淺談IT支撐網網絡安全

辛向軍??

【摘要】介紹了IT支撐網網絡安全的重要性、發展現狀和存在的問題，闡述了網絡安全系統所面臨的嚴重威脅以及未來發展的目標，提出了IT支撐網網絡安全系統的發展建設思路及實施策略的建議。

【關鍵詞】IT支撐網；網絡安全；安全威脅；發展策略

Talking about IT Support Network Security

Xin Xiang-jun

（Tianyuan Ruixin Communication Technology Co.， LtdXi'anShaanxi710075）

【Abstract】This paper introduces the importance， development status and existing problems of network security of IT support network， expounds the serious threats and future development goals of network security system， and puts forward the development and construction strategy of IT support network network security system Suggest.

【Key words】IT support network；Network security；Security threats；Development strategy

1. 前言

目前計算機網絡面臨著很大的威脅，其構成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失，網絡安全已被信息社會的各個領域所重視。中國移動I T支撐網絡必須有足夠強的安全措施，否則該網絡將是個無用的、甚至會危及客戶信息安全的網絡。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、病毒、惡意軟件和其他圖謀不軌的攻擊。所以，計算機網絡的安全以及防范措施是一個至關重要的問題。

2. 網絡安全概述

（1）網絡安全防范體系是全方位的、整體的、分層次的。不同層次的網絡安全，反映了不同的安全問題。根據網絡的應用現狀和網絡的結構，我們將安全防范體系的層次劃分為物理層安全、系統層安全、網絡層安全、應用層安全和安全管理。

（2）移動通信系統面臨的網絡安全威脅來自網絡協議和系統存在的弱點，攻擊者可以利用網絡協議和系統存在的弱點，進行非授權訪問敏感數據、非授權處理敏感數據、干擾或濫用網絡服務等非法活動，對用戶和網絡資源造成損失。按照攻擊的物理位置，對移動通信系統的安全威脅可分為對無線鏈路、服務網絡和移動終端的威脅。主要威脅方式有以下幾種：竊聽、偽裝、流量分析、破壞數據的完整性、拒絕服務、否認、非授權訪問服務、資源耗盡等。

3. IT支撐網網絡安全系統現狀

電信企業IT支撐系統一般分為三部分，既網管支撐系統、業務支撐系統、企業信息化系統。即使定義有所不同，但所指內容異曲同工。下文將IT支撐系統暫作網管支撐系統、業務支撐系統、企業信息化系統三部分進行敘述。

3.1業務支撐系統。

IT支撐系統是電信企業非常重要的系統，雖然采取了一些防護措施，但總體防護措施比較薄弱，主要表現在：網絡沒有合理地進行安全域的劃分；與M D C N邊界缺乏有效的防護手段；核心服務器區缺乏防護、監控手段；對賬號口令缺乏有效的集中管理手段；非營業廳終端沒有集中管理工具等方面。

3.2網管支撐系統。

通過多年安全工作積極的推進，網管支撐系統安全防護能力得到極大的提升：支撐系統進行了安全域劃分，部分邊界采用了防護、監控手段，但需要進一步完善；業務系統邊界部署防護設備，但缺乏安全監控手段；部分資源采用了4A系統進行賬號的管理，但需要進一步擴展管理的范圍；非生產終端缺乏集中管理手段等。

3.3企業信息化系統。

企業信息化系統安全總體防護能力都較高，但需要進一步的個別完善：賬號口令缺乏集中管理系統。

4. 網絡安全系統發展目標

總結業界先進的網絡與信息安全技術防護體系的實踐與經驗，設定IT支撐網網絡安全建設目標為：根據網絡IP化、終端智能化以及安全威脅技術和攻擊目的的發展變化趨勢，建立以安全域劃分和邊界整合為基礎，進一步包括設備自身安全功能和配置、專用安全防護設備以及信息安全管理平臺的四層安全技術防護體系。

5. IT支撐網網絡安全系統建設思路

以業務保障為核心，以集中化為導向，將安全工作融入日常業務運營，實現監控到位、維護到位、管理到位，為企業新形勢下可持續發展保駕護航。

集中化的網絡與信息安全防護體系的建設，應根據企業IT支撐網系統安全現狀，評定網絡安全建設優先級，分階段建設和完善以下安全系統：IT審計核心系統；4A核心系統；綜合維護接入平臺；終端管理系統一級服務器；病毒、補丁系統一級服務器；安全存儲局域網；ISMP核心系統；集中存儲備份系統；安全容災中心。具體實施措施如下：

（1）安全域劃分。

統一各中心支撐網與互聯網的出口，在互聯網的出口處采取集中的安全防護和監控手段。統一現有銀行、SP等與各中心支撐網的接口，公司采用統一的外部接口，在與外部系統互連的邊界部署安全防護與監控手段；整合第三方網絡接入區域（集成商、廠家），針對本地接入和遠程接入進行統一區域的劃分和邊界的訪問控制；整合各中心支撐網之間的互連接口，各中心數據交換通過DCN網；在各中心支撐網與DCN邊界部署安全防護及監控手段，防護各中心支撐網。針對地市網絡進行安全域劃分和網絡改造，終端子域內的安全域邊界控制可以通過在交換機基于端口的VLAN劃分來實現。endprint

（2）邊界整合。

針對現有業務系統的網絡及邊界暫時保持不變；在現有系統的邊界增加數據訪問安全性監測措施；后期建設的系統和現有小系統進行統一安全防護接入，解決以下問題：統一接入，網絡變化對互聯網絡影響最小；統一安全防護，增強集中防護能力，同時避免每個系統的安全單獨建設，增加項目投資；提高安全設備的利用率。

（3）終端管理。

建設統一的終端管理系統：劃分終端域，對遠程終端的接入全部采用V P N的方式，不強制進行安全狀態的檢查，但是要進行病毒、補丁檢查；針對機房中直連維護終端加強管理，使用登記，避免公用賬號存在，對操作行為可以通過錄屏的方式進行審計；強制終端管理軟件，完善防病毒系統、補丁系統、終端管理系統；針對終端進行防信息泄漏控制。

（4）防病毒、補丁管理系統。

統一部署、集中管理；建設范圍：病毒庫升級互聯網出口統一；通過集團升級服務器、通過廠家升級服務器；病毒庫升級采用集中方式：公司建立一級升級服務器，各中心和地市公司建立二級服務器；增加網絡防毒系統，防止邊界網絡病毒的傳播。終端必須全部實時更新補丁；重要服務器有選擇性地進行補丁更新；Windows系統的補丁應優先考慮。

（5）安全管控平臺。

安全管控平臺由IT審計系統、4A系統兩個功能模塊構成。建立公司統一的日志采集、處理、存儲與審計系統，實現自動的日志集中采集與存儲、自動的日志集中分析、自動的日志集中審計、審計結果自動觸發響應流程的機制、對日志的自動采集、分析、審計和響應，通過系統生成符合SOX要求的各種報表，通過系統生成自定義報表格式的報表，并根據實際情況進行輸出。建立用戶、資產信息安全目錄庫；綜合維護接入平臺與4A系統實現同步；統一資源層設備的賬號集中管理；賬號管理操作信息審計；實體級授權；認證采用動態口令方式；4A系統實現與OMC、話務網管的賬號同步；4A系統實現與試點應用的賬號管理同步；實現IT審計系統與4A系統的賬號集中管理。

（6）綜合維護平臺。

在省公司安全系統子域建立一套綜合維護平臺，省公司維護人員通過該平臺進行日常維護；在各地市公司分別部署一套綜合接入維護平臺，地市公司通過該平臺進行日常維護；全省的綜合維護平臺為一個整體，階段性同步用戶信息和策略；也可以采用幾個地市共用一套系統的方式。分布式部署避免了地市公司數據給MDCN網帶來較大的壓力。

（7）安全管理支撐子系統。

安全管理支撐子系統采用公司統建，每個中心的虛擬系統需要預留與集團公司系統接口；軟件設計采用總線架構，方便系統的優化和擴展；系統組網采取組件分離、分層的高可用方案；建立安全支撐系統的同城異地容災中心，針對所有的安全系統備份進行統一管理；建立存儲局域網，將安全支撐系統中的所有安全子系統的數據集中存到存儲局域網中。

6. 結束語

網絡建設安全先行，各大運營商在不斷推進全業務建設的過程中，需要針對現有網絡安全現狀查漏補缺，不斷完善，提前規劃網絡安全建設，尤其是IT支撐網網絡安全建設非常重要，對于保障企業運營起到重要的保障作用。展望未來建設，需要針對移動通信系統的特點，建立具有針對性的安全體系結構模型，實現由私鑰密碼體制向混合密碼體制的轉變，實現整個安全體系向透明化發展，使網絡的安全措施更加體現面向用戶的理念。

參考文獻

[1]肖玉梅.探討計算機網絡安全現狀及應對策略.計算機光盤軟件與應用. 2012（23）.

[2]（美）SeanConvery.網絡安全體系結構.人民郵電出版社.2005.

[3]尤新霞. 內蒙古移動業務支撐系統安全管理模式的分析[D].北京郵電大學，2008.endprint