在高冗余可高可靠性的网络拓扑组织方面,首先电信IP承载网的网络核心POP节点之间采用全网状拓扑结构,任何一对拓扑节点之间采用双链路的互联,并且双链路是沿不同的物理传输路径,这样可确保核心层的安全可靠性,并且也能够控制各种故障的影响范围。
其次,任何汇接层节点,至少跟两个以上的核心节点相连,任何边缘的节点至少都跟两个核心或者汇接节点连接,并且IP电路都经由不同的物理传输路径。业务提供层和骨干层分离的网络结构,可以保证骨干网络的安全,有效地控制对客户网络安全的影响范围。
在客户接入溯源方面,电信运营商IP承载网应全网具备对所有客户接入的溯源能力,可以在业务接入路由器的业务接入端口上部署uRPF反向路径查找,能够控制针对客户和网络基础设施的伪地址的攻击。
在集中的安全检测和策略下发方面,可利用网管系统实现安全集中检测和策略下发,能够具备及时的安全报警能力和快速准确的策略下发能力。
在QOS跟路由协议方面,通过部署QOS技术和路由协议安全加密技术,来保证路由协议和路由信息交换的畅通,以及路由信息的完整和准确,同时通过QOS技术来抑制各种病毒等垃圾流量的传播。
在安全审计方面,通过部署全网集中的AAA和Syslog系统来确保各种操作和配置的安全权限的授权和事后审计。
除了做好IP承载网安全外,电信运营商业务网络的安全建设主要表现在平面化的安全的隔离与控制。即将业务网络分成信令平面、业务平面和管理平面,然后着重对各平面之间做访问控制。在各个平面的交叉访问点,还有外部跟各平面之间的控制点,就是主要的风险控制点。这三个平面之间应实现逻辑隔离,现在主要可采用MPLS/VPN技术、路由控制、IP地址隔离和访问控制等方式来实现。除此之外也应加强各个平面内部的防护,对于信令平面,主要是加强网元设备、信令和控制间的认证;在业务平面,主要是加强用户的认证和鉴权,并加强业务和网络资源使用的控制能力;在管理平面,主要是加强各网元设备和系统的安全配置,实施对设备和系统的访问控制,加强设备和应用的身份认证和授权,并且加强网络管理和业务终端安全管理。
在关键业务和支撑系统的安全防护方面,可通过部署漏洞扫描器,结合定期的安全漏洞评估和加固来及时发现和修补系统存在的安全漏洞,通过VPN的方式来实现远程登录的安全,在业务系统双链路上联电信运营商网络并采用双防火墙安全防护,在网络内部通过IDS系统来对内网的安全事件进行监控,并通过3A服务器实现授权的管理。
前面介绍了IP承载网的安全建设思路,下面接着介绍电信运营商在DDOS攻击防护和垃圾邮件处理这两个专项工作。先前已经提到了DDOS攻击是目前电信运营商面临的一个比较大的安全威胁,电信运营商应对这个问题主要有两个思路,一个思路是加强对DDOS攻击的内部安全防护,第二个思路是就是向外、向客户提供DDOS攻击防护的业务。在DDOS的内部防护主要就包括三个方面的工作。一是组织制度的保障,二是非法流量源头的遏制,三是对于异常流量的快速定位和处理。
在组织制度保障方面,就是完善DDOS攻击的应急流程,加速DDOS攻击事件的处理的效率,坚持例行安全应急演练,通过模拟实战演练锻炼队伍、总结DDOS攻击防护经验。
在遏制非法流量的源头方面,可在网络边缘部署相关的安全策略,对于虚假的原地址流量进行针对性的过滤,来遏制采用源地址欺骗技术的网络攻击和非法流量泛滥的势头。
在流量的快速定位和处理方面,通过异常流量的监控系统,对DDOS攻击进行快速的分析和定位,并且配合“黑洞路由”在网络边缘的快速阻断指向被攻击目标的流量,有效避免由于攻击引起的网络拥塞。
除了内部DDOS攻击防护之外,电信运营商应逐渐尝试对客户提供DDOS攻击的防护服务。DDOS攻击防护服务能够帮助客户自动地清洁针对于客户业务系统的DDOS恶意攻击流量,保证客户关键业务的连续性,客户无须进行设备的投资和网络的改动,就可以轻松地解除DDOS攻击的后顾之忧。DDOS攻击防护服务提供的主要业务内容包括安全基线的制订,流量的实时监控,攻击特征分析,防护策略制订、流量清洗服务,和攻击防护报告。
电信运营商开展DDOS攻击防护服务主要具备有四个方面的优势:一是有专家级的服务团队,二是具有比较丰富的骨干网的资源优势,三是电信级的维护和管理,最后是在可采取多种灵活的防护手段。
通过DDOS攻击防护服务可以给客户创造几个方面的价值,首先是可以保护客户信息资产,提高客户业务的连续性,二是可增强客户对于网络流量和安全的可见性,三是能够优化客户的IT投资,四是电信运营商为客户承担了被攻击的风险。
DDOS攻击防护在给用户带来好处的同时,也给电信运营商自身带来了好处。首先是可以节省网络资源,二可以同时保护电信运营商网络的网络和系统,三是可以提升电信网络的流量监控能力。
垃圾邮件的处理对于电信运营商也是一个比较头疼的问题,因为经常会由于垃圾邮件的问题导致大片的IP地址受到国际的一些反垃圾邮件组织的封堵。在垃圾邮件处理方面,电信运营商可主要是从组织制度保障,国际合作、信息系统自动化处理这三个方面开展工作。
在组织制度保障方面,应建立比较完整的垃圾邮件处理的工作体系,对于各种垃圾邮件的投诉可以快速、有效地进行处理;在国际合作方面,应与Spamhaus、MAPS等国际权威反垃圾邮件组织保持比较密切的工作联系;在信息系统的自动化处理方面,可开发垃圾邮件处理软件系统来进行垃圾邮件的自动高效统计分析,进而可了解全网垃圾邮件的发展态势,然后采取相应的措施。
最后介绍一下电信运营商SOC体系的建设思路。SOC(SecurityOperationCenter)平台可集成网络异常流量监控,安全事件的集中监控,安全风险的评估和垃圾邮件自动化处理等功能。
电信运营商SOC建设思路包括SOC平台的建设和SOC体系的建设。在SOC平台建设方面,首先是要形成涵盖全网的“两级平台、三级监控”的安全维护体系;二是在管理范围上,从电信运营商IP网络的安全监控,逐渐扩展到包括电信运营商内部的重要业务和支撑系统的安全监控,为电信运营商的网络和重要系统的安全监控、分析和管理提供全方位的技术手段;三是利用平台逐步实现安全管理能力从电信运营网络到客户网络的延伸,通过平台的完善,逐渐发展可管理安全业务平台的各种能力;四是为电信运营商网络安全业务的推出,提供业务运营层面的技术支撑;五是依托SOC平台,加强与各安全厂商、安全服务提供商的包括应急响应和安全管理服务等方面的多层次合作。
在SOC体系的建设方面,电信运营商首先应逐步建立从集团、省、地市的三级层次化SOC组织架构,落实安全管理职责;二是培养和完善网络安全队伍,逐步实现SOC维护和管理队伍的专业化、专职化;三是逐步建立和形成包括安全纲领、制度、流程、指南的层次化策略体系,为IP网络安全工作提供策略指引;四是建立健全SOC平台的各种运作流程、管理制度,保障SOC各项管理功能的落实。
以上就是我关于电信网络安全建设思路的演讲内容,谢谢大家。