數據城域網安全防護體系部署及解決方案研究

李剛+吳菊

【摘 要】以中國移動數據城域網為例，分析了數據城域網的網絡結構、承載業務及面臨的主要安全威脅，構建了包含安全域劃分及邊界整合、設備安全配置、專業安全防護手段建設和信息安全管理平臺建設4個層面內容的安全防護體系，并針對中國移動某省數據城域網的現狀給出了多層次、階梯式、分階段的安全防護建設方案，解決了原有網絡安全系統存在的各部分相對獨立、關聯性不強以及無相互補充、統一協調的防護體系問題。

【關鍵詞】數據城域網 安全威脅 安全防護體系

中圖分類號：TN915 文獻標識碼：A 文章編號：1006-1010（2014）-20-0058-05

Research on Security Protection System Deployment and Solution

for Data MAN

LI Gang， WU Ju

（China Mobile Group Design Institute Co.， Ltd.， Heilongjiang Branch， Harbin 150080， China）

[Abstract] Taken the data metropolitan area network （MAN） of China Mobile as an example， the network structure， bearing services and main security threat of data MAN are analyzed. Four security protection systems are constructed， including security domain division and border integration， device security configuration， professional security protection and information security management platform. According to the situation of a data MAN of China Mobile， the security protection construction solution is shown which is multi-level， multi-step and phased. The solution can effectively solve the problems in original security systems， such as relative independence， weak correlation and incoordination of each part in protection system.

[Key words]data MAN security threat security protection system

1 引言

在中國移動開展全業務運營的大背景下，移動數據城域網成為越來越重要的基礎網絡。數據城域網在承載公共服務和內部業務的同時，也不斷遭受各種安全威脅，嚴重影響用戶的應用和網絡感知，甚至造成巨大的經濟損失和惡劣的社會影響。目前數據城域網各種防護手段相互獨立、缺少關聯，沒有形成統一協調的安全防護體系，網絡本身及業務應用存在著安全隱患。基于此，本文針對數據城域網，在分析網絡結構、承載業務及面臨的風險和安全威脅的基礎上，構建了包含安全域劃分及邊界整合、設備自身安全配置、基礎防護技術手段建設及信息管理平臺建設4個層面內容的統一協調安全防護體系，并給出了安全解決方案。

2 數據城域網的網絡結構及承載業務

數據城域網作為最終提供各種業務接入，最靠近用戶側的網絡，成為全業務運營下網絡建設的關鍵層面，是中國移動未來幾年網絡建設規劃的重中之重。數據城域網是CMNET省網在城域內的延伸[1]，遵循網絡扁平化建設原則，目前典型的數據城域網組網模式是三層路由技術，由圖1可見，數據城域網的網絡結構包括核心層、業務接入控制層和接入層。

下一代城域網將具備語音、數據、視頻和移動等四重播放能力，同時支持個人用戶和政企用戶，并支持各種主流的業務和應用部署模型，是面向多業務融合的IP承載網絡，其承載的業務可按照不同的劃分方式進行描述。

（1）按接入對象類型和接入方式劃分，可分為：

◆集團客戶專線接入；

◆WLAN熱點接入；

◆小區寬帶接入。

（2）按業務類型劃分，可分為：

◆互聯網接入：如互聯網訪問、MDC業務接入和承載、自有業務系統接入和承載、行業應用平臺接入和承載等；

◆集團客戶虛擬專網（VPN、VPDN）：如電子政務、企業信息化承載等；

◆語音和多媒體類：如VoIP實時語音、視頻會議、多媒體融合通訊、IPTV流媒體類等。

3 數據城域網面臨的風險及安全威脅

數據城域網本身覆蓋面廣、物理結構龐大、網絡流量大，無論是來自外面Internet網絡的用戶，還是城域網絡內部的用戶，都能對數據城域網的安全構成威脅[2]。常見的安全威脅主要有路由攻擊、流量攻擊、非法入侵、病毒、不良信息及垃圾郵件等。網絡結構中各個層面所面臨的安全威脅存在差異，需要有針對性地部署安全防護手段。其中，核心層主要面臨路由攻擊及設備自身安全攻擊的威脅；業務控制層面臨的主要問題有用戶訪問控制、用戶業務安全及異常流量監測抑制等；接入層面臨的主要問題是用戶攻擊行為等[3]。

根據上述分析及國際通用的安全分析原則，可以從網絡的控制平面、管理平面和數據平面分析常見安全威脅，具體如表1所示：endprint

表1 數據城域網面臨的常見安全威脅

平面 常見的安全威脅

控制平面 BGP路由協議攻擊、IGP路由協議攻擊、DNS緩存投毒、DNS域名劫持、Radius協議攻擊等

管理平面 后門、非授權訪問、網絡/漏洞探測和信息采集、用戶身份偽造和欺騙、內部信息泄露、操作失誤等

數據平面 拒絕服務攻擊、惡意代碼（僵尸、木馬、蠕蟲、病毒）、虛假IP地址、垃圾郵件、不良信息、業務濫用等

4 數據城域網安全防護體系部署

數據城域網結構龐大而復雜，其安全防護部署須在統一規劃的前提下，根據互聯網開放性特性，按照數據流向的特點，采用集成防護的思路，將互聯網看成一個有機整體，從而建立多層次、立體化、統一協調的安全防護體系[4]。安全防護體系的建設內容主要包括：安全域劃分及邊界整合、設備自身安全建設、基礎安全防護技術手段建設及安全管理平臺建設。

4.1 安全域劃分及邊界整合

數據城域網的總體安全架構分為3個區域：支撐域、業務域和城域網域，如圖2所示。其中，支撐域是運營商的基礎網絡，通常需要部署防火墻[5]，構建安全防護的縱深體系，降低基礎網絡受外部攻擊侵害的可能性；業務域是數據交互的平臺，包括電信運營商提供的各種業務平臺，如Web服務平臺、FTP服務器、IDC[6]等；城域網域最貼近用戶，直接向用戶提供業務接入，同時也是Internet網絡的一部分，是運營商不能完全控制的網絡，需要重點考慮。一方面，基于用戶需求，提供監測、防御來自其它網絡和用戶的攻擊流量、控制用戶訪問、內容過濾等；另一方面，面向網絡，防止用戶終端被利用作為肉雞攻擊網絡和其它用戶、虛假地址、濫用資源等。

通過安全域劃分及邊界整合，形成清晰、簡潔、穩定的互聯網組網架構，實現系統之間嚴格訪問控制的安全互聯，更好地解決復雜系統的安全問題。當前的中國移動互聯網是一個龐大的復雜系統，在支持業務發展的前提下對系統進行區域劃分，進行層次化、重點防護是保證系統和信息安全的重要手段。

4.2 設備自身安全建設

設備的自身安全防護是整體安全防護體系的基礎，加強設備自身的安全防護能力將從根本上提升整體安全防護體系的防護能力和程度。設備自身安全包含4個方面：軟件編碼安全、業務安全（流程、數據）、安全功能（加密、認證、權限、日志記錄與審計等）、安全配置。城域網涉及的設備主要有路由器、交換機、主機操作系統、數據庫、Web服務器等。中國移動網絡部目前已經編制設備功能要求規范和設備配置要求規范，包括主機、數據庫、網絡三大類，具體安全功能和配置規范參見《中國移動設備安全功能和配置系列規范》[7]。其中應重點關注以下3個方面：

（1）端口及服務最小化；

（2）安全補丁及時加載；

（3）包過濾規則設定。

4.3 基礎安全防護技術手段

基礎類安全防護技術包括防火墻系統、流量監控設備、賬號口令集中管理系統、日志集中管理與審計系統、入侵檢測與防御系統等。

通過日志集中管理與審計系統，實現自動的日志采集與分析，發現安全問題；實現自動審計，以便責任認定；實現審計結果自動觸發響應，以降低損失。

通過合理的防火墻部署，構建安全防護的縱深體系，設定合理的訪問控制權限，降低系統內部受外部攻擊侵害的可能性。

通過賬號口令集中管理系統，實現對賬戶的認證和授權集中化、規范化，通過合理的分級授權，實現職責分離，并通過對賬號的安全審計，保障系統資源不被濫用和盜用。

4.4 信息安全管理平臺建設

為了實現精細化風險管理，在理順流程和規范設備接口的基礎上，需要建設信息安全管理平臺[8]。信息安全管理平臺將人、手段、流程、知識等因素有機集成，有效地支撐安全相關人員的日常監控，風險分析和評估，安全事件應急處置工作融合安全預警、安全威脅管理、安全事件響應、安全態勢分析等技術管理手段，形成快速、流暢的安全閉環管理和反應機制。

5 數據城域網安全解決方案

根據上述網絡安全防護體系的部署，數據城域網需進行多層次的安全隔離和防護。結合中國移動某省數據城域網網絡安全的現狀，給出的安全解決方案如圖3所示。

該方案可分為以下3個階段分步實施：

（1）根據城域網的網絡架構進行安全域劃分，并按照安全域的劃分原則，對現有的網絡設備進行規劃整合，使得設備的部署符合安全域的劃分原則。同時，根據流量情況和業務需求，在域邊界及各安全域內部部署網絡防火墻、流量監控設備、DDoS流量過濾設備等。此階段重點解決網絡承載的安全問題，以保證數據城域網的網絡安全，達到隔離及消除內部威脅的目的。

（2）在接入網各安全域邊界部署內容安全類的產品，主要包括上網行為管理系統、垃圾郵件過濾系統、惡意URL檢測控制系統、網絡防病毒系統等。此階段重點解決用戶的網絡安全問題，以保證數據城域網用戶的網絡訪問安全，提升用戶的上網體驗，并可通過增值服務的方式提供給用戶。應考慮優先保重點用戶的安全，再面向普通用戶的安全。

（3）建設安全運維中心，該中心包括漏洞評估中心、事件流量監控中心、運行狀態監控中心、綜合分析決策支持與預警和響應管理中心，由策略管理、資產管理、用戶管理、安全知識管理和自身系統維護管理5個功能模塊組成。

該方案中所采用的基礎性安全技術防護手段主要為：流量監測、應用層攻擊防范、互聯網虛假IP地址監測、不良信息監測系統、入侵檢測與防御系統、漏洞掃描和評估系統。

（1）流量監測：以防范城域網外的DDoS攻擊為主，在業務規模大的城域網絡的出口可部署抗DDoS攻擊安全設計，抵御各種DDoS攻擊，提高網絡的可用性。

（2）應用層攻擊防范：主要考慮病毒的防范和攔截問題，病毒防范和攔截功能要求安全防護設備可在網絡中發現攜帶病毒的文件，能夠對用戶訪問攜帶病毒文件的行為進行阻斷，并在用戶終端彈出告警對話框進行提醒，同時提供相應的專殺工具。endprint

（3）互聯網虛假IP地址監測：城域網的設備應具備IP地址的識別能力，并對判別的偽裝的IP地址的報文進行丟棄。

（4）不良信息監測系統：能夠對用戶上網產生的各種業務數據流進行有效識別，包括P2P數據流、QQ數據流、VoIP數據流等。同時，還能對用戶網絡流量協議進行正確解析，以確認是否為允許的URL訪問地址。

（5）入侵檢測與防御系統：應具備安全事件監測功能、策略管理功能、響應與告警功能及入侵防御功能。

（6）漏洞掃描和評估系統：對網絡進行安全掃描并找出安全漏洞，主要包括數據庫掃描器、系統掃描及互聯網掃描。

數據城域網的網絡安全部署及實施是一個持續改進與優化的過程，要根據網絡安全危險、威脅的演變而做相應的調整與布局，須從全局著手構建安全防護的縱深體系。網絡安全防護不僅要注重設備安全性能及安全技術的深入研究，更要關注人在網絡安全防護中所起的決定性作用，只有全面協調部署人、技術、設備各因素，才能營造一個可用、可管理的安全網絡。

參考文獻：

[1] 陳磊. 全業務城域網組網演進探討[J]. 郵電設計技術， 2010（4）： 36-39.

[2] 陳仲華，王孝明，張連營. IP城域網網絡安全研究[EB/OL]. （2008-07-10）[2014-02-12]. http：//www.cnii.com.cn/20080623/ca478918.htm.

[3] 徐琳峰，曾菊根，李社宏. IP城域網的安全管理[J]. 計算機與現代化， 2009（5）： 126-129.

[4] 工業和信息化部. YD/T 1728～1759-2008 電信網和互聯網安全防護體系系列標準[S]. 2008.

[5] 中國移動通信有限公司. QB-W-001-2008 中國移動防火墻部署總體技術要求[S]. 2008.

[6] 中國移動通信有限公司. 中國移動IDC安全防護技術要求[S]. 2009.

[7] 中國移動通信有限公司. 中國移動設備通用安全功能和配置規范[S]. 2008.

[8] 中國移動通信有限公司. QB-B-002-2010 中國移動城域數據網技術體制V1.0.0[S]. 2010.

作者簡介

李剛：互聯網及自動控制高級工程師，工學博士，現任職于中國移動通信集團設計院有限公司黑龍江分公司，先后從事系統集成、互聯網、數通、核心網、網絡安全規劃咨詢工作，發表論文28篇，曾獲中國移動集團、黑龍江省移動設計院優秀論文和科研成果獎。

吳菊：工程師，工學博士，現任職于中國移動通信集團設計院有限公司黑龍江分公司，主要研究方向為信號與信息處理、網絡安全、設計質量評估等。endprint

（3）互聯網虛假IP地址監測：城域網的設備應具備IP地址的識別能力，并對判別的偽裝的IP地址的報文進行丟棄。

（4）不良信息監測系統：能夠對用戶上網產生的各種業務數據流進行有效識別，包括P2P數據流、QQ數據流、VoIP數據流等。同時，還能對用戶網絡流量協議進行正確解析，以確認是否為允許的URL訪問地址。

（5）入侵檢測與防御系統：應具備安全事件監測功能、策略管理功能、響應與告警功能及入侵防御功能。

（6）漏洞掃描和評估系統：對網絡進行安全掃描并找出安全漏洞，主要包括數據庫掃描器、系統掃描及互聯網掃描。

數據城域網的網絡安全部署及實施是一個持續改進與優化的過程，要根據網絡安全危險、威脅的演變而做相應的調整與布局，須從全局著手構建安全防護的縱深體系。網絡安全防護不僅要注重設備安全性能及安全技術的深入研究，更要關注人在網絡安全防護中所起的決定性作用，只有全面協調部署人、技術、設備各因素，才能營造一個可用、可管理的安全網絡。

參考文獻：

[1] 陳磊. 全業務城域網組網演進探討[J]. 郵電設計技術， 2010（4）： 36-39.

[2] 陳仲華，王孝明，張連營. IP城域網網絡安全研究[EB/OL]. （2008-07-10）[2014-02-12]. http：//www.cnii.com.cn/20080623/ca478918.htm.

[3] 徐琳峰，曾菊根，李社宏. IP城域網的安全管理[J]. 計算機與現代化， 2009（5）： 126-129.

[4] 工業和信息化部. YD/T 1728～1759-2008 電信網和互聯網安全防護體系系列標準[S]. 2008.

[5] 中國移動通信有限公司. QB-W-001-2008 中國移動防火墻部署總體技術要求[S]. 2008.

[6] 中國移動通信有限公司. 中國移動IDC安全防護技術要求[S]. 2009.

[7] 中國移動通信有限公司. 中國移動設備通用安全功能和配置規范[S]. 2008.

[8] 中國移動通信有限公司. QB-B-002-2010 中國移動城域數據網技術體制V1.0.0[S]. 2010.

作者簡介

李剛：互聯網及自動控制高級工程師，工學博士，現任職于中國移動通信集團設計院有限公司黑龍江分公司，先后從事系統集成、互聯網、數通、核心網、網絡安全規劃咨詢工作，發表論文28篇，曾獲中國移動集團、黑龍江省移動設計院優秀論文和科研成果獎。

吳菊：工程師，工學博士，現任職于中國移動通信集團設計院有限公司黑龍江分公司，主要研究方向為信號與信息處理、網絡安全、設計質量評估等。endprint

（3）互聯網虛假IP地址監測：城域網的設備應具備IP地址的識別能力，并對判別的偽裝的IP地址的報文進行丟棄。

（4）不良信息監測系統：能夠對用戶上網產生的各種業務數據流進行有效識別，包括P2P數據流、QQ數據流、VoIP數據流等。同時，還能對用戶網絡流量協議進行正確解析，以確認是否為允許的URL訪問地址。

（5）入侵檢測與防御系統：應具備安全事件監測功能、策略管理功能、響應與告警功能及入侵防御功能。

（6）漏洞掃描和評估系統：對網絡進行安全掃描并找出安全漏洞，主要包括數據庫掃描器、系統掃描及互聯網掃描。

數據城域網的網絡安全部署及實施是一個持續改進與優化的過程，要根據網絡安全危險、威脅的演變而做相應的調整與布局，須從全局著手構建安全防護的縱深體系。網絡安全防護不僅要注重設備安全性能及安全技術的深入研究，更要關注人在網絡安全防護中所起的決定性作用，只有全面協調部署人、技術、設備各因素，才能營造一個可用、可管理的安全網絡。

參考文獻：

[1] 陳磊. 全業務城域網組網演進探討[J]. 郵電設計技術， 2010（4）： 36-39.

[2] 陳仲華，王孝明，張連營. IP城域網網絡安全研究[EB/OL]. （2008-07-10）[2014-02-12]. http：//www.cnii.com.cn/20080623/ca478918.htm.

[3] 徐琳峰，曾菊根，李社宏. IP城域網的安全管理[J]. 計算機與現代化， 2009（5）： 126-129.

[4] 工業和信息化部. YD/T 1728～1759-2008 電信網和互聯網安全防護體系系列標準[S]. 2008.

[5] 中國移動通信有限公司. QB-W-001-2008 中國移動防火墻部署總體技術要求[S]. 2008.

[6] 中國移動通信有限公司. 中國移動IDC安全防護技術要求[S]. 2009.

[7] 中國移動通信有限公司. 中國移動設備通用安全功能和配置規范[S]. 2008.

[8] 中國移動通信有限公司. QB-B-002-2010 中國移動城域數據網技術體制V1.0.0[S]. 2010.

作者簡介

李剛：互聯網及自動控制高級工程師，工學博士，現任職于中國移動通信集團設計院有限公司黑龍江分公司，先后從事系統集成、互聯網、數通、核心網、網絡安全規劃咨詢工作，發表論文28篇，曾獲中國移動集團、黑龍江省移動設計院優秀論文和科研成果獎。

吳菊：工程師，工學博士，現任職于中國移動通信集團設計院有限公司黑龍江分公司，主要研究方向為信號與信息處理、網絡安全、設計質量評估等。endprint