运营商IT系统网络架构的安全域划分VIP

运营商 IT 系统网络架构的安全域划分 众所周知 网络安全框架一般可以分为安全管理框架和安全技术框架两大部分 安全管理框架的核心 是制定安全策略 它是安全工作的标准和依据 安全技术框架的核心是积极防御 安全体系中的认证与授 权 加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的 对拥有众多 IT 系统的电 信运营商而言 以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者 是安全设备的部署 更应该是一个全面 立体 构架化的安全体系 安全体系的健康与否 关系到认证与 授权是否能够做到对访问的主动控制 关系到加密与完整性保护是否能够主动避免主客体间信息交换被破 坏或者遗失 关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题 IT 系统安全体系具体是由解决方案和安全设备部署构成的 二者都与运营商自身内部的 IT 系统局域 网架构有关 安全解决方案需要根据 IT 系统局域网架构来具体定制 安全设备则需要部署在 IT 系统局域网 上由其来承载 进一步而言 按照网络安全框架的要求 IT 系统安全体系的基础工作就是搭建一个结构 清晰 可靠实用 扩展灵活的内部局域网环境 只有基础的内部网络架构是科学合理的 才能够最终保证 所部署的安全设备充分发挥作用 才能够保证安全技术框架的顺利实施 进而保证安全策略的有效贯彻 一 传统一 传统 ITIT 系统局域网架构的不足和安全威胁系统局域网架构的不足和安全威胁 传统 IT 系统整体网络建设方案中往往很少从宏观的角度关注 IT 安全体系的建立 经常采用如物理隔 离的方式来达到安全的目的 甚至建设两套网络 即所谓的内网 外网 这种以物理隔离为主的消极防御 手段使得某一 IT 系统只能做到针对自身的操作应用 而无法实现与其他相关系统之间 与 Internet 之间 的信息交互和共享 不但禁止了有用数据交换 造成信息化工作无法开展 还进一步增加了投资 这与积 极防御的理念是背道而驰的 另外 物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线 外连 移动计算设备一机多用 用移动存储介质在网络间交换未知数据等潜在威胁 其次 由于 IT 系统 所在的内部网络的建设方案缺乏宏观的安全规划 同时常规的安全系统经常是分别随着各自网络或者应用 系统进行建设的 虽然在一定程度上能够起到安全防护作用 但是由于各套 IT 系统的安全建设自成体系 分散单一 缺乏统筹考虑和宏观把握 造成系统中安全防御的主动权没有办法集中起来 因而带来 IT 系 统的安全防护能力 隐患发现能力 应急反应能力 信息对抗能力的整体效能下降等一系列问题 同时也 带来运营商制订的统一安全策略难以贯彻 重复建设 安全设备不能充分发挥作用等问题 另外 由于 IT 系统局域网结构和层次不清晰 不同 IT 系统所分配私有 IP 地址很有可能相同 虽然 IT 系统之间暂时 没有发生联系 但是随着运营商维护管理水平的进一步提高 IT 系统的管理平台建设也是迫在眉睫 而 IT 系统内部网络整体结构的天生不足会给今后的管理带来非常大的不便 从管理层面来看 很多运营商 由于长期以来把安全项目作为承载网或者其他业务系统 IT 等支持系统的附加工程或者从属项目 加之 一些网络安全厂商或者电信运营部门的技术人员 往往认为采用先进的网络技术 名牌产品即可实现网络 系统 业务系统和 IT 系统的安全 没有考虑安全产品并未形成体系 容易造成许多薄弱环节没有覆盖到 安全隐患也随之增加 一般说来 电信运营商 IT 系统由以下一些系统组成 1 网络支撑系统 主要有各种网管系统 包括承载网网管 支撑系统网管 业务网管等 2 业务支撑系统 主要有 BOSS 经营分析系统 大客户关系管理系统等 3 企业管理信息系统 办公自动化系统 电子工单系统 资产管理系统等 上述 IT 系统在今天很少是孤立存在的 也就是说 它们必须与其他系统实现网络互通和信息共享与 交互 在这种应用需求下 使得不同的外部网络 不同身份和目的的人都有机会连接到运营商内部网络中 从而对 IT 系统的安全带来了威胁 从电信运营商 IT 网络环境的层面而言 IT 系统的安全威胁主要来自 以下几个方面 1 来自内部误用和滥用的安全威胁 包括 各种调查都显示来自于内部的误用 操作 和滥用对企业网 络和业务的影响都是最为致命的 而这类误用和滥用 与运营商内部不同 IT 系统或者与其他相关系统的 互联互通 运营商之间的互联互通 与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的 2 来自互联网的安全威胁 目前有些运营商的 IT 系统是与互联网相连的 例如很多办公自动化系统都 与互联网相连 如果安全措施不力就很有可能被黑客利用 带来网络安全问题 3 来自缺省配置的安全威胁 电信行业在建设 IT 系统时 大量的 UNIX WINDOWS NOTES 等系统很多都 采用缺省配置 造成开放不必要的端口等安全隐患 如果运营商对其 IT 局域网架构缺乏安全边界的划分 而又没有采取一个可集中控制访问请求的措施 则很容易被不法分子利用进行非法入侵 二 运营商二 运营商 ITIT 系统局域网架构的安全域划分系统局域网架构的安全域划分 IT 系统安全体系的最终目标就是在技术可行和管理可行的前提下 将安全风险和隐患降低到一个可 以接收的水平 要实现这一目标 需要解决的问题不仅仅是选购何种品牌的防火墙 IDS 和考虑在何处安 装这些安全设备 更是需要综合考虑如何在现有 IT 网络架构上安装何种安全设备才能发挥最大的作用 通过前面的分析可知 如果没有一个结构清晰 可靠实用 扩展灵活的 IT 网络 依然沿袭各套 IT 系统的 安全建设自成体系 分散单一的常规做法 即使选用最先进的安全设备 那么也只能是搭建了一个空中楼 阁 无法从根本上减弱 IT 系统所受到的安全威胁和隐患 因此 克服和改造 IT 系统传统局域网整体结构 的不足才是电信运营商解决网络安全的首要工作 为规划和建设一个完善的 IT 系统局域网 本文引入一 个安全域的新概念 安全域的定义是 在安全策略的统一指导下 根据各套 IT 系统的工作属性 组成设 备 所携带的信息性质 使用主体 安全目标等 将运营商的 IT 系统局域网划分成不同的域 将不同 IT 系统中具有相近安全属性的组成部分归纳在同级或者同一域中 一个安全域内可进一步被划分为安全子域 安全子域也可继续依次细化 这里需要明确的是 IT 系统局域网结构的安全域划分并不是传统意义上的物理隔离 物理隔离是由 于存在信息安全的威胁而消极地停止或者滞后信息化进程 隔断网络使信息不能共享 而安全域划分是在 认真分析各套 IT 系统的安全需求和面临的安全威胁的前提下 既重视各类安全威胁 也允许 IT 系统之间 以及与其他系统之间正常传输和交换的合法数据 从设备组成上看 如果不考虑这些 IT 系统中自带的安全设备 可以将其分为三大部分 核心处理系统 包括多主机架构组成的服务器 数据库 应用软件等 负责该 IT 系统的信息采集 处理和应用 接入交换 系统 包括路由器和交换机 负责该 IT 系统的内部以及与其他相关系统之间的信息交互 操作维护部分 包括各类操作维护终端 负责向维护管理人员提供接入手段 一般情况下 电信运营商的 IT 系统虽然是 独立建设的 但各套设备的物理位置都是比较集中的 而且不同 IT 系统的核心处理系统 接入交换系统 和操作维护部分所面临的安全威胁 安全需求都是比较类似和接近的 例如 IT 系统的操作维护终端多是基 于 MS windows 平台 遭受病毒攻击的风险比较接近 因此可以利用这两个特点并借鉴常规物理隔离中的 有益思想 完成电信运营商 IT 系统局域网结构的安全域划分 在安全域划分时应该遵循以下的一些基本 原则 1 根据电信运营商 IT 系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分 在划分的 同时有针对性的考虑安全产品的部署 前面已经提到 从网络构架层面来讲 电信运营商 IT 系统局域网 整体结构安全域的划分是与安全产品的部署密不可分的 一方面安全域的划分为安全产品的部署提供了一 个健康规范灵活的网络环境 另一方面 将安全域划分为域内划分和域外划分两种 域和域之间主要采用 通过交换设备划分 VLAN 和防火墙来彼此策略隔离 在域内主要根据不同被保护对象的安全需求采用部署 AAA IDS 和防病毒系统等来完成 因此 安全域的划分不能脱离安全产品的部署 2 安全域的个数不应过多 否则在策略设置上过于复杂 会给今后管理带来很大不便 在划分的保证 各个安全域之间路由或者交换跳数不应该过多 3 安全域划分的目的是发挥安全产品的整体效能 并不是对运营商 IT 系统原有局域网整体结构的彻 底颠覆 因此在对运营商 IT 系统局域网结构改造的同时需要考虑保护已有投资 避免重复投入与建设 根据上述原则 建议电信运营商可将其 IT 系统局域网划分为核心交换区 生产区 日常维护区 互 联区 DMZ 区这五个安全域 每个安全域的具体功能如下 1 核心交换区 主要放置一套核心交换设备 用于实现生产区 日常维护区 互联区 DMZ 区的划分 隔离和不同系统之间有条件的信息交互 2 生产区 主要放置运营商 IT 系统中的核心生产设备和交换设备 3 日常维护区 主要放置各套 IT 系统维护终端及其汇聚交换设备 4 互联区 主要放置各套 IT 系统的接入互联设备 用于实现 IT 系统与专网或者互联网的连接和互通 5 DMZ 区 主要放置一些可供内 外部用户宽松访问的服务器 或提供通信基础服务的服务器及设备 比如企事业单位的 Web 服务器 E mail 邮件 服务器等 图 1 电信运营商 IT 系统局域网架构安全域划分示意图 从图 1 可以看出 采用这种方式来划分 IT 系统局域网的安全域 不仅网络结构清晰 交换和路由跳 数适中 而且还存在着以下优点 1 便于安全产品的部署 从图 1 可以看出 核心交换区是 IT 系统网络的神经中枢 内部和外部的信 息传输和交互都要通过它来完成 因此可以在核心交换区部署一套 IDS 用于对进入核心交换设备的信息 尤其是来自互联区的信息进行监控 日常维护区是运维人员操作维护相关 IT 系统的区域 因此可以在该 区域增加一套 AAA 系统用于实现对相关交换机 终端主机等设备的认证 授权 审计 也可以统一部署防 病毒系统 用于对维护终端的病毒监测和清除 互联区中出入信息量很大 信息源也较为复杂 因此可以 在核心交换区与互联区之间增加一套防火墙 起到基本的边界防护作用 抵御运营商内部 IT 网络不受威 胁 总之 采用这种方式来划分 IT 系统局域网的安全域 只需要在不同安全域之间 在安全域内部有针 对性的集中部署一些安全设备 不但节约投资 而且可以明显提高运营商各套 IT 系统的整体防护效能 较好地贯彻了积极防御 综合防范的方针 2 扩展性和灵活性好 采用这种方式来划分 IT 系统局域网的安全域不仅能较好地满足当前 IT 系统的 需求 而且在今后引入其他 IT 支撑系统时 无需再按照传统方式附加一个安全工程 甚至可以完全不考 虑安全问题 只需将其核心处理系统 交换系统 操作维护系统接入不同的安全域 就能够满足一般安全 需求 如果某一 IT 系统的连接端口需求比较少 还可以直接就近接入与其安全需求接近的 IT 系统所配备 的交换设备 不但节省投资 还加快了运营商 IT 系统的建设速度 3 为将来的集中管理奠定了基础 采用这种方式来划分 IT 系统局域网的安全域 可以做到两个 集中 部署 一是不同 IT 系统中工作角色接近的设备集中部署 一个是安全产品的集中部署 这两个集中部署 为今后安全管理平台和 IT 管理平台的建设创造了理想的网络环境 安全管理平台 有些厂家也称为安全管 理中心 主要完成统一集中的安全策略发布 安全设备管理等 IT 管理平台 主要完成对电信运营商各 套 IT 系统的集中管理 集中监控和集中维护 三 结束语三 结束语 与世界领先的电信企业相比 我国电信运营商在 IT 系统的安全建设方面 还存在缺乏安全统一规划 工具手段使用不足