互联网服务商(ISP)的网络安全基本策略吴灵熙[摘要]在互联网高速发展的今天,基于网络的应用日益增加,网络安全的威胁也日趋严重。互联网服务商需要加强安全防范和实施有效的安全策略,才能在网络攻击中幸免于难,在严峻的安全威胁环境下生存。本文主要以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。[关键词]网络攻击,安全原则,安全策略,攻击对策DOS(denial-of-service拒绝服务攻击),DDOS(distributedDOS分布式拒绝服务攻击),ACL(accesscontrollist访问控制列表),FW(firewall防火墙),Netflow/Netstream(某些路由器或交换机支持将输入的数据包进行分类,归属成数据流,并记录相关的信息),IDS(IntrusionDetectionSystem入侵监测系统)SSH(Secureshell一种远程管理加密协议)[参考文献]《ISP安全要素ISPSecurityEssentials—BestPracticeCiscoIOS®andOtherTechniquestoHelpanISPSurviveinToday’sInternetVersion1.9》—人民邮电出版社2003年;《计算机网络大全》—电子工业出版社1997年;《计算机网络安全奥秘》—电子工业出版社1999年;《Internet网络安全专业参考手册》—机械工业出版社1997年;《TCP/IP路由技术(第二卷)》—人民邮电出版社2002年;《Internet/Intranet网络安全结构设计》—清华大学出版社2002年。一.前言1.互联网安全现状互联网发展至今,已经达到一个相当的规模,网络安全的威胁也日益严重,电信公司作为一个互联网服务提供商(ISP),也面临同样严峻的问题。绝对安全的网络是不存在的。但是可以通过一系列的措施和步骤,长期连续的在循环实施中不断加强,不断完善,达到一定的安全级别。只有这样才能在一定程度上防范日益增长的网络安全威胁。跟以前相比,网络安全的威胁,已经发生了变化:1)原先的只有专业黑客才会攻击,现在有很多可以自由下载的黑客软件,介面友好,容易使用;2)电子商务的日益流行,吸引黑客为了金钱利益而采取一些行动,不再是原来的炫耀个人技巧和表现自我意识;3)互联网的基础构架(服务商的网络核心)面临越来越多的攻击,使得整个互联网的安全威胁越来越多;4)通常服务商还经常接到用户的申告,希望能够提供网络安全的防护。用户需要ISP提供安全防护和安全方面的顾问服务;大部分电信的宽带城域网作为互联网的一部分,连接了以下几种用户:1)小型企业的专线用户;2)大型企业的专线用户;3)普通用户;4)专业用户;根据2001年相关的统计资料表明,网络安全的攻击主要分为以下几种类型:1)90%攻击用户电脑的系统/应用,包括病毒攻击,系统漏洞攻击和应用软件漏洞攻击,这几乎是每个ISP的用户天天都会面临的问题,用户一般通过加强系统的安全防范和及时更新病毒代码和软件补丁就可以消除了;2)9%更加严重的DOS或DDOS攻击,这种攻击往往是需要ISP协助用户才能够解决的,是互联网上的主要的威胁之一;3)1%最为严重的攻击ISP网络的基础构架,对ISP来说,这才是真正可怕的攻击!目前只有通过ISP的加强网络构架和安全防范才能够减小攻击引起的危害;2.网络安全防护的范围:作为ISP,需要在以下的范围实施保护:1)保护ISP自己的网络;2)保护自己的用户不受来自互联网的攻击;3)防止自己的用户不对互联网发起攻击;4)能够在任何时间内,防止相当数量的DOS/DDOS攻击;3.ISP的安全策略:ISP的网络安全是非常关键的,这个问题关系到ISP在互联网环境下的生存问题,不是可有可无的。安全策略应该包含以下几个方面,这4个方面共同组成了整个ISP网络安全策略:1)安全防护措施,包括ACL,防火墙,加密,用户身份鉴别等;2)监控和反馈,包括入侵监测系统,各项状态监控等;3)测试系统漏洞,包括弱点扫描,模拟攻击等;4)网络构架增强和改进,包括网络结构调整和新安全策略制定这4个方面相辅相成,互相关联,相互作用。ISP的网络安全不是一成不变的,也不是一日而就的,需要长期连续的在这4个方面循环实施中不断加强,不断完善。4.ISP实施安全的范围ISP的网络安全,需要在以下几个层次实施1)ISP网络的基础构架,包括互连中继,光缆,外线和物理设备2)ISP网络的安全,包括主...
