浅谈广东电信DCN网络信息安全防护管控技术.docVIP

浅谈广东电信DCN网络信息安全防护管控技术摘要：在当前3G业务的快速发展的形式下，广东电信DCN网络承载越来越多的重要系统，广东电信必须把DCN网络的信息安全防护管控放在重中之重的位置。本文分析DCN网络的安全防护现状，总结了存在问题，并建议采取一定的安全防护管控手段和方法，在确保业务向前发展的同时，做到DCN网络的信息安全。 关键字：广东电信DCN网；信息安全；安全防护管控 一、背景 随着人们生活信息化水平的提高与通信技术的不断发展，人们对通信业务的需求越来越大，质量要求越来越高，使得移动、电信、联通三大运营商的业务竞争越来越激烈。广东电信运营商在扩展业务之余，不断地调整运营模式，以适应市场的发展需求。同时，随着3G业务的快速增长，客户的要求越来越高，这都要求电信运营商提供更多的服务内容和更好的服务质量，也促使网络与信息安全管控技术要到达新的高度。 二、广东电信DCN网络安全防护现状 DCN网是广东电信的神经中枢网络，承载了BSS、OSS、MSS三个专业的包括计费帐务系统、资源管理系统、电子运维系统及各专业网管系统，其重要性不言而喻。广东电信越来越多的IT系统承载在DCN网络上，其用途不再单一，既承载网管，也承载业务，并越来越多地应用WEB技术，使得广东电信把DCN网络安全防护工作放到越来越重要的位置。 为了保障DCN网络安全通畅运行，广东电信已陆续开展和实施了一系列的安全工程和安全服务项目，但随着各项安全工作的深入开展，也发现了一些问题和隐患。同时，还缺乏一套完善的安全防护标准、流程及作业指导书。具体体现在如下方面： 安全检测方面。部分主机、服务器或维护终端开放了不必要的端口或提供了不必要的服务，如FTP文件共享，部分网络设备的系统版本过低，未能及时升级或者没有安装安全补丁，存在风险漏洞。 身份鉴别方面。部分系统存在弱口令或系统的用户账号与口令相同，部分维护终端Guest用户未禁用，部分系统使用明文传输用户名和密码，部分设备系统没有针对用户登录的安全措施，使网络单元较容易遭到攻击并导致网络重要信息数据外泄。 边界防护方面。部分设备尤其是外网防火墙过期，临时配置未及时清理，边界防护及访问控制策略薄弱，对于外部网络突发的攻击和入侵的检测和过滤能力不足，易受到外部攻击的威胁。 访问控制方面。部分主机没有对访问进行精确限制和过滤，可导致远程代码执行漏洞 不同安全域间未实现边界控制，主机设备可互访部分系统的本地安全策略，系统内部访问控制策略存在缺陷 对发自内部的各类嗅探、侦听、非授权访问不能提供有效的防护。 安全审计方面。部分系统及设备不具备或者未启用完备的安全日志及审计措施，难以按统一的安全策略落实用户鉴权和安全审计的要求，系统安全性存在风险。 终端管理方面。部分终端同时具备维护操作网络设备，访问OA及公众互联网的能力，增加了内网相关网络设备和生产系统被入侵的风险。[1] 三、做好广东电信DCN网络的安全防护的手段方法 硬件手段 要做好电信网络的安全防护工作，首先是要增加防火墙进行网络加固。由于DCN网的出口交换机能连通至公网，防火墙要安装在DCN网络的边界，即出口节点。这样能够对外界的入侵起到阻挡的作用，实现保护网络的目的。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部。所以，防火墙是网络安全的重要一环。[2] 为避免网络中断影响业务的正常使用，防火墙可采用出口交换机旁挂的方式，这样即使出口交换机连接到防火墙的链路中断了，也不会影响到数据的正常传输。 通过使用防火墙，可以验证进入者的身份是否合法，保护内部网络不受外部网络的攻击，但它对内部网络的一些非法活动的监控不够完善，攻击者还是可以伪装成为合法的客户身份或者绕过防火墙进入客户系统。IDS/IPS设备对发生在广东电信DCN网的安全攻击进行监听和阻断，提高广东电信DCN网络的主动防护能力。 此外，还可以部署 VPN server 设备，通过拨号和数据加密的方式进行远程维护。在维护人员使用时，由VPN server分配，并通过VPN server对接入用户的网络访问行为进行安全审计。为了保障DCN网的安全性，DCN 网和生产网段在路由上不互通，DCN网的防火墙网关只允许维护终端主机访问有限的几个生产系统。 采取以上的方式，能有效地加强DCN网络的安全性。 数据手段 进行安全扫描。对交换设备、系统服务器设备等在网设备定期进行安全扫描，并出具安全扫描报告，对系统的漏洞要及时打补丁，或者更新版本。对于新入网的设备，在上线使用前，要对设备的端口关闭相关的服务，完成补丁安装。检测是否安装最新的版本。 解决在用系统