【优质】强化WLAN安全建设，构筑精品WLAN网络-PPT.pptVIP

针对安全合规性检查工具检查结果以及省内安全评估发现的问题，福建公司制定了四套改造措施，并针对每类问题，制定具体措施。 * 通过引入天津公司成果，福建公司结合本地实际情况进行了二次创新，创新性的提出一套以检测评估为基础，以加固为手段，以优化为核心目标的WLAN安全体系，该体系可推广到全国。 * 福建公司在应用推广以及本地化过程中，主要有以下3点创新 * 创新点一，建立WLAN网络设备权限生命周期模型。该模型以新建对象需求分析，授权审批，建立对象分配权限，持续操作审计以及对象销毁为生命周期模型，对WLAN网络设备权限从生成到销毁的每个阶段提出了详细的控制方式和具体的控制措施，保障设备权限的可控性。 * 创新点2：搭建基于IP城域网的WLAN业务承载系统，全面提升网络容灾备份能力。福建公司早期采用二层组网，存在核心节点单点故障等问题。为优化网络，福建公司在集团内率先提出基于IP城域网的WLAN业务承载系统，该组网模式基于三层组网和冗余技术，能够有效的提高网络容灾备份能力，解决原有网络的安全问题。该方案目前已被评为2011年集团二类科技成果。 * 创新点3、从接入层到核心层提出完整的网络攻击综合保护方案。通过把集团安全规范与福建网络实际情况相结合，福建公司综合现有接入层的攻击方式，提出三项防御措施，主要包括城域网DHCP SNOOPING技术、AC二层隔离技术、接入层ARP攻击防护技术，为WLAN全网稳定运行打下坚实的基础。 * 项目实施后取得了显著的效果 * 引入天津成果以及本地创新改造后，福建公司一次性可节省270万元安全检测软件采购费用，在减少通信费损失以及节约维护成本两个方面每年总计为公司节省运维开支804万元。 * 同时，本项目使全省WLAN安全引起的投诉量大大降低，AC遭受公网攻击降为0，AP退服率降低5%，连续三个月WLAN业务未阻断。 * 以上是强化WLAN安全建设，构筑精品WLAN网络项目的介绍，感谢各位领导和专家的聆听！ * -*- 强化WLAN安全建设，构筑精品WLAN网络 中国移动福建公司 2011年10月 项目概况 成果名称 强化WLAN安全建设，构筑精品WLAN网络 省内评测结果 优秀 申报单位 中国移动通信集团福建有限公司 中国移动通信集团天津有限公司 成果完成人 成果联系人/电话 成果应用时间 2011.4-2011.10 目录 成果引入背景 推广应用情况 本地化改造和拓展开发 创新点 实施效果 成果引入背景—项目意义 刘爱力副总裁：面临严峻的安全形势，必须在全网范围内健全和完善网络与信息安全保障体系，有效控制安全风险。 -- 2011年集团网络工作会 成果引入背景—风险分析 WLAN系统风险： 一、WLAN业务滥用，包括利用设备地址无认证（无计费）访问互联网等。 二、无线网络不可用，包括使用DoS攻击导致portal页面瘫痪或篡改portal页面 。 三、专有设备被利用，包括控制暴露在公网的AC，恶意破解下载AC配置文件等。 四、用户信息被窃取，包括维护人员处理投诉时登录RADIUS获得用户账号信息等。 具体案例：2010年，黑客利用中太AC设备DNS白名单配置漏洞，通过53端口与远程DNS建立隧道，绕过认证系统，免费上网。由于该攻击难以追查攻击来源，初步估计，该漏洞在发现前已造成中国移动上万话费的流失。 WLAN安全面临法律 和经济的巨大风险！ 成果引入背景—问题及处理手段 目录 成果引入背景 推广应用情况 本地化改造和拓展开发 创新点 实施效果 推广应用情况 无法通过安全合规性检 查工具发现的安全隐患 发现 问题 发现 问题 本地 核查 目录 成果引入背景 推广应用情况 本地化改造和拓展开发 创新点 实施效果 具体措施 改造优化措施 “安全合规性检查”工具发现的问题 本地化改造和拓展开发 省内安全评估发现的问题 建立WLAN安全体系，构筑精品WLAN网络 通过引入天津公司成果，福建公司结合本地实际情况进行了二次创新，创新性得提出一套以检测评估为基础，以加固为手段，以优化为核心目标的WLAN安全体系，该体系可推广到全国。 目录 成果引入背景 推广应用情况 本地化改造和拓展开发 创新点 实施效果 创新点1：建立WLAN网络设备权限生命周期模型 分析对象需求，确认设备使用人员权限 及操作黑白名单，提交审批工单 基于本地电子化 审批流程，审核 并确认人员需求 引入设备操作安全审计系统，按照审批结果建立对象，赋予相应权限 持续审计人员 操作日志，并 将重要操作通过 邮件发送给管理员 设备使用人员因离职 等原因需要剥夺 权限时，及时 销毁对象 创新点2：搭建基于IP城域网的WLAN业务承载系统，全面提升网络容灾备份能力 单点故障 原有组网采用二层组网方式，易发生DHCP仿冒攻击及广播风暴 目