數(shù)據(jù)城域網(wǎng)安全防護(hù)體系部署及解決方案研究

2014-11-27 15:31:01李剛吳菊

移動(dòng)通信 2014年20期

關(guān)鍵詞：安全威脅

李剛+吳菊

【摘要】以中國(guó)移動(dòng)數(shù)據(jù)城域網(wǎng)為例，分析了數(shù)據(jù)城域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、承載業(yè)務(wù)及面臨的主要安全威脅，構(gòu)建了包含安全域劃分及邊界整合、設(shè)備安全配置、專(zhuān)業(yè)安全防護(hù)手段建設(shè)和信息安全管理平臺(tái)建設(shè)4個(gè)層面內(nèi)容的安全防護(hù)體系，并針對(duì)中國(guó)移動(dòng)某省數(shù)據(jù)城域網(wǎng)的現(xiàn)狀給出了多層次、階梯式、分階段的安全防護(hù)建設(shè)方案，解決了原有網(wǎng)絡(luò)安全系統(tǒng)存在的各部分相對(duì)獨(dú)立、關(guān)聯(lián)性不強(qiáng)以及無(wú)相互補(bǔ)充、統(tǒng)一協(xié)調(diào)的防護(hù)體系問(wèn)題。

【關(guān)鍵詞】數(shù)據(jù)城域網(wǎng) 安全威脅安全防護(hù)體系

中圖分類(lèi)號(hào)：TN915 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-1010（2014）-20-0058-05

Research on Security Protection System Deployment and Solution

for Data MAN

LI Gang， WU Ju

（China Mobile Group Design Institute Co.， Ltd.， Heilongjiang Branch， Harbin 150080， China）

[Abstract] Taken the data metropolitan area network （MAN） of China Mobile as an example， the network structure， bearing services and main security threat of data MAN are analyzed. Four security protection systems are constructed， including security domain division and border integration， device security configuration， professional security protection and information security management platform. According to the situation of a data MAN of China Mobile， the security protection construction solution is shown which is multi-level， multi-step and phased. The solution can effectively solve the problems in original security systems， such as relative independence， weak correlation and incoordination of each part in protection system.

[Key words]data MAN security threat security protection system

1 引言

在中國(guó)移動(dòng)開(kāi)展全業(yè)務(wù)運(yùn)營(yíng)的大背景下，移動(dòng)數(shù)據(jù)城域網(wǎng)成為越來(lái)越重要的基礎(chǔ)網(wǎng)絡(luò)。數(shù)據(jù)城域網(wǎng)在承載公共服務(wù)和內(nèi)部業(yè)務(wù)的同時(shí)，也不斷遭受各種安全威脅，嚴(yán)重影響用戶(hù)的應(yīng)用和網(wǎng)絡(luò)感知，甚至造成巨大的經(jīng)濟(jì)損失和惡劣的社會(huì)影響。目前數(shù)據(jù)城域網(wǎng)各種防護(hù)手段相互獨(dú)立、缺少關(guān)聯(lián)，沒(méi)有形成統(tǒng)一協(xié)調(diào)的安全防護(hù)體系，網(wǎng)絡(luò)本身及業(yè)務(wù)應(yīng)用存在著安全隱患?；诖?，本文針對(duì)數(shù)據(jù)城域網(wǎng)，在分析網(wǎng)絡(luò)結(jié)構(gòu)、承載業(yè)務(wù)及面臨的風(fēng)險(xiǎn)和安全威脅的基礎(chǔ)上，構(gòu)建了包含安全域劃分及邊界整合、設(shè)備自身安全配置、基礎(chǔ)防護(hù)技術(shù)手段建設(shè)及信息管理平臺(tái)建設(shè)4個(gè)層面內(nèi)容的統(tǒng)一協(xié)調(diào)安全防護(hù)體系，并給出了安全解決方案。

2 數(shù)據(jù)城域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)及承載業(yè)務(wù)

數(shù)據(jù)城域網(wǎng)作為最終提供各種業(yè)務(wù)接入，最靠近用戶(hù)側(cè)的網(wǎng)絡(luò)，成為全業(yè)務(wù)運(yùn)營(yíng)下網(wǎng)絡(luò)建設(shè)的關(guān)鍵層面，是中國(guó)移動(dòng)未來(lái)幾年網(wǎng)絡(luò)建設(shè)規(guī)劃的重中之重。數(shù)據(jù)城域網(wǎng)是CMNET省網(wǎng)在城域內(nèi)的延伸[1]，遵循網(wǎng)絡(luò)扁平化建設(shè)原則，目前典型的數(shù)據(jù)城域網(wǎng)組網(wǎng)模式是三層路由技術(shù)，由圖1可見(jiàn)，數(shù)據(jù)城域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)包括核心層、業(yè)務(wù)接入控制層和接入層。

下一代城域網(wǎng)將具備語(yǔ)音、數(shù)據(jù)、視頻和移動(dòng)等四重播放能力，同時(shí)支持個(gè)人用戶(hù)和政企用戶(hù)，并支持各種主流的業(yè)務(wù)和應(yīng)用部署模型，是面向多業(yè)務(wù)融合的IP承載網(wǎng)絡(luò)，其承載的業(yè)務(wù)可按照不同的劃分方式進(jìn)行描述。

（1）按接入對(duì)象類(lèi)型和接入方式劃分，可分為：

◆集團(tuán)客戶(hù)專(zhuān)線(xiàn)接入；

◆WLAN熱點(diǎn)接入；

◆小區(qū)寬帶接入。

（2）按業(yè)務(wù)類(lèi)型劃分，可分為：

◆互聯(lián)網(wǎng)接入：如互聯(lián)網(wǎng)訪(fǎng)問(wèn)、MDC業(yè)務(wù)接入和承載、自有業(yè)務(wù)系統(tǒng)接入和承載、行業(yè)應(yīng)用平臺(tái)接入和承載等；

◆集團(tuán)客戶(hù)虛擬專(zhuān)網(wǎng)（VPN、VPDN）：如電子政務(wù)、企業(yè)信息化承載等；

◆語(yǔ)音和多媒體類(lèi)：如VoIP實(shí)時(shí)語(yǔ)音、視頻會(huì)議、多媒體融合通訊、IPTV流媒體類(lèi)等。

3 數(shù)據(jù)城域網(wǎng)面臨的風(fēng)險(xiǎn)及安全威脅

數(shù)據(jù)城域網(wǎng)本身覆蓋面廣、物理結(jié)構(gòu)龐大、網(wǎng)絡(luò)流量大，無(wú)論是來(lái)自外面Internet網(wǎng)絡(luò)的用戶(hù)，還是城域網(wǎng)絡(luò)內(nèi)部的用戶(hù)，都能對(duì)數(shù)據(jù)城域網(wǎng)的安全構(gòu)成威脅[2]。常見(jiàn)的安全威脅主要有路由攻擊、流量攻擊、非法入侵、病毒、不良信息及垃圾郵件等。網(wǎng)絡(luò)結(jié)構(gòu)中各個(gè)層面所面臨的安全威脅存在差異，需要有針對(duì)性地部署安全防護(hù)手段。其中，核心層主要面臨路由攻擊及設(shè)備自身安全攻擊的威脅；業(yè)務(wù)控制層面臨的主要問(wèn)題有用戶(hù)訪(fǎng)問(wèn)控制、用戶(hù)業(yè)務(wù)安全及異常流量監(jiān)測(cè)抑制等；接入層面臨的主要問(wèn)題是用戶(hù)攻擊行為等[3]。

根據(jù)上述分析及國(guó)際通用的安全分析原則，可以從網(wǎng)絡(luò)的控制平面、管理平面和數(shù)據(jù)平面分析常見(jiàn)安全威脅，具體如表1所示：endprint

表1 數(shù)據(jù)城域網(wǎng)面臨的常見(jiàn)安全威脅

平面常見(jiàn)的安全威脅

控制平面 BGP路由協(xié)議攻擊、IGP路由協(xié)議攻擊、DNS緩存投毒、DNS域名劫持、Radius協(xié)議攻擊等

管理平面后門(mén)、非授權(quán)訪(fǎng)問(wèn)、網(wǎng)絡(luò)/漏洞探測(cè)和信息采集、用戶(hù)身份偽造和欺騙、內(nèi)部信息泄露、操作失誤等

數(shù)據(jù)平面拒絕服務(wù)攻擊、惡意代碼（僵尸、木馬、蠕蟲(chóng)、病毒）、虛假I(mǎi)P地址、垃圾郵件、不良信息、業(yè)務(wù)濫用等

4 數(shù)據(jù)城域網(wǎng)安全防護(hù)體系部署

數(shù)據(jù)城域網(wǎng)結(jié)構(gòu)龐大而復(fù)雜，其安全防護(hù)部署須在統(tǒng)一規(guī)劃的前提下，根據(jù)互聯(lián)網(wǎng)開(kāi)放性特性，按照數(shù)據(jù)流向的特點(diǎn)，采用集成防護(hù)的思路，將互聯(lián)網(wǎng)看成一個(gè)有機(jī)整體，從而建立多層次、立體化、統(tǒng)一協(xié)調(diào)的安全防護(hù)體系[4]。安全防護(hù)體系的建設(shè)內(nèi)容主要包括：安全域劃分及邊界整合、設(shè)備自身安全建設(shè)、基礎(chǔ)安全防護(hù)技術(shù)手段建設(shè)及安全管理平臺(tái)建設(shè)。

4.1 安全域劃分及邊界整合

數(shù)據(jù)城域網(wǎng)的總體安全架構(gòu)分為3個(gè)區(qū)域：支撐域、業(yè)務(wù)域和城域網(wǎng)域，如圖2所示。其中，支撐域是運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)，通常需要部署防火墻[5]，構(gòu)建安全防護(hù)的縱深體系，降低基礎(chǔ)網(wǎng)絡(luò)受外部攻擊侵害的可能性；業(yè)務(wù)域是數(shù)據(jù)交互的平臺(tái)，包括電信運(yùn)營(yíng)商提供的各種業(yè)務(wù)平臺(tái)，如Web服務(wù)平臺(tái)、FTP服務(wù)器、IDC[6]等；城域網(wǎng)域最貼近用戶(hù)，直接向用戶(hù)提供業(yè)務(wù)接入，同時(shí)也是Internet網(wǎng)絡(luò)的一部分，是運(yùn)營(yíng)商不能完全控制的網(wǎng)絡(luò)，需要重點(diǎn)考慮。一方面，基于用戶(hù)需求，提供監(jiān)測(cè)、防御來(lái)自其它網(wǎng)絡(luò)和用戶(hù)的攻擊流量、控制用戶(hù)訪(fǎng)問(wèn)、內(nèi)容過(guò)濾等；另一方面，面向網(wǎng)絡(luò)，防止用戶(hù)終端被利用作為肉雞攻擊網(wǎng)絡(luò)和其它用戶(hù)、虛假地址、濫用資源等。

通過(guò)安全域劃分及邊界整合，形成清晰、簡(jiǎn)潔、穩(wěn)定的互聯(lián)網(wǎng)組網(wǎng)架構(gòu)，實(shí)現(xiàn)系統(tǒng)之間嚴(yán)格訪(fǎng)問(wèn)控制的安全互聯(lián)，更好地解決復(fù)雜系統(tǒng)的安全問(wèn)題。當(dāng)前的中國(guó)移動(dòng)互聯(lián)網(wǎng)是一個(gè)龐大的復(fù)雜系統(tǒng)，在支持業(yè)務(wù)發(fā)展的前提下對(duì)系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、重點(diǎn)防護(hù)是保證系統(tǒng)和信息安全的重要手段。

4.2 設(shè)備自身安全建設(shè)

設(shè)備的自身安全防護(hù)是整體安全防護(hù)體系的基礎(chǔ)，加強(qiáng)設(shè)備自身的安全防護(hù)能力將從根本上提升整體安全防護(hù)體系的防護(hù)能力和程度。設(shè)備自身安全包含4個(gè)方面：軟件編碼安全、業(yè)務(wù)安全（流程、數(shù)據(jù)）、安全功能（加密、認(rèn)證、權(quán)限、日志記錄與審計(jì)等）、安全配置。城域網(wǎng)涉及的設(shè)備主要有路由器、交換機(jī)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、Web服務(wù)器等。中國(guó)移動(dòng)網(wǎng)絡(luò)部目前已經(jīng)編制設(shè)備功能要求規(guī)范和設(shè)備配置要求規(guī)范，包括主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)三大類(lèi)，具體安全功能和配置規(guī)范參見(jiàn)《中國(guó)移動(dòng)設(shè)備安全功能和配置系列規(guī)范》[7]。其中應(yīng)重點(diǎn)關(guān)注以下3個(gè)方面：

（1）端口及服務(wù)最小化；

（2）安全補(bǔ)丁及時(shí)加載；

（3）包過(guò)濾規(guī)則設(shè)定。

4.3 基礎(chǔ)安全防護(hù)技術(shù)手段

基礎(chǔ)類(lèi)安全防護(hù)技術(shù)包括防火墻系統(tǒng)、流量監(jiān)控設(shè)備、賬號(hào)口令集中管理系統(tǒng)、日志集中管理與審計(jì)系統(tǒng)、入侵檢測(cè)與防御系統(tǒng)等。

通過(guò)日志集中管理與審計(jì)系統(tǒng)，實(shí)現(xiàn)自動(dòng)的日志采集與分析，發(fā)現(xiàn)安全問(wèn)題；實(shí)現(xiàn)自動(dòng)審計(jì)，以便責(zé)任認(rèn)定；實(shí)現(xiàn)審計(jì)結(jié)果自動(dòng)觸發(fā)響應(yīng)，以降低損失。

通過(guò)合理的防火墻部署，構(gòu)建安全防護(hù)的縱深體系，設(shè)定合理的訪(fǎng)問(wèn)控制權(quán)限，降低系統(tǒng)內(nèi)部受外部攻擊侵害的可能性。

通過(guò)賬號(hào)口令集中管理系統(tǒng)，實(shí)現(xiàn)對(duì)賬戶(hù)的認(rèn)證和授權(quán)集中化、規(guī)范化，通過(guò)合理的分級(jí)授權(quán)，實(shí)現(xiàn)職責(zé)分離，并通過(guò)對(duì)賬號(hào)的安全審計(jì)，保障系統(tǒng)資源不被濫用和盜用。

4.4 信息安全管理平臺(tái)建設(shè)

為了實(shí)現(xiàn)精細(xì)化風(fēng)險(xiǎn)管理，在理順流程和規(guī)范設(shè)備接口的基礎(chǔ)上，需要建設(shè)信息安全管理平臺(tái)[8]。信息安全管理平臺(tái)將人、手段、流程、知識(shí)等因素有機(jī)集成，有效地支撐安全相關(guān)人員的日常監(jiān)控，風(fēng)險(xiǎn)分析和評(píng)估，安全事件應(yīng)急處置工作融合安全預(yù)警、安全威脅管理、安全事件響應(yīng)、安全態(tài)勢(shì)分析等技術(shù)管理手段，形成快速、流暢的安全閉環(huán)管理和反應(yīng)機(jī)制。

5 數(shù)據(jù)城域網(wǎng)安全解決方案

根據(jù)上述網(wǎng)絡(luò)安全防護(hù)體系的部署，數(shù)據(jù)城域網(wǎng)需進(jìn)行多層次的安全隔離和防護(hù)。結(jié)合中國(guó)移動(dòng)某省數(shù)據(jù)城域網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀，給出的安全解決方案如圖3所示。

該方案可分為以下3個(gè)階段分步實(shí)施：

（1）根據(jù)城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)進(jìn)行安全域劃分，并按照安全域的劃分原則，對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備進(jìn)行規(guī)劃整合，使得設(shè)備的部署符合安全域的劃分原則。同時(shí)，根據(jù)流量情況和業(yè)務(wù)需求，在域邊界及各安全域內(nèi)部部署網(wǎng)絡(luò)防火墻、流量監(jiān)控設(shè)備、DDoS流量過(guò)濾設(shè)備等。此階段重點(diǎn)解決網(wǎng)絡(luò)承載的安全問(wèn)題，以保證數(shù)據(jù)城域網(wǎng)的網(wǎng)絡(luò)安全，達(dá)到隔離及消除內(nèi)部威脅的目的。

（2）在接入網(wǎng)各安全域邊界部署內(nèi)容安全類(lèi)的產(chǎn)品，主要包括上網(wǎng)行為管理系統(tǒng)、垃圾郵件過(guò)濾系統(tǒng)、惡意URL檢測(cè)控制系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)等。此階段重點(diǎn)解決用戶(hù)的網(wǎng)絡(luò)安全問(wèn)題，以保證數(shù)據(jù)城域網(wǎng)用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)安全，提升用戶(hù)的上網(wǎng)體驗(yàn)，并可通過(guò)增值服務(wù)的方式提供給用戶(hù)。應(yīng)考慮優(yōu)先保重點(diǎn)用戶(hù)的安全，再面向普通用戶(hù)的安全。

（3）建設(shè)安全運(yùn)維中心，該中心包括漏洞評(píng)估中心、事件流量監(jiān)控中心、運(yùn)行狀態(tài)監(jiān)控中心、綜合分析決策支持與預(yù)警和響應(yīng)管理中心，由策略管理、資產(chǎn)管理、用戶(hù)管理、安全知識(shí)管理和自身系統(tǒng)維護(hù)管理5個(gè)功能模塊組成。

該方案中所采用的基礎(chǔ)性安全技術(shù)防護(hù)手段主要為：流量監(jiān)測(cè)、應(yīng)用層攻擊防范、互聯(lián)網(wǎng)虛假I(mǎi)P地址監(jiān)測(cè)、不良信息監(jiān)測(cè)系統(tǒng)、入侵檢測(cè)與防御系統(tǒng)、漏洞掃描和評(píng)估系統(tǒng)。

（1）流量監(jiān)測(cè)：以防范城域網(wǎng)外的DDoS攻擊為主，在業(yè)務(wù)規(guī)模大的城域網(wǎng)絡(luò)的出口可部署抗DDoS攻擊安全設(shè)計(jì)，抵御各種DDoS攻擊，提高網(wǎng)絡(luò)的可用性。

（2）應(yīng)用層攻擊防范：主要考慮病毒的防范和攔截問(wèn)題，病毒防范和攔截功能要求安全防護(hù)設(shè)備可在網(wǎng)絡(luò)中發(fā)現(xiàn)攜帶病毒的文件，能夠?qū)τ脩?hù)訪(fǎng)問(wèn)攜帶病毒文件的行為進(jìn)行阻斷，并在用戶(hù)終端彈出告警對(duì)話(huà)框進(jìn)行提醒，同時(shí)提供相應(yīng)的專(zhuān)殺工具。endprint

（3）互聯(lián)網(wǎng)虛假I(mǎi)P地址監(jiān)測(cè)：城域網(wǎng)的設(shè)備應(yīng)具備IP地址的識(shí)別能力，并對(duì)判別的偽裝的IP地址的報(bào)文進(jìn)行丟棄。

（4）不良信息監(jiān)測(cè)系統(tǒng)：能夠?qū)τ脩?hù)上網(wǎng)產(chǎn)生的各種業(yè)務(wù)數(shù)據(jù)流進(jìn)行有效識(shí)別，包括P2P數(shù)據(jù)流、QQ數(shù)據(jù)流、VoIP數(shù)據(jù)流等。同時(shí)，還能對(duì)用戶(hù)網(wǎng)絡(luò)流量協(xié)議進(jìn)行正確解析，以確認(rèn)是否為允許的URL訪(fǎng)問(wèn)地址。

（5）入侵檢測(cè)與防御系統(tǒng)：應(yīng)具備安全事件監(jiān)測(cè)功能、策略管理功能、響應(yīng)與告警功能及入侵防御功能。

（6）漏洞掃描和評(píng)估系統(tǒng)：對(duì)網(wǎng)絡(luò)進(jìn)行安全掃描并找出安全漏洞，主要包括數(shù)據(jù)庫(kù)掃描器、系統(tǒng)掃描及互聯(lián)網(wǎng)掃描。

數(shù)據(jù)城域網(wǎng)的網(wǎng)絡(luò)安全部署及實(shí)施是一個(gè)持續(xù)改進(jìn)與優(yōu)化的過(guò)程，要根據(jù)網(wǎng)絡(luò)安全危險(xiǎn)、威脅的演變而做相應(yīng)的調(diào)整與布局，須從全局著手構(gòu)建安全防護(hù)的縱深體系。網(wǎng)絡(luò)安全防護(hù)不僅要注重設(shè)備安全性能及安全技術(shù)的深入研究，更要關(guān)注人在網(wǎng)絡(luò)安全防護(hù)中所起的決定性作用，只有全面協(xié)調(diào)部署人、技術(shù)、設(shè)備各因素，才能營(yíng)造一個(gè)可用、可管理的安全網(wǎng)絡(luò)。

參考文獻(xiàn)：

[1] 陳磊. 全業(yè)務(wù)城域網(wǎng)組網(wǎng)演進(jìn)探討[J]. 郵電設(shè)計(jì)技術(shù)， 2010（4）： 36-39.

[2] 陳仲華，王孝明，張連營(yíng). IP城域網(wǎng)網(wǎng)絡(luò)安全研究[EB/OL]. （2008-07-10）[2014-02-12]. http：//www.cnii.com.cn/20080623/ca478918.htm.

[3] 徐琳峰，曾菊根，李社宏. IP城域網(wǎng)的安全管理[J]. 計(jì)算機(jī)與現(xiàn)代化， 2009（5）： 126-129.

[4] 工業(yè)和信息化部. YD/T 1728～1759-2008 電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系系列標(biāo)準(zhǔn)[S]. 2008.

[5] 中國(guó)移動(dòng)通信有限公司. QB-W-001-2008 中國(guó)移動(dòng)防火墻部署總體技術(shù)要求[S]. 2008.

[6] 中國(guó)移動(dòng)通信有限公司. 中國(guó)移動(dòng)IDC安全防護(hù)技術(shù)要求[S]. 2009.

[7] 中國(guó)移動(dòng)通信有限公司. 中國(guó)移動(dòng)設(shè)備通用安全功能和配置規(guī)范[S]. 2008.

[8] 中國(guó)移動(dòng)通信有限公司. QB-B-002-2010 中國(guó)移動(dòng)城域數(shù)據(jù)網(wǎng)技術(shù)體制V1.0.0[S]. 2010.

作者簡(jiǎn)介

李剛：互聯(lián)網(wǎng)及自動(dòng)控制高級(jí)工程師，工學(xué)博士，現(xiàn)任職于中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司黑龍江分公司，先后從事系統(tǒng)集成、互聯(lián)網(wǎng)、數(shù)通、核心網(wǎng)、網(wǎng)絡(luò)安全規(guī)劃咨詢(xún)工作，發(fā)表論文28篇，曾獲中國(guó)移動(dòng)集團(tuán)、黑龍江省移動(dòng)設(shè)計(jì)院優(yōu)秀論文和科研成果獎(jiǎng)。

吳菊：工程師，工學(xué)博士，現(xiàn)任職于中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司黑龍江分公司，主要研究方向?yàn)樾盘?hào)與信息處理、網(wǎng)絡(luò)安全、設(shè)計(jì)質(zhì)量評(píng)估等。endprint