DCN網絡〔數據通信網〕安全解決方案DCN〔數據通信網〕是網通A公司的專用數據通信網，作為公司的Intranet，不僅是公司的生產網，同時也承載了大量的業務系統，如計費系統、綜合客服系統、網管系統、呼叫中心和計費采集系統等。作為內部ITA公司DCN承受VLAN+MPLSVPN技術來隔離各業務系統，網絡安全問題由各業務系統自己解決。在網絡建設之初，缺乏統一規劃，主要以滿足各業務系統自身需求為動身點，欠缺整體上的安全保護解決方案，同時在肯定程度上帶來了維護和治理上的難度。而且，DCN的網絡設備在整體上缺乏保護措施，面臨被黑客掌握甚至被當作攻擊跳板的危急，同時由于運營商的特別角色，其網絡設備面臨嚴峻的拒絕效勞攻擊的威逼。ADCN2、網絡安全域的劃分為規劃和建設一個安全牢靠的IT系統，目前通用的做法是引入一個安全域的概念。本文所表達的安全域的概念是，在安全策略的統一指導下，依據各套IT系統的工作屬性、組成設備、所攜帶的信息性質、使用主體、安全目標等，將DCN及其所承載的IT系統劃分成不同的域，將不同IT系統中具有相近安全屬性的組成局部歸納在同級或者同一域中。一個安全域內可進一步被劃分為多個安全子域，安全子域也可連續依次細化。這里需要明確的是，安全域劃分并不是傳統意義上的物理隔離。物理隔離是由于存在信息安全的威逼而消極地停頓或者滯后信息化進程，隔斷網絡使信息不能共享；而安全域劃分是在認真分析各套ITIT交換合法數據。本文將網通A公司DCNIT5個安全域，如圖11●核心主機域：各業務系統業務主機。●網絡域：包括路由器、交換機等網絡設備。●終端用戶域：本區域依據終端類型分為固定終端用戶〔主要是特定權限人員的固定坐席人員〕、第三方接入用戶〔漫游區、現場支持等〕、外部撥號用戶接入OA用戶接入、遠程內部用戶接入護接入〕。●公共接口區：包括與Internet●公共安全效勞區：包括終端安全策略強制系統、病毒監控中心、認證中心、安全治理中心等，本次工程在二樞紐三層“九七”機房增華為S6503DCN3、網絡安全解決方案網絡安全域劃分的目的是依據各設備所擔當的工作角色和安全方面，有針對性地考慮安全產品的部署。一方面安全域的劃分為安全產品的部署供給了一個安康、標準、敏捷的網絡環境；另一方面，將安全域劃分為域內和域外，域和域之間主要通過VPNAAA、IDS網絡邊界防護技術網絡邊界安全防護技術包括訪問掌握、入侵檢測、漏洞掃描等。通過防火墻實現細粒度的訪問掌握，從而對非法的訪問DCN上被傳遞；利用入侵檢測對訪問數據包進展細實時偵聽，覺察特別賜予報并準時覺察安全漏洞。這樣，利用邊界防護技術，可以將大多數的攻擊行為攔截DCN之外，為DCN的正常運轉供給一個安全牢靠的環境。防火墻用防火墻等成熟技術，能夠做到細粒度的網絡訪問掌握。防火墻能夠躲避大多數的攻擊行為，依據地址、協議、端口、訪問方式〔比方針對FTP的PUT和GET操作〕DCN內的訪問進展嚴格掌握，避開非法的訪問，到達安全目標。入侵檢測/防護設備利用防火墻技術，經過認真配置，通常能夠在內、外網之間供給安全的網絡保護，降低了網絡安全風險，但是入侵者可查找防火墻背后可能放開的后門，或者入侵者可能就在防火墻內。入侵檢測系統位于有敏感數據需要保護的安全區域，通過實時偵聽網絡數據流，查找網絡違規模式和未授權的網絡訪問嘗試。入侵檢測系統與防火墻協作，在防火墻訪問掌握的根底上，進一步分析訪問數據包是否存在特別，并進展報警和阻斷，可以提升DCN安全掃描產品漏洞檢測和安全風險評估技術，因其可預知主體受攻擊的可能性，并具體指證將要發生的行為和產生的后果，而受到網絡安全業界的重視。這一技術的應用可幫助識別檢測對象的系統資源，分析這一資源被攻擊的可能指數，了解支撐系統本身的脆弱性，評估全部存在的安全風險。網通A公司DCNCN絡安全的重要潛在風險，所以應當部署網絡安全掃描產品，了解網絡中主機和網絡設備的安全脆弱性狀況，以有針對性地承受安全防護措施。建議部署方案為保證DCNA公司DCN地市和省核心兩級部署網絡安全設備，具體部署方案如下：在DCNIPS、防病毒網關，有效保護DCN內部IT系統接入互聯網的安全；在DCNIPS、防病毒網關，保護省核心以及主機不受攻擊；在地市DCNDCN骨干網；防火墻、IPS/IDS等應支持虛擬防火墻功能，即可以依據不同業務系統制定不同的安全策略。主機安全防護技術網通A公司DCN承載很多重要的業務支撐系統，如“九七”系統、網管系統等，這些系統的主機作為重要應用和數〔如防火墻的DMZ區〕，然后從病毒防護、策略、系統漏洞和主機入侵防護等角度考慮主機的安全防護問題。主機的防護主要從安全掃描和入侵防護兩個方面進展。主機的安全掃描承受基于主機的安全漏洞掃描和策略全都性評估工具，對常用的應用系統進展安全評估，并同時檢查這些系統是否符合業界最正確的安全實踐和標準。主機的入侵防護基于主機的入侵防護通常通過主機入侵檢測系統來完成。主機入侵檢測系統通常需要在被重點檢測的主機上安裝Agent，主要是對該主機的網絡實時連接以及系統審計日志進展智能分析和推斷。假設其中主體活動格外可疑〔違反統計規律〕，入侵檢測系統就會實行相應措施。終端安全防護技術網通A公司DCN各子系統含有大量的終端設備，主要應用的操作系統MicroSoftWindows自身漏洞、使用人員計算機水平、安全防護意識層次不齊等成為網絡安全解決方案中令人頭疼的問題。解決終端安全問題主要依靠網絡安全制度的建設，但技術上也可以實行一些手段。例如，終端安全治理系統可針對終端布置一套全面安全治理設備，主要實現對桌面設備接入網絡、桌面設備行為、桌面設備補丁、防病毒的治理。桌面安全治理與隱患掃描相協作，可以很好地解決終端層面的安全風險。身份認證技術網通A公司DCN中最重要的信息資產就是效勞器，系統治理人員每天都要直接登錄到效勞器上進展大量的系統維護工作，維護工作承受本地或遠程的方式。在維護工作中，當前只是通過系統自身的靜態口令鑒別的方式對治理員身份進行確認，并依據身份授予不同的訪問權限。由于靜態口令存在簡潔被人猜測和破解等危急，任何聽到或竊取到口令的人都會顯得完全合法，因此有必要增加其次個物理認證因素，從而使認證確實定性按指數級遞增。目前主流的身份認證技術為雙因素身份認證技術。它可確認網絡訪問的另一端的身份，提升企業網絡資源保護的安Internet上的資源被非法訪問。其認證方式使用起來格外簡潔，只需輸入口令就可供給強大的保護。A公司在核心主機域部署雙因素身份認證系統。雙因素身份認證系統如2所示。2安全治理中心IDS/IPS、防病毒系統、漏洞掃描等。單獨部署這些安全產品將形成一個個安全治理孤島，安全產品不能集中治理，難以建立統一的安全策略，安全動態無法集中實時監控，安全信息得不到有效管A公司DCNDCN〔SOC〕，實現對DCN整網的集中監控和集中安全治理。DCN●安全大事治理；●策略及審計治理；●配置治理；●風