《搭建安全的综合数据通信网.docxVIP

搭建安全的综合数据通信网（DCN网）/security/?2007年01月16日10：16??来源：计算机世界??作者:梁世红??字号：小 | 大【文章摘要】综合数据通信网（DCN网）在企业信息化中的重要程度正不断提高，但要解决随之而来的安全问 题，还需满足三大前提条件。随着企业信息化程度的不断提高，采用IP技术构建覆盖全国的、技术先进、功能齐全、面向企业内部应用提供服务的综合数据通信网 （DCN网），逐步成为企业应用趋势。目前，省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、 168系统、九七系统、智能网记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。 　综合数据通信网（DCN网）在企业信息化中的重要程度正不断提高，但要解决随之而来的安全问题，还需满足三大前提条件。 　随着企业信息化程度的不断提高，采用IP技术构建覆盖全国的、技术先进、功能齐全、面向企业内部应用提供服务的综合数据通信网（DCN网），逐步成为企业应用趋势。 　目前，省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、168系统、九七系统、智能网 记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。而随着信息化系统整合，Internet和 合作伙伴等也会接入到网络中，随着DCN网络信息资产价值的提高，其重要性和安全问题日益显现出来。整体而言，DCN网络正面临着恶意软件攻击、内部员工 误用、黑客入侵破坏等安全威胁，要建立安全的DCN网，必须满足一些前提条件。 　安全需求具有明显特点 　DCN网络分为两层结构:省干核心层和地市汇聚层。全省共设置了1个省中心节点、若干个地市中心节点。 　DCN网络存在的安全问题主要集中在以下几个方面：组网方式随意性很强；网络区域之间边界不清晰，互通控制管理难度大、效果差，攻击容易扩 散；安全防护手段部署原则不明确，已有设备也没有很好地发挥作用；网络资源比较分散，关键数据分散管理，部分通信资源无法共享；扩展性差，网络层次不清 晰，会导致扩展性问题；非均匀的网络分布。 　作为内部支撑业务的“数据通信网”，DCN网络与其他网络的安全需求相比存在着明显的特点。 　可用性，可控性需求。作为内部承载网络，DCN网络的可用性需求是最重要的安全需求，由于DCN网络的特点，公共网络那种以扩大资源（带宽、 设备处理能力）为主的处理方式很明显不适合DCN网络的具体情况。例如，病毒泛滥，蠕虫传播的情况，由于端接入点不可控，采取很具体的控制手段往往是通过 增加资源首先保证可用的方式来解决。但对于DCN网络，由于全网所有节点都在可控范围内，可以方便地采用技术手段和管理手段实现更精细，更有效的可用性管 理。 　可操作性需求。DCN网络覆盖面广，承载业务系统繁多，情况千差万别，要搞好这个系统的安全建设工作，可操作性是目前需要考虑的一个重要问题，没有可操作性，任何建设方案，建设思路都将流于形式。 　面临三大安全威胁 　DCN网络中的主要威胁除了物理攻击破坏外，主要包括恶意软件攻击、内部员工误用、黑客入侵破坏等三大类，具体描述如下。 　1．物理攻击和破坏 　物理攻击和破坏主要针对DCN的基础平台而言，对基础平台内重要的网络设备、通信链路进行的攻击和破坏，威胁的形式表现为物理临近攻击。威胁 的主体包括DCN内部和外部的破坏者，破坏网络设备使之无法正常提供服务；侵占网络链路资源，使DCN网络有限的带宽资源被无目的地浪费等。 　2．病毒、蠕虫和恶意代码 　这种威胁主要针对DCN的应用。随着计算机技术的发展和网络互联范围的扩大，计算机病毒制造技术也在不断地翻新和发展，传播方式也有了很大的 变化。病毒的发作具有高发性、变异性、破坏力强等特点，在短短的时间内可以迅速传播、蔓延，导致计算机网络瘫痪，造成DCN网重要数据的丢失。 　与此同时，还出现了许多具有攻击性的黑客程序和其他破坏程序。这些有害的程序都是利用计算机网络的技术进行传播和破坏，使传统的病毒防范技术难以防范，大规模蠕虫病毒对网络资源造成很大的侵占，使系统无法正常支撑业务的运作，严重的将导致整个系统的崩溃。 　防范的主要目标是：能够掌握DCN网络、数据中心的资产信息和运行状态，每月提供全省病毒攻击相关安全事件统计数据报告；能够对省属DCN网 络、信息系统的漏洞和威胁进行评估，明确当前省属DCN网络和信息系统存在的风险和被病毒攻击的可能性，并及时做好加固工作；能够对省属DCN关键节点网 络流量进行监控，对病毒等造成的流量异常进行及时响应，快速定位并隔离病毒源头;能够通过对网络设备和安全设备的日志和告警事件的关联分析，在病毒爆发