BOSS安全域的划分与边界整合分析.pdfVIP

BOSS安全域 的划分与边界整合分析 佟 敏 阎德生 李俊峰 长春电信工程设计院有限公司 长春 130012 前言 密的边界划分，采取有效的安全隔离措施，增 在制定计算机网络安全策略时，首先需要 加账号口令认证、日志审计、行为审计、防病 确定是允许访问除明确拒绝以外的全部服务还 毒、入侵检测、漏洞扫描等多种网络信息安全 是拒绝访问明确允许以外的所有服务。总的原 技术手段，以使网络更加安全。 则确定后还应考虑以下问题。 ⑴将系统资源分类，确定需保护的资源及 BOSS的网络架构 其保护的级别，规定可以访问资源的实体和能 本文以中国移动某省公司BOSS为例，说明 够执行的动作。 如何进行安全域划分和边界整合，以确保网络 ⑵根据网络使用单位的实际需要确定内部 和信息安全。 网的服务类型，规定内部用户和外部用户能够 该省BOSS网络架构如图1所示，主要承载 使用的服务种类。 着计费、营账、经营分析、OA、客服系统、容 ⑶规定审计功能，记录用户的活动及资源 灾中心、第三方接入等业务。核心生产区是两 使用情况。 台Catalyst 6509，分别连接着BOSS的服务器， 网络信息安全技术通常从防止信息窃密和 两台Cisco 7513为各地市BOSS的汇聚路由器。 防止信息破坏两方面来考虑。 容灾中心基本上与核心生产区相似，核心交换 防止信息窃密的技术通常采用通信反侦 机也是两台Catalyst 6509，通过吉比特光纤与核 察、防电磁泄露、防火墙技术、密钥管理、通 心生产区的Catalyst 6509相连，两台7507作为地 信保密、文件保密、报文鉴别、数字签名、存 市BOSS的汇聚。 储加密等。 两台带有防火墙模块及两块四层交换模块 防止信息破坏的技术有通信反干扰、防止 的Catalyst 6509分别隔离了OA、客服、经营分析 计算机病毒、阻止黑客侵袭、差错控制和冗余 和现有的BOSS，目前在边界上一台带防火墙模 设计。 块的Catalyst 6509作为主用工作。经营分析是两台 在具体设计中要根据现有网络的功能和 Catalyst 4507直接连接服务器。对于第三方接入的 拓扑，分析网络存在的安全风险，结合多种安 银行，通过防火墙PIX525连接到接入Catalyst 6509 全管理手段和安全策略进行网络部署，进行严 上，实现对第三方接入的安全隔离。 ttm 39 3779 专题 网络安全 图1 BOSS网络拓扑结构 两台防火墙隔离，