浙江联通内网信息安全整合建设的研究.docVIP

浙江联通内网信息安全整合建设的研究 　　2008年5月24日，工业和信息化部、国家发展和改革委员会、财政部发布《关于深化电信体制改革的通告》，中国联通与中国网通合并成立中国联合网络通信集团有限公司。融合后新联通的信息化工作面临着如何满足深化融合的支撑需要，如何为发展3G数据业务提供保障。特别是在信息化方面，在建立一张统一的、完整的、可控可管的DCN网络的基础上，如何保证内网数据的安全性，以抵抗入侵、防范网络攻击是内网安全、健康运行的保障，也是目前DCN网络建立健全的关键之一。目前，浙江联通DCN网络除公网统一出口外，各数据中心侧如BSS中心、OSS中心、MSS中心均存在Internet出口，存在网络入侵威胁，不便于网络安全管理，存在较大的安全隐患。网络单元边界处缺少必要地安全监测管理机制，可能会遭受各种非法的入侵和攻击。 　　为保证内网安全，安全系统的改造升级、优化显得至关重要。 　　1 网络现状及存在问题 　　省中心PE旁接思科ASA5580高端防火墙，作为跨域防火墙，各系统间的相互访问通过防火墙地址映射和ACL访问控制列表进行控制。对于浙江联通DCN网内用户终端，Internet访问通过VPN承载，省中心PE旁接华为公司Eudemon 500防火墙设备，实现了用户终端互联网访问的统一出口；对于DCN网中的服务器设备，Internet访问仍通过数据中心出口实现。除公网统一出口外，各数据中心侧如BSS中心、OSS中心、MSS中心均存在Internet出口；与银行、第三方支付等金融机构的出口分布在滨江机房、包杭机房、枢纽楼BSS域，杭州、宁波、温州、台州、湖州也均有银行出口，不便于网络安全管理；网络单元边界处缺少必要地安全监测管理机制，可能会遭受各种非法的入侵和攻击，存在较大的安全隐患。（如图1）。 　　为保证内网安全，便于网络安全管理，安全系统的改造升级、优化显得至关重要。 　　2 建设原则 　　在对网络系统安全方案设计、规划时，应遵循以下原则： 　　1）综合性、整体性原则：用系统工程的观点、方法分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度以及专业措施。一个较好的安全措施往往是多种方法综合应用的结果。同时计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 　　2）需求、风险、代价平衡的原则：任何网络都难以做到绝对的安全。网络安全建设应在需求、风险以及付出代价之间建立平衡关系，在制定规范和措施、确定系统的安全策略之前，应对网络进行实际的研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析。 　　3）易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 　　4）多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 　　各地市公网出口现状统计表 　　3 建设方案 　　DCN统一出口建设的核心是建设外网公共服务区，Internet业务、银行等金融机构、第三方网络都要经过该区访问内网。同时建设公共Internet出口实现省公司、全省各地市公司员工的普通互联网访问。DCN网内部跨域访问的安全控制则由跨域防火墙实现。 　　升级改造后的内网安全系统拓扑图如图2。 　　1）外网公共服务区 　　在外网公共服务区设立银行等金融机构接入区用于实现安全的银信互联；设立第三方网络接入区，确保第三方网络接入时DCN网络的安全；设立网上营业厅等泛Internet接入区，对用户由外网进行业务访问实现安全控制。通过建立DCN网外网公共服务区，实现统一管理各个业务的对外接口，可以最大限度的避免出现 “非正规的后门”连接，导致出现不可控的安全风险；同时统一的接口还利于部署统一的安全策略，避免各个业务部门独立部署的成本过高、过多依赖个人技术水平和策略不统一造成的对接问题，从而为DCN的各个业务提供高级别的安全服务，并明确了各个业务和DCN核心网络之间的安全责任，有利于全网安全的管理。 　　外网公共服务区核心使用两台华为6506R交换机，外网公共服务区与DCN网PE连接通过两台内部防火墙ASA5550实现DCN网接入安全控制，因ASA5550无长距光模块，同时为实现防火墙间的备份机制，利旧2台交换机实现防火墙至PE的连接。采用两台ISG2000连接Internet，提供业务Internet的访问。使用NS50实现银行等金融机构的安全接入控制，并在外联使用一台C7206和一台C3560，提供外联的冗余接入与多接口类型接入。使用两台防火墙实现第