電信運(yùn)營(yíng)商的內(nèi)網(wǎng)優(yōu)化改造研究與部署

程旺燕 王林林 吳寶山 崔中勝 黃建軍

摘要：中國(guó)電信安徽分公司企業(yè)內(nèi)網(wǎng)不僅承載了內(nèi)部支撐管理系統(tǒng)和生產(chǎn)系統(tǒng)，而且承載了辦公終端。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，各種網(wǎng)絡(luò)病毒和威脅不斷涌現(xiàn)，對(duì)網(wǎng)絡(luò)安全防護(hù)提出了更高的要求。因此，安徽分公司的企業(yè)內(nèi)網(wǎng)優(yōu)化改造迫在眉睫。本文從網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、辦公終端安全管理、IP地址管理三個(gè)方面提出了改造方案并實(shí)施了部署，進(jìn)一步提升了安徽分公司企業(yè)內(nèi)網(wǎng)的安全性，在電信運(yùn)營(yíng)商中具有一定的推廣意義。

關(guān)鍵詞：電信運(yùn)營(yíng)商;企業(yè)內(nèi)網(wǎng);終端安全;實(shí)名制

中圖分類號(hào)：TP393? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）25-0055-02

1 引言

中國(guó)電信企業(yè)內(nèi)網(wǎng)（以下簡(jiǎn)稱DCN網(wǎng)）是承載中國(guó)電信內(nèi)部支撐管理系統(tǒng)和業(yè)務(wù)生產(chǎn)系統(tǒng)的專有網(wǎng)絡(luò)通道，安徽分公司的DCN網(wǎng)不僅承載了企業(yè)內(nèi)部支撐管理系統(tǒng)和業(yè)務(wù)生產(chǎn)系統(tǒng)，而且承載了全體員工的辦公終端，辦公終端通過省公司統(tǒng)一公網(wǎng)出口訪問互聯(lián)網(wǎng)業(yè)務(wù)。隨著網(wǎng)絡(luò)技術(shù)和信息化建設(shè)的飛速發(fā)展，網(wǎng)絡(luò)病毒、蠕蟲的傳播，針對(duì)系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊、信息泄露和盜用，都可能會(huì)造成重要網(wǎng)絡(luò)或系統(tǒng)癱瘓[1]。因此，安徽分公司DCN網(wǎng)面臨著巨大的安全威脅，如何在現(xiàn)有網(wǎng)絡(luò)上進(jìn)行優(yōu)化改造，既保證內(nèi)部支撐管理系統(tǒng)和業(yè)務(wù)生產(chǎn)系統(tǒng)安全、穩(wěn)定運(yùn)行，又能滿足廣大員工的日常辦公需求，是當(dāng)前需解決的問題。

2問題分析

安徽分公司DCN網(wǎng)在優(yōu)化改造前（網(wǎng)絡(luò)拓?fù)淙鐖D1所示）主要存在如下三個(gè)安全隱患問題。問題一：所有辦公終端均接入DCN網(wǎng)，通過省中心的終端認(rèn)證設(shè)備認(rèn)證后訪問互聯(lián)網(wǎng)業(yè)務(wù)，DCN網(wǎng)存在互聯(lián)網(wǎng)統(tǒng)一出口，不符合集團(tuán)公司關(guān)于DCN網(wǎng)不允許存在互聯(lián)網(wǎng)出口的安全運(yùn)營(yíng)要求。問題二：所有辦公終端和非辦公終端未進(jìn)行物理或邏輯隔離，存在IP地址段混用的情況。辦公終端很容易成為肉雞和攻擊跳板，對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)構(gòu)成安全威脅，存在較大的安全運(yùn)營(yíng)風(fēng)險(xiǎn)。問題三：DCN網(wǎng)IP地址未實(shí)現(xiàn)100%實(shí)名制，導(dǎo)致無法100%溯源，不符合運(yùn)維管理要求。

3 優(yōu)化和部署方案

3.1 網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化

新建OA辦公網(wǎng)，與DCN網(wǎng)隔離。通過在CN 2網(wǎng)PE設(shè)備和城域網(wǎng)ASBR、BRAS等設(shè)備上開通OA辦公網(wǎng)的MPLS VPN，與現(xiàn)有DCN網(wǎng)的MPLS VPN[2]實(shí)現(xiàn)邏輯隔離，同時(shí)在接入段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備物理隔離（網(wǎng)絡(luò)拓?fù)淙鐖D2所示）。

此次網(wǎng)絡(luò)優(yōu)化改造，全省除采購(gòu)2臺(tái)華為S9300X-8交換機(jī)作為OA辦公網(wǎng)省核心交換機(jī)使用外，原承載辦公終端的DCN網(wǎng)接入段設(shè)備全部割接至OA辦公網(wǎng)，具備PON資源的優(yōu)先從PON接入，無其他新增投資。OA辦公網(wǎng)新啟用22.0.0.0/8地址段，在承載網(wǎng)與其他VPN業(yè)務(wù)區(qū)分，通過公網(wǎng)私用的方式解決辦公終端的IP地址使用需求，在省中心終端認(rèn)證設(shè)備上實(shí)現(xiàn)OA辦公網(wǎng)訪問互聯(lián)網(wǎng)和DCN網(wǎng)的NAT轉(zhuǎn)換。完成網(wǎng)絡(luò)優(yōu)化改造后，全部辦公終端從DCN網(wǎng)割接至OA辦公網(wǎng)承載，經(jīng)過認(rèn)證后二選一訪問互聯(lián)網(wǎng)或者DCN網(wǎng)，DCN網(wǎng)內(nèi)只保留IT和網(wǎng)絡(luò)類資產(chǎn)，大大提升了DCN網(wǎng)的安全性。

3.2辦公終端安全管理

使用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)[3]，對(duì)所有接入OA辦公網(wǎng)的辦公終端強(qiáng)制安裝桌面安全系統(tǒng)軟件（如圖3所示）。辦公終端桌面安全系統(tǒng)對(duì)終端的殺毒軟件、密碼策略設(shè)置、屏幕保護(hù)、禁止安裝軟件、弱口令賬戶等6大項(xiàng)內(nèi)容進(jìn)行實(shí)時(shí)檢查。若檢查發(fā)現(xiàn)存在不符合安全管理要求的內(nèi)容，辦公終端桌面安全系統(tǒng)會(huì)產(chǎn)生告警并給出修復(fù)方案。辦公終端桌面安全系統(tǒng)軟件上線半年時(shí)間里，累計(jì)檢測(cè)到終端弱口令10207個(gè)、禁止安裝的軟件894個(gè)、殺毒軟件不合規(guī)9546個(gè)、鎖屏?xí)r間不合規(guī)9368個(gè)、密碼策略不合規(guī)10549個(gè)，進(jìn)一步提升了辦公終端的安全性。

3.3 IP地址管理

一方面，制定IP地址管理辦法，明確各單位在IP地址規(guī)劃、申請(qǐng)、分配、注冊(cè)、使用、更改、回收和稽核等環(huán)節(jié)的職責(zé)。另一方面，建設(shè)IP地址管理系統(tǒng)，將IP地址的全生命周期管理納入生產(chǎn)流程，規(guī)范對(duì)IP地址的系統(tǒng)化、日?；?dòng)態(tài)化管理。

對(duì)于OA辦公網(wǎng)IP地址，在省中心終端認(rèn)證系統(tǒng)實(shí)現(xiàn)實(shí)名制管理（如圖4所示），包括認(rèn)證時(shí)間、獲取的IP地址、使用人OA工號(hào)和姓名等信息。

對(duì)于DCN網(wǎng)IP地址，遵循“先實(shí)名、后使用”原則[4]，在IP地址管理系統(tǒng)中完成實(shí)名制注冊(cè)后才能使用，要求每一個(gè)DCN網(wǎng)IP地址都能對(duì)應(yīng)到單位、部門、系統(tǒng)、設(shè)備/終端和責(zé)任人，確保并確保信息準(zhǔn)確性、完整新和及時(shí)性（如圖5所示）。

4部署成效和結(jié)論

本文提出的電信運(yùn)營(yíng)商的內(nèi)網(wǎng)優(yōu)化改造研究與部署方案，在安徽分公司實(shí)踐應(yīng)用后取得了十分顯著的成效。通過新建OA辦公網(wǎng)，實(shí)現(xiàn)全省約1.5萬辦公終端全部從DCN網(wǎng)剝離，DCN網(wǎng)內(nèi)只保留IT和網(wǎng)絡(luò)類資產(chǎn)。通過升級(jí)終端認(rèn)證系統(tǒng)以及上線辦公終端桌面安全系統(tǒng)軟件，實(shí)現(xiàn)OA網(wǎng)IP地址100%實(shí)名制同時(shí)提升了辦公終端的安全性。通過利用省內(nèi)IP地址管理系統(tǒng)，實(shí)現(xiàn)DCN網(wǎng)IP地址100%實(shí)名制和全生命周期管理。

該方案在中國(guó)電信安徽分公司企業(yè)內(nèi)網(wǎng)部署后，達(dá)到了預(yù)期的效果，在電信運(yùn)營(yíng)商中具有非常好的推廣性。

參考文獻(xiàn)：

[1] 楊德友，王偉，陳詩(shī)偉.大型企業(yè)的網(wǎng)絡(luò)安全分析及安全防護(hù)體系設(shè)計(jì)[J].商場(chǎng)現(xiàn)代化，2009（13）：142-144.

[2] 王達(dá).華為MPLS VPN學(xué)習(xí)指南[M].北京：人民郵電出版社，2019.

[3] 宋經(jīng)偉.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理系統(tǒng)中的應(yīng)用[J].軟件導(dǎo)刊，2014，13（2）：136-138.

[4] 周珊珊.我國(guó)網(wǎng)絡(luò)實(shí)名制發(fā)展?fàn)顩r研究[D].武漢：華中科技大學(xué)，2011.

【通聯(lián)編輯：唐一東】