根據電信集團企業信息化戰略規劃的要求,企業信息化體系由管理支撐系統(MSS)、業務支撐系統(BSS)和運營支撐系統(OSS)三部分組成(簡稱為CTG-MBOSS),且全部承載在一個統一的企業IT 內部專網上。
在這張專網上,要想為眾多的用戶提供高質量的網絡服務,那么網絡設備、業務系統、服務器等的安全運行就顯得至關重要。
本文將重點闡述某省級電信公司是如何利用網絡信息安全設施,保障其業務和運營系統穩定、安全地運行的。
需求背景 某省電信企業IT 內部專網是由省公司企業網、地市本地企業網和DCN骨干網三大部分組成的,網絡規模龐大,且網內各種路由設備、交換設備、服務器、安全設備等種類各異、數量繁多。尤其是該網絡內CRM/SPS、集中計費、數據倉庫、綜合結算等系統已經逐步上線,由業務結算局管理的EDC已經成為省電信的核心數據機房,其數據的安全性越來越得到各級領導的重視。
鑒于此,該省級電信IT內部專網目前面臨的zui大問題有2個:一是網絡出口眾多,面臨極大的安全風險;二是網內一些具體信息系統沒有做針對性的安全防護。具體如下所述:
首先,由于EDC業務復雜,其不但與DCN網有連接,同時也與各銀行、代辦點、公網都有連接,可謂出口眾多,從而使該網絡需要面對方方面面的網絡安全威脅。據了解,該網絡當前僅僅在出口處部署了邊界防火墻,卻沒有對應用層威脅施行有效的應對和控制。可以說,整個信息系統存在諸多安全隱患。
其次,尤其是該網絡中的業務代辦系統以及收費系統服務器,也都沒有進行任何針對性的保護,安全風險極大。
解決方案 針對省電信公司的安全現狀,需要在現有IT網上構筑一個完整的威脅分析與控制系統,從而使IT網絡的威脅控制不再僅于對網絡層的訪問控制。與此同時,還需要對關鍵服務器、關鍵網絡進行完整的從網絡層到應用層的威脅控制,以確保各種網絡攻擊對于IT網絡和系統的影響具備間斷性、暫時性、可管理性和可隔離性的受控特點。
本方案中,用戶在其外聯出口部署了啟明星辰的天清漢馬USG產品,用來抵御來自外聯單位的病毒、非*訪問以及其他網絡層攻擊,從而一舉實現對外部威脅的全面防御。同時,用戶還針對各種計費服務器以及社會代辦服務器進行了專業的應用層防護,分別部署了啟明星辰的天清IPS產品,用于實現對應用層威脅的阻斷。部署示意圖如圖1所示。
圖1 某省級電信IT內部專網部署UTM和IPS產品示意
案例點評 通過本文的方案,我們不難理解,對于需要進行企業間互聯的信息系統,往往通過網絡所交換的數據是具有較高經濟價值的,而對于這些信息系統,安全的威脅往往來自于應用層。而對于這類安全威脅,傳統的防火墻系統雖然從整個網絡的安全建設來說是必須的,但并不足夠。
為了完整地實現對各種威脅的控制,如本方案所述,用戶還需要采用立體防御思想對省公司網絡進行安全改造,同時針對不同的威脅部署有針對性的產品,只有這樣才能有效地提高網絡的整體安全性。
