随着电信业的快速发展，各大电信运营商均将增值业务作为自己重要的开拓领域。中国联通也将此作为新一轮的业务增长点。为满足整个增值业务网络综合管理的需求，中国联通主要在其总部及全国31个省级分公司建设了增值业务综合网络管理系统。中国联通全国增值业务综合网络管理系统亦称为中国联通全国短消息网络管理系统，其管理范围非常广泛，涵盖了中国联通所有增值业务系统，包括短信系统、语音业务系统、WAP系统、定位系统、炫铃系统、JAVA系统、BREW系统、彩e、流媒体、电子商务等增值业务系统。

用户需求

对于中国联通来说，保证全网各种增值业务的正常运行，提高管理效率，已经变得十分重要了，为此中国联通也进一步加强了对病毒防护和安全信息发布功能等方面的重点建设。在两年此前，神州泰岳软件股份有限公司于2003年承建了中国联通已经开始了全国增值业务综合网络管理系统防护网络工程的第一期工程，加强了对病毒防护和安全信息发布功能等方面的重点建设。在增值业务综合网络二期工程中，中国联通更是计划全面推行病毒的立体防护，从网络边界处防毒和桌面防毒两个方面全面切断病毒来源和感染机会。但在进行06工程招标的过程中，中国联通发现：其建设的项目中没有提出网关防毒的概念。

中国联通经过反复的评议和审核，最终选择了冠群金辰KILL过滤网关（KSG）为其实施层次化管理的网络防病毒系统，在其总部和31个省分公司进行部署。中国联通希望冠群金辰能在以往网络基础之上，通过为其部署包括网关防毒和桌面防毒在内的网络管理系统产品，以此提升中国联通全国增值业务综合网络管理系统的高可用性。

解决之道

作为国内领先的信息安全解决方案提供商，冠群金辰认为保密性、完整性和可用性是信息安全的基本三要素。考虑到联通全国增值业务综合网络管理系统是一个内部专网，虽在规划初期便具备了良好的保密性和完整性，但由于目前混合型威胁的日益严重，因此，解决可用性就是本次联通全国增值业务综合网络管理系统安全建设中的最重要问题。

根据这个指导方针，冠群金辰准备为中国联通规划一个“防守护卫”的网络安全大门。即从引入威胁的最薄弱环节进行控制，采取更为有力的手段从边界入手，切断网络传播途径，在边界位置进行网关级过滤，在需要重点保护的网段之前，或者两个安全等级不同的网段之间进行边界过滤，阻断蠕虫传播，防止造成更大的破坏；利用漏洞检测机制保护网段，发现被蠕虫或病毒感染的计算机遗留下的后门，消除安全隐患；监控蠕虫传播和异常流量，发现蠕虫来源和传播途径，再结合网络防病毒的广泛部署，对于重点安全域如短信系统加强保护。

管理示意图

方案实施

首先，冠群金辰的安全工程师根据实际情况，建议中国联通短信网络使用扁平二级管理的模式，即在总部和各省分公司部署后，各省管理员通过HTTPS协议、WEB接口负责维护自己省内的KSG（过滤网关）设备。其中，总部除负责维护总部的KSG外，还可以查看各省的KSG策略配置和日志信息。

其次，冠群金辰还对运营管理流程提出了以下建议：由于目前技术架构是各省大集中的模式，而各业务包括短信和WAP网关等系统又由各省公司进行维护，因此，实现本系统的目的就转化为如下问题：如何在省公司收集和了解蠕虫日志事件，如何将这些事件交由省公司相关人员负责专门处理？

建议一：由于KSG拥有一个独立的报表管理系统，且该系统可以下载KSG日志数据库中的各类事件，并转存于本地进行分析处理，因此，各省公司都相应安装该套系统以下载KSG所生成的各类报表文件，并通过报表管理系统分析后得到遭受蠕虫攻击的IP地址，进而上交至省公司进行处理和分析。这种模式确保了中国联通遵循谁使用，谁负责的原则，保障了省公司的处理权力。

建议二：在省公司安装报表管理系统，利用用户名和密码验证机制，下载各公司的日志信息，以生成IP地址段的方式生成报表，并将报表提交至内部系统进行处理。此外，也可以通过在过滤网关系统上直接配置SYSLOG获得相关信息，并将其送达至网管平台上进行处理分析。

最后，根据中国联通短信网关防病毒的需求，冠群金辰还专门设计了系统岗位职责，即针对网络中所有可能发生的病毒攻击，设置对应的防毒软件，通过全方位、多层次，涵盖到中国联通短信系统主机/网络/边界的防毒系统配置，加强网络薄弱环节，使其免遭病毒入侵。

实施结果

事实证明，冠群金辰所部署的网关级过滤机制，保护了内部网络免受外部威胁的攻击破坏。，同时，KILL过滤网关全面阻断蠕虫攻击，有效保障了网络带宽资源的使用，节约了大量时间成本。此外，KILL过滤网关还能够生成全面的病毒过滤报告、蠕虫攻击报告等，使中国联通短信业务系统的管理员能够清楚地了解进出网络的威胁状况，从而采取有效措施弥补漏洞、加强管理控制。这种可靠的安全保障成为中国联通选择冠群金辰部署网络的重要原因之一。