安全准入控制专家：运营商DCN网络安全现状分析与解决方案

引言：本文试图通过对电信DCN网的现状和安全性分析，对运营商内部业务运营支撑系统从各个角度讨论出其当下亟需解决的问题，并给出了合适的解决方案建议。1. MBOSS 系统与 DCN 网概况1.1 MBOSS 系统概况MBOSS系统是电信运营商企业信息化的整体解决方案，由管理支撑系统:MSS)、业务 支撑系统(BSS)、运营支撑系统(OSS)、企业数据架构(EDA)和基础平台构成。管理支撑系统(MSS)： MSS系统包含了企业门户、协同办公系统、人力资源系统、信 息数据管理统计系统等多个模块，其目标是要通过对协同办公、人力资源、工程项目、采购 及库存的管理等方面应用的集成，为中国电信的管控流程提供IT支撑。业务支撑系统(BSS)： BSS系统依据以客户为中心、以信息为基础的建设方针，通过与 运营商的各种业务系统互连，集成相关的客户信息，整合电信帐务管理流程来实现各项功能。 总体功能分为：计费帐务、CRM、经营分析、电子渠道四大功能领域及企业数据总线EAI。运营支撑系统(OSS):主要用于电信业务系统的后端运营支撑，通常由网络管理、网元 管理、资源管理、业务开通、施工协调等主要系统组成。随着电信的转型，OSS不仅需要 满足面向客户的OSS运营支撑，同时也需要逐步满足ICT等新业务的运营支撑。SE接口 /认怔EAI企业应用集成融线a貼廛即席查询瞬疊1.2 DCN 网概况电信DCN网的概念来自于TMN体系结构。在早期，DCN网络用于承载电信网各种设 备的网管信息，称为网管网。随着网络的演进和业务的扩展，目前的DCN网络除了承载网 管数据之外，还承载着计费， 97， OA， MBOSS 等业务的数据信息，发展成为一个内部支 撑网，是电信行业重要的内部IT支撑平台。目前，运营商的DCN网基本上都是单独规划、 单独建设，是物理上独立的网络。基于DCN网的重要性，各运营商都把安全性建设作为了 DCN网络建设的重点。在网 络建设过程中，运营商通过划分虚拟网、配置安全防护设备等手段降低了网络安全风险，提 高了网络抗攻击的能力。2. 网络安全性分析以某省电信 DCN 网络为例，全网在内网安全管理和入网规范方面已经做了很多工作，如划分了安全VLAN、部署了防火墙、Symantec企业版病毒防护系统、补丁统一采用WS US更新系统，制定了电信终端标准化项目（SMS、AD域、计算机命名规范、关闭默认共 享）、并规定禁止安装游戏、聊天等与工作无关的软件等，但是已有的安全效果不佳，既有 的规范无法真正落实，目前主要的安全隐患在于：2.1 各部门或营业厅的终端设备性能严重下降各部门及营业厅终端设备由于设备资源被异常占用导致终端处理速度下降、网络堵塞， 致使终端业务系统速度很慢，造成大量的客户投诉。需要在管理中心实时监控终端设备的 CPU使用率、内存、硬盘占用、I/O读写字节数、建立TCP连接个数、UDP监听端口数目等， 并对异常情况进行报警以便及时得到处理。2.2 违规外联造成企业商业数据泄露“企业的核心价值就是商业数据，我们要保证这些数据的安全，”电信的某位相关负责 人向我们讲述到。目前的很多行业用户在内外网隔离的环境下，员工依然可以随意的通过多 种方式访问互联网，极易被植入木马程序；这些木马程序在内网计算机违规连入互联网的时 候，在未被察觉的情况下机密信息就能很快的传送出去，造成严重的商业机密信息泄露事故；2.3 移动存储设备随意使用带来安全隐患对于带有涉密信息的隔离网络，涉密信息一般都保存在本地并可能通过移动存储介质 进行传播。当涉密信息保存在流通的移动存储设备中时，未进行加密或保护的移动设备一旦 遗失，在其他计算机就能够直接访问、修改，这将直接导致涉密信息外泄；同时外来人员如 果随意把未经检查的移动存储设备接入到内网计算机中，极有可能传播病毒、木马，并且会 很快的扩散到全网，直接影响每个终端的正常使用，甚至会造成全网业务瘫痪的严重事故。2.4 终端用户的操作行为无法做到有据可查安全事件最担心的是万一事故发生没有线索可追查，目前无法对员工在终端上的操作 行为做审计，一旦发生了安全事件，很难定位到相应的事故发生源。本着“事先预防，事中 控制，事后审计”的原则，应对每个员工的各项终端操作行为做好审计，以防患于未然。2.5 终端随意开启服务或安装非法软件威胁网络安全如果终端用户随意把类似于伪DHCP、抢占IP资源的木马或者ARP欺骗病毒程序开启， 会直接影响网络正常运行，威胁网络安全。需要在内网中建立一种“威慑”及控制的机制， 从端点的控制做好安全防护。2.6 无法确认终端是否达到企业要求的安全防护规定企业办公网络中，任何一台终端的安全状态（主要包括终端的补丁情况、防病毒软件 安装和使用情况及版本、病毒库更新情况、系统安全设置、文件共享状况、必须和禁止安装 软件、用户密码复杂度、屏保设置情况、企业自定义检查项等），都将直接影响到整个网络 的安全。在终端数量众多且分散的情况下，无法掌握内网的安全性将给网络带来重大的安全 隐患，随时有发生重大安全事故的潜在威胁。2.7 安全性低的设备无法得到有效快速的修复DCN 网络中的终端机器数量大，分布范围广，各营业厅均为数台机器组成一个小范围的 网络，因此对于存在安全隐患的终端进行及时有效的修复存在相当大的困难，如果需要通过 网络管理人员人工现场修复将带来极大的工作量和极低的工作效率。2.8 对内部攻击没有有效的的隔离措施由于 DCN 网也是 IP 网，因此黑客有可能从网络内部发起攻击。有些运营商虽然在 DCN 与公众网之间配置了防火墙，但是在网络内部的隔离措施还不完善。例如，当病毒泛滥时， 一个地区的DCN网络内的病毒可能通过骨干DCN网传播并影响其它地区的DCN网。通过以上分析我们可以看到，构建我国基础电信网安全保障体系，需要有的放矢，实用 有效，针对现有的的安全威胁，进一步从技术和管理两方面加强网络的可用性，同时需要建立完善的应急通信体制，从而有效地保障我国基础电信网络的安全稳定运行。3. 法令法规上的明确要求信息安全、网络安全在大型企业、机构中越来越受到重视，包括运营商和国家相关安全 部门都相继出台了关于信息安全的法令法规；国际上早在上世纪就出现了很多信息行业相关 性的标准，下面重点分析现有的法令法规以及行业标准：3.1 CTG-MBOSS安全规范体系V10为了进一步提高中国电信集团公司CTG-MBOSS的安全管理与技术控制水平，规范与 指导CTGMBOSS安全建设，中国电信集团公司在07年制定了CTG-MBOSS安全规 范体系，其中对于终端安全做了详细的规定。包括终端自身安全防护（补丁、主机防火墙、防病毒软件）、终端行为监控（非法外联、 上网行为、应用软件）、终端的网络接入控制（终端及用户的身份认证、终端安全性检查与 智能修复、网络授权访问控制）等多项相关规定。3.2 信息安全等级保护管理办法 （公通字 200743 号） 等法令。等级保护明确规定，从技术和管理两个方面入手共同完成信息系统的安全保护。与内网 安全相关主要涵盖了终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全 审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。3.3 ISO27001 信息安全管理体系ISO27001 指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确 保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001 中明确指出接 入网络的管理规范和设备要求规范。3.4萨班斯SOX法案IT内控体系萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖 了非常全面的管理层面，其中404 条款（内部控制的管理评估）明确要求对企业内部的控 制规范要求。按萨班斯法案信息安全提出了 IT内控要求涉及到下面四个方面：一是针对网络准入控 制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。4. 参考解决方案 运营商网络的重要性不言而喻，针对上述问题和背景，需要在网络中建立好网络准入控 制的整体平台，从而对网络接入、终端安全防护、入网规范与管理、隔离与智能修复、安全 整合等各项功能进行有效的实现，构建DCN网络健全的内网防御体系。ASM 盈高入网规范管理系统是一套基于最先进的第三代准入控制技术的纯硬件网络准 入控制系统，秉承“不改变网络、不装客户端”的特性，重点解决网络的合规性要求，达到 “违规不入网、入网必合规”的管理规范，支持包括身份认证、友好WEB重定向引导、基 于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审 计等功能，满足等级保护对网络边界、终端防护的相应要求，同时提供更高效、更智能的网 络准入防护体系。通过 ASM 网络准入控制的平台建设，能够规范以下基本入网流程：1. 统一分配唯一的准入登录帐号，入网人员使用此唯一帐号登录 DCN；2. 身份认证后将对终端进行安全扫描，扫描内容包括补丁升级、杀毒软件的安装和更 新、进程是否安全、服务及端口控制、其他自定义的入网规范等，对于存在重大安 全隐患的机器，必须立即进行隔离，并对不符合入网规范的机器进行智能修复，免 去管理员手工修复的巨大工作量；3. 安全设备登录DCN后，能够根据业务需求，有限制的访问DCN资源，并由终端安全策略统一进行管理；接入4-是修复是合规拒绝接入配权阻入网身份验证安令合规件检查入网基本流程示意图总体来看，通过建设 ASM 网络准入控制平台将实现以下功能点：4.1 双实名制ASM 盈高入网规范管理系统在提供多样化的身份认证，保障接入网络人员合法性的同 时，支持对设备的实名认证，保障了接入网络终端设备的合法性，从而加强内部网络的可控 性，方便管理员对网络的统一管理。4.2 多样化身份认证ASM盈高入网规范管理系统既提供自身用户名、密码身份认证，也支持与AD域、LDAP、 USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动，保障身份认证功能的多样化。4.3 来宾管理随着各项业务的开展，访客来往将必不可少。 ASM 盈高入网规范管理系统提供“我是 来宾”选择访问模式，管理员可以事先配置来宾区资源（如互联网、收发邮件等）。基于应 用的方式对来宾访问权限进行控制，可以实现既满足业务需要，又保护好用户内网资源的目 标。4.4 多样化引导ASM 盈高入网规范管理系统在提供传统的网页智能引导的功能的同时，更拓展支持通 过 QQ 界面引导，通过邮件客户端引导，进一步地方便了用户的入网体验和快速入网的流程。4.5 综合入网控制、检查引擎及规范执行审计ASM 盈高入网规范管理系统以入网强制技术为基础，先在网络边界设立岗哨，将之前 无序的接入网络行为加以控制；再结合具有优化的高效检查引擎-“基于安全策略可配置引 擎”（国家科技部创新基金编号-09C26223301274）,进行安全检查修复，并且可持续在线升 级引擎及规范库；监视合法终端在网络内的操作行为。技术的组合可以有效解决网络安全规 范落实的问题。4.6 人机对应ASM 盈高入网规范管理系统采用可以实现非常灵活的设备分组、分级分域管理，对所 有设备建立责任人对应管理制度；这样将IP设备与用户ID建立对应关系，对日常管理、事 中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产，可 以采取不同的安全检查规范。4.7 可定制化特色安全检查规范ASM 盈高入网规范管理系统针对不同的行业，提供了可定制化的行业