程旺燕 王林林 吳寶山 崔中勝 黃建軍
摘要:中國(guó)電信安徽分公司企業(yè)內(nèi)網(wǎng)不僅承載了內(nèi)部支撐管理系統(tǒng)和生產(chǎn)系統(tǒng),而且承載了辦公終端。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,各種網(wǎng)絡(luò)病毒和威脅不斷涌現(xiàn),對(duì)網(wǎng)絡(luò)安全防護(hù)提出了更高的要求。因此,安徽分公司的企業(yè)內(nèi)網(wǎng)優(yōu)化改造迫在眉睫。本文從網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、辦公終端安全管理、IP地址管理三個(gè)方面提出了改造方案并實(shí)施了部署,進(jìn)一步提升了安徽分公司企業(yè)內(nèi)網(wǎng)的安全性,在電信運(yùn)營(yíng)商中具有一定的推廣意義。
關(guān)鍵詞:電信運(yùn)營(yíng)商;企業(yè)內(nèi)網(wǎng);終端安全;實(shí)名制
中圖分類號(hào):TP393? ? ? ?文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1009-3044(2021)25-0055-02
1 引言
中國(guó)電信企業(yè)內(nèi)網(wǎng)(以下簡(jiǎn)稱DCN網(wǎng))是承載中國(guó)電信內(nèi)部支撐管理系統(tǒng)和業(yè)務(wù)生產(chǎn)系統(tǒng)的專有網(wǎng)絡(luò)通道,安徽分公司的DCN網(wǎng)不僅承載了企業(yè)內(nèi)部支撐管理系統(tǒng)和業(yè)務(wù)生產(chǎn)系統(tǒng),而且承載了全體員工的辦公終端,辦公終端通過省公司統(tǒng)一公網(wǎng)出口訪問互聯(lián)網(wǎng)業(yè)務(wù)。隨著網(wǎng)絡(luò)技術(shù)和信息化建設(shè)的飛速發(fā)展,網(wǎng)絡(luò)病毒、蠕蟲的傳播,針對(duì)系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊、信息泄露和盜用,都可能會(huì)造成重要網(wǎng)絡(luò)或系統(tǒng)癱瘓[1]。因此,安徽分公司DCN網(wǎng)面臨著巨大的安全威脅,如何在現(xiàn)有網(wǎng)絡(luò)上進(jìn)行優(yōu)化改造,既保證內(nèi)部支撐管理系統(tǒng)和業(yè)務(wù)生產(chǎn)系統(tǒng)安全、穩(wěn)定運(yùn)行,又能滿足廣大員工的日常辦公需求,是當(dāng)前需解決的問題。
2問題分析
安徽分公司DCN網(wǎng)在優(yōu)化改造前(網(wǎng)絡(luò)拓?fù)淙鐖D1所示)主要存在如下三個(gè)安全隱患問題。問題一:所有辦公終端均接入DCN網(wǎng),通過省中心的終端認(rèn)證設(shè)備認(rèn)證后訪問互聯(lián)網(wǎng)業(yè)務(wù),DCN網(wǎng)存在互聯(lián)網(wǎng)統(tǒng)一出口,不符合集團(tuán)公司關(guān)于DCN網(wǎng)不允許存在互聯(lián)網(wǎng)出口的安全運(yùn)營(yíng)要求。問題二:所有辦公終端和非辦公終端未進(jìn)行物理或邏輯隔離,存在IP地址段混用的情況。辦公終端很容易成為肉雞和攻擊跳板,對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)構(gòu)成安全威脅,存在較大的安全運(yùn)營(yíng)風(fēng)險(xiǎn)。問題三:DCN網(wǎng)IP地址未實(shí)現(xiàn)100%實(shí)名制,導(dǎo)致無法100%溯源,不符合運(yùn)維管理要求。
3 優(yōu)化和部署方案
3.1 網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化
新建OA辦公網(wǎng),與DCN網(wǎng)隔離。通過在CN 2網(wǎng)PE設(shè)備和城域網(wǎng)ASBR、BRAS等設(shè)備上開通OA辦公網(wǎng)的MPLS VPN,與現(xiàn)有DCN網(wǎng)的MPLS VPN[2]實(shí)現(xiàn)邏輯隔離,同時(shí)在接入段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備物理隔離(網(wǎng)絡(luò)拓?fù)淙鐖D2所示)。
此次網(wǎng)絡(luò)優(yōu)化改造,全省除采購(gòu)2臺(tái)華為S9300X-8交換機(jī)作為OA辦公網(wǎng)省核心交換機(jī)使用外,原承載辦公終端的DCN網(wǎng)接入段設(shè)備全部割接至OA辦公網(wǎng),具備PON資源的優(yōu)先從PON接入,無其他新增投資。OA辦公網(wǎng)新啟用22.0.0.0/8地址段,在承載網(wǎng)與其他VPN業(yè)務(wù)區(qū)分,通過公網(wǎng)私用的方式解決辦公終端的IP地址使用需求,在省中心終端認(rèn)證設(shè)備上實(shí)現(xiàn)OA辦公網(wǎng)訪問互聯(lián)網(wǎng)和DCN網(wǎng)的NAT轉(zhuǎn)換。完成網(wǎng)絡(luò)優(yōu)化改造后,全部辦公終端從DCN網(wǎng)割接至OA辦公網(wǎng)承載,經(jīng)過認(rèn)證后二選一訪問互聯(lián)網(wǎng)或者DCN網(wǎng),DCN網(wǎng)內(nèi)只保留IT和網(wǎng)絡(luò)類資產(chǎn),大大提升了DCN網(wǎng)的安全性。
3.2辦公終端安全管理
使用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)[3],對(duì)所有接入OA辦公網(wǎng)的辦公終端強(qiáng)制安裝桌面安全系統(tǒng)軟件(如圖3所示)。辦公終端桌面安全系統(tǒng)對(duì)終端的殺毒軟件、密碼策略設(shè)置、屏幕保護(hù)、禁止安裝軟件、弱口令賬戶等6大項(xiàng)內(nèi)容進(jìn)行實(shí)時(shí)檢查。若檢查發(fā)現(xiàn)存在不符合安全管理要求的內(nèi)容,辦公終端桌面安全系統(tǒng)會(huì)產(chǎn)生告警并給出修復(fù)方案。辦公終端桌面安全系統(tǒng)軟件上線半年時(shí)間里,累計(jì)檢測(cè)到終端弱口令10207個(gè)、禁止安裝的軟件894個(gè)、殺毒軟件不合規(guī)9546個(gè)、鎖屏?xí)r間不合規(guī)9368個(gè)、密碼策略不合規(guī)10549個(gè),進(jìn)一步提升了辦公終端的安全性。
3.3 IP地址管理
一方面,制定IP地址管理辦法,明確各單位在IP地址規(guī)劃、申請(qǐng)、分配、注冊(cè)、使用、更改、回收和稽核等環(huán)節(jié)的職責(zé)。另一方面,建設(shè)IP地址管理系統(tǒng),將IP地址的全生命周期管理納入生產(chǎn)流程,規(guī)范對(duì)IP地址的系統(tǒng)化、日?;?dòng)態(tài)化管理。
對(duì)于OA辦公網(wǎng)IP地址,在省中心終端認(rèn)證系統(tǒng)實(shí)現(xiàn)實(shí)名制管理(如圖4所示),包括認(rèn)證時(shí)間、獲取的IP地址、使用人OA工號(hào)和姓名等信息。
對(duì)于DCN網(wǎng)IP地址,遵循“先實(shí)名、后使用”原則[4],在IP地址管理系統(tǒng)中完成實(shí)名制注冊(cè)后才能使用,要求每一個(gè)DCN網(wǎng)IP地址都能對(duì)應(yīng)到單位、部門、系統(tǒng)、設(shè)備/終端和責(zé)任人,確保并確保信息準(zhǔn)確性、完整新和及時(shí)性(如圖5所示)。
4部署成效和結(jié)論
本文提出的電信運(yùn)營(yíng)商的內(nèi)網(wǎng)優(yōu)化改造研究與部署方案,在安徽分公司實(shí)踐應(yīng)用后取得了十分顯著的成效。通過新建OA辦公網(wǎng),實(shí)現(xiàn)全省約1.5萬辦公終端全部從DCN網(wǎng)剝離,DCN網(wǎng)內(nèi)只保留IT和網(wǎng)絡(luò)類資產(chǎn)。通過升級(jí)終端認(rèn)證系統(tǒng)以及上線辦公終端桌面安全系統(tǒng)軟件,實(shí)現(xiàn)OA網(wǎng)IP地址100%實(shí)名制同時(shí)提升了辦公終端的安全性。通過利用省內(nèi)IP地址管理系統(tǒng),實(shí)現(xiàn)DCN網(wǎng)IP地址100%實(shí)名制和全生命周期管理。
該方案在中國(guó)電信安徽分公司企業(yè)內(nèi)網(wǎng)部署后,達(dá)到了預(yù)期的效果,在電信運(yùn)營(yíng)商中具有非常好的推廣性。
參考文獻(xiàn):
[1] 楊德友,王偉,陳詩(shī)偉.大型企業(yè)的網(wǎng)絡(luò)安全分析及安全防護(hù)體系設(shè)計(jì)[J].商場(chǎng)現(xiàn)代化,2009(13):142-144.
[2] 王達(dá).華為MPLS VPN學(xué)習(xí)指南[M].北京:人民郵電出版社,2019.
[3] 宋經(jīng)偉.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理系統(tǒng)中的應(yīng)用[J].軟件導(dǎo)刊,2014,13(2):136-138.
[4] 周珊珊.我國(guó)網(wǎng)絡(luò)實(shí)名制發(fā)展?fàn)顩r研究[D].武漢:華中科技大學(xué),2011.
【通聯(lián)編輯:唐一東】