论文部分内容阅读
【摘要】介绍了IT支撑网网络安全的重要性、发展现状和存在的问题,阐述了网络安全系统所面临的严重威胁以及未来发展的目标,提出了IT支撑网网络安全系统的发展建设思路及实施策略的建议。
【关键词】IT支撑网;网络安全;安全威胁;发展策略
Talking about IT Support Network Security
Xin Xiang-jun
(Tianyuan Ruixin Communication Technology Co., LtdXi'anShaanxi710075)
【Abstract】This paper introduces the importance, development status and existing problems of network security of IT support network, expounds the serious threats and future development goals of network security system, and puts forward the development and construction strategy of IT support network network security system Suggest.
【Key words】IT support network;Network security;Security threats;Development strategy
1. 前言
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给社会带来巨大的损失,网络安全已被信息社会的各个领域所重视。中国移动I T支撑网络必须有足够强的安全措施,否则该网络将是个无用的、甚至会危及客户信息安全的网络。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他图谋不轨的攻击。所以,计算机网络的安全以及防范措施是一个至关重要的问题。
2. 网络安全概述
(1)网络安全防范体系是全方位的、整体的、分层次的。不同层次的网络安全,反映了不同的安全问题。根据网络的应用现状和网络的结构,我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
(2)移动通信系统面临的网络安全威胁来自网络协议和系统存在的弱点,攻击者可以利用网络协议和系统存在的弱点,进行非授权访问敏感数据、非授权处理敏感数据、干扰或滥用网络服务等非法活动,对用户和网络资源造成损失。按照攻击的物理位置,对移动通信系统的安全威胁可分为对无线链路、服务网络和移动终端的威胁。主要威胁方式有以下几种:窃听、伪装、流量分析、破坏数据的完整性、拒绝服务、否认、非授权访问服务、资源耗尽等。
3. IT支撑网网络安全系统现状
电信企业IT支撑系统一般分为三部分,既网管支撑系统、业务支撑系统、企业信息化系统。即使定义有所不同,但所指内容异曲同工。下文将IT支撑系统暂作网管支撑系统、业务支撑系统、企业信息化系统三部分进行叙述。
3.1业务支撑系统。
IT支撑系统是电信企业非常重要的系统,虽然采取了一些防护措施,但总体防护措施比较薄弱,主要表现在:网络没有合理地进行安全域的划分;与M D C N边界缺乏有效的防护手段;核心服务器区缺乏防护、监控手段;对账号口令缺乏有效的集中管理手段;非营业厅终端没有集中管理工具等方面。
3.2网管支撑系统。
通过多年安全工作積极的推进,网管支撑系统安全防护能力得到极大的提升:支撑系统进行了安全域划分,部分边界采用了防护、监控手段,但需要进一步完善;业务系统边界部署防护设备,但缺乏安全监控手段;部分资源采用了4A系统进行账号的管理,但需要进一步扩展管理的范围;非生产终端缺乏集中管理手段等。
3.3企业信息化系统。
企业信息化系统安全总体防护能力都较高,但需要进一步的个别完善:账号口令缺乏集中管理系统。
4. 网络安全系统发展目标
总结业界先进的网络与信息安全技术防护体系的实践与经验,设定IT支撑网网络安全建设目标为:根据网络IP化、终端智能化以及安全威胁技术和攻击目的的发展变化趋势,建立以安全域划分和边界整合为基础,进一步包括设备自身安全功能和配置、专用安全防护设备以及信息安全管理平台的四层安全技术防护体系。
5. IT支撑网网络安全系统建设思路
以业务保障为核心,以集中化为导向,将安全工作融入日常业务运营,实现监控到位、维护到位、管理到位,为企业新形势下可持续发展保驾护航。
集中化的网络与信息安全防护体系的建设,应根据企业IT支撑网系统安全现状,评定网络安全建设优先级,分阶段建设和完善以下安全系统:IT审计核心系统;4A核心系统;综合维护接入平台;终端管理系统一级服务器;病毒、补丁系统一级服务器;安全存储局域网;ISMP核心系统;集中存储备份系统;安全容灾中心。具体实施措施如下:
(1)安全域划分。
统一各中心支撑网与互联网的出口,在互联网的出口处采取集中的安全防护和监控手段。统一现有银行、SP等与各中心支撑网的接口,公司采用统一的外部接口,在与外部系统互连的边界部署安全防护与监控手段;整合第三方网络接入区域(集成商、厂家),针对本地接入和远程接入进行统一区域的划分和边界的访问控制;整合各中心支撑网之间的互连接口,各中心数据交换通过DCN网;在各中心支撑网与DCN边界部署安全防护及监控手段,防护各中心支撑网。针对地市网络进行安全域划分和网络改造,终端子域内的安全域边界控制可以通过在交换机基于端口的VLAN划分来实现。 (2)边界整合。
针对现有业务系统的网络及边界暂时保持不变;在现有系统的边界增加数据访问安全性监测措施;后期建设的系统和现有小系统进行统一安全防护接入,解决以下问题:统一接入,网络变化对互联网络影响最小;统一安全防护,增强集中防护能力,同时避免每个系统的安全单独建设,增加项目投资;提高安全设备的利用率。
(3)终端管理。
建设统一的终端管理系统:划分终端域,对远程终端的接入全部采用V P N的方式,不强制进行安全状态的检查,但是要进行病毒、补丁检查;针对机房中直连维护终端加强管理,使用登记,避免公用账号存在,对操作行为可以通过录屏的方式进行审计;强制终端管理软件,完善防病毒系统、补丁系统、终端管理系统;针对终端进行防信息泄漏控制。
(4)防病毒、补丁管理系统。
统一部署、集中管理;建设范围:病毒库升级互联网出口统一;通过集团升级服务器、通过厂家升级服务器;病毒库升级采用集中方式:公司建立一级升级服务器,各中心和地市公司建立二级服务器;增加网络防毒系统,防止边界网络病毒的传播。终端必须全部实时更新补丁;重要服务器有选择性地进行补丁更新;Windows系统的补丁应优先考虑。
(5)安全管控平台。
安全管控平台由IT审计系统、4A系统两个功能模块构成。建立公司统一的日志采集、处理、存储与审计系统,实现自动的日志集中采集与存储、自动的日志集中分析、自动的日志集中审计、审计结果自动触发响应流程的机制、对日志的自动采集、分析、审计和响应,通过系统生成符合SOX要求的各种报表,通过系统生成自定义报表格式的报表,并根据实际情况进行输出。建立用户、资产信息安全目录库;综合维护接入平台与4A系统实现同步;统一资源层设备的账号集中管理;账号管理操作信息审计;实体级授权;认证采用动态口令方式;4A系统实现与OMC、话务网管的账号同步;4A系统实现与试点应用的账号管理同步;实现IT审计系统与4A系统的账号集中管理。
(6)综合维护平台。
在省公司安全系統子域建立一套综合维护平台,省公司维护人员通过该平台进行日常维护;在各地市公司分别部署一套综合接入维护平台,地市公司通过该平台进行日常维护;全省的综合维护平台为一个整体,阶段性同步用户信息和策略;也可以采用几个地市共用一套系统的方式。分布式部署避免了地市公司数据给MDCN网带来较大的压力。
(7)安全管理支撑子系统。
安全管理支撑子系统采用公司统建,每个中心的虚拟系统需要预留与集团公司系统接口;软件设计采用总线架构,方便系统的优化和扩展;系统组网采取组件分离、分层的高可用方案;建立安全支撑系统的同城异地容灾中心,针对所有的安全系统备份进行统一管理;建立存储局域网,将安全支撑系统中的所有安全子系统的数据集中存到存储局域网中。
6. 结束语
网络建设安全先行,各大运营商在不断推进全业务建设的过程中,需要针对现有网络安全现状查漏补缺,不断完善,提前规划网络安全建设,尤其是IT支撑网网络安全建设非常重要,对于保障企业运营起到重要的保障作用。展望未来建设,需要针对移动通信系统的特点,建立具有针对性的安全体系结构模型,实现由私钥密码体制向混合密码体制的转变,实现整个安全体系向透明化发展,使网络的安全措施更加体现面向用户的理念。
参考文献
[1]肖玉梅.探讨计算机网络安全现状及应对策略.计算机光盘软件与应用. 2012(23).
[2](美)SeanConvery.网络安全体系结构.人民邮电出版社.2005.
[3]尤新霞. 内蒙古移动业务支撑系统安全管理模式的分析[D].北京邮电大学,2008.
【关键词】IT支撑网;网络安全;安全威胁;发展策略
Talking about IT Support Network Security
Xin Xiang-jun
(Tianyuan Ruixin Communication Technology Co., LtdXi'anShaanxi710075)
【Abstract】This paper introduces the importance, development status and existing problems of network security of IT support network, expounds the serious threats and future development goals of network security system, and puts forward the development and construction strategy of IT support network network security system Suggest.
【Key words】IT support network;Network security;Security threats;Development strategy
1. 前言
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给社会带来巨大的损失,网络安全已被信息社会的各个领域所重视。中国移动I T支撑网络必须有足够强的安全措施,否则该网络将是个无用的、甚至会危及客户信息安全的网络。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他图谋不轨的攻击。所以,计算机网络的安全以及防范措施是一个至关重要的问题。
2. 网络安全概述
(1)网络安全防范体系是全方位的、整体的、分层次的。不同层次的网络安全,反映了不同的安全问题。根据网络的应用现状和网络的结构,我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
(2)移动通信系统面临的网络安全威胁来自网络协议和系统存在的弱点,攻击者可以利用网络协议和系统存在的弱点,进行非授权访问敏感数据、非授权处理敏感数据、干扰或滥用网络服务等非法活动,对用户和网络资源造成损失。按照攻击的物理位置,对移动通信系统的安全威胁可分为对无线链路、服务网络和移动终端的威胁。主要威胁方式有以下几种:窃听、伪装、流量分析、破坏数据的完整性、拒绝服务、否认、非授权访问服务、资源耗尽等。
3. IT支撑网网络安全系统现状
电信企业IT支撑系统一般分为三部分,既网管支撑系统、业务支撑系统、企业信息化系统。即使定义有所不同,但所指内容异曲同工。下文将IT支撑系统暂作网管支撑系统、业务支撑系统、企业信息化系统三部分进行叙述。
3.1业务支撑系统。
IT支撑系统是电信企业非常重要的系统,虽然采取了一些防护措施,但总体防护措施比较薄弱,主要表现在:网络没有合理地进行安全域的划分;与M D C N边界缺乏有效的防护手段;核心服务器区缺乏防护、监控手段;对账号口令缺乏有效的集中管理手段;非营业厅终端没有集中管理工具等方面。
3.2网管支撑系统。
通过多年安全工作積极的推进,网管支撑系统安全防护能力得到极大的提升:支撑系统进行了安全域划分,部分边界采用了防护、监控手段,但需要进一步完善;业务系统边界部署防护设备,但缺乏安全监控手段;部分资源采用了4A系统进行账号的管理,但需要进一步扩展管理的范围;非生产终端缺乏集中管理手段等。
3.3企业信息化系统。
企业信息化系统安全总体防护能力都较高,但需要进一步的个别完善:账号口令缺乏集中管理系统。
4. 网络安全系统发展目标
总结业界先进的网络与信息安全技术防护体系的实践与经验,设定IT支撑网网络安全建设目标为:根据网络IP化、终端智能化以及安全威胁技术和攻击目的的发展变化趋势,建立以安全域划分和边界整合为基础,进一步包括设备自身安全功能和配置、专用安全防护设备以及信息安全管理平台的四层安全技术防护体系。
5. IT支撑网网络安全系统建设思路
以业务保障为核心,以集中化为导向,将安全工作融入日常业务运营,实现监控到位、维护到位、管理到位,为企业新形势下可持续发展保驾护航。
集中化的网络与信息安全防护体系的建设,应根据企业IT支撑网系统安全现状,评定网络安全建设优先级,分阶段建设和完善以下安全系统:IT审计核心系统;4A核心系统;综合维护接入平台;终端管理系统一级服务器;病毒、补丁系统一级服务器;安全存储局域网;ISMP核心系统;集中存储备份系统;安全容灾中心。具体实施措施如下:
(1)安全域划分。
统一各中心支撑网与互联网的出口,在互联网的出口处采取集中的安全防护和监控手段。统一现有银行、SP等与各中心支撑网的接口,公司采用统一的外部接口,在与外部系统互连的边界部署安全防护与监控手段;整合第三方网络接入区域(集成商、厂家),针对本地接入和远程接入进行统一区域的划分和边界的访问控制;整合各中心支撑网之间的互连接口,各中心数据交换通过DCN网;在各中心支撑网与DCN边界部署安全防护及监控手段,防护各中心支撑网。针对地市网络进行安全域划分和网络改造,终端子域内的安全域边界控制可以通过在交换机基于端口的VLAN划分来实现。 (2)边界整合。
针对现有业务系统的网络及边界暂时保持不变;在现有系统的边界增加数据访问安全性监测措施;后期建设的系统和现有小系统进行统一安全防护接入,解决以下问题:统一接入,网络变化对互联网络影响最小;统一安全防护,增强集中防护能力,同时避免每个系统的安全单独建设,增加项目投资;提高安全设备的利用率。
(3)终端管理。
建设统一的终端管理系统:划分终端域,对远程终端的接入全部采用V P N的方式,不强制进行安全状态的检查,但是要进行病毒、补丁检查;针对机房中直连维护终端加强管理,使用登记,避免公用账号存在,对操作行为可以通过录屏的方式进行审计;强制终端管理软件,完善防病毒系统、补丁系统、终端管理系统;针对终端进行防信息泄漏控制。
(4)防病毒、补丁管理系统。
统一部署、集中管理;建设范围:病毒库升级互联网出口统一;通过集团升级服务器、通过厂家升级服务器;病毒库升级采用集中方式:公司建立一级升级服务器,各中心和地市公司建立二级服务器;增加网络防毒系统,防止边界网络病毒的传播。终端必须全部实时更新补丁;重要服务器有选择性地进行补丁更新;Windows系统的补丁应优先考虑。
(5)安全管控平台。
安全管控平台由IT审计系统、4A系统两个功能模块构成。建立公司统一的日志采集、处理、存储与审计系统,实现自动的日志集中采集与存储、自动的日志集中分析、自动的日志集中审计、审计结果自动触发响应流程的机制、对日志的自动采集、分析、审计和响应,通过系统生成符合SOX要求的各种报表,通过系统生成自定义报表格式的报表,并根据实际情况进行输出。建立用户、资产信息安全目录库;综合维护接入平台与4A系统实现同步;统一资源层设备的账号集中管理;账号管理操作信息审计;实体级授权;认证采用动态口令方式;4A系统实现与OMC、话务网管的账号同步;4A系统实现与试点应用的账号管理同步;实现IT审计系统与4A系统的账号集中管理。
(6)综合维护平台。
在省公司安全系統子域建立一套综合维护平台,省公司维护人员通过该平台进行日常维护;在各地市公司分别部署一套综合接入维护平台,地市公司通过该平台进行日常维护;全省的综合维护平台为一个整体,阶段性同步用户信息和策略;也可以采用几个地市共用一套系统的方式。分布式部署避免了地市公司数据给MDCN网带来较大的压力。
(7)安全管理支撑子系统。
安全管理支撑子系统采用公司统建,每个中心的虚拟系统需要预留与集团公司系统接口;软件设计采用总线架构,方便系统的优化和扩展;系统组网采取组件分离、分层的高可用方案;建立安全支撑系统的同城异地容灾中心,针对所有的安全系统备份进行统一管理;建立存储局域网,将安全支撑系统中的所有安全子系统的数据集中存到存储局域网中。
6. 结束语
网络建设安全先行,各大运营商在不断推进全业务建设的过程中,需要针对现有网络安全现状查漏补缺,不断完善,提前规划网络安全建设,尤其是IT支撑网网络安全建设非常重要,对于保障企业运营起到重要的保障作用。展望未来建设,需要针对移动通信系统的特点,建立具有针对性的安全体系结构模型,实现由私钥密码体制向混合密码体制的转变,实现整个安全体系向透明化发展,使网络的安全措施更加体现面向用户的理念。
参考文献
[1]肖玉梅.探讨计算机网络安全现状及应对策略.计算机光盘软件与应用. 2012(23).
[2](美)SeanConvery.网络安全体系结构.人民邮电出版社.2005.
[3]尤新霞. 内蒙古移动业务支撑系统安全管理模式的分析[D].北京邮电大学,2008.