DCN網(wǎng)絡(luò)（數(shù)據(jù)通信網(wǎng)）安全解決方案

1、引言

DCN（數(shù)據(jù)通信網(wǎng)）是網(wǎng)通A公司的專(zhuān)用數(shù)據(jù)通信網(wǎng)，作為公司的Intranet，不僅是公司的生產(chǎn)網(wǎng)，同時(shí)也承載了大量的業(yè)務(wù)系統(tǒng)，如計(jì)費(fèi)系統(tǒng)、綜合客服系統(tǒng)、網(wǎng)管系統(tǒng)、呼叫中心和計(jì)費(fèi)采集系統(tǒng)等。

作為內(nèi)部IT系統(tǒng)的基礎(chǔ)承載網(wǎng)絡(luò)，網(wǎng)通A公司DCN采用VLAN+MPLS VPN技術(shù)來(lái)隔離各業(yè)務(wù)系統(tǒng)，網(wǎng)絡(luò)安全問(wèn)題由各業(yè)務(wù)系統(tǒng)自己解決。在網(wǎng)絡(luò)建設(shè)之初，缺乏統(tǒng)一規(guī)劃，主要以滿(mǎn)足各業(yè)務(wù)系統(tǒng)自身需求為出發(fā)點(diǎn)，欠缺整體上的安全保護(hù)策略，安全保護(hù)策略的部署差異很大，無(wú)法提供整體的安全解決方案，同時(shí)在一定程度上帶來(lái)了維護(hù)和管理上的難度。而且，DCN的網(wǎng)絡(luò)設(shè)備在整體上缺乏保護(hù)措施，面臨被黑客控制甚至被當(dāng)作攻擊跳板的危險(xiǎn)，同時(shí)由于運(yùn)營(yíng)商的特殊角色，其網(wǎng)絡(luò)設(shè)備面臨嚴(yán)重的拒絕服務(wù)攻擊的威脅。

本文從網(wǎng)絡(luò)安全域角度出發(fā)，從網(wǎng)絡(luò)邊界防護(hù)、主機(jī)安全策略、身份認(rèn)證和終端安全控制等多方面分析了網(wǎng)通A公司DCN網(wǎng)絡(luò)安全解決方案。

2、網(wǎng)絡(luò)安全域的劃分

為規(guī)劃和建設(shè)一個(gè)安全可靠的IT系統(tǒng)，目前通用的做法是引入一個(gè)安全域的概念。本文所講述的安全域的概念是，在安全策略的統(tǒng)一指導(dǎo)下，根據(jù)各套IT系統(tǒng)的工作屬性、組成設(shè)備、所攜帶的信息性質(zhì)、使用主體、安全目標(biāo)等，將DCN及其所承載的IT系統(tǒng)劃分成不同的域，將不同IT系統(tǒng)中具有相近安全屬性的組成部分歸納在同級(jí)或者同一域中。一個(gè)安全域內(nèi)可進(jìn)一步被劃分為多個(gè)安全子域，安全子域也可繼續(xù)依次細(xì)化。這里需要明確的是，安全域劃分并不是傳統(tǒng)意義上的物理隔離。物理隔離是由于存在信息安全的威脅而消極地停止或者滯后信息化進(jìn)程，隔斷網(wǎng)絡(luò)使信息不能共享；而安全域劃分是在認(rèn)真分析各套IT系統(tǒng)的安全需求和面臨的安全威脅的前提下，既重視各類(lèi)安全威脅，也允許IT系統(tǒng)之間以及與其他系統(tǒng)之間正常傳輸和交換合法數(shù)據(jù)。

本文將網(wǎng)通A公司DCN及其所承載的IT系統(tǒng)劃分為5個(gè)安全域，如圖1所示。

圖1　網(wǎng)絡(luò)安全域劃分

●核心主機(jī)域：各業(yè)務(wù)系統(tǒng)業(yè)務(wù)主機(jī)。

●網(wǎng)絡(luò)域：包括路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備。

●終端用戶(hù)域：本區(qū)域按照終端類(lèi)型分為固定終端用戶(hù)（主要是特定權(quán)限人員的固定坐席人員）、第三方接入用戶(hù)（漫游區(qū)、現(xiàn)場(chǎng)支持等）、外部撥號(hào)用戶(hù)接入（OA用戶(hù)接入、遠(yuǎn)程內(nèi)部用戶(hù)接入、遠(yuǎn)程第三方人員接入、撥號(hào)接入和維護(hù)接入）。

●公共接口區(qū)：包括與Internet相連、與銀行的接口以及與公司企業(yè)內(nèi)其他網(wǎng)絡(luò)的連接。

●公共安全服務(wù)區(qū)：包括終端安全策略強(qiáng)制系統(tǒng)、病毒監(jiān)控中心、認(rèn)證中心、安全管理中心等，本次工程在二樞紐三層“九七”機(jī)房新增華為S6503交換機(jī)，用于安全服務(wù)區(qū)設(shè)備DCN的接入。

3、網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全域劃分的目的是根據(jù)各設(shè)備所承擔(dān)的工作角色和安全方面，有針對(duì)性地考慮安全產(chǎn)品的部署。一方面安全域的劃分為安全產(chǎn)品的部署提供了一個(gè)健康、規(guī)范、靈活的網(wǎng)絡(luò)環(huán)境；另一方面，將安全域劃分為域內(nèi)和域外，域和域之間主要通過(guò)VPN和防火墻來(lái)彼此隔離，在域內(nèi)主要根據(jù)不同被保護(hù)對(duì)象的安全需求部署AAA、IDS和防病毒系統(tǒng)。

3.1　網(wǎng)絡(luò)邊界防護(hù)技術(shù)

網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)包括訪問(wèn)控制、入侵檢測(cè)、漏洞掃描等。通過(guò)防火墻實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，從而對(duì)非法的訪問(wèn)進(jìn)行阻斷，確保只有被許可的訪問(wèn)才能在DCN上被傳遞；利用入侵檢測(cè)對(duì)訪問(wèn)數(shù)據(jù)包進(jìn)行細(xì)實(shí)時(shí)偵聽(tīng)，發(fā)現(xiàn)異常給予報(bào)警或阻斷，并且與防火墻配合，實(shí)現(xiàn)動(dòng)態(tài)安全防護(hù)，杜絕異常的訪問(wèn)行為；采用安全掃描系統(tǒng)測(cè)試和評(píng)價(jià)系統(tǒng)的安全性，并及時(shí)發(fā)現(xiàn)安全漏洞。這樣，利用邊界防護(hù)技術(shù)，可以將大多數(shù)的攻擊行為攔截在DCN之外，為DCN的正常運(yùn)轉(zhuǎn)提供一個(gè)安全可靠的環(huán)境。

（1）防火墻

用防火墻等成熟技術(shù)，能夠做到細(xì)粒度的網(wǎng)絡(luò)訪問(wèn)控制。防火墻能夠規(guī)避大多數(shù)的攻擊行為，根據(jù)地址、協(xié)議、端口、訪問(wèn)方式（比如針對(duì)FTP的PUT和GET操作）、訪問(wèn)內(nèi)容等關(guān)鍵選項(xiàng)，對(duì)DCN內(nèi)的訪問(wèn)進(jìn)行嚴(yán)格控制，避免非法的訪問(wèn)，達(dá)到安全目標(biāo)。

（2）入侵檢測(cè)/防護(hù)設(shè)備

利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)配置，通常能夠在內(nèi)、外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開(kāi)的后門(mén)，或者入侵者可能就在防火墻內(nèi)。

入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的安全區(qū)域，通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。入侵檢測(cè)系統(tǒng)與防火墻配合，在防火墻訪問(wèn)控制的基礎(chǔ)上，進(jìn)一步分析訪問(wèn)數(shù)據(jù)包是否存在異常，并進(jìn)行報(bào)警和阻斷，可以提升DCN的抗攻擊能力。

（3）安全掃描產(chǎn)品

漏洞檢測(cè)和安全風(fēng)險(xiǎn)評(píng)估技術(shù)，因其可預(yù)知主體受攻擊的可能性，并具體指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可幫助識(shí)別檢測(cè)對(duì)象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評(píng)估所有存在的安全風(fēng)險(xiǎn)。

網(wǎng)通A公司DCN中存在大量的網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備。各種重要的主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備存在的安全漏洞是影響DCN網(wǎng)絡(luò)安全的重要潛在風(fēng)險(xiǎn)，所以應(yīng)該部署網(wǎng)絡(luò)安全掃描產(chǎn)品，了解網(wǎng)絡(luò)中主機(jī)和網(wǎng)絡(luò)設(shè)備的安全脆弱性狀況，以有針對(duì)性地采用安全防護(hù)措施。

（4）建議部署方案

為保證DCN骨干網(wǎng)和網(wǎng)絡(luò)出口的安全，建議在網(wǎng)通A公司DCN地市和省核心兩級(jí)部署網(wǎng)絡(luò)安全設(shè)備，具體部署方案如下：

1）在DCN網(wǎng)絡(luò)統(tǒng)一互聯(lián)網(wǎng)出口處部署防火墻、IPS、防病毒網(wǎng)關(guān)，有效保護(hù)DCN內(nèi)部IT系統(tǒng)接入互聯(lián)網(wǎng)的安全；

2）在DCN省核心部署防火墻、IPS、防病毒網(wǎng)關(guān)，保護(hù)省核心以及主機(jī)不受攻擊；

3）在地市DCN出口部署防火墻，防止地市網(wǎng)絡(luò)內(nèi)的惡意攻擊、病毒進(jìn)入DCN骨干網(wǎng)；

4）防火墻、IPS/IDS等應(yīng)支持虛擬防火墻功能，即可以按照不同業(yè)務(wù)系統(tǒng)制定不同的安全策略。

3.2　主機(jī)安全防護(hù)技術(shù)

網(wǎng)通A公司DCN承載許多重要的業(yè)務(wù)支撐系統(tǒng)，如“九七”系統(tǒng)、網(wǎng)管系統(tǒng)等，這些系統(tǒng)的主機(jī)作為重要應(yīng)用和數(shù)據(jù)的載體，其安全問(wèn)題至關(guān)重要。主機(jī)的安全問(wèn)題，首先應(yīng)保證將主機(jī)置于一個(gè)相對(duì)安全的環(huán)境中（如防火墻的DMZ區(qū)），然后從病毒防護(hù)、策略、系統(tǒng)漏洞和主機(jī)入侵防護(hù)等角度考慮主機(jī)的安全防護(hù)問(wèn)題。

主機(jī)的防護(hù)主要從安全掃描和入侵防護(hù)兩個(gè)方面進(jìn)行。

（1）主機(jī)的安全掃描

采用基于主機(jī)的安全漏洞掃描和策略一致性評(píng)估工具，對(duì)常用的應(yīng)用系統(tǒng)進(jìn)行安全評(píng)估，并同時(shí)檢查這些系統(tǒng)是否符合業(yè)界最佳的安全實(shí)踐和規(guī)范。

（2）主機(jī)的入侵防護(hù)

基于主機(jī)的入侵防護(hù)通常通過(guò)主機(jī)入侵檢測(cè)系統(tǒng)來(lái)完成。主機(jī)入侵檢測(cè)系統(tǒng)通常需要在被重點(diǎn)檢測(cè)的主機(jī)上安裝Agent，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑（違反統(tǒng)計(jì)規(guī)律），入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。

3.3　終端安全防護(hù)技術(shù)

網(wǎng)通A公司DCN各子系統(tǒng)含有大量的終端設(shè)備，主要應(yīng)用的操作系統(tǒng)是MicroSoft Windows操作系統(tǒng)，操作系統(tǒng)的自身漏洞、使用人員計(jì)算機(jī)水平、安全防護(hù)意識(shí)層次不齊等成為網(wǎng)絡(luò)安全解決方案中令人頭疼的問(wèn)題。

解決終端安全問(wèn)題主要依靠網(wǎng)絡(luò)安全制度的建設(shè)，但技術(shù)上也可以采取一些手段。例如，終端安全管理系統(tǒng)可針對(duì)終端布置一套全面安全管理設(shè)備，主要實(shí)現(xiàn)對(duì)桌面設(shè)備接入網(wǎng)絡(luò)、桌面設(shè)備行為、桌面設(shè)備補(bǔ)丁、防病毒的管理。桌面安全管理與隱患掃描相配合，可以很好地解決終端層面的安全風(fēng)險(xiǎn)。

3.4　身份認(rèn)證技術(shù)

網(wǎng)通A公司DCN中最重要的信息資產(chǎn)就是服務(wù)器，系統(tǒng)管理人員每天都要直接登錄到服務(wù)器上進(jìn)行大量的系統(tǒng)維護(hù)工作，維護(hù)工作采用本地或遠(yuǎn)程的方式。在維護(hù)工作中，當(dāng)前只是通過(guò)系統(tǒng)自身的靜態(tài)口令鑒別的方式對(duì)管理員身份進(jìn)行確認(rèn)，并根據(jù)身份授予不同的訪問(wèn)權(quán)限。由于靜態(tài)口令存在容易被人猜測(cè)和破解等危險(xiǎn)，任何聽(tīng)到或竊取到口令的人都會(huì)顯得完全合法，因此有必要增加第二個(gè)物理認(rèn)證因素，從而使認(rèn)證的確定性按指數(shù)級(jí)遞增。

目前主流的身份認(rèn)證技術(shù)為雙因素身份認(rèn)證技術(shù)。它可確認(rèn)網(wǎng)絡(luò)訪問(wèn)的另一端的身份，提升企業(yè)網(wǎng)絡(luò)資源保護(hù)的安全級(jí)別，防止機(jī)密數(shù)據(jù)、應(yīng)用和企業(yè)網(wǎng)及Internet上的資源被非法訪問(wèn)。其認(rèn)證方式使用起來(lái)非常簡(jiǎn)單，只需輸入口令就可提供強(qiáng)大的保護(hù)。

為確保關(guān)鍵主機(jī)的絕對(duì)安全，建議網(wǎng)通A公司在核心主機(jī)域部署雙因素身份認(rèn)證系統(tǒng)。雙因素身份認(rèn)證系統(tǒng)如圖2所示。

圖2　雙因素身份認(rèn)證系統(tǒng)

3.5　安全管理中心

網(wǎng)絡(luò)安全產(chǎn)品包括防火墻、入侵檢測(cè)IDS/IPS、防病毒系統(tǒng)、漏洞掃描等。單獨(dú)部署這些安全產(chǎn)品將形成一個(gè)個(gè)安全管理孤島，安全產(chǎn)品不能集中管理，難以建立統(tǒng)一的安全策略，安全動(dòng)態(tài)無(wú)法集中實(shí)時(shí)監(jiān)控，安全信息得不到有效管理和深度發(fā)掘，安全系統(tǒng)不能關(guān)聯(lián)互動(dòng)。為加強(qiáng)網(wǎng)通A公司DCN的安全管理，建議建立DCN的安全管理中心（SOC），實(shí)現(xiàn)對(duì)DCN整網(wǎng)的集中監(jiān)控和集中安全管理。

DCN的安全管理中心應(yīng)包括以下主要功能：

●安全事件管理；

●策略及審計(jì)管理；

●配置管理；

●風(fēng)險(xiǎn)管理（含資產(chǎn)管理、漏洞脆弱性管理及威脅管理）；

●響應(yīng)管理；

●管理員身份權(quán)限管理；

●安全知識(shí)及預(yù)警管理。

4、結(jié)束語(yǔ)

隨著IP技術(shù)在電信網(wǎng)絡(luò)中的廣泛應(yīng)用，IP本身缺陷導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題已成為IP網(wǎng)大規(guī)模部署的瓶頸。目前，業(yè)界提出了多種網(wǎng)絡(luò)安全技術(shù)，合理地使用這些技術(shù)將成為解決網(wǎng)絡(luò)安全問(wèn)題的基礎(chǔ)。但更為重要的是，需要加強(qiáng)網(wǎng)絡(luò)安全制度的建設(shè)，才能從根本上解決網(wǎng)絡(luò)安全問(wèn)題。

作者：張晟　張輝 來(lái)源：現(xiàn)代通信