|
移动运营商互联网安全建设解决方案
http://www.cww.net.cn 2009年8月14日 15:57 通信世界网
作 者:绿盟科技 万慧星
1 概述 从中国电信运营商近几年对外公布的财务报告来看,增值业务逐渐成为移动运营商利润加速增长的主要动力之一,而数据业务作为最具潜力的增值业务,它的正常运行将直接关系到移动运营商的业绩增长。目前,随着3G的试商用,基于3G的网络特性,3G业务的开展将越来越依赖于移动互联网的高宽带应用,数据业务也必将在3G系统中发挥更大的作用。因此,移动运营商互联网作为数据业务的网络承载平台,其重要性不言而喻。 移动运营商省级互联网是整个省级数据业务开展的基础平台,通过对省级互联网持续不断的建设,语音业务为主的业务已经延伸到了数据服务层面,从而使数据业务成为真正的利润增长点。目前,省级网络上的各种业务、应用众多,彼此互通,各种不同安全等级的系统没有实施有效的隔离,恶意流量攻击、病毒、非法入侵、广播风暴等威胁,对业务的安全运营造成越来越大的影响。 2 安全现状和需求分析 2.1安全现状 经过多年的建设,目前移动运营商互联网已形成覆盖全国的数据业务网络,其上承载了包括GPRS、彩信、WAP等移动数据业务系统,并通过大客户专线接入、WLAN接入等为用户提供互联网的接入服务,已成为移动运营商开展移动互联网应用的基础网络平台。从业务应用和网络结构可以看出,移动运营商的网络与互联网相连,受到来自于互联网的安全威胁成倍增加。 图1省级网络拓扑结构 省网主要由核心路由器、核心交换机、接入交换机构成,呈核心层、汇聚层、接入层三级结构,如图1所示。核心层由两台核心路由器接入互联网国干;汇聚层由省网各个地市节点的边界路由器组成,各地市由边界路由器作为汇聚路由器连接到核心路由器;接入层由地市的接入交换机或者专线路由器组成,提供WLAN、2Mbit/s、100Mbit/s等带宽接入。 在省网层面由多台高端交换机作为汇聚交换机,连接省公司数据业务系统和支撑网的互联网接入;IDC机房由两台核心路由器连接至省网核心路由器接入互联网,实现IDC中各种业务的互联网访问。 2.2安全需求分析 (1)网络边界不清晰 省网承载业务之间的边界主要用于分割网络域,隔离不同安全等级区域,降低攻击威胁等,边界安全性是网络能否稳定、安全运行的决定因素,省网与数据业务系统、支撑系统、IDC等均有连接,需要比较全面地进行边界划分和有效的安全控制。 (2)网络结构复杂 省网承载的业务系统各自独立建网,同时又存在互通需求,导致全网网络结构复杂,安全方案未能做到统合综效,不利于提高业务系统整体安全防护级别,统一部署安全策略,实施集中安全监控,进而增加了发生网络故障和安全事件时进行应急处理的难度和复杂度。 (3)网络安全监控措施不完善 在现有网络中,各种业务系统通常仅仅考虑了防火墙对系统核心设备的防护,没有进行严格的安全域划分,不符合网络与信息安全等级保护建设思想,缺乏完善的网络安全监控措施,存在较高的安全风险。 (4)基础网络设备及安全设备重复建设 由于一直以来缺乏全网集中安全保护的考虑,各系统主要依靠自身的安全防护措施,造成了大量的基础网络设备及安全设备(防火墙、IDS)的重复建设,对安全投资开销、不同系统间安全设备通用性等方面也有不利影响。 3 基于安全域的安全建设方案 根据对省网的现状分析,此建设方案主要从安全域划分着手进行设计,首先对省网进行安全域的划分和改造,然后通过成熟的安全产品进行重点性的安全防护,再引入安全预警、安全加固等专业安全服务来协助移动运营商保障互联网的安全运行,最后通过应急响应服务来降低可能发生的安全事件对业务运营的影响。 3.1安全域划分 图2安全域划分示意 通过对省网网络和业务的理解,考虑到业务维护管理部门的不同,建议从总体上将省网安全域划分为网络核心域、网络接入域和网络其他域,如图2所示。 3.2安全域改造 图3安全域改造示意 节点A为核心交换域,主要用于承载移动运营商的核心业务,将省网的网络基础服务系统、管理用户桌面主机和安全管理平台部署在此节点中。节点B为内网接入域,将数据业务系统调整到节点B中(物理或者逻辑调整),有利于执行统一的安全策略和日常管理。 随着IDC业务的逐渐增大,对网络带宽的要求越来越高,内部承载的业务也越来越多,因此,将IDC与省网的接口从支撑网中独立出来,形成一个独立的安全域接入到省网核心路由器中。 3.3安全域防护 安全域防护通常可以分为安全策略实施和安全产品部署两个方面,其中安全策略实施以各种安全服务的方式提供,安全产品部署主要通过采购安全产品的方式进行。 (1)安全策略实施 在节点A和节点B的核心交换机上,为各个业务系统域、管理用户域等设置单独的VLAN区域,并设置合理的路由策略和严格的访问控制策略。 针对省网中的边界路由器、汇聚路由器等网络设备,从账号、授权、补丁等方面进行安全加固。针对节点A和节点B中的重要业务系统,在各自核心交换机上将重要主机系统的IP地址、MAC地址与交换机端口绑定,并从账号、授权、补丁等方面对操作系统、数据库进行安全加固。
|
每日新闻排行 企业黄页 会议活动 |