電信企業(yè)立體安全防護(hù)案例解析

根據(jù)電信集團企業(yè)信息化戰(zhàn)略規(guī)劃的要求,企業(yè)信息化體系由管理支撐系統(tǒng)(MSS)、業(yè)務(wù)支撐系統(tǒng)(BSS)和運營支撐系統(tǒng)(OSS)三部分組成(簡稱為CTG-MBOSS),且全部承載在一個統(tǒng)一的企業(yè)IT 內(nèi)部專網(wǎng)上。

在這張專網(wǎng)上,要想為眾多的用戶提供高質(zhì)量的網(wǎng)絡(luò)服務(wù),那么網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器等的安全運行就顯得至關(guān)重要。

本文將重點闡述某省級電信公司是如何利用網(wǎng)絡(luò)信息安全設(shè)施,保障其業(yè)務(wù)和運營系統(tǒng)穩(wěn)定、安全地運行的。

需求背景

某省電信企業(yè)IT 內(nèi)部專網(wǎng)是由省公司企業(yè)網(wǎng)、地市本地企業(yè)網(wǎng)和DCN骨干網(wǎng)三大部分組成的,網(wǎng)絡(luò)規(guī)模龐大,且網(wǎng)內(nèi)各種路由設(shè)備、交換設(shè)備、服務(wù)器、安全設(shè)備等種類各異、數(shù)量繁多。尤其是該網(wǎng)絡(luò)內(nèi)CRM/SPS、集中計費、數(shù)據(jù)倉庫、綜合結(jié)算等系統(tǒng)已經(jīng)逐步上線,由業(yè)務(wù)結(jié)算局管理的EDC已經(jīng)成為省電信的核心數(shù)據(jù)機房,其數(shù)據(jù)的安全性越來越得到各級領(lǐng)導(dǎo)的重視。

鑒于此,該省級電信IT內(nèi)部專網(wǎng)目前面臨的最大問題有2個:一是網(wǎng)絡(luò)出口眾多,面臨極大的安全風(fēng)險;二是網(wǎng)內(nèi)一些具體信息系統(tǒng)沒有做針對性的安全防護(hù)。具體如下所述:

首先,由于EDC業(yè)務(wù)復(fù)雜,其不但與DCN網(wǎng)有連接,同時也與各銀行、代辦點、公網(wǎng)都有連接,可謂出口眾多,從而使該網(wǎng)絡(luò)需要面對方方面面的網(wǎng)絡(luò)安全威脅。據(jù)了解,該網(wǎng)絡(luò)當(dāng)前僅僅在出口處部署了邊界防火墻,卻沒有對應(yīng)用層威脅施行有效的應(yīng)對和控制?梢哉f,整個信息系統(tǒng)存在諸多安全隱患。

其次,尤其是該網(wǎng)絡(luò)中的業(yè)務(wù)代辦系統(tǒng)以及收費系統(tǒng)服務(wù)器,也都沒有進(jìn)行任何針對性的保護(hù),安全風(fēng)險極大。

解決方案

針對省電信公司的安全現(xiàn)狀,需要在現(xiàn)有IT網(wǎng)上構(gòu)筑一個完整的威脅分析與控制系統(tǒng),從而使IT網(wǎng)絡(luò)的威脅控制不再僅僅限于對網(wǎng)絡(luò)層的訪問控制。與此同時,還需要對關(guān)鍵服務(wù)器、關(guān)鍵網(wǎng)絡(luò)進(jìn)行完整的從網(wǎng)絡(luò)層到應(yīng)用層的威脅控制,以確保各種網(wǎng)絡(luò)攻擊對于IT網(wǎng)絡(luò)和系統(tǒng)的影響具備間斷性、暫時性、可管理性和可隔離性的受控特點。

本方案中,用戶在其外聯(lián)出口部署了啟明星辰的天清漢馬USG產(chǎn)品,用來抵御來自外聯(lián)單位的病毒、非授權(quán)訪問以及其他網(wǎng)絡(luò)層攻擊,從而一舉實現(xiàn)對外部威脅的全面防御。同時,用戶還針對各種計費服務(wù)器以及社會代辦服務(wù)器進(jìn)行了專業(yè)的應(yīng)用層防護(hù),分別部署了啟明星辰的天清IPS產(chǎn)品,用于實現(xiàn)對應(yīng)用層威脅的精確阻斷。部署示意圖如圖1所示。

圖1 某省級電信IT內(nèi)部專網(wǎng)部署UTM和IPS產(chǎn)品示意

案例點評

通過本文的方案,我們不難理解,對于需要進(jìn)行企業(yè)間互聯(lián)的信息系統(tǒng),往往通過網(wǎng)絡(luò)所交換的數(shù)據(jù)是具有較高經(jīng)濟價值的,而對于這些信息系統(tǒng),安全的威脅往往來自于應(yīng)用層。而對于這類安全威脅,傳統(tǒng)的防火墻系統(tǒng)雖然從整個網(wǎng)絡(luò)的安全建設(shè)來說是必須的,但并不足夠。

為了完整地實現(xiàn)對各種威脅的控制,如本方案所述,用戶還需要采用立體防御思想對省公司網(wǎng)絡(luò)進(jìn)行安全改造,同時針對不同的威脅部署有針對性的產(chǎn)品,只有這樣才能有效地提高網(wǎng)絡(luò)的整體安全性。

 

   來源:通信產(chǎn)業(yè)報
微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息