電信運營商的內網優化改造研究與部署

程旺燕 王林林 吳寶山 崔中勝 黃建軍

摘要：中國電信安徽分公司企業內網不僅承載了內部支撐管理系統和生產系統，而且承載了辦公終端。隨著互聯網技術的快速發展，各種網絡病毒和威脅不斷涌現，對網絡安全防護提出了更高的要求。因此，安徽分公司的企業內網優化改造迫在眉睫。本文從網絡結構優化、辦公終端安全管理、IP地址管理三個方面提出了改造方案并實施了部署，進一步提升了安徽分公司企業內網的安全性，在電信運營商中具有一定的推廣意義。

關鍵詞：電信運營商;企業內網;終端安全;實名制

中圖分類號：TP393? ? ? ?文獻標識碼：A

文章編號：1009-3044（2021）25-0055-02

1 引言

中國電信企業內網（以下簡稱DCN網）是承載中國電信內部支撐管理系統和業務生產系統的專有網絡通道，安徽分公司的DCN網不僅承載了企業內部支撐管理系統和業務生產系統，而且承載了全體員工的辦公終端，辦公終端通過省公司統一公網出口訪問互聯網業務。隨著網絡技術和信息化建設的飛速發展，網絡病毒、蠕蟲的傳播，針對系統漏洞的網絡攻擊、信息泄露和盜用，都可能會造成重要網絡或系統癱瘓[1]。因此，安徽分公司DCN網面臨著巨大的安全威脅，如何在現有網絡上進行優化改造，既保證內部支撐管理系統和業務生產系統安全、穩定運行，又能滿足廣大員工的日常辦公需求，是當前需解決的問題。

2問題分析

安徽分公司DCN網在優化改造前（網絡拓撲如圖1所示）主要存在如下三個安全隱患問題。問題一：所有辦公終端均接入DCN網，通過省中心的終端認證設備認證后訪問互聯網業務，DCN網存在互聯網統一出口，不符合集團公司關于DCN網不允許存在互聯網出口的安全運營要求。問題二：所有辦公終端和非辦公終端未進行物理或邏輯隔離，存在IP地址段混用的情況。辦公終端很容易成為肉雞和攻擊跳板，對關鍵業務系統構成安全威脅，存在較大的安全運營風險。問題三：DCN網IP地址未實現100%實名制，導致無法100%溯源，不符合運維管理要求。

3 優化和部署方案

3.1 網絡結構優化

新建OA辦公網，與DCN網隔離。通過在CN 2網PE設備和城域網ASBR、BRAS等設備上開通OA辦公網的MPLS VPN，與現有DCN網的MPLS VPN[2]實現邏輯隔離，同時在接入段實現網絡設備物理隔離（網絡拓撲如圖2所示）。

此次網絡優化改造，全省除采購2臺華為S9300X-8交換機作為OA辦公網省核心交換機使用外，原承載辦公終端的DCN網接入段設備全部割接至OA辦公網，具備PON資源的優先從PON接入，無其他新增投資。OA辦公網新啟用22.0.0.0/8地址段，在承載網與其他VPN業務區分，通過公網私用的方式解決辦公終端的IP地址使用需求，在省中心終端認證設備上實現OA辦公網訪問互聯網和DCN網的NAT轉換。完成網絡優化改造后，全部辦公終端從DCN網割接至OA辦公網承載，經過認證后二選一訪問互聯網或者DCN網，DCN網內只保留IT和網絡類資產，大大提升了DCN網的安全性。

3.2辦公終端安全管理

使用網絡準入控制技術[3]，對所有接入OA辦公網的辦公終端強制安裝桌面安全系統軟件（如圖3所示）。辦公終端桌面安全系統對終端的殺毒軟件、密碼策略設置、屏幕保護、禁止安裝軟件、弱口令賬戶等6大項內容進行實時檢查。若檢查發現存在不符合安全管理要求的內容，辦公終端桌面安全系統會產生告警并給出修復方案。辦公終端桌面安全系統軟件上線半年時間里，累計檢測到終端弱口令10207個、禁止安裝的軟件894個、殺毒軟件不合規9546個、鎖屏時間不合規9368個、密碼策略不合規10549個，進一步提升了辦公終端的安全性。

3.3 IP地址管理

一方面，制定IP地址管理辦法，明確各單位在IP地址規劃、申請、分配、注冊、使用、更改、回收和稽核等環節的職責。另一方面，建設IP地址管理系統，將IP地址的全生命周期管理納入生產流程，規范對IP地址的系統化、日常化、動態化管理。

對于OA辦公網IP地址，在省中心終端認證系統實現實名制管理（如圖4所示），包括認證時間、獲取的IP地址、使用人OA工號和姓名等信息。

對于DCN網IP地址，遵循“先實名、后使用”原則[4]，在IP地址管理系統中完成實名制注冊后才能使用，要求每一個DCN網IP地址都能對應到單位、部門、系統、設備/終端和責任人，確保并確保信息準確性、完整新和及時性（如圖5所示）。

4部署成效和結論

本文提出的電信運營商的內網優化改造研究與部署方案，在安徽分公司實踐應用后取得了十分顯著的成效。通過新建OA辦公網，實現全省約1.5萬辦公終端全部從DCN網剝離，DCN網內只保留IT和網絡類資產。通過升級終端認證系統以及上線辦公終端桌面安全系統軟件，實現OA網IP地址100%實名制同時提升了辦公終端的安全性。通過利用省內IP地址管理系統，實現DCN網IP地址100%實名制和全生命周期管理。

該方案在中國電信安徽分公司企業內網部署后，達到了預期的效果，在電信運營商中具有非常好的推廣性。

參考文獻：

[1] 楊德友，王偉，陳詩偉.大型企業的網絡安全分析及安全防護體系設計[J].商場現代化，2009（13）：142-144.

[2] 王達.華為MPLS VPN學習指南[M].北京：人民郵電出版社，2019.

[3] 宋經偉.網絡準入控制技術在終端安全管理系統中的應用[J].軟件導刊，2014，13（2）：136-138.

[4] 周珊珊.我國網絡實名制發展狀況研究[D].武漢：華中科技大學，2011.

【通聯編輯：唐一東】