攻擊檢測功能的設備放置在關鍵業務的前面,WWW、DNS、MAIL等服務器，以保護網絡的關鍵業務，防范入侵者、內部用戶或非授權活動對重要設備造成威脅。

為了便于對路由器進行統一、安全的管理，在一臺高性能的服務器上分別建立時鐘、認證、日志服務器，對路由器進行時鐘同步，訪問控制以及日志記錄等。

網絡中統一的時鐘管理是網絡安全管理的前提，有了統一的時鐘，路由器產生的日志才能夠對網絡中發生的事件進行準確、統一的記錄，并為以后的日志審計提供可靠的、有價值的依據，幫助網絡管理人員找出潛在的安全隱患。

全網統一的認證服務器可以對管理人員的用戶名和口令進行統一管理，同時，為了進一步加強安全性，可以采用一次性口令認證機制，這樣管理人員從外部訪問內部網絡時，安全性就大大加強。

為了對路由器產生的日志進行統一的管理，所有路由器上產生的日志都通過網絡送到一個日志服務器中，通過定期對日志服務器進行審計，可以發現針對網絡設備可能發生的攻擊，或者可以查詢管理人員操作的歷史記錄等。

對于遠程登錄，我們全面采用SSH技術。SSH是一種通信協議,它能保證安全的登錄到遠程網絡設備或主機上。

定期對主機進行系統掃描，運用ISS公司的System Scanner�？刂婆_安裝在網管中心的一臺掃描服務器中，引擎部分分別安裝在關鍵的主服務器、防火墻中，根據ISS公司提供的針對于本工程的目標IP地址的密鑰文件，由控制臺控制各目標主機進行有關系統本身安全配置、安全弱點的檢測，整個掃描工作均在該掃描服務器上進行控制，掃描主機的弱點在掃描工作結束后會在System Scanner的弱點報告中給出，同樣可根據需要采取多種排序方案，同時System Scanner將根據用戶需要生成問題修補腳本，用戶通過執行該腳本實現對發現的安全配置問題的修補。

技術標準:

統一認證系統采用TACACS+、RADIUS標準；

安全管理通道采用國際通用協議SSH2(Secure Shell 2),加密算法主要采用3DES。

統一始終系統采用國際通用協議NTP（Network Time Protocol）

設備型號:

NP FW-1100

NP IDS-1100

NP NTP

NP SSH

NP WebDefence

CISCO ACS Server

RAS ACE Server

ISS System Scanner

 

長慶集團通信公司網絡

項目名稱:長慶集團通信公司網絡安全項目

項目簡要說明

長慶石油公司隸屬于中國石油天然氣集團公司，總部設在中國西安。下設二級單位42個，職工總人數3.7萬多人。下設的通信公司為長慶集團各公司辦公及住宅區提供各種方式的網絡服務及互聯網接入業務。近年來隨著網絡規模的急劇擴大，網絡安全問題也日漸引起了重視，由此信利公司承接了其網絡安全項目，通過對網絡進行全方位的加固、保護，長慶通信公司的網絡（包括網絡設備和服務器）已經達到較高的安全級別，可以防范并記錄來自公司網絡內外的各種入侵和竊聽，保證了網絡的可靠和穩定性。

系統用戶: 長慶集團通信公司數據網絡管理人員

功能說明:

為保證網絡的暢通和業務承載的可用性，首先要保證路由器、交換機的安全，即在配置、管理路由、交換設備時，要保障登錄安全，用戶帳號和口令要加密傳送以防止被竊聽；同時及時發現設備的故障，并能生成詳細的系統日志、登錄日志備查。同時，在安全問題發生時，能及時進行追查并進行責任認定。西安信利公司采用統一認證管理系統和一次性口令認證系統來保證網絡互聯設備遠程管理的安全性。

利用NetScreen公司高性能的防火墻對長慶互聯網中的全網提供一般性的、邊界的防護，實現靜態和動態的網絡地址轉換功能，屏蔽絕大多數一般性的網絡攻擊。

采用Symatec公司的網絡入侵檢測系統NetProwler，它提供基于網絡的入侵檢測、防范，以保護網絡的關鍵業務，如WWW、DNS、MAIL等服務器，防止入侵事件的發生。通過攻擊識別和響應系統保證了網絡中關鍵業務的安全性。檢測、報告和終止具有潛在攻擊傾向的行為和內部網絡的誤用。

采用Web站點保護軟件Web Defence™（又稱主頁自恢復系統），保護WEB主頁不被篡改。Web Defence是根據所指定保護的文檔內容的指紋變化，自動監視所保護的Web站點的文檔變化情況，對于非法的內容篡改和惡意刪除，能夠在極短的時間內恢復到改變以前的文檔內容。

進行主機加固，對主機的操作系統和應用程序升級、打補丁，關閉不必要的服務和協議，加強系統安全策略，例如密碼策略、審核策略，這些加固將系統的安全性大大提升。

定期采用安全評估工具，對網絡設備、應用系統、操作系統進行定期評估�？梢詸z測出網絡中是否具有安全漏洞，發現漏洞的位置、詳細描述并能建議針對這些漏洞的改進方案等。

技術標準:

統一認證系統采用TACACS+、RADIUS標準；

安全管理通道采用國際通用協議SSH2(Secure Shell 2),加密算法主要采用3DES。

設備型號:

NetScreen 204

Symantec Netprowler 3.15

NP WebDefence

CISCO ACS Server

RAS ACE Server 

文章來源于領測軟件測試網 http://www.kjueaiud.com/