DCN网络(数据通信网)安全解决方案

相关专题: 华为

1、引言

DCN(数据通信网)是网通A公司的专用数据通信网,作为公司的Intranet,不仅是公司的生产网,同时也承载了大量的业务系统,如计费系统、综合客服系统、网管系统、呼叫中心和计费采集系统等。

作为内部IT系统的基础承载网络,网通A公司DCN采用VLAN+MPLS VPN技术来隔离各业务系统,网络安全问题由各业务系统自己解决。在网络建设之初,缺乏统一规划,主要以满足各业务系统自身需求为出发点,欠缺整体上的安全保护策略,安全保护策略的部署差异很大,无法提供整体的安全解决方案,同时在一定程度上带来了维护和管理上的难度。而且,DCN的网络设备在整体上缺乏保护措施,面临被黑客控制甚至被当作攻击跳板的危险,同时由于运营商的特殊角色,其网络设备面临严重的拒绝服务攻击的威胁。

本文从网络安全域角度出发,从网络边界防护、主机安全策略、身份认证和终端安全控制等多方面分析了网通A公司DCN网络安全解决方案。

2、网络安全域的划分

为规划和建设一个安全可靠的IT系统,目前通用的做法是引入一个安全域的概念。本文所讲述的安全域的概念是,在安全策略的统一指导下,根据各套IT系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等,将DCN及其所承载的IT系统划分成不同的域,将不同IT系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为多个安全子域,安全子域也可继续依次细化。这里需要明确的是,安全域划分并不是传统意义上的物理隔离。物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程,隔断网络使信息不能共享;而安全域划分是在认真分析各套IT系统的安全需求和面临的安全威胁的前提下,既重视各类安全威胁,也允许IT系统之间以及与其他系统之间正常传输和交换合法数据。

本文将网通A公司DCN及其所承载的IT系统划分为5个安全域,如图1所示。

图1 网络安全域划分

●核心主机域:各业务系统业务主机。

●网络域:包括路由器、交换机等网络设备。

●终端用户域:本区域按照终端类型分为固定终端用户(主要是特定权限人员的固定坐席人员)、第三方接入用户(漫游区、现场支持等)、外部拨号用户接入(OA用户接入、远程内部用户接入、远程第三方人员接入、拨号接入和维护接入)。

●公共接口区:包括与Internet相连、与银行的接口以及与公司企业内其他网络的连接。

●公共安全服务区:包括终端安全策略强制系统、病毒监控中心、认证中心、安全管理中心等,本次工程在二枢纽三层“九七”机房新增华为S6503交换机,用于安全服务区设备DCN的接入。

3、网络安全解决方案

网络安全域划分的目的是根据各设备所承担的工作角色和安全方面,有针对性地考虑安全产品的部署。一方面安全域的划分为安全产品的部署提供了一个健康、规范、灵活的网络环境;另一方面,将安全域划分为域内和域外,域和域之间主要通过VPN和防火墙来彼此隔离,在域内主要根据不同被保护对象的安全需求部署AAA、IDS和防病毒系统。

3.1 网络边界防护技术

网络边界安全防护技术包括访问控制、入侵检测、漏洞扫描等。通过防火墙实现细粒度的访问控制,从而对非法的访问进行阻断,确保只有被许可的访问才能在DCN上被传递;利用入侵检测对访问数据包进行细实时侦听,发现异常给予报警或阻断,并且与防火墙配合,实现动态安全防护,杜绝异常的访问行为;采用安全扫描系统测试和评价系统的安全性,并及时发现安全漏洞。这样,利用边界防护技术,可以将大多数的攻击行为拦截在DCN之外,为DCN的正常运转提供一个安全可靠的环境。

(1)防火墙

用防火墙等成熟技术,能够做到细粒度的网络访问控制。防火墙能够规避大多数的攻击行为,根据地址、协议、端口、访问方式(比如针对FTP的PUT和GET操作)、访问内容等关键选项,对DCN内的访问进行严格控制,避免非法的访问,达到安全目标。

(2)入侵检测/防护设备

利用防火墙技术,经过仔细配置,通常能够在内、外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者可能就在防火墙内。

入侵检测系统位于有敏感数据需要保护的安全区域,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。入侵检测系统与防火墙配合,在防火墙访问控制的基础上,进一步分析访问数据包是否存在异常,并进行报警和阻断,可以提升DCN的抗攻击能力。

(3)安全扫描产品

漏洞检测和安全风险评估技术,因其可预知主体受攻击的可能性,并具体指证将要发生的行为和产生的后果,而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。

网通A公司DCN中存在大量的网络设备和主机设备。各种重要的主机系统和网络设备存在的安全漏洞是影响DCN网络安全的重要潜在风险,所以应该部署网络安全扫描产品,了解网络中主机和网络设备的安全脆弱性状况,以有针对性地采用安全防护措施。

(4)建议部署方案

为保证DCN骨干网和网络出口的安全,建议在网通A公司DCN地市和省核心两级部署网络安全设备,具体部署方案如下:

1)在DCN网络统一互联网出口处部署防火墙、IPS、防病毒网关,有效保护DCN内部IT系统接入互联网的安全;

2)在DCN省核心部署防火墙、IPS、防病毒网关,保护省核心以及主机不受攻击;

3)在地市DCN出口部署防火墙,防止地市网络内的恶意攻击、病毒进入DCN骨干网;

4)防火墙、IPS/IDS等应支持虚拟防火墙功能,即可以按照不同业务系统制定不同的安全策略。

3.2 主机安全防护技术

网通A公司DCN承载许多重要的业务支撑系统,如“九七”系统、网管系统等,这些系统的主机作为重要应用和数据的载体,其安全问题至关重要。主机的安全问题,首先应保证将主机置于一个相对安全的环境中(如防火墙的DMZ区),然后从病毒防护、策略、系统漏洞和主机入侵防护等角度考虑主机的安全防护问题。

主机的防护主要从安全扫描和入侵防护两个方面进行。

(1)主机的安全扫描

采用基于主机的安全漏洞扫描和策略一致性评估工具,对常用的应用系统进行安全评估,并同时检查这些系统是否符合业界最佳的安全实践和规范。

(2)主机的入侵防护

基于主机的入侵防护通常通过主机入侵检测系统来完成。主机入侵检测系统通常需要在被重点检测的主机上安装Agent,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(违反统计规律),入侵检测系统就会采取相应措施。

3.3 终端安全防护技术

网通A公司DCN各子系统含有大量的终端设备,主要应用的操作系统是MicroSoft Windows操作系统,操作系统的自身漏洞、使用人员计算机水平、安全防护意识层次不齐等成为网络安全解决方案中令人头疼的问题。

解决终端安全问题主要依靠网络安全制度的建设,但技术上也可以采取一些手段。例如,终端安全管理系统可针对终端布置一套全面安全管理设备,主要实现对桌面设备接入网络、桌面设备行为、桌面设备补丁、防病毒的管理。桌面安全管理与隐患扫描相配合,可以很好地解决终端层面的安全风险。

3.4 身份认证技术

网通A公司DCN中最重要的信息资产就是服务器,系统管理人员每天都要直接登录到服务器上进行大量的系统维护工作,维护工作采用本地或远程的方式。在维护工作中,当前只是通过系统自身的静态口令鉴别的方式对管理员身份进行确认,并根据身份授予不同的访问权限。由于静态口令存在容易被人猜测和破解等危险,任何听到或窃取到口令的人都会显得完全合法,因此有必要增加第二个物理认证因素,从而使认证的确定性按指数级递增。

目前主流的身份认证技术为双因素身份认证技术。它可确认网络访问的另一端的身份,提升企业网络资源保护的安全级别,防止机密数据、应用和企业网及Internet上的资源被非法访问。其认证方式使用起来非常简单,只需输入口令就可提供强大的保护。

为确保关键主机的绝对安全,建议网通A公司在核心主机域部署双因素身份认证系统。双因素身份认证系统如图2所示。

图2 双因素身份认证系统

3.5 安全管理中心

网络安全产品包括防火墙、入侵检测IDS/IPS、防病毒系统、漏洞扫描等。单独部署这些安全产品将形成一个个安全管理孤岛,安全产品不能集中管理,难以建立统一的安全策略,安全动态无法集中实时监控,安全信息得不到有效管理和深度发掘,安全系统不能关联互动。为加强网通A公司DCN的安全管理,建议建立DCN的安全管理中心(SOC),实现对DCN整网的集中监控和集中安全管理。

DCN的安全管理中心应包括以下主要功能:

●安全事件管理;

●策略及审计管理;

●配置管理;

●风险管理(含资产管理、漏洞脆弱性管理及威胁管理);

●响应管理;

●管理员身份权限管理;

●安全知识及预警管理。

4、结束语

随着IP技术在电信网络中的广泛应用,IP本身缺陷导致的网络安全问题已成为IP网大规模部署的瓶颈。目前,业界提出了多种网络安全技术,合理地使用这些技术将成为解决网络安全问题的基础。但更为重要的是,需要加强网络安全制度的建设,才能从根本上解决网络安全问题。

作者:张晟 张辉 来源:现代通信


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子