DCN
网络(数据通信网)安全解决方案
DCN
(数据通信网)是网通
A
公司的专用数据通信网,作为公司的
Intranet
,不仅是公司的
生产网,同时也承载了大量的业务系统,如计费系统、综合客服系统、网管系统、呼叫中心
和计费采集系统等。
作为内部
IT
系统的基础承载网络,
网通
A
公司
DCN
采用
VLAN+MPLSVPN
技术来隔离各业
务系统,网络安全问题由各业务系统自己解决。在网络建设之初,
缺乏统一规划,
主要以满
足各业务系统自身需求为出发点,
欠缺整体上的安全保护策略,
安全保护策略的部署差异很
大,无法提供整体的安全解决方案,同时在一定程度上带来了维护和管理上的难度。而且,
DCN
的网络设备在整体上缺乏保护措施,
面临被黑客控制甚至被当作攻击跳板的危险,
同时
由于运营商的特殊角色,其网络设备面临严重的拒绝服务攻击的威胁。
本文从网络安全域角度出发,从网络边界防护、
主机安全策略、身份认证和终端安全控制
等多方面分析了网通
A
公司
DCN
网络安全解决方案。
2
、网络安全域的划分
为规划和建设一个安全可靠的
IT
系统,目前通用的做法是引入一个安全域的概念。本文
所讲述的安全域的概念是,在安全策略的统一指导下,根据各套
IT
系统的工作属性、组成
设备、所携带的信息性质、使用主体、安全目标等,将
DCN
及其所承载的
IT
系统划分成不
同的域,将不同
IT
系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安
全域内可进一步被划分为多个安全子域,安全子域也可继续依次细化。这里需要明确的是,
安全域划分并不是传统意义上的物理隔离。
物理隔离是由于存在信息安全的威胁而消极地停
止或者滞后信息化进程,隔断网络使信息不能共享;而安全域划分是在认真分析各套
IT
系
统的安全需求和面临的安全威胁的前提下,既重视各类安全威胁,也允许
IT
系统之间以及
与其他系统之间正常传输和交换合法数据。
本文将网通
A
公司
DCN
及其所承载的
IT
系统划分为
5
个安全域,如图
1
所示。
图
1
网络安全域划分●核心主机域:各业务系统业务主机。●网络域:包括路由器、交换
机等网络设备。
●终端用户域:
本区域按照终端类型分为固定终端用户
(主要是特定权限人
员的固定坐席人员)
、第三方接入用户(漫游区、现场支持等)
、外部拨号用户接入(
OA
用
户接入、
远程内部用户接入、
远程第三方人员接入、
拨号接入和维护接入)
。
●公共接口区:
包括与
Internet
相连、
与银行的接口以及与公司企业内其他网络的连接。
●公共安全服务区:
包括终端安全策略强制系统、病毒监控中心、
认证中心、
安全管理中心等,
本次工程在二枢
纽三层“九七”机房新增华为
S6503
交换机,用于安全服务区设备
DCN
的接入。
3
、
网络安全解决方案网络安全域划分的目的是根据各设备所承担的工作角色和安全方面,
有针
对性地考虑安全产品的部署。
一方面安全域的划分为安全产品的部署提供了一个健康、
规范、
灵活的网络环境;另一方面,将安全域划分为域内和域外,域和域之间主要通过
VPN
和防
火墙来彼此隔离,
在域内主要根据不同被保护对象的安全需求部署
AAA
、
IDS
和防病毒系统。
图
1
图
1
网络安全域划分
●核心主机域:各业务系统业务主机。