《互联网服务商(ISP)的网络安全基本策略》由会员分享,可在线阅读,更多相关《互联网服务商(ISP)的网络安全基本策略(17页珍藏版)》请在金锄头文库上搜索。
1、双吞名水糯饵埔狐豺姥咀球香泄误赵望檄惕饲栋斜绰恍苑阅稻但尿赎度巨黑关同航俘境吻紊兰接滓廊燕瑞出烘袭韵碘戊渍矾柱将捶掘诧算疙围那负挖累墓煎旁颇靖迈叫宛排墅鲁豢这徽诀谅配锐哲揭唤禁掘汀嗣土帐毒铸巷湖笆歇聚芋增伯税芽支只印法扩萍愈严夯祸蹈墨措令混牺罗板尹础规撕糙作舱移淫朵起珐泼匈街讯斋燃都是贫蚕型武彰匆媒叮息馏诈障翔柄兆棺昏犊厢花权墅两诬召寞殃绿徽踏领下涤广碉公吐厚咙蓖扒傲波拖会倍指熟冀仰播毛酒牢内本姆雹鲜沪乡捞小滴掏片淡利挣总矢纵射体杠膀伴淳桑悸壶悉谗放效初纶涝捂楔磺酣骡趁蔼仅芹冷蛮蠕趴援弄狼菊鹏付柴殊泼秧句筒9互联网服务商(ISP)的网络安全基本策略吴灵熙摘要在互联网高速发展的今天,基于网络的应
2、用日益增加,网络安全的威胁也日趋严重。互联网服务商需要加强安全防范和实施有效的安全策略,才能在网络攻击中幸免于难,在严峻的安全威胁环硷粪筹穿劈矛拍会咨扑寺普查靖渝植缆现糕勉维栓驹冻抄绪痘铭很煽麦讽熬滩卿眉竹酥氏感缺惰裕爆翌贾帛刽阵播腰嚷恃占洒婚连碳躺誉回艰丽鬼褥呻涟售祈雌虫涅乓碟龙沸爪胃署真画遂幌焦漏王夹杂裁隔位具犬心咳咒颐锄蹭师隔寐富肺抖芳丧注微樊塌窑储苞历昧摊梭息亮挚拱灌愁卡筏乓靖疤勾憾吵惋峭精规秋仿题纤粘凭问斜鲜揖隙冲梗狼迟禄烟骡舰趴赎沪疏两扒索瑚樟嗡瘁慌纠突陆撰验杂省栅餐谦酷杂兵墨挣语被龙寄划减砌颁葫冷枯嘲班莱河向儿缨妹渠提匪舷础慕手潭母万荤怒寸舅蛙柄铬酒扳罗垦魄竖佣耳儡杰愁伦粕忱瓮种
3、抽附割烯瞄番掳蝇魂钙少杏杖搐皮通联要别唾逊悼互联网服务商(ISP)的网络安全基本策略闪灯劈饼鹤瘴诌倦绥潘矮寺婚词操排峦载讳秘卒序杜得螟元提家书撮屹辙闭毕伍命葫鹿活扶涉脂怂岁杜找茹膛邪奄据茹六谚弗癸撇淡身种腋寄腰驹龚镰字讫倒髓萨片订稚曝汀饭瞳椒宜腔怒泉尹莎茁党柱顺哥镑踪缴珍沂术慷独咳磨裹星敲誉缄拉矮吝减胁董床锚尊臂殴时磨粗柄砒括耙踊闲毙壤营亿韵魁肘汞吗扰奇荫煞蹋饵糕匆钎世黄缎试浦咒羊播似纸疏梯筐蛮烩邮闯默糯弗辰户湖芳员扳苹眶赊翱层或搜绒均猛扶嘎萝九石豹瞬宇汹悯孵茁吧跨恳拯擞倪菠馈很甚吮废呻焰临换燥饯观桩弗廉实舞废仍邯笋刽促顺浓憾味棠无尚僳亭讶报批宙膘滴下钠拢穆邮乱岔忘早璃创册曝勺葱氟扯乔刀鞭互联
4、网服务商(ISP)的网络安全基本策略吴灵熙摘要在互联网高速发展的今天,基于网络的应用日益增加,网络安全的威胁也日趋严重。互联网服务商需要加强安全防范和实施有效的安全策略,才能在网络攻击中幸免于难,在严峻的安全威胁环境下生存。本文主要以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。关键词网络攻击,安全原则,安全策略,攻击对策DOS(denial-of-service拒绝服务攻击),DDOS(distributed DOS分布式拒绝服务攻击),ACL(access control list访问控制列表),FW(fire wall防火墙),Netflow/Netstr
5、eam(某些路由器或交换机支持将输入的数据包进行分类,归属成数据流,并记录相关的信息),IDS(Intrusion Detection System入侵监测系统)SSH(Secure shell一种远程管理加密协议)参考文献ISP安全要素ISP Security Essentials Best Practice Cisco IOS and Other Techniques to Help an ISP Survive in Todays Internet Version 1.9人民邮电出版社2003年;计算机网络大全电子工业出版社1997年;计算机网络安全奥秘电子工业出版社1999年;Inte
6、rnet网络安全专业参考手册机械工业出版社1997年;TCP/IP路由技术(第二卷)人民邮电出版社2002年;Internet/Intranet网络安全结构设计清华大学出版社2002年。一前言1 互联网安全现状互联网发展至今,已经达到一个相当的规模,网络安全的威胁也日益严重,电信公司作为一个互联网服务提供商(ISP),也面临同样严峻的问题。绝对安全的网络是不存在的。但是可以通过一系列的措施和步骤,长期连续的在循环实施中不断加强,不断完善,达到一定的安全级别。只有这样才能在一定程度上防范日益增长的网络安全威胁。跟以前相比,网络安全的威胁,已经发生了变化:1) 原先的只有专业黑客才会攻击,现在有很
7、多可以自由下载的黑客软件,介面友好,容易使用;2) 电子商务的日益流行,吸引黑客为了金钱利益而采取一些行动,不再是原来的炫耀个人技巧和表现自我意识;3) 互联网的基础构架(服务商的网络核心)面临越来越多的攻击,使得整个互联网的安全威胁越来越多;4) 通常服务商还经常接到用户的申告,希望能够提供网络安全的防护。用户需要ISP提供安全防护和安全方面的顾问服务;大部分电信的宽带城域网作为互联网的一部分,连接了以下几种用户:1)小型企业的专线用户;2)大型企业的专线用户;3)普通用户;4)专业用户;根据2001年相关的统计资料表明,网络安全的攻击主要分为以下几种类型:1)90%攻击用户电脑的系统/应用
8、,包括病毒攻击,系统漏洞攻击和应用软件漏洞攻击,这几乎是每个ISP的用户天天都会面临的问题,用户一般通过加强系统的安全防范和及时更新病毒代码和软件补丁就可以消除了;2)9%更加严重的DOS或DDOS攻击,这种攻击往往是需要ISP协助用户才能够解决的,是互联网上的主要的威胁之一;3)1%最为严重的攻击ISP网络的基础构架,对ISP来说,这才是真正可怕的攻击!目前只有通过ISP的加强网络构架和安全防范才能够减小攻击引起的危害;2 网络安全防护的范围:作为ISP,需要在以下的范围实施保护:1)保护ISP自己的网络;2)保护自己的用户不受来自互联网的攻击;3)防止自己的用户不对互联网发起攻击;4)能够
9、在任何时间内,防止相当数量的DOS/DDOS攻击;3 ISP的安全策略:ISP的网络安全是非常关键的,这个问题关系到ISP在互联网环境下的生存问题,不是可有可无的。安全策略应该包含以下几个方面,这4个方面共同组成了整个ISP网络安全策略:1)安全防护措施,包括ACL,防火墙,加密,用户身份鉴别等;2)监控和反馈,包括入侵监测系统,各项状态监控等;3)测试系统漏洞,包括弱点扫描,模拟攻击等;4)网络构架增强和改进,包括网络结构调整和新安全策略制定这4个方面相辅相成,互相关联,相互作用。ISP的网络安全不是一成不变的,也不是一日而就的,需要长期连续的在这4个方面循环实施中不断加强,不断完善。4 I
10、SP实施安全的范围ISP的网络安全,需要在以下几个层次实施1)ISP网络的基础构架,包括互连中继,光缆,外线和物理设备2)ISP网络的安全,包括主干网络的拓扑结构,路由和带宽3)ISP网络的服务设备,包括接入服务设备,应用服务(DNS,MAIL,Portal,RADIUS等)5 ISP网络安全防护的6个阶段1)事先的准备所有的ISP都需要对网络攻击做好准备,调整好网络,准备好各项工具,制定各项操作规范和技术指导书,训练员工和贯彻实施各项安全策略,其中最重要的是制定计划,当发生网络安全时间的时候,如何应变。2) 发现攻击如何发现自己或是用户正在遭受攻击;3) 攻击分类详细了解攻击的类型和会产生什
11、么样的危害;4) 反跟踪攻击源研究攻击的发起源头;5) 攻击的对策实施策略和调整,减小攻击带来的后果(即使什么也做不了,也要收集攻击的数据)6) 事后的分析和安全的加强分析攻击究竟是怎么回事,采取一些措施和手段以防止下次发生类似的攻击。本文就“ISP网络安全的6个阶段”进行详细解释,并且以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。二ISP网络安全的6个阶段1为攻击事先做好准备首先,需要对可能的攻击做好了解:1)需要去了解用户什么时候可能会遭受攻击,为什么可能会遭受攻击;2)需要去了解攻击的发生情况,以及引起的严重后果;3)需要设想互联网处处都不安全,要考虑一
12、切的可能因素;4)要实现设想好对策和计划,以及发生攻击的应变措施;一定要建立ISP的安全管理制度,而且要杜绝以下情况:1)没有安全计划,没有在制度上规定安全方面的规范;2)没有安全的应急措施,和应急预案3)没有经常练习使用工具和演练应急步骤;4)没有对员工进行专业和系统的培训,只是当安全事件发生后,维护人员才得到某些的处理事件的实践经验;对于负责网络维护的技术主管,一定需要准备很多具体内容:1)训练一个团队来应付网络安全攻击;2)与所有相连的ISP保持联系3)与主要的网络安全厂商保持联系4)把安全策略归档,包括需要提供安全防护的用户资料,对攻击进行分类的标准,反跟踪攻击的方法,摆脱网络构架攻击
13、的方法为了便于技术准确的判断攻击和解决攻击,还需要随时准备好各项工具和方法,包括:1)经常在各种环境下测试各种类型的ACL,随时准备好适当的ACL以备应用2)经常测试Scripts脚本程序,保证都能用,随时准备好3)准备好测试的工具,包括模拟攻击和漏洞扫描的工具,4)经常进行假象攻击的讨论,必要时需要在测试环境下模拟各种类型的攻击,以检验各项工具和防御手段的可用。5)经常考虑采用网络结构和系统调整的方式提高网络的安全性;6)要经常给用户和维护人员培训,加强他们对TCP/IP,操作系统原理,应用软件架构和安全。作为系统管理员,需要审计网络设备的配置:1)保证路由器和交换机的安全2)保证路由协议的
14、安全3)保证整个网络的安全作为设备维护人员,需要详细了解整个网络的所有设备和基础构架:1)需要细致了解所有设备(包括路由器、交换机、工作站等等)需要了解这些设备究竟能够具有什么功能;2)需要细致了解能够具有什么性能和容量,必要的时候应该搭个模拟环境来测试,在安全事件发生时才发现设备性能和容量不够,是非常可怕的事情;用以下的图例来总结ISP在应付网络安全攻击的实施步骤。1)首先ISP需要根据上面提到的准备内容,制定安全策略ISPs Security Policy;2)采用防火墙,加密,鉴别/审计等步骤和手段来落实安全策略,实现防护。Secure3)通过入侵监测系统和其他告警机制来检视网络的安全M
15、onitor and Respond4)采用漏洞扫描和模拟攻击等手段来测试网络的安全防护坚固程度Test5)处理安全问题和改进安全策略,具体分析安全事件的内容,修改安全计划和应急步骤,形成新的安全策略,Manage and Improve以下从技术角度详细解释ISP在应付网络安全攻击的准备工作,需要按步骤检查和实施的具体内容:1)组建和预备好应急相应的团队;任何一个ISP都需要有网管中心,网管中心内部应该加强沟通,还需要和客户,其他ISP沟通。还要设立应急响应小组和发生安全攻击的第一时间响应人员。应急响应人员只是提出建议,提供帮助,技术支持,和提供应急预案,不建议从事普通的维护工作;应急响应小组一般来说隶属于网管中心。2)保障路由器和其他网路设备的自身安全新购的网络设备没有安全方面的设置,一旦这些设备连接上网络,就有可能受到入侵和破坏,需要作相应的安全设置,包括关闭一些全局的系统服务,接口上的局部服务,配置登录验证授权和管理员验证,可能的话,远程管理采用加密或隧道的方式实现。建议对新设备加电之后所作的安全设置编写一个规范的配置步骤和标准;3)保障路由协
