河南省通信公司是中國網絡通信集團公司的子公司之一，它擁有網絡技術優勢、追求優質服務，承擔河南全省基礎電信網絡建設和運營功工作。河南省通信公司目前主要經營項目有:國內、國際各類固定電信網絡與設施(含本地無線環路)建設;基于電信網絡的話音、數據、圖像及多媒體通信與信息服務，即國內國際長途電話、本地網電話、智能網等增值業務、各種寬帶接入服務、網絡元素出租業務;與通信及信息業務相關的系統集成、技術開發、技術服務、信息咨詢;通信設備銷售以及無線電尋呼業務。

河南通信十分注重運用現代高科技手段提高網絡運行質量和管理水平，建成了一批現代化的集中監控系統，使得設備運行、動力環境、網絡資源、電話障礙受理、檢測、計費處理和查詢等業務實現了集中調度、集中監控，提高了對客戶需求的響應速度和支撐能力，確保了網絡運行的安全、高效，暢通。

應用需求：

河南通信寬帶IP網絡結構為核心層、邊緣層、接入層。分別以千兆交換路由器設備和三層匯聚交換機組建。目前河南通信擁有覆蓋全省的數據網絡，計費認證、網管系統以及在各種相關的路由器、網絡交換機和關鍵的服務器主機上的安全防護手段不夠完善，得不到足夠的安全保護，使得網絡時刻受到來自病毒、黑客攻擊等方面的威脅，存在著極大的安全隱患，無法給用戶提供穩定的數據服務。

河南通信寬帶網絡安全系統要求要依據ISO 17799信息安全管理標準和SSE-CMM安全系統工程成熟度，對企業信息安全進行評估;完成安全系統功能的需求;制定安全策略與安全管理規范;提供安全服務。

目標：

本期工程的任務是要建設防護河南省通信公司IP骨干網絡計費平臺的安全系統。本期工程主要考慮網絡、主機、數據庫及應用系統等方面的安全保障。對本次安全系統工程的設計目標要求為:統一規劃一個全面系統的網絡安全防護體系，從硬件、軟件配置到安全管理及安全策略的制定，都將采用規范的流程，嚴格的管理制度，將產品功能與人員管理緊密的結合起來。

工程實施后，網絡應具備以下安全能力：

(1)通過防火墻系統的實施，達到良好的邊界保護和訪問控制的要求。

(2)使用網絡入侵監測系統監控惡意用戶的攻擊行為。

(3)實現對重要服務器的安全訪問控制。

(4)具備對操作系統和設備的安全漏洞的監測能力。

(5)具備記錄、審核重要服務器、網絡設備日志的能力。

(6)實現對比較敏感的網絡及設備進行DoS,DDoS攻擊的安全防范。

(7)網絡中的PC服務器和客戶端具有良好的病毒防范能力。

解決方案：

河南通信公司網管及IP計費安全系統的總體設計原則為:在不影響河南通信公司網管及IP計費系統現有業務正常運行的前提下，全面有效的增強其網絡和系統的安全性，保障河南通信公司網管及IP計費系統的安全水平持續地、一致的提高;解決河南通信公司網管及IP計費兩大系統在網絡安全方面的常見病、多發病。該安全方案的設計還要遵循安全性原則、可靠性原則、先進性原則、可擴展性原則、兼容性原則和可管理性原則。

神州泰岳公司經過對河南省通信公司網管及IP計費安全項目的總體設計目標的深入分析和總體理解，將系統整體設計思想確定為:

采用"縱深防御策略"，從網絡架構、操作系統、應用系統、數據庫系統及業務系統等多個層面為河南省通信公司寬帶網絡系統和多媒體信息局建立綜合全面、高效安全、易擴展的網絡安全保障體系。

縱深防御思想：

縱深防御思想的目的是保障安全系統設計的廣度和深度，促進建立全面綜合、高效安全的網絡安全保障體系。

縱深防御思想在廣度上要求從網絡架構、操作系統、應用系統、數據庫系統等各個層面考慮安全系統建設。

縱深防御思想在深度上要求分層次的、由外而內從網絡邊界、內部網絡、核心服務器乃至桌面PC各個層面考慮安全防御建設。

動態信息安全體系思想：

動態信息安全體系思想的根本目的是要保障安全系統設計具備良好的動態建設過程和安全可擴展性，促進建立易擴展的網絡安全保障體系。

動態信息安全體系的建設過程如下所示：

企業級信息安全評估階段，將形成系統信息安全現報告，安全需求確認后形成信息安全建設工程建議書，并經過反復的研究和磋商，雙方對安全需求達成一致。在需求確認后，依靠安全技術、安全產品，結合專業安全服務，進行網絡安全建設，建立河南省通信公司網管及IP計費安全系統，全面提升系統的網絡安全性能。安全策略和安全管理建設期間，將調整安全策略，加強安全管理。

同時，在進行信息安全管理相關規范和條款的設計時，遵循計算機信息系統安全保護等級劃分準則、系統安全工程成熟度模型(SSE-CMM)、信息安全管理(BS7799/ISO17799)等相關國內外安全標準。

經過對ISO17799、ISO13335等多個信息安全標準的綜合研究，神州泰岳認為WPDRRC安全系統模型全面地涵蓋了各個安全因素，突出了人和管理(策略)的重要性，對于河南通信目前和未來的網絡安全系統設計具有深遠的指導意義。為此，在本項目的安全系統整體模型的設計中采用WPDRRC模型。WPDRRC安全系統模型示意圖如下所示:

WPDRRC安全系統整體模型

在WPDRRC模型中，外圍是依次連接的預警、保護、檢測、響應、恢復、反擊六個環節，內層是人、策略、技術三個逐步擴展的同心六邊形。人是核心，策略是橋梁，技術是保證，將安全策略變為安全現實。技術應是落實在WPDRRC六個環節的各個方面，在各個環節中起作用。

在本次河南通信寬帶網絡安全系統工程的整體設計上，采用產品和服務相結合的技術方式，對該模型的預警、保護、檢測、響應、恢復、反擊六個環節的技術保證措施作了完整的實現。

以入侵檢測系統為主，結合其他各類安全產品的報警與日志，結合河南通信自身的網絡系統運行維護經驗，以及神州泰岳公司提供的專業信息安全評估服務，實現安全風險和安全事件"預警";

采用防火墻系統、主機防護系統、強口令認證系統、防病毒系統和抗拒絕服務系統，結合入侵防御系統的部分功能，結合神州泰岳公司專業的網絡設備、主機系統、數據庫系統、應用系統的安全增強和優化服務，實現對河南通信網絡系統的全方位、分層次的安全"保護";

采用漏洞掃描系統，結合神州泰岳公司專業的安全評估服務、漏洞掃描服務、安全審計服務、滲透測試服務，實現對河南通信網絡系統整體的安全狀況"檢測";

依靠各安全子系統強大的審計、報警、跟蹤、處理(包括封堵、隔離、報告)功能，結合神州泰岳公司專業的安全技術支持服務以及應急響應服務，實現對河南通信安全事件的"響應";

依靠專業的信息安全服務體系，提高河南通信整體的網絡系統運行維護和安全管理能力，建設企業健康的業務運營管理的體系架構，實現意外情況下的網絡運行、數據和應用"恢復";

結合安全產品的審計、回放、跟蹤等功能進行證據收集、追本朔源，依靠專業的信息安全服務，實現一定意義的安全"反擊";

通過整體的信息安全系統設計，在方案中需要完成的工作包括:加強對網絡邊界和核心服務器網絡的訪問控制能力;加強網絡邊界和關鍵服務器網絡的異常網絡行為的監控能力;加強對網絡、主機、數據庫系統、應用系統的安全漏洞掃描能力;加強統一的防病毒管理;對核心主機進行更深入的主機安全保護，加強核心主機的安全防護能力;加強身份認證的安全管理，建議部署強口令認證系統;采用技術和服務手段加強應用系統的安全防護;采用技術和服務手段加強數據庫的安全防護;建立抗拒絕服務攻擊體系;建立河南省通信公司網管及IP計費系統信息網絡的安全應急響應體系;建立安全系統的集中管理中心。

此外，在整個WPDRRC安全體系模型中"人"和"策略"將外圍的"預警"、"保護"、"檢測"、"響應"、"恢復"和"反擊"各技術手段聯系起來，起著安全管理核心的作用。為此，為河南通信提供對應的安全服務，包括人員安全技能培訓、人員安全意識培養等，同時也協助河南通信進行安全策略的制定完善、安全管理的改善。

整個WPDRRC模型是實現本次河南通信安全系統工程建設的方法論。多種技術手段和管理手段的結合，將保障河南通信企業信息和網絡系統的保密性、完整性和可用性。