文档介绍:DCN网络安全建设方案研究
梁世红
摘要:本文通过对综合数据通信网(DCN网)网络现状和网络需求的分析,网络安全的三个前提条件,网络安全建设的总体方案,并进一步展望了建设省内SOC安全中心的思路。
关键词:网络安全管理
随着企业信息化程度的不断提高, DCN网的总体定位是采用IP技术构建的、覆盖全国、技术先进、功能齐全的、面向企业内部应用提供服务的数据通信网络,逐步成为企业内部网,而目标网为一张物理网络,是BSS、OSS、MSS、EAI等信息化系统的承载网络。
网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、168系统、九七系统、智能网记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。而随着信息化系统的建设整合, 和合作伙伴等也会接入到网络中,网络信息资产价值的提高,其重要性和安全问题日益显现出来。
DCN省干网络现状
DCN省干网的现状
DCN网络分为两层结构:省干核心层和地市汇聚层。全省共设置了1个省中心节点,若干个地市中心节点。典型配置中省中心节点配置2台的NE40-8路由器,地市中心节点各配置2台NE40-4路由器。省中心路由器与地市中心路由器之间呈双星形结构,省中心节点NE40-8路由器通过155M SDH电路与地市中心节点NE40-4路由器相连,两台路由器以负荷分摊、均衡使用的方式协调工作,从而使两条线路负载均衡。
省中心节点局域网配置了2台S6503局域网交换机,每台交换机配有交换引擎、双电源,具有很强的处理能力。每个接入系统均通过2条10/100M自适应以太网链路分别同2台局域网交换机连接,每台交换机通过2条100M快速以太网链路同两台路由器相连。
各地市中心节点局域网配置了2台S6506局域网交换机,每台交换机配置了双电源,地市中心节点局域网结构与省中心局域网结构相同。
DCN网络安全需求现状
DCN网络目前存在的安全问题
l组网方式随意性很强
l网络区域之间边界不清晰,互通控制管理难度大、效果差,攻击容易扩散
l 安全防护手段部署原则不明确,已有设备也没有很好的发挥作用
l 网络资源比较分散:关键数据分散管理,部分通讯资源无法共享
l 扩展性差:网络层次不清晰,会导致扩展性问题
l 非均匀的网络分布
作为内部支撑业务的“数据通信网”,DCN网络与其他网络的安全需求相比存在着明显的特点:
1、可用性,可控性需求
作为内部承载网络,DCN网络的可用性需求是最重要的安全需求,网络的特点,公共网络那种以扩大资源(带宽,设备处理能力)网络的具体情况,例如病毒泛滥,蠕虫传播的情况,由于端接入点不可控,采取很具体的控制手段往往是通过增加资源首先保证可用的方式来解决。网络,由于全网所有节点都在可控范围内,可以方便地采用技术手段和管理手段实现更精细,更有效的可用性管理。
2、可操作性需求
DCN网络覆盖面广,承载业务系统繁多,情况千差万别,要搞好这个系统的安全建设工作,可操作性是目前需要考虑的一个重要问题,没有可操作性,任何建设方案,建设思路都将流于形式。
DCN网络面临的安全威胁及安全目标
DCN网络中的主要威胁除了物理攻击破坏外,主要包括恶意软件攻击、、内部员工误用黑客入侵破坏三大类,具体描述如下:
物理攻击和破坏
的基础平台而言,对基础平台内重要的网络设备、通信链路进行的攻击和破坏,威胁的形式表现为物理临近攻击,内部和外部的破坏者,破坏网络设备使之无法正常提供服务;侵占网络链路资源,网络有限的带宽资源被无目的地浪费等等;
病毒、蠕虫和恶意代码
的应用,随着计算机技术的发展和网络互联范围的扩大,计算机病毒制造技术也在不断的翻新和发展,传播方式也有了很大的变化。病毒的发作具有高发性、变异性、破坏力强等特点,在短短的时间内可以迅速传播、蔓延,导致计算机网络瘫痪,网重要数据的丢失。与此同时,还出现了许多具有攻击性的黑客程序和其他破坏程序。这些有害的程序都是利用计算机网络的技术进行传播和破坏,使传统的病毒防范技术难以防范,大规模蠕虫病毒对网络资源造成很大的侵占,使系统无法正常支撑业务的运作,严重的将导致整个系统的崩溃。
防范的主要目标是:
1、网络、数据中心的资产信息和运行状态,每月提供省病毒攻击相关安全事件统计数据报告。
2、网络、信息系统的漏洞和威胁进行评估,网络和信息系统存在的风险和被病毒攻击的可能性,并及时做好加固工作。
3、关键节点网络流量进行监控,对病毒等造成的流量异常进行及时响应,快速定位并隔离病毒源头。
4、能够通过对网络设备和安全设备的日志和告警事件的关联分析,在病毒爆发初期快速定位并隔离病毒源头。
5、能够在接收到安全通告12小时内向各地市发布