省級電信運營商數據網安全體系研究與設計

◆李秀峰 徐志鵬 董 磊

（中國電信股份有限公司山東分公司 山東 250101）

省級電信運營商數據網安全體系研究與設計

◆李秀峰 徐志鵬 董 磊

（中國電信股份有限公司山東分公司 山東 250101）

隨著網絡應用日益豐富和網絡技術架構不斷演進，各類新的安全問題不斷涌現；同時，網絡IP化、終端智能化和應用豐富化給病毒傳播、惡意攻擊提供了有利的條件，給電信運營商的安全運營帶來了更大的挑戰。本文結合網絡安全挑戰以及安全防護技術的應用情況，以省級電信運營商數據網為研究對象，對省級電信運營商數據網安全體系建設進行創新性和探索性的研究、規劃和設計。

省級電信運營商；數據網；安全防護體系；安全評估

0 引言

省級電信運營商數據網主要包括IP承載網，以及承載在其上的業務網和支撐系統。IP承載網包括ChinaNet、CN2、城域網、IPRAN、DCN等網絡。業務網包括C網分組域等；支撐系統包括DNS、認證系統、網管系統等。

其中，ChinaNet也稱163網絡，已成為中國帶寬最寬、覆蓋范圍最廣、信息資源最豐富、網絡性能最穩定的互聯網絡，是全球的中文互聯網內容承載中心。

CN2網絡作為中國電信下一代 IP 網絡，具備全球 IP 接入及承載的能力，主要用于承載軟交換、移動分組域、大客戶VPN及互聯網差異化業務。寬帶認證系統（AAA）為用戶提供網絡登錄的認證、授權和計費服務。域名系統（DNS）為用戶提供域名解析服務。

不論是IP承載網還是承載在其上的業務系統和支撐系統，面臨著越來越多的網絡安全威脅。一旦出現故障，將會直接影響我們的工作和生活。因此，需要高度重視網絡安全的防護工作。

1 省級電信運營商數據網絡安全防護需求

通過對省級電信運營商數據網所面對的主要安全威脅進行分析，結合在建設中出現的片面建設、技術與制度建設不匹配等問題，對省級電信運營商數據網絡的安全防護提出了具體的需求。

1.1 省級電信運營商數據網面對的主要安全威脅

省級電信運營商數據網面對的主要安全威脅包括日益嚴峻的互聯網安全威脅、頻發的DNS安全威脅、大流量的DDoS攻擊和高危漏洞威脅等。

（1）互聯網安全威脅

互聯網面臨的安全威脅呈現日益復雜的局面，隨著互聯網及應用的發展而不斷演化。當前的網絡安全形勢不容樂觀，一旦出現網絡安全問題，其影響將涉及政治、經濟、生活等方方面面。

（2）DNS安全威脅

DNS作為互聯網基礎服務，其安全對電信運營商來說意義重大。一旦DNS出現安全問題，必然影響到公眾用戶的互聯網訪問。近幾年DNS安全事件頻發，DNS安全威脅日益嚴峻。

（3）DDoS攻擊威脅

運營商的數據網最常遇到的就是DDoS攻擊，對網絡影響最大的也是DDoS攻擊。DDoS攻擊隨著技術手段的發展更加隱蔽，也更具有破壞性。

（4）漏洞威脅

電信網絡設備和基礎軟件的漏洞風險日益嚴峻。如果骨干路由器等關鍵節點的漏洞被攻擊者利用，網絡設備被入侵操控，則具有影響網絡的穩定運行、竊取用戶信息、傳播惡意代碼的風險。因此，需要高度重視漏洞威脅。

1.2 省級電信運營商數據網安全建設中的主要問題

省級電信運營商數據網作為互聯網的重要組成部分，隨著網絡規模日益擴大和網絡應用日益豐富，省級電信運營商數據網運營面臨的安全威脅更為突出，需要承接的客戶安全需求也更加復雜和迫切。

（1）安全防護建設片面

省級運營商網絡安全系統建設分散、缺少統籌。如果缺少一套整體的安全防護體系，就無法實現全面高效的網絡安全檢測、響應和防護。

（2）技術建設與制度管理不匹配

省級運營商往往重技術輕管理，缺少與技術手段相符的管理制度。同時，管理制度沒有針對新的網絡發展變化進行及時的修訂，難以保障全面的防護體系建設。

（3）賬號權限管理存在風險

由于多個用戶使用同一個賬號，一個用戶使用多個賬號；代維人員流動性大、缺少操作行為監控；缺少統一的運維操作授權策略等原因，這些對于網絡系統的安全運行帶來較大的潛在風險。

（4）安全加固不全面

漏洞的修復如同關閉了系統的一扇窗戶，但并不能完全解決系統自身的安全問題。如果不能統籌考慮安全加固，一旦出現安全問題，將直接影響重要系統的正常運行。

1.3 需求分析

針對上述問題，在安全防護體系的建設過程中，一方面需要加強相關的技術手段的建設，逐步完善相關的系統建設；另一方面，需要加強相關制度建設，使之適應新形式下的網絡變化。

（1）建立與技術手段相匹配的管理制度

技術建設是基礎，管理制度是安全防護體系的保障。管理制度與技術建設相匹配，體現在如下幾個方面：

①需建立安全操作的管理規范，管控網絡操作的風險。

②技術系統建設后，需建立與之相匹配的管理制度來保障其執行。

③管理制度應適應不斷發展的網絡變化，需及時更新。

（2）完善賬號和權限管理

為保障網絡的安全與穩定、規范管理和提高維護效率，需做好賬號的集中管理、人員賬號的分權分域以及操作命令的精確授權等工作，具體體現在如下幾個方面：

①原地市維護的網絡設備上收省公司集約維護后，省公司維護人員與地市維護人員需要同時具備登錄設備的賬號，但由于責權不同，又需要分清操作權限。因此，需要進行統一的賬號管理和權限分配。

②以往同一設備賬號由多人共同使用，如果出現誤操作、惡意操作，無法定位到責任人，如何保證“一人一賬號，操作記錄全審計”是一個技術和管理的難題。

③集約化后地市人員需要登錄省公司的多種網管平臺，這就對地市人員的權限控制，操作審計提出了要求。

（3）提升安全評估效率

省級運營商有著較多的業務系統、網管系統和網絡設備，面對如此多的系統靠人工的方式進行漏洞發掘是不現實的。因此，安全防護體系建設中針對漏洞掃描需要做好如下三個方面的工作：

①自動化。漏洞在不斷的更新，漏洞掃描工作不是一勞永逸的，需要不斷的復掃，發現并解決問題。因此，可以將掃描工作列入日常作業計劃中，一鍵執行，實現掃描工作的自動化。

②智能化。面對如此多的系統，人工的漏洞發掘工作是不現實的。因為，建設相應的漏洞掃描系統，實現漏洞掃描工作的智能化也是安全防護體系建設的要求。

③規范化。發現隱患，及時的進行整改，不斷的復掃。“掃描-備案-整改”的循環實現風險的閉環管控，也是安全防護體系建設的規范化要求。

（4）加強資產漏洞信息管控

資產作為運營商網絡安全管理的基本要素，目前運營商對資產的管理還大多停留在傳統意義上固定資產管理，面對日益嚴峻的網絡安全形勢，僅僅做好傳統的固定資產管理是遠遠不夠的。

在進行安全掃描、加固等安全防護工作時，齊全的資產信息可以避免出現安全盲區；同時通過對資產信息的分析，可以及時全面掌握現網設備的漏洞、風險等情況。在進行安全應急事件處置時，準確的資產信息同樣可以加快事件的處理速度。只有將資產安全管理責任落實到人，才能將各項安全工作推向深入。

在加強傳統資產管理工作的基礎上，將資產漏洞和安全基線等資產脆弱性信息、系統定級、安全評估和KPI考核等屬性融入運營商新的資產管理體系中，及時發現和排除網絡隱患，保障網絡運行的穩定，這也是新形勢下網絡安全的要求。

2 構建網絡安全防護體系的總體思路

電信運營商為構建科學合理的安全策略體系，制定了“整體考慮，統一規劃；組織到位，流程順暢；模塊劃分，責任清晰；集中管理，重點防護”的基本原則；設定了“網絡安全運行的專業化、網絡安全工作的制度化、全網安全的可視可管”的總體目標；從管理制度和技術建設兩個方面來構建安全防護體系。

集團公司具有相應的防護指導，但是在省級運營商運維部門，還未有成型落地的防護體系，我們基于對ISO/IEC 27000標準的理解，從管理和技術方面構建起完善的安全防護體系。通過管理體系建設，建立和完善各項規章制度，規范各項操作，使得維護人員有章可循；通過技術體系建設，逐步建立和完善各種自動化、智能化的安全防護手段，增強網絡安全防護能力。

管理體系建設與技術體系建設是相輔相成，缺一不可的。管理體系為技術體系建設指明了方向，如果缺少了管理的指導，技術建設則只是工具。技術體系建設是管理體系建設的基礎，全面可靠的技術體系為管理體系建設的完善提供有力的技術支撐。

圖1 管理體系與技術體系建設

3 網絡安全防護的技術體系建設

山東電信根據安全防護的不同級別，劃分安全域，隔離邊界，針對不同的安全域設計不同的技術防護策略，有效的實現大規模系統的安全防護。從網絡的監控、防護、審計和評價四個方面入手，部署了相應的安全系統，來實現山東電信安全防護技術體系建設。

3.1 安全域劃分和邊界整合

安全域是指同一系統內相互信任，有相同的安全防護需求的子網或網絡，具有相同的安全訪問控制和邊界控制策略。通過安全域劃分，可以將大規模復雜系統的安全問題，有效劃分為小區域簡單系統的安全保護問題，從而有利于采取針對性的防護策略。通過邊界整合，可以有效的整理和歸并系統與網絡接口，從而減少接口數量，規范系統與網絡接口，有效實現大規模復雜系統的安全等級保護。

（1）安全域

安全域劃分參考“向日葵”模型，將相關網絡及系統劃分為IP承載網、用戶域及業務模塊，實現安全域的有效隔離。采用“向日葵”模型進行安全域劃分可以確保維護界面明確、網絡邊界清晰、業務模塊易擴展等優點。圖2中“花心”作為IP承載網，實現業務的IP可達，“花環”作為IP承載網邊界，實現業務接入，“花萼”是業務模塊與承載網的交互區域，實現業務控制，而“花瓣”是單個業務模塊，可進一步進行安全子域的劃分。

圖2 省級電信運營商安全域總體劃分示意圖

（2）邊界整合

網絡邊界的互聯應遵循“最小化原則”的基本原則，在滿足業務和維護的需求的前提下，最大限度的減少的互聯地址和端口數量。交互網絡域的安全防護建設，從各系統的等級保護要求、業務特點為出發點設計安全防護需求。

①當安全域與各類網絡進行互聯時，統一由各自對應的接入區統一進行接入。

②預防為主，檢測為輔”，采用通用防護設備或技術，如在網絡邊界部署防火墻、入侵檢測系統、安全監控系統，在核心交換機設置訪問控制策略、劃分VLAN等技術手段對安全域進行安全防護。

③當安全域接入各類網絡時，采取通用防護措施的同時，根據需要部署專業的安全技術防護系統，如DNS防護、反垃圾郵件系統、異常流量分析等。

3.2 安全系統建設

在對各單個網元安全加固的基礎上，山東電信采用先進的安全運營體系，從網絡安全監控、防護、審計和評價四個方面進行了系統建設。

（1）網絡安全監控

山東電信部署了異常流量監測和溯源系統，通過采集城域網核心路由器到省網出口路由器之間的鏈路流量和省網出口路由器的鏈路流量，實現DDOS攻擊等實時的監控以及各業務系統流量流向情況的統計分析。同時，將檢測到DDOS攻擊等異常流量情況，通過OSS工單，自動派發至維護人員進行處置，實現異常流量的閉環管控。

針對日益猖獗的僵尸木馬病毒和大幅增長的移動互聯網惡意程序，山東電信部署了僵尸木馬監測平臺和移動惡意程序監測和處置平臺，實時的采集城域網以及2G、3G和4G流量數據樣本，并與相應的特征數據庫進行比對，通過黑白名單的管理，實現對省內僵尸、木馬等病毒和移動端的惡意程序等惡意事件的實時監測和處置。

（2）網絡安全防護

山東電信部署了AV防病毒系統，各生產終端實時從防病毒服務器進行病毒特征版本的更新，防止各生產終端在日常的維護使用時中毒，也避免相應的病毒木馬等在網內的傳播。

針對DDoS攻擊，部署了ADS系統來攔截DDoS攻擊，根據監測到的DDoS攻擊中的目的IP，將到其的異常流量進行牽引清洗，并將正常的訪問流量進行回注，實現異常流量的清洗和正常業務的保護，從而實現對DDoS攻擊的安全防護。

為了提高DNS系統對網絡攻擊的防護性能，應對日益增長的域名解析服務需求，山東電信建設了域名服務系統。在提供傳統DNS域名解析的基礎上，將域名狀態監控、域名安全防護、域名智能糾錯、流量分析等功能加入其中，保障在能正常提供域名解析的同時，也能完成對域名的實時監控，及早發現DDoS攻擊，保障用戶的正常使用。

（3）網絡安全審計

山東電信建設了4A平臺實現了山東電信網和業務系統的賬號（Account）、授權（Authorization）、認證（Authentication）和審計（Audit）的集中管理。

①帳號管理。平臺為維護人員提供統一集中的帳號管理，實現包括操作系統、網絡設備和應用系統在內的資源帳號的創建、刪除等帳號管理生命周期所包含的基本功能，而且也可以通過平臺進行帳號密碼策略，密碼強度、生命周期的設定。

②授權管理。4A平臺既實現了B/S、C/S應用系統資源的訪問權限控制，也實現了主機及網絡設備的操作的權限控制。

③認證管理。根據維護人員實際工作的需要，平臺為其提供不同強度的認證方式，既可以保持原有的靜態口令方式，又可以提供具有雙因子認證方式的高強度認證（短信認證、動態令牌）。

④審計管理。4A平臺將維護人員所有的操作日志集中記錄管理和分析，不僅可以對維護人員的訪問和操作行為進行監控，并且可以通過集中的審計數據進行數據挖掘，以便于事后的安全事故責任的認定。

（4）網絡安全評價

山東電信一方面部署了各種漏掃系統，實現對各個網元和業務系統的安全評價：部署了BVS安全配置核查系統和RSAS漏洞掃描系統，來實現對各個網元的配置極限以及各個網元系統的漏洞的智能化核查和掃描；通過WVS web漏洞掃描系統，實現對業務系統、網站等WEB站點的智能化掃描，及時的發現漏洞，保障網絡的安全的運行。

另一方面，建設了安全資產管理系統，實現各網絡資產信息的評估和閉環管控。安全資產管理系統以資產為核心，以可視化、精確化、自動化和流程化為建設目標，全面覆蓋資產的各類安全屬性，利用工具化的采集設備獲取資產屬性，實現資產屬性的動態管理。在此基礎上將安全掃描、異常流量監測、安全預警、安全告警、入網驗收等功能與服保系統（OSS）等系統融合在一起，實現各業務系統資產信息的準確管理。

圖3 安全風險閉環管控模型

安全資產管理系統通過“掃描-備案-整改”的循環實現風險的閉環管控。

①安全資產管理系統支持多方漏洞掃描設備進行漏洞掃描，以及漏洞和基線等掃描結果的自動導入。

②與OSS對接，實現按照作業計劃自動的進行各業務系統的安全掃描工作。

③根據漏洞、基線和WEB等掃描報告以及相應的安全告警信息，對資產進行多維度的風險評估，并在系統中對告警信息進行備案并向資產維護人員派發安全事件任務單。

④維護人員根據告警詳情對資產加固整改完成后，再次進行復掃，根據復掃報告系統會進行告警確認；對于暫時無法整改的告警，維護人員可以通過白名單功能進行管控。

4 網絡安全防護的管理體系建設

為指導安全防護技術體系建設，配合相應的安全防護系統和技術手段更好的發揮作用，山東電信結合工作實際和生產組織情況，建立了網絡安全防護管理體系建設。下面從管理制度、安全工作流程和考核辦法三個方面進行說明。

4.1 管理制度

為保障網絡的安全運行，建立完善的安全防護體系，山東電信出臺了一系列的管理制度來規范網絡操作，來提高網絡安全防護體系建設。

山東電信下發了《山東電信安全體系建設》、《明確山東電信網絡安全工作組職責的通知》，從制度上明確安全體系建設和工作的職責；通過《山東電信信息安全風險評估技術規范》和《山東電信通信網絡安全防護管理辦法》等從安全評估的角度來指導安全防護工作；通過《山東電信DNS日常安全保障規程》、《中國電信山東分公司公共互聯網網絡安全應急預案》和《山東電信重大活動保障及應急預案》等規范日常保障和應急預案保障等工作。

部門制訂了《省NOC網絡與信息安全實施細則》，從賬號授權、遠程登錄維護審計、信息查詢和監控室安全管理等工作細則方面，來實現安全防護體系建設。

山東電信制定了《山東電信通行字管理辦法》，規范了通行字使用，對各類生產管理系統的登錄實施監督管理，以保證山東電信網絡運行維護的各類生產管理系統安全運行。

4.2 安全工作的流程

安全工作的流程包括組織架構和安全工作處置兩個方面。

省NOC作為連接集團和地市公司的橋梁，需要做好工作的流轉，及時的進行上報和下發，保障反饋信息的準確、及時和高效。

制定了《山東電信垃圾郵件處理辦法》、《互聯網安全事件應急處理流程和要求》、《木馬和僵尸網絡監測和處置機制規范》等規章，規范了安全工作的流程。

4.3 網絡安全工作量化評估

面對日益嚴峻的網絡安全形勢，電信運營商積極推進網絡安全體系建設，不斷提升電信基礎網絡和重要業務系統、支撐系統的安全防護能力，雖然，通過一些對比數據可以呈現網絡安全工作成效，但是缺少整體性和系統性。因此構建省級電信運營商數據網絡安全量化評估指標，客觀評價網絡安全整體水平，對持續推進和完善網絡安全體系建設有重要意義。

山東電信從漏洞基線符合率KPI、作業計劃以及安全事件處置的及時率和有效率等方面進行量化考核。通過安全資產管理系統，對各個業務存在的漏洞及整改情況、基線符合率等安全資產的要素進行自動化的統計，將各業務系統的安全狀態進行呈現和考核；各系統包機人制定安全作業計劃，對其執行情況進行考核；對于垃圾郵件、木馬和僵尸網絡、DDoS攻擊等安全事件的處置，通過及時率和有效率的統計，對維護人員進行考核。

5 結語

通過構建省級電信運營商數據網安全體系，將管理制度與安全技術、安全產品、安全策略等安全技術融合在一起，共同形成一個堅實的防護體系，全面提升數據網安全保障能力，為今后網絡安全工作的開展奠定了基礎。安全評估的量化工作，可以客觀反映網絡安全水平，驗證安全體系建設的實施效果，對持續推進和完善網絡安全體系建設有重要意義。