淺談IT支撐網(wǎng)網(wǎng)絡(luò)安全

辛向軍??

【摘要】介紹了IT支撐網(wǎng)網(wǎng)絡(luò)安全的重要性、發(fā)展現(xiàn)狀和存在的問題，闡述了網(wǎng)絡(luò)安全系統(tǒng)所面臨的嚴(yán)重威脅以及未來發(fā)展的目標(biāo)，提出了IT支撐網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展建設(shè)思路及實(shí)施策略的建議。

【關(guān)鍵詞】IT支撐網(wǎng)；網(wǎng)絡(luò)安全；安全威脅；發(fā)展策略

Talking about IT Support Network Security

Xin Xiang-jun

（Tianyuan Ruixin Communication Technology Co.， LtdXi'anShaanxi710075）

【Abstract】This paper introduces the importance， development status and existing problems of network security of IT support network， expounds the serious threats and future development goals of network security system， and puts forward the development and construction strategy of IT support network network security system Suggest.

【Key words】IT support network；Network security；Security threats；Development strategy

1. 前言

目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會(huì)帶來巨大的損失，網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。中國(guó)移動(dòng)I T支撐網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無用的、甚至?xí)＜翱蛻粜畔踩木W(wǎng)絡(luò)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他圖謀不軌的攻擊。所以，計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施是一個(gè)至關(guān)重要的問題。

2. 網(wǎng)絡(luò)安全概述

（1）網(wǎng)絡(luò)安全防范體系是全方位的、整體的、分層次的。不同層次的網(wǎng)絡(luò)安全，反映了不同的安全問題。根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)的結(jié)構(gòu)，我們將安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。

（2）移動(dòng)通信系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅來自網(wǎng)絡(luò)協(xié)議和系統(tǒng)存在的弱點(diǎn)，攻擊者可以利用網(wǎng)絡(luò)協(xié)議和系統(tǒng)存在的弱點(diǎn)，進(jìn)行非授權(quán)訪問敏感數(shù)據(jù)、非授權(quán)處理敏感數(shù)據(jù)、干擾或?yàn)E用網(wǎng)絡(luò)服務(wù)等非法活動(dòng)，對(duì)用戶和網(wǎng)絡(luò)資源造成損失。按照攻擊的物理位置，對(duì)移動(dòng)通信系統(tǒng)的安全威脅可分為對(duì)無線鏈路、服務(wù)網(wǎng)絡(luò)和移動(dòng)終端的威脅。主要威脅方式有以下幾種：竊聽、偽裝、流量分析、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、否認(rèn)、非授權(quán)訪問服務(wù)、資源耗盡等。

3. IT支撐網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)現(xiàn)狀

電信企業(yè)IT支撐系統(tǒng)一般分為三部分，既網(wǎng)管支撐系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、企業(yè)信息化系統(tǒng)。即使定義有所不同，但所指內(nèi)容異曲同工。下文將IT支撐系統(tǒng)暫作網(wǎng)管支撐系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、企業(yè)信息化系統(tǒng)三部分進(jìn)行敘述。

3.1業(yè)務(wù)支撐系統(tǒng)。

IT支撐系統(tǒng)是電信企業(yè)非常重要的系統(tǒng)，雖然采取了一些防護(hù)措施，但總體防護(hù)措施比較薄弱，主要表現(xiàn)在：網(wǎng)絡(luò)沒有合理地進(jìn)行安全域的劃分；與M D C N邊界缺乏有效的防護(hù)手段；核心服務(wù)器區(qū)缺乏防護(hù)、監(jiān)控手段；對(duì)賬號(hào)口令缺乏有效的集中管理手段；非營(yíng)業(yè)廳終端沒有集中管理工具等方面。

3.2網(wǎng)管支撐系統(tǒng)。

通過多年安全工作積極的推進(jìn)，網(wǎng)管支撐系統(tǒng)安全防護(hù)能力得到極大的提升：支撐系統(tǒng)進(jìn)行了安全域劃分，部分邊界采用了防護(hù)、監(jiān)控手段，但需要進(jìn)一步完善；業(yè)務(wù)系統(tǒng)邊界部署防護(hù)設(shè)備，但缺乏安全監(jiān)控手段；部分資源采用了4A系統(tǒng)進(jìn)行賬號(hào)的管理，但需要進(jìn)一步擴(kuò)展管理的范圍；非生產(chǎn)終端缺乏集中管理手段等。

3.3企業(yè)信息化系統(tǒng)。

企業(yè)信息化系統(tǒng)安全總體防護(hù)能力都較高，但需要進(jìn)一步的個(gè)別完善：賬號(hào)口令缺乏集中管理系統(tǒng)。

4. 網(wǎng)絡(luò)安全系統(tǒng)發(fā)展目標(biāo)

總結(jié)業(yè)界先進(jìn)的網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)體系的實(shí)踐與經(jīng)驗(yàn)，設(shè)定IT支撐網(wǎng)網(wǎng)絡(luò)安全建設(shè)目標(biāo)為：根據(jù)網(wǎng)絡(luò)IP化、終端智能化以及安全威脅技術(shù)和攻擊目的的發(fā)展變化趨勢(shì)，建立以安全域劃分和邊界整合為基礎(chǔ)，進(jìn)一步包括設(shè)備自身安全功能和配置、專用安全防護(hù)設(shè)備以及信息安全管理平臺(tái)的四層安全技術(shù)防護(hù)體系。

5. IT支撐網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)思路

以業(yè)務(wù)保障為核心，以集中化為導(dǎo)向，將安全工作融入日常業(yè)務(wù)運(yùn)營(yíng)，實(shí)現(xiàn)監(jiān)控到位、維護(hù)到位、管理到位，為企業(yè)新形勢(shì)下可持續(xù)發(fā)展保駕護(hù)航。

集中化的網(wǎng)絡(luò)與信息安全防護(hù)體系的建設(shè)，應(yīng)根據(jù)企業(yè)IT支撐網(wǎng)系統(tǒng)安全現(xiàn)狀，評(píng)定網(wǎng)絡(luò)安全建設(shè)優(yōu)先級(jí)，分階段建設(shè)和完善以下安全系統(tǒng)：IT審計(jì)核心系統(tǒng)；4A核心系統(tǒng)；綜合維護(hù)接入平臺(tái)；終端管理系統(tǒng)一級(jí)服務(wù)器；病毒、補(bǔ)丁系統(tǒng)一級(jí)服務(wù)器；安全存儲(chǔ)局域網(wǎng)；ISMP核心系統(tǒng)；集中存儲(chǔ)備份系統(tǒng)；安全容災(zāi)中心。具體實(shí)施措施如下：

（1）安全域劃分。

統(tǒng)一各中心支撐網(wǎng)與互聯(lián)網(wǎng)的出口，在互聯(lián)網(wǎng)的出口處采取集中的安全防護(hù)和監(jiān)控手段。統(tǒng)一現(xiàn)有銀行、SP等與各中心支撐網(wǎng)的接口，公司采用統(tǒng)一的外部接口，在與外部系統(tǒng)互連的邊界部署安全防護(hù)與監(jiān)控手段；整合第三方網(wǎng)絡(luò)接入?yún)^(qū)域（集成商、廠家），針對(duì)本地接入和遠(yuǎn)程接入進(jìn)行統(tǒng)一區(qū)域的劃分和邊界的訪問控制；整合各中心支撐網(wǎng)之間的互連接口，各中心數(shù)據(jù)交換通過DCN網(wǎng)；在各中心支撐網(wǎng)與DCN邊界部署安全防護(hù)及監(jiān)控手段，防護(hù)各中心支撐網(wǎng)。針對(duì)地市網(wǎng)絡(luò)進(jìn)行安全域劃分和網(wǎng)絡(luò)改造，終端子域內(nèi)的安全域邊界控制可以通過在交換機(jī)基于端口的VLAN劃分來實(shí)現(xiàn)。endprint

（2）邊界整合。

針對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)及邊界暫時(shí)保持不變；在現(xiàn)有系統(tǒng)的邊界增加數(shù)據(jù)訪問安全性監(jiān)測(cè)措施；后期建設(shè)的系統(tǒng)和現(xiàn)有小系統(tǒng)進(jìn)行統(tǒng)一安全防護(hù)接入，解決以下問題：統(tǒng)一接入，網(wǎng)絡(luò)變化對(duì)互聯(lián)網(wǎng)絡(luò)影響最小；統(tǒng)一安全防護(hù)，增強(qiáng)集中防護(hù)能力，同時(shí)避免每個(gè)系統(tǒng)的安全單獨(dú)建設(shè)，增加項(xiàng)目投資；提高安全設(shè)備的利用率。

（3）終端管理。

建設(shè)統(tǒng)一的終端管理系統(tǒng)：劃分終端域，對(duì)遠(yuǎn)程終端的接入全部采用V P N的方式，不強(qiáng)制進(jìn)行安全狀態(tài)的檢查，但是要進(jìn)行病毒、補(bǔ)丁檢查；針對(duì)機(jī)房中直連維護(hù)終端加強(qiáng)管理，使用登記，避免公用賬號(hào)存在，對(duì)操作行為可以通過錄屏的方式進(jìn)行審計(jì)；強(qiáng)制終端管理軟件，完善防病毒系統(tǒng)、補(bǔ)丁系統(tǒng)、終端管理系統(tǒng)；針對(duì)終端進(jìn)行防信息泄漏控制。

（4）防病毒、補(bǔ)丁管理系統(tǒng)。

統(tǒng)一部署、集中管理；建設(shè)范圍：病毒庫升級(jí)互聯(lián)網(wǎng)出口統(tǒng)一；通過集團(tuán)升級(jí)服務(wù)器、通過廠家升級(jí)服務(wù)器；病毒庫升級(jí)采用集中方式：公司建立一級(jí)升級(jí)服務(wù)器，各中心和地市公司建立二級(jí)服務(wù)器；增加網(wǎng)絡(luò)防毒系統(tǒng)，防止邊界網(wǎng)絡(luò)病毒的傳播。終端必須全部實(shí)時(shí)更新補(bǔ)丁；重要服務(wù)器有選擇性地進(jìn)行補(bǔ)丁更新；Windows系統(tǒng)的補(bǔ)丁應(yīng)優(yōu)先考慮。

（5）安全管控平臺(tái)。

安全管控平臺(tái)由IT審計(jì)系統(tǒng)、4A系統(tǒng)兩個(gè)功能模塊構(gòu)成。建立公司統(tǒng)一的日志采集、處理、存儲(chǔ)與審計(jì)系統(tǒng)，實(shí)現(xiàn)自動(dòng)的日志集中采集與存儲(chǔ)、自動(dòng)的日志集中分析、自動(dòng)的日志集中審計(jì)、審計(jì)結(jié)果自動(dòng)觸發(fā)響應(yīng)流程的機(jī)制、對(duì)日志的自動(dòng)采集、分析、審計(jì)和響應(yīng)，通過系統(tǒng)生成符合SOX要求的各種報(bào)表，通過系統(tǒng)生成自定義報(bào)表格式的報(bào)表，并根據(jù)實(shí)際情況進(jìn)行輸出。建立用戶、資產(chǎn)信息安全目錄庫；綜合維護(hù)接入平臺(tái)與4A系統(tǒng)實(shí)現(xiàn)同步；統(tǒng)一資源層設(shè)備的賬號(hào)集中管理；賬號(hào)管理操作信息審計(jì)；實(shí)體級(jí)授權(quán)；認(rèn)證采用動(dòng)態(tài)口令方式；4A系統(tǒng)實(shí)現(xiàn)與OMC、話務(wù)網(wǎng)管的賬號(hào)同步；4A系統(tǒng)實(shí)現(xiàn)與試點(diǎn)應(yīng)用的賬號(hào)管理同步；實(shí)現(xiàn)IT審計(jì)系統(tǒng)與4A系統(tǒng)的賬號(hào)集中管理。

（6）綜合維護(hù)平臺(tái)。

在省公司安全系統(tǒng)子域建立一套綜合維護(hù)平臺(tái)，省公司維護(hù)人員通過該平臺(tái)進(jìn)行日常維護(hù)；在各地市公司分別部署一套綜合接入維護(hù)平臺(tái)，地市公司通過該平臺(tái)進(jìn)行日常維護(hù)；全省的綜合維護(hù)平臺(tái)為一個(gè)整體，階段性同步用戶信息和策略；也可以采用幾個(gè)地市共用一套系統(tǒng)的方式。分布式部署避免了地市公司數(shù)據(jù)給MDCN網(wǎng)帶來較大的壓力。

（7）安全管理支撐子系統(tǒng)。

安全管理支撐子系統(tǒng)采用公司統(tǒng)建，每個(gè)中心的虛擬系統(tǒng)需要預(yù)留與集團(tuán)公司系統(tǒng)接口；軟件設(shè)計(jì)采用總線架構(gòu)，方便系統(tǒng)的優(yōu)化和擴(kuò)展；系統(tǒng)組網(wǎng)采取組件分離、分層的高可用方案；建立安全支撐系統(tǒng)的同城異地容災(zāi)中心，針對(duì)所有的安全系統(tǒng)備份進(jìn)行統(tǒng)一管理；建立存儲(chǔ)局域網(wǎng)，將安全支撐系統(tǒng)中的所有安全子系統(tǒng)的數(shù)據(jù)集中存到存儲(chǔ)局域網(wǎng)中。

6. 結(jié)束語

網(wǎng)絡(luò)建設(shè)安全先行，各大運(yùn)營(yíng)商在不斷推進(jìn)全業(yè)務(wù)建設(shè)的過程中，需要針對(duì)現(xiàn)有網(wǎng)絡(luò)安全現(xiàn)狀查漏補(bǔ)缺，不斷完善，提前規(guī)劃網(wǎng)絡(luò)安全建設(shè)，尤其是IT支撐網(wǎng)網(wǎng)絡(luò)安全建設(shè)非常重要，對(duì)于保障企業(yè)運(yùn)營(yíng)起到重要的保障作用。展望未來建設(shè)，需要針對(duì)移動(dòng)通信系統(tǒng)的特點(diǎn)，建立具有針對(duì)性的安全體系結(jié)構(gòu)模型，實(shí)現(xiàn)由私鑰密碼體制向混合密碼體制的轉(zhuǎn)變，實(shí)現(xiàn)整個(gè)安全體系向透明化發(fā)展，使網(wǎng)絡(luò)的安全措施更加體現(xiàn)面向用戶的理念。

參考文獻(xiàn)

[1]肖玉梅.探討計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及應(yīng)對(duì)策略.計(jì)算機(jī)光盤軟件與應(yīng)用. 2012（23）.

[2]（美）SeanConvery.網(wǎng)絡(luò)安全體系結(jié)構(gòu).人民郵電出版社.2005.

[3]尤新霞. 內(nèi)蒙古移動(dòng)業(yè)務(wù)支撐系統(tǒng)安全管理模式的分析[D].北京郵電大學(xué)，2008.endprint