근거리통신망 구축
네트워크 보안 개요
네트워크 보안의 정의
컴퓨터 네트워크 보안이란 무엇인가? 지금은 매우 인기가 있지만 실제로 이를 정확하게 이해하는 사람은 많지 않습니다. 실제로 컴퓨터 네트워크 보안을 정확하게 정의하는 것은 쉽지 않습니다. 충분히 포괄적이고 효과적인 정의를 내리는 것이 어렵습니다. 일반적인 의미에서 안전은 "위험과 위험을 피하는 것"을 의미합니다. 컴퓨터 과학에서 보안은 다음을 방지하는 것입니다.
무단 사용자가 정보에 액세스하는 것
정보를 파괴하거나 변경하려는 무단 시도
이는 "보안은"으로 다시 설명할 수 있습니다. 그에 따라 정보와 시스템 자원의 기밀성과 무결성을 보호하는 시스템의 능력입니다." 두 번째 정의의 범위에는 시스템 리소스, 즉 CPU, 하드 디스크, 프로그램 및 기타 정보가 포함됩니다.
통신 산업에서 네트워크 보안의 의미는 다음과 같습니다. 네트워크 구조 및 라우팅의 보안, 네트워크 보안 관련 보장; 매개변수가 정상입니다. 통신 네트워크의 공용 서버(예: 전화 접속 액세스 서버 등)와 네트워크 데이터의 보안을 보호할 수 있습니다. 핵심은 통신 네트워크의 요구 사항을 충족하고 네트워크 효율성에 영향을 주지 않으면서 보안을 보장하는 것입니다.
통신 산업의 특정 네트워크 애플리케이션(일반적인 사례와 결합)
전체 통신 네트워크는 기술적으로 광섬유를 주요 전송 매체로 사용하고 IP를 주요 통신 프로토콜로 사용하는 위치에 있습니다. . 따라서 보안 제품을 선택할 때는 통신 네트워크의 요구 사항을 충족해야 합니다. 예를 들어 방화벽은 다양한 라우팅 프로토콜, QOS 보장, MPLS 기술 구현, 속도 요구 사항, 중복성 및 기타 요구 사항을 충족해야 합니다. 통신 사업자가 먼저 고려해야 할 문제입니다. 통신 네트워크는 채널을 제공하므로 최소한 다음 요소를 포함하여 IP 최적화가 특히 중요합니다.
네트워크 구조의 IP 최적화. 네트워크 아키텍처는 IP를 기반으로 하며 네트워크 계층의 계층적 아키텍처에 반영되므로 기존 전송 시스템에 대한 의존도를 줄일 수 있습니다.
IP 라우팅 프로토콜 최적화.
IP 패킷 전달 최적화. 대규모 고속 광대역 네트워크와 차세대 인터넷의 특성에 적합하며 고속 경로 조회 및 패킷 전달 메커니즘을 제공합니다.
대역폭 최적화. 합리적인 QoS 제어 하에서 파이버 대역폭을 최대한 활용할 수 있습니다.
안정성 최적화. 장애 복구를 신속하게 전환하고 네트워크 연결을 신속하게 복원하며 라우팅 테이블 플러터로 인한 전체 네트워크 진동을 방지하고 고속 광대역 네트워크의 요구 사항을 충족하는 신뢰성과 안정성을 제공하는 광 전송 기능의 사용을 극대화합니다.
백본 레이어 네트워크 전송 용량, 안정성, QoS, 확장성, 네트워크 상호 연결, 통신 프로토콜, 네트워크 관리, 보안 및 다중 서비스 지원 측면에서 지방 모바일 인터넷 프로젝트의 기술적 요구 사항을 논의합니다.
백본 레이어 네트워크 전송 용량
백본 네트워크에 사용되는 고급 백본 라우터 장비는 155M POS 포트를 제공할 수 있습니다. 또한 DWDM(Dense Wavelength Division Multiplexing) 기술이 지원되어 더 높은 대역폭을 제공합니다. 네트워크 코어와 정보 수집 지점 간의 연결 속도는 155M 연결 속도이며 모든 연결은 광섬유 연결입니다.
백본 네트워크 장비의 논블로킹 스위칭 용량은 패킷 손실 없이 고속 포트 간 회선 속도 스위칭을 충족하기에 충분하다. 백본 네트워크 장비의 스위칭 모듈 또는 인터페이스 모듈은 순방향 혼잡 중에 패킷 손실을 방지하기 위해 충분한 버퍼링 및 혼잡 제어 메커니즘을 제공해야 합니다.
신뢰성 및 자가 복구 기능
링크 이중화, 모듈 이중화, 장비 이중화, 라우팅 이중화 등의 요구 사항이 포함됩니다. 지방 모바일 인터넷 프로젝트와 같은 통신업체급 광대역 IP 백본 네트워크의 경우 네트워크의 신뢰성과 자가 복구 기능을 고려하는 것이 필수적입니다.
링크 중복. 백본 장치 간에 안정적인 회선 이중화를 제공합니다. 로드 밸런싱 중복성을 사용하는 것이 좋습니다. 즉, 일반적으로 두 연결 모두 데이터 전송을 제공하고 서로에 대한 백업 역할을 합니다. 광섬유 기술 사용의 장점을 충분히 반영하며 업무 중단은 물론이고 순간적인 서비스 품질 저하도 일으키지 않습니다.
모듈 중복성. 백본 장비의 모든 모듈과 환경 구성 요소는 1+1 또는 1:N 핫 백업 기능을 갖추고 있어야 하며, 전환 시간은 3초 미만이어야 합니다. 모든 모듈은 핫스왑이 가능합니다. 시스템의 가용성은 99.999% 이상입니다.
장비 중복성.
두 개 이상의 장치에서 가상 장치를 구성하는 기능을 제공합니다. 장치 중 하나가 장애로 인해 작동을 멈추면 다른 노드의 라우팅 테이블을 다시 계산하지 않고도 다른 장치가 자동으로 작업을 대신하므로 네트워크의 안정성이 향상됩니다. 대부분의 IP 애플리케이션에 시간 초과 오류가 발생하지 않도록 전환 시간은 3초 미만입니다.
라우팅 중복. 네트워크의 구조적 설계는 충분한 라우팅 중복성을 제공해야 합니다. 위의 중복성 기능으로 여전히 문제를 해결할 수 없는 경우 데이터 흐름은 대상 주소에 도달하기 위한 다른 경로를 찾을 수 있어야 합니다. 충분히 복잡한 네트워크 환경에서 네트워크 연결이 변경되면 라우팅 테이블 수렴 시간은 30초 미만이어야 합니다.
혼잡 제어 및 서비스 품질 보장
혼잡 제어 및 서비스 품질 보장(QoS)은 공공 서비스 네트워크의 중요한 특성입니다. 다양한 액세스 방법, 액세스 속도, 적용 방법 및 데이터 속성으로 인해 네트워크 데이터 트래픽 버스트는 불가피합니다. 따라서 네트워크에서 혼잡을 제어하고 다양한 속성의 데이터 흐름을 다르게 처리하는 것이 매우 중요합니다.
업종 분류. 네트워크 장비는 6~8개의 CoS(비즈니스 분류)를 지원해야 합니다. 사용자 단말이 서비스 분류 정보를 제공하지 않는 경우, 네트워크 장비는 사용자의 네트워크 세그먼트, 애플리케이션 유형, 트래픽 크기 등에 따라 서비스를 자동으로 분류해야 합니다.
액세스 속도 제어. 이 네트워크에 액세스하는 서비스는 액세스 속도 약정을 준수해야 합니다. 커밋된 비율을 초과하는 데이터는 삭제되거나 가장 낮은 우선순위로 표시됩니다.
큐 메커니즘. 정체 제어를 위한 고급 대기열 메커니즘이 있으며 지연 및 패킷 손실률의 차이를 포함하여 다양한 수준의 서비스를 다르게 처리합니다.
사전 혼잡 제어. 네트워크에 실제 정체가 발생하는 경우, 순간적으로 대량의 패킷 손실이 발생하면 동시에 많은 양의 TCP 데이터가 재전송되어 네트워크 정체 정도가 악화되고 네트워크가 불안정해질 수 있습니다. 네트워크 장비는 네트워크 혼잡이 발생하기 전에 자동으로 적절한 조치를 취하여 조기에 혼잡 제어를 수행하고 순간적인 대규모 패킷 손실을 방지할 수 있는 첨단 기술을 갖추어야 합니다.
리소스 예약. 매우 중요한 특수 애플리케이션의 경우 대역폭 자원을 확보하여 QoS를 보장할 수 있어야 합니다.
포트 밀도 확장. 장치의 포트 밀도는 네트워크 확장 중 장치 간 상호 연결 요구 사항을 충족할 수 있어야 합니다.
네트워크 확장성
네트워크 확장성에는 장비 스위칭 용량, 포트 밀도, 백본 대역폭 및 네트워크 규모의 확장이 포함됩니다.
스왑 용량 확장. 스위칭 용량은 데이터 서비스의 급속한 확장 현실에 적응하기 위해 기존 기반에서 다양한 용량을 지속적으로 확장할 수 있는 능력을 갖추어야 합니다.
백본 대역폭 확장. 백본 대역폭에는 데이터 서비스의 급속한 확장에 적응할 수 있는 높은 대역폭 확장 기능이 있어야 합니다.
네트워크 규모 확장. 네트워크 시스템 계획, 라우팅 프로토콜 및 장비의 CPU 라우팅 처리 기능은 특정 지역의 전체 모바일 영역을 포괄하는 이 네트워크의 요구를 충족할 수 있어야 합니다.
다른 네트워크와의 상호 연결
중국 모바일 인터넷, INTERNET 국내 및 해외 수출과의 원활한 연결을 보장합니다.
통신 프로토콜 지원
주로 TCP/IP 프로토콜을 지원하며 IPX, DECNET, APPLE-TALK 및 기타 프로토콜도 지원합니다. 서비스 운영 수준의 네트워크 통신 소프트웨어 및 인터넷 운영체제를 제공합니다.
RIP, RIPv2, OSPF, IGRP, EIGRP 및 ISIS와 같은 라우팅 프로토콜을 지원합니다. 이 네트워크 규모의 요구에 따라 OSPF 라우팅 프로토콜이 지원되어야 합니다. 그러나 OSPF 프로토콜은 많은 CPU와 메모리를 소비하고 이 네트워크는 향후 매우 크고 복잡해지기 때문에 합리적인 지역 분할 및 라우팅 계획(예: URL 요약 등)을 채택하여 안정성을 보장해야 합니다. 네트워크.
BGP4와 같은 표준 도메인 간 라우팅 프로토콜을 지원하여 다른 IP 네트워크와의 안정적인 상호 연결을 보장합니다.
MPLS 표준을 지원하므로 MPLS를 사용하여 VPN, TE 트래픽 엔지니어링 등과 같은 부가 가치 서비스를 쉽게 수행할 수 있습니다.
네트워크 관리 및 보안 시스템
네트워크 시스템 전반에 걸쳐 다양한 네트워크 장치의 통합 네트워크 관리를 지원합니다.
장애 관리, 회계 관리, 구성 관리, 성능 관리, 보안 관리 등 5가지 기능을 지원합니다.
시스템 분석, 시스템 계획 등을 포함한 시스템 수준 관리를 지원하며 정책 기반 관리를 지원하며 정책 수정 사항은 모든 관련 장치에 즉시 반영될 수 있습니다.
네트워크 장비는 RADIUS, TACACS+ 등 다단계 관리 권한과 인증 메커니즘을 지원합니다.
네트워크 관리, 인증, 회계 및 기타 네트워크 세그먼트에 대한 충분한 보안을 보장합니다.
IP 부가 서비스 지원
기술의 발전과 수많은 사용자의 애플리케이션 요구로 인해 IP 네트워크를 기반으로 하는 새로운 서비스가 대거 등장할 것입니다. 따라서 사업자는 서비스를 신속하게 생성하기 위해 간단하고 통합된 서비스 플랫폼이 필요합니다. MPLS 기술은 통신 사업자가 대규모 서비스를 신속하게 개발할 수 있도록 지원하는 수단입니다.
전송 지연
대역폭 비용의 감소로 인해 오늘날의 새로운 통신 서비스 제공업체는 네트워크를 계획할 때 시스템 용량을 주요 고려 사항으로 삼게 되었습니다. 그러나 한 가지 주목할 점은 IP 기술 자체가 비연결 지향 기술이며, 갑작스런 상황에서 혼잡이 발생하기 쉽다는 것이 주요 특징이므로 고대역폭 네트워크에서도 충분한 고려가 필요합니다. ITU-T 표준에 따라 150ms 미만의 지연을 요구하는 엔드투엔드 VoIP 애플리케이션과 같이 지연에 민감한 서비스에 대한 엔드투엔드 네트워크 전송 지연의 영향. 애플리케이션 기반 실제 운영 네트워크의 경우, 특히 네트워크 부하가 증가할 때 지연 요구 사항을 보장하는 방법이 더욱 중요합니다. 이를 보장하는 핵심은 장치의 지연 제어 기능을 사용하는 것입니다. 과부하 시 지연이 민감한 서비스의 허용 범위 내에서 제어되는지 여부.
RAS(Reliability, Availability, Serviceability)
RAS는 통신사급 네트워크에서 반드시 고려해야 할 문제로 99.999%의 서비스 가용성을 네트워크에 제공하는 것이 주요 고려사항이다. 네트워크 계획 및 설계. 네트워크 신뢰성을 설계할 때 핵심은 단일 장애 지점으로 인해 전체 네트워크가 마비될 수 없다는 점입니다. 특히 특정 지방 모바일 네트워크와 같은 지방 백본 네트워크의 경우 더욱 그렇습니다. 이를 위해서는 단일 노드 디바이스부터 엔드투엔드 디바이스까지 전체적인 솔루션을 제공해야 합니다. Cisco 7500 시리즈 라우터는 전원 이중화 백업, 제어 보드 백업, 스위치 매트릭스 백업, 합리적인 팬 설계 및 기타 전반적인 기능을 포함하여 최고의 단일 노드 신뢰성을 갖추고 있으며 Cisco는 MPLSFRR 및 MPLS 트래픽 엔지니어링 기술을 제공하여 채널 수준 신뢰성을 보장할 수 있습니다. 빠른 보호 전환은 엔드투엔드 서비스 가용성을 최대한 보장합니다.
가상 사설망(VPN)
가상 사설망은 현재 널리 사용되고 있으며 사업자가 이익을 얻는 주요 방법이기도 합니다. 시스코는 VPN 구축을 위해 IPSec, L2TP 등 기존의 터널 기반 기술 외에 새로운 표준 기반의 MPLSVPN을 활용해 인트라넷과 엑스트라넷을 구축하고, MPLSVPN 기술을 통해 Carrier's Carrier 서비스를 제공할 수 있다. 이는 네트워크 확장성과 운용성 측면에서 새로운 접근 방식을 제시하는 동시에 네트워크 운영 절차를 크게 단순화하여 운영 비용을 크게 절감합니다. 또한 여러 AS 및 여러 도메인 내 프로토콜 도메인에 걸쳐 Cisco 기술을 사용하면 특정 지역의 휴대폰에서 네트워크가 지속적으로 성장함에 따라 MPLS VPN 서비스 구현을 확장할 수 있으며, 다른 사업자와 협력하여 더 광범위한 서비스 기능을 달성할 수 있습니다.
서비스 품질 보증
CustomerQueue, PriorityQueue, CBWFQ, WRR, WRED 및 기타 기술과 같은 일반적인 인터넷 대기열 메커니즘은 지연의 종단 간 시간 요구 사항을 완전히 충족할 수 없습니다. 민감한 서비스 지연 표시기. 이를 위해 MDRR/WRED 기술은 지연 요구 사항을 보장하기 위해 지연에 민감한 서비스에 대해 별도의 우선 순위 대기열을 생성하는 동시에 멀티캐스트 기반 애플리케이션에 대한 특수 대기열 지원을 제공하여 진정한 온라인 서비스를 제공하도록 선택되었습니다. -time 멀티미디어 애플리케이션이 한 단계 더 발전합니다.
통신 업계의 일반적인 애플리케이션에 대한 위의 분석을 바탕으로, 우리는 사업자가 네트워크 보안 솔루션을 제공할 때 위 사항이 가장 우려되는 문제라고 생각합니다. 위의 요구 사항은 통신 네트워크의 정상적인 사용에 영향을 주지 않고 통신 네트워크가 네트워크 보안 제품에 대한 요구 사항이 매우 높다는 것을 알 수 있습니다.
네트워크 보안 위험 분석
네트워크의 보안 취약점을 중심으로 해커에 의해 발생되는 다양한 새로운 유형의 위험은 다양한 요인과 요인에 의해 지속적으로 발생합니다. 시스템 구조, 시스템 적용 등의 요소는 네트워크와 밀접한 관련이 있습니다. 물리적 보안, 네트워크 보안, 시스템 보안, 애플리케이션 보안, 관리 보안으로 분류하면 다음과 같습니다.
1. 물리적 보안 위험 분석
우리는 네트워크 물리적 보안이 가장 중요하다고 믿습니다. 네트워크 시스템 전체의 보안을 전제로 합니다. 물리적 보안의 주요 위험은 다음과 같습니다.
지진, 홍수, 화재 등의 환경 사고로 인해 시스템 전체가 파괴될 수 있습니다.
정전으로 인해 장비 정전, 운영 체제가 중단될 수 있습니다. 부팅 실패 또는 데이터베이스 정보 손실
p>
전자기 방사로 인해 데이터 정보가 도난당하거나 읽혀질 수 있습니다.
기밀 수준이 서로 다른 여러 네트워크의 물리적 격리는 보장할 수 없습니다.
2. 네트워크 보안 위험 분석
내부 네트워크와 외부 네트워크 간에 일정한 보안 보호 조치가 취해지지 않으면 내부 네트워크는 외부 네트워크의 공격에 취약해집니다. 인터넷으로 인한 위험과 하위 부서의 위험이 포함됩니다.
내부 네트워크의 부서 간이나 사용자 간 상응하는 접근 통제가 이루어지지 않으면 정보 유출이나 불법 공격이 발생할 수도 있다. 조사 통계에 따르면, 발생한 네트워크 보안 사고의 70%는 내부 소스에서 발생합니다. 따라서 인트라넷의 보안 위험은 더욱 심각합니다. 내부 직원은 자신의 기업 네트워크 구조와 애플리케이션에 익숙하며, 내부 직원과 외부 직원 간의 공모로 중요한 정보를 공격하거나 유출하는 것은 시스템 공격으로 이어지는 가장 치명적인 보안 위협이 될 수 있습니다.
3. 시스템 보안 위험 분석
소위 시스템 보안은 일반적으로 네트워크 운영 체제 및 응용 프로그램 시스템의 보안을 의미합니다. 현재 운영 체제나 응용 프로그램 시스템이 Windows이든, 다른 상용 UNIX 운영 체제나 다른 제조업체에서 개발한 응용 프로그램 시스템이든, 개발자는 백도어를 가지고 있어야 합니다. 그리고 시스템 자체에도 보안 허점이 있을 것입니다. 이러한 "백도어" 또는 보안 허점은 심각한 보안 위험을 초래합니다. 따라서 네트워크 위험을 정확하게 평가하고, 네트워크 위험을 기반으로 그에 맞는 보안 솔루션을 마련해야 합니다.
4. 애플리케이션 보안 위험 분석
애플리케이션 시스템의 보안에는 여러 측면이 관련됩니다. 애플리케이션 시스템은 역동적이고 끊임없이 변화합니다. 애플리케이션 보안 역시 동적입니다. 예를 들어, 새로운 애플리케이션이 추가되면 새로운 보안 취약점이 반드시 나타나게 되며, 보안 정책에 일부 조정과 지속적인 개선이 이루어져야 합니다.
4.1 개방형 서버 애플리케이션
통신도청은 도의 융합, 네트워크 관리, 사업관리, 정보서비스 등을 담당하므로 도내에는 사용자 관리, 과금 서버 등 많은 장치가 존재한다. 지방, 인증 서버, 보안 서버, 네트워크 관리 서버, DNS 서버 및 기타 공용 서버는 외부 네트워크에 대한 탐색, 검색, 다운로드 및 기타 서비스를 제공합니다. 외부 사용자는 일반적으로 이러한 공용 서버에 액세스할 수 있으므로 일부 액세스 제어가 채택되지 않으면 악의적인 침입자가 이러한 공용 서버의 보안 취약점(다른 프로토콜, 포트 번호 등 공개)을 이용하여 이러한 서버를 제어하거나 심지어 공용 서버를 사용할 수도 있습니다. 브리지는 내부 LAN에 침입하여 중요한 정보를 훔치거나 파괴합니다. 이러한 서버에 기록된 데이터는 매우 중요하며, 계정 및 인증과 같은 기능을 완료하려면 보안이 100% 보장되어야 합니다.
4.2 바이러스 전파
인터넷은 바이러스가 전파되는 가장 좋고 가장 빠른 방법 중 하나입니다. 바이러스 프로그램은 온라인 다운로드, 이메일, 불법 복제 CD 또는 플로피 디스크 사용, 인위적인 배치 및 기타 전파 채널을 통해 인트라넷에 몰래 들어갈 수 있습니다. 네트워크의 호스트가 바이러스에 감염되면 바이러스 프로그램은 매우 짧은 시간 내에 네트워크의 모든 호스트로 빠르게 확산될 수 있습니다. 일부 바이러스는 시스템의 일부 파일을 자동으로 패키지화하여 자동으로 제거합니다. 발송함. 정보 유출, 파일 손실, 기계 충돌 및 기타 안전하지 않은 요인이 발생할 수 있습니다.
4.3 정보 보관
천재지변이나 기타 사고로 인해 데이터베이스 서버가 손상되는 경우 해당 안전한 백업 및 복구 시스템을 채택하지 않을 경우 최소한 데이터 손실이 발생할 수 있습니다. 서비스가 오랫동안 중단될 수 있습니다.
4.4 관리의 보안 위험 분석
관리는 네트워크 보안에서 가장 중요한 부분입니다. 책임과 권리가 불분명하고, 안전관리체계가 불완전하며, 운용성이 부족하면 경영상의 안전위험이 발생할 수 있습니다.
예를 들어, 일부 직원이나 관리자가 현지 직원이 아닌 직원이나 외부인까지 컴퓨터실에 무심코 출입하도록 허용하거나, 직원이 의도적 또는 의도하지 않게 자신이 알고 있는 중요한 정보를 유출할 수 있지만 이에 상응하는 관리 시스템이 없습니다. 제한하도록 합니다. 네트워크에 공격이 발생하거나 네트워크가 다른 보안 위협(내부자에 의한 불법행위 등)에 노출된 경우 실시간 탐지, 모니터링, 보고, 조기경보를 수행할 수 없습니다. 동시에, 사고가 발생했을 때 해커 공격에 대한 추적 단서와 사건 해결을 위한 증거를 제공하는 것이 불가능합니다. 즉, 네트워크에 대한 통제성과 검토성이 부족합니다. 이를 위해서는 사이트 액세스 활동에 대한 다단계 기록을 수행하고 적시에 불법 침입을 감지해야 합니다.
새로운 네트워크 보안 메커니즘을 구축하려면 네트워크에 대한 깊은 이해와 직접적인 솔루션을 제공할 수 있어야 합니다. 따라서 가장 실현 가능한 접근 방식은 관리 시스템과 기술 솔루션의 결합입니다.
보안 요구사항 분석
1. 물리적 보안 요구사항
전자파 방사나 회선 간섭으로 인해 중요한 정보가 유출될 가능성을 고려합니다. 차폐실 구축 등 일급비밀 정보가 보관되는 전산실에는 필요한 설계가 필요하다. 방사선 간섭 기계를 사용하여 전자기 방사선으로 인해 기밀 정보가 유출되는 것을 방지하십시오. 중요한 데이터베이스 및 실시간 서비스 요구 사항이 있는 서버는 UPS 무정전 조정 전원 공급 장치를 사용해야 하며 데이터베이스 서버는 이중 시스템 핫 백업, 데이터 마이그레이션 및 기타 방법을 채택하여 데이터베이스 서버가 외부 사용자에게 실시간 서비스를 제공하고 빨리 복구되세요.
2. 시스템 보안 요구 사항
운영 체제 보안을 위해 다음 전략을 채택할 수 있습니다. 보다 안전한 네트워크 운영 체제를 사용하고 필요한 보안 구성을 만들고, 일부 애플리케이션을 닫습니다. 일반적으로 사용되지는 않지만 보안 위험이 있음, 일부 주요 파일(예: UNIX: /.rhost, etc/host, passwd, Shadow, group 등)의 사용 권한을 엄격하게 제한하고, 비밀번호 사용을 강화하고, 시스템을 패치합니다. 적시에 시스템 내 상호 통화는 대중에게 공개되지 않습니다.
응용시스템 보안 측면에서는 신원인증과 감사추적 기록이 주로 고려된다. 이는 로그인 프로세스의 신원 인증을 강화하고 보다 복잡한 비밀번호를 설정하여 사용자 사용의 적법성을 보장해야 합니다. 둘째, 로그인 작업 권한을 엄격히 제한하고 이들이 수행하는 작업을 최소한의 범위로 제한해야 합니다. 운영 체제 및 애플리케이션 시스템 자체의 로깅 기능을 최대한 활용하여 사용자가 접근한 정보를 기록하여 후속 검토의 기초를 제공합니다. 우리는 사용된 침입 탐지 시스템이 네트워크에 대한 모든 액세스를 효과적으로 모니터링하고 대응하며 기록할 수 있다고 믿습니다.
3. 방화벽 요구 사항
방화벽은 가장 기본적이고 경제적이며 효과적인 네트워크 보안 수단 중 하나입니다. 방화벽은 내부 및 외부 네트워크 또는 서로 다른 신뢰 도메인의 네트워크를 격리하여 네트워크 액세스를 효과적으로 제어할 수 있습니다.
3.1 지방 센터와 하위 기관 간의 격리 및 액세스 제어
방화벽은 네트워크 간의 단방향 액세스 요구 사항을 충족하고 일부 안전하지 않은 서비스를 필터링할 수 있습니다.
방화벽은 프로토콜, 포트 번호, 시간, 트래픽 및 기타 조건을 기반으로 보안 액세스 제어를 구현할 수 있습니다.
방화벽에는 강력한 로깅 기능이 있으며 필요한 정책에 따라 안전하지 않은 모든 액세스 동작을 기록할 수 있습니다.
3.2 공용 서버와 기타 내부 서브넷 간의 격리 및 액세스 제어
방화벽은 단방향 액세스 제어를 구현하는 데 사용될 수 있으며 내부 네트워크 사용자와 합법적인 외부 사용자만 허용합니다. Pass through Firewall은 공용 서버에 접근하는 데 사용되며, 공용 서버는 내부 네트워크에 대한 접근을 적극적으로 개시할 수 없습니다. 이와 같이 공용 서버가 공격을 받더라도 내부 네트워크는 방화벽의 보호로 인해 여전히 안전합니다.
4. 암호화 요구 사항
현재 네트워크 운영자가 수행하는 VPN 서비스에는 일반적으로 세 가지 유형이 있습니다.
1. 전화 접속 VPN 서비스(VPDN) 2. 전용회선 VPN 서비스 3. MPLS VPN 사업
이동통신망 VPN 사업은 사용자에게 Dial-up VPN과 전용선 VPN 서비스를 제공할 수 있어야 하며, MPLS VPN 사업의 지원 및 구현을 고려해야 한다.
VPN 서비스는 일반적으로 다음 부분으로 구성됩니다.
(1) 비즈니스 베어러 네트워크 (2) 비즈니스 관리 센터 (3) 액세스 시스템 (4) 사용자 시스템
우리는 VPN을 지원하는 라우팅 장비를 사용하여 캐리어급 암호화 전송 기능을 구현하는 것이 현 단계에서 가장 실현 가능한 방법이라고 믿습니다.
5. 보안 평가 시스템 요구 사항
네트워크 시스템의 보안 취약성(예: 느슨한 보안 구성 등) 및 운영 체제 보안 취약성은 해커 및 기타 침입자가 자주 발견하는 중요한 요소입니다. 공격에 성공합니다. 또한, 네트워크가 업그레이드되거나 새로운 응용 서비스가 추가됨에 따라 네트워크에 새로운 보안 취약점이 나타날 수 있습니다. 따라서 네트워크의 보안 취약점을 탐지하기 위해 네트워크 보안 스캐닝 시스템과 시스템 보안 스캐닝 시스템을 갖추고 정기적으로 사용하여 스캐닝 결과를 분석 및 감사하고 적시에 적절한 조치를 취하여 시스템을 채워야 합니다. 취약점을 탐지하고 네트워크 장비의 안전하지 않은 구성 등을 탐지합니다. 보안을 재구성합니다.
6. 침입 탐지 시스템 요구 사항
많은 사람들의 눈에는 방화벽이 있으면 네트워크가 안전하고 안심할 수 있습니다. 실제로 이것은 잘못된 이해입니다. 방화벽은 네트워크 보안을 달성하기 위한 가장 기본적이고 경제적이며 효과적인 조치 중 하나입니다. 방화벽은 모든 접근(허용, 금지, 경보)을 엄격하게 통제할 수 있습니다. 그러나 네트워크 보안은 역동적이고 총체적입니다. 방화벽은 무수히 많은 공격 방법을 가지고 있으며, 이러한 의도적이거나 의도하지 않은 공격을 완전히 방지하는 것은 불가능합니다. 방화벽을 통한 공격을 탐지하고 이에 대응(기록, 경보, 차단)할 수 있는 침입탐지 시스템을 갖추어야 합니다. 침입 탐지 시스템과 방화벽은 함께 사용되어 다중 보호를 달성하고 전체적이고 완벽한 네트워크 보안 보호 시스템을 형성합니다.
7. 안티 바이러스 시스템 요구 사항
안티 바이러스는 매우 유해하고 매우 빠르게 확산되므로 서버에서 독립 실행형 컴퓨터에 이르기까지 완전한 안티 바이러스 소프트웨어 세트가 필요합니다. 바이러스가 호스트에 침입하여 전체 네트워크로 확산되는 것을 방지하여 전체 네트워크에 대한 바이러스 보안 보호를 달성합니다. 그리고 새로운 바이러스가 상대적으로 빠르게 출현하기 때문에 안티 바이러스 시스템의 바이러스 코드 라이브러리 업데이트 주기도 상대적으로 짧아야 합니다.
8. 데이터 백업 시스템
보안은 절대적이지 않습니다. 어떤 제품도 100% 안전할 수는 없지만 많은 데이터는 절대적인 보호가 필요합니다. 가장 안전하고 안전한 방법은 중요한 데이터 정보를 안전하게 백업하고, 네트워크 백업 및 재해 복구 시스템을 통해 정기적으로 로컬 또는 원격 테이프에 데이터 정보를 자동으로 백업하고, 해당 테이프를 전산실에서 격리하여 보관하는 것입니다. 안전한 위치. 시스템이 심하게 손상된 경우에는 재해복구 시스템을 활용해 신속한 복구가 가능하다.
9. 안전 관리 시스템 요구 사항
안전 시스템을 구축하고 유지하려면 이를 보장하기 위한 우수한 관리 시스템과 높은 안전 의식이 필요합니다. 안전의식은 안전지식 교육을 통해 향상될 수 있으며, 행동제한은 엄격한 관리시스템과 법적 수단의 사용을 통해서만 달성될 수 있습니다. 따라서 통신부서 내 자체 애플리케이션 및 보안 요구사항을 바탕으로 보안 관리 체계를 수립하고 이를 엄격히 이행해야 하며, 보안 지식 및 법률 지식 교육을 통해 직원 전체의 보안 인식 및 보안 기술을 강화하여 외부 침입을 방지해야 한다. 강요.
보안 목표
위의 네트워크 보안 위험 분석 및 수요 분석을 통해 필요에 따라 해당 보안 장비를 갖추고 위의 솔루션을 사용하여 통신 네트워크가 다음을 수행해야 한다고 믿습니다. 다음 보안 목표 달성:
완전하고 실행 가능한 네트워크 보안 및 네트워크 관리 전략을 수립하고 전체 직원의 보안 인식 및 블랙 방지 기술을 향상시키기 위한 교육을 강화합니다.
방화벽을 사용하여 내부 및 외부 네트워크 또는 신뢰할 수 없는 도메인 및 로그 간의 격리 및 액세스 제어를 구현합니다.
방화벽의 일회용 비밀번호 인증 메커니즘을 사용하여 원격 사용자가 액세스할 수 있도록 합니다. 인트라넷 세분화된 액세스 제어
침입 탐지 시스템을 통해 네트워크 안팎의 모든 액세스 동작을 종합적으로 모니터링하고, 안전하지 않은 작업과 해커 공격을 신속하게 발견 및 거부하고, 공격 동작을 기록합니다.
해커가 악용할 수 있는 불안전한 요소를 줄이기 위해 네트워크 및 시스템 보안 검사 시스템을 통해 네트워크 보안 취약점을 탐지합니다.
네트워크와 호스트가 악용되지 않도록 전체 네트워크의 안티 바이러스 시스템 소프트웨어를 사용합니다. 바이러스 침입
백업 및 재해 복구---시스템 백업을 강화하고 신속한 시스템 복구를 달성합니다.
보안 서비스를 통해 전체 네트워크 시스템의 보안을 향상시킵니다.