安全准入控制专家：运营商DCN网络安全现状分析与解决措施.docxVIP

引言：本文试图通过对电信DCN网的现状和安全性分析，对运营商内部业务运营支撑系统从各个角度讨论出其当下亟需解决的问题，并给出了合适的解决方案建议。MBOSS系统与DCN网概况MBOSS系统概况MBOSS系统是电信运营商企业信息化的整体解决方案，由管理支撑系统(MSS)、业务支撑系统(BSS)、运营支撑系统(OSS)、企业数据架构(EDA)和基础平台构成。管理支撑系统(MSS)：MSS系统包含了企业门户、协同办公系统、人力资源系统、信息数据管理统计系统等多个模块，其目标是要通过对协同办公、人力资源、工程项目、采购及库存的管理等方面应用的集成，为中国电信的管控流程提供IT支撑。业务支撑系统(BSS)：BSS系统依据以客户为中心、以信息为基础的建设方针，通过与运营商的各种业务系统互连，集成相关的客户信息，整合电信帐务管理流程来实现各项功能。总体功能分为：计费帐务、CRM、经营分析、电子渠道四大功能领域及企业数据总线EAI。运营支撑系统(OSS)：主要用于电信业务系统的后端运营支撑，通常由网络管理、网元管理、资源管理、业务开通、施工协调等主要系统组成。随着电信的转型，OSS不仅需要满足面向客户的OSS运营支撑，同时也需要逐步满足ICT等新业务的运营支撑。DCN网概况电信DCN网的概念来自于TMN体系结构。在早期，DCN网络用于承载电信网各种设备的网管信息，称为网管网。随着网络的演进和业务的扩展，目前的DCN网络除了承载网管数据之外，还承载着计费，97，OA，MBOSS等业务的数据信息，发展成为一个内部支撑网，是电信行业重要的内部IT支撑平台。目前，运营商的DCN网基本上都是单独规划、单独建设，是物理上独立的网络。基于DCN网的重要性，各运营商都把安全性建设作为了DCN网络建设的重点。在网络建设过程中，运营商通过划分虚拟网、配置安全防护设备等手段降低了网络安全风险，提高了网络抗攻击的能力。网络安全性分析以某省电信DCN网络为例，全网在内网安全管理和入网规范方面已经做了很多工作，如划分了安全VLAN、部署了防火墙、Symantec 企业版病毒防护系统、补丁统一采用WSUS更新系统，制定了电信终端标准化项目（SMS、AD域、计算机命名规范、关闭默认共享）、并规定禁止安装游戏、聊天等与工作无关的软件等，但是已有的安全效果不佳，既有的规范无法真正落实，目前主要的安全隐患在于：各部门或营业厅的终端设备性能严重下降各部门及营业厅终端设备由于设备资源被异常占用导致终端处理速度下降、网络堵塞，致使终端业务系统速度很慢，造成大量的客户投诉。需要在管理中心实时监控终端设备的CPU 使用率、内存、硬盘占用、I/O读写字节数、建立TCP连接个数、UDP监听端口数目等，并对异常情况进行报警以便及时得到处理。违规外联造成企业商业数据泄露“企业的核心价值就是商业数据，我们要保证这些数据的安全，”电信的某位相关负责人向我们讲述到。目前的很多行业用户在内外网隔离的环境下，员工依然可以随意的通过多种方式访问互联网，极易被植入木马程序；这些木马程序在内网计算机违规连入互联网的时候，在未被察觉的情况下机密信息就能很快的传送出去，造成严重的商业机密信息泄露事故；移动存储设备随意使用带来安全隐患对于带有涉密信息的隔离网络，涉密信息一般都保存在本地并可能通过移动存储介质进行传播。当涉密信息保存在流通的移动存储设备中时，未进行加密或保护的移动设备一旦遗失，在其他计算机就能够直接访问、修改，这将直接导致涉密信息外泄；同时外来人员如果随意把未经检查的移动存储设备接入到内网计算机中，极有可能传播病毒、木马，并且会很快的扩散到全网，直接影响每个终端的正常使用，甚至会造成全网业务瘫痪的严重事故。终端用户的操作行为无法做到有据可查安全事件最担心的是万一事故发生没有线索可追查，目前无法对员工在终端上的操作行为做审计，一旦发生了安全事件，很难定位到相应的事故发生源。本着“事先预防，事中控制，事后审计”的原则，应对每个员工的各项终端操作行为做好审计，以防患于未然。终端随意开启服务或安装非法软件威胁网络安全如果终端用户随意把类似于伪DHCP、抢占IP资源的木马或者ARP欺骗病毒程序开启，会直接影响网络正常运行，威胁网络安全。需要在内网中建立一种“威慑”及控制的机制，从端点的控制做好安全防护。无法确认终端是否达到企业要求的安全防护规定企业办公网络中，任何一台终端的安全状态（主要包括终端的补丁情况、防病毒软件安装和使用情况及版本、病毒库更新情况、系统安全设置、文件共享状况、必须和禁止安装软件、用户密码复杂度、屏保设置情况、企业自定义检查项等），都将直接影响到整个网络的安全。在终端数量众多且分散的情况下，无法掌握内网的安全性将给网络带来重大的安全隐患，随时有发生重大安全事故的潜在威胁。安全性低的设备无法得到有