【IT168 专稿】我在一家电信运营商地市级公司从事信息系统维护管理工作。早在1997年公司就与省级公司和各县级分公司建成了内部的数据通信网络。当时的网络结构为地市级公司以FDDI双站网络（dual touch）作为核心，所有的业务服务器及核心网络交换机和路由器均配备FDDI网卡接入到FDDI双站网络中，市分公司通过传输2M电路上联到省公司和各县分公司，其中到县分公司还以64Kbps承诺速率framerelay电路作为备用电路。

    网络设置留下安全隐患

    由于FDDI双DAS和备用电路较好地保证了公司业务在电路有故障时冗余的需要。当时由于接入的终端和服务器比较少，网络结构比较简单也没有在交换机上面划分Vlan以及布控安全措施，即使是软件上的安全设置也没有。这样的网络结构设置就留下了安全隐患。

    随着电信事业的不断进步，电信业务也不断发展，我公司先后建设了全市集中的“九七工程”电信营业系统、OA系统、计费营帐系统、资源管理系统、程控网络监控管理系统、程控交换网络管理等大量的信息系统，这些信息系统的主机服务器投入使用后对于网络带宽和安全性提出了很高的要求，显然现有的网络资源无法满足这些应用业务对于网络带宽的需求。

    这种矛盾随着业务系统的增多日渐凸现，加之由于没有在核心交换机上面划分Vlan，局域网络上的终端渐渐多了起来，由于缺乏统一的管理和安全意识一些终端甚至私自接入Internet。由此广播风暴和病毒时常扫荡整个网络。鉴于此种形式，必须提高网络的带宽和安全性，必须改造网络以适应信息系统的发展。

    在这样的信息系统性能低下的状态下,公司就此开始考虑网络系统的改造升级工作。在网络系统的改造升级项目中，我作为项目的主要负责人，本着投入最低成本建设高带宽高可用高安全性网络系统的原则，经过认真在各个网络产品厂商推荐的产品间做出性能价格上的比较以及考虑与现有系统的兼容衔接性和技术上的成熟性和可维护性，而且对产品的安全性进行了充分考虑，我终于做出了自己的判断，并对公司的新网络架构进行了全面细致的规划设计。

    此次经过长时间的认真考虑，我选择了华为公司的网络产品系列，采用了时下流行和成熟的以太网技术，改变原来以路由为核心的网络架构为以交换为核心的网络架构以提高性能，核心交换机采用两台华为S8016多层交换机互备，两台S8016间采用2条千兆光纤互连，主要用来快速转发数据包并兼作市公司局域网的网关设备。

    两台华为NE05路由器互备作为上联省一级公司的上联路由器，每台NE05通过155Mbps POS电路连接到省级公司的华为NE40路由器，同时使用华为NE16和NE40各一台下联各县分公司，NE40用来汇聚来自各个县公司的华为AR4640路由器的155Mbps POS电路，同时在NE16上使用CPOS一点对多点技术使14个县公司共用一条155Mbps CPOS电路（每个县公司可分到8Mbps的带宽），县分公司使用8Mbps电路作为155Mbps POS电路的备份。两台NE05，NE16和NE40均通过千兆带宽连接到两台S8016上从而构成了安全稳定的网状核心网络架构。

    而各个主要业务服务器均通过两块千兆以太网卡分别连接到两台S8016上，市公司内部各科室以及市区内各个营业支局均通过华为S3050交换机使用两条百兆光纤连接到两台华为S8016上。在安全方面，我们使用了两台华为Eudemon200百兆线速防火墙作为Internet和银行端接入的防火墙。

    五项措施提升网络安全

    在网络安全性和保密性方面我采用了以下技术和措施：

    1）将企业内部网络与Internet公网进行了安全隔离

    由于公司工作性质要求有连接到因特网的环境需求，公司统一设置了因特网出口。如果仅仅依靠安装在每台终端的杀毒软件来监控过滤来自因特网的病毒显然很不安全，而且杀毒软件对于黑客攻击（例如Dos攻击和端口攻击）没有很强的防范能力。因此必须使用防火墙来予以隔离外网和内网，在防火墙的访问策略上我限制外部一切地址访问内网敏感端口并定期察看因特网上公布的危险端口以更新防火墙的访问策略，同时也使用了NAT（网络地址转换）技术来屏蔽内网信息并建立地址池。同时在防火墙外口上设置流量阀值，一旦出现异常流量，立即关闭端口。

    2）对银行的连接方式，在对代收话费的银行连接部分采用了与银行端采用点对点通信的方式并使用不同的IP地址屏蔽内部网络信息

    在对银行代收点的连接方式上我采用了使用防火墙和点对点链路双重保护，具体方法是在次外端放置防火墙，在最外端使用点对点DDN链路连接到双方各自的路由器，双方各放置一台代理服务器（前置机）来处理和响应对方的请求，代理服务器上安装有两块网卡，一块连接内网网络，另一块使用双方约定的小范围地址段连接出口路由器，在出口的Cisco2501路由器上关闭诸如CDP等暴露内网细节的协议，并且在出口路由器上设置了访问列表，访问列表使用了四元组列表包括源地址和目的地址及其相应的端口号，只允许银行方特定IP地址的机器访问我方代理服务器。

    另外，在代理服务器端，使用了安全性比较高的SCO UNIX，通过限制IP地址对于FTP Telnet的使用也能够起到安全防范的作用。同时在代理服务器应用层面上使用了只接受对方带有双方事先约定好数据包头的数据包。再加之防火墙上只允许我方防火墙数据包的过滤功能，可以认为对于银行端我们的网络是安全的。 

    3）运用网络版的杀毒软件进行全网杀毒，统一监控和查杀病毒

    计算机病毒曾经扫荡过我们的网络，现在的计算机病毒种类繁多而且攻击方法高明，一旦病毒在局域网络上蔓延，后果不堪设想。对于病毒防范，我使用了瑞星的网络版防毒软件，在局域网内各个终端和服务器上安装，设置了系统中心负责统一查杀和扫描病毒。

    我采取了以下措施：A 在每天下班时间（业务比较少的时间）自动启动全网自动扫描和查杀病毒。B 关闭系统默认共享的写权限 c 强制局域网内终端和服务器启用病毒监控功能来监控网络和移动存储介质的病毒。 D 每周强制启动所有终端和服务器的重要系统文件的备份功能。E 每周定时察看瑞星公司的网站，及时获取升级软件包更新杀毒软件。

    4）对于补丁管理和系统加固方面，根据业务系统主机运行不同的OS和DBMS我采用了不同的漏洞修补方法

    对于补丁管理和系统加固方面，我们根据不同的OS和DBMS采用了不同的方式，对于Unix系统主机 大型的数据库管理系统（Oracle Sybase）我们采用了每个月定期与厂商代表联系察看是否有适用于公司设备现有软件版本的安全补丁，同时我们也定期登陆厂商网站察看安全补丁信息。对于Windows系统我们安装了WSUS服务器负责定期更新局域网络上的Windows平台设备。

    5）认真制定了计算机终端管理办法，并要求各部门严格执行和科学管理

    网络安全的保障不能够完全依靠先进的技术和设备，更重要的是要有统一的科学管理制度。重要的是加强全公司工作人员的计算机安全意识，严格遵守公司关于计算机安全方面的规定。在这方面我主要做了以下工作：

    A、成立了安全小组，将各个服务器、数据库、网络软硬件设备的安全职责落实到每个成员；

    B、定期组织安全检查，及时清除安全隐患，认真听取来自各个维护人员的意见和建议，制定了可行的应急方案；

    C、对软硬件系统的账号和IP地址的申请使用有严格和规范的审批流程，严禁私自使用未经申请的IP地址；

    D、对于口令的设置和保密以及更改时限，制定明确的规定条文，并提交公司领导负责下发执行；

    E、对于设备机房的物理安全使用了刷卡器，只有经过授权人员通过刷卡才能够进入机房，外部人员进入机房必须有公司上级批准并由机房人员陪同方可进入机房。对于外来人员使用的设备接入公司网络或机器，必须经过病毒检验；

    F、对于公司内部其他部门的网络改造变动必须经过安全小组审批后方可实施。

    公司的网络在改造后运行良好，但也出现了一些问题。在实际的应用中我们遇到了以下问题：由于公司工作人员对于因特网的访问时间比较集中，而且同时处理五百多人的并发访问流量对于防火墙的负载很大，有时竟然出现防火墙的阻塞现象，经过认真分析，我们在内网出口处又增加了两台Dell PowerEdge6400 Pcserver作为代理服务器，主要用来存放最近频繁使用的页面，减小防火墙的负荷，两台Pcserver服务器分别为不同的部门做代理服务。

    考虑到防火墙无法基于内容（比如特定的URL）进行过滤，同时我们又在代理上打开了对于特殊应用的过滤，比如关闭对于BT和QQ的代理。通过后来的实际使用较好地解决了防火墙阻塞的问题。

    网络没有绝对的安全，只有不断的采用先进的技术和完善的管理制度相结合的方式才能够逐步提升网络体系的安全层次。对于安全我们仍然在不断思考。这一阵子，我考虑到防火墙只能够被动防御的特性，又开始把目光投向了主动的IDS和IPS了。