数据城域网安全防护体系部署及解决方案研究

李刚+吴菊

【摘 要】以中国移动数据城域网为例，分析了数据城域网的网络结构、承载业务及面临的主要安全威胁，构建了包含安全域划分及边界整合、设备安全配置、专业安全防护手段建设和信息安全管理平台建设4个层面内容的安全防护体系，并针对中国移动某省数据城域网的现状给出了多层次、阶梯式、分阶段的安全防护建设方案，解决了原有网络安全系统存在的各部分相对独立、关联性不强以及无相互补充、统一协调的防护体系问题。

【关键词】数据城域网 安全威胁 安全防护体系

中图分类号：TN915 文献标识码：A 文章编号：1006-1010（2014）-20-0058-05

Research on Security Protection System Deployment and Solution

for Data MAN

LI Gang， WU Ju

（China Mobile Group Design Institute Co.， Ltd.， Heilongjiang Branch， Harbin 150080， China）

[Abstract] Taken the data metropolitan area network （MAN） of China Mobile as an example， the network structure， bearing services and main security threat of data MAN are analyzed. Four security protection systems are constructed， including security domain division and border integration， device security configuration， professional security protection and information security management platform. According to the situation of a data MAN of China Mobile， the security protection construction solution is shown which is multi-level， multi-step and phased. The solution can effectively solve the problems in original security systems， such as relative independence， weak correlation and incoordination of each part in protection system.

[Key words]data MAN security threat security protection system

1 引言

在中国移动开展全业务运营的大背景下，移动数据城域网成为越来越重要的基础网络。数据城域网在承载公共服务和内部业务的同时，也不断遭受各种安全威胁，严重影响用户的应用和网络感知，甚至造成巨大的经济损失和恶劣的社会影响。目前数据城域网各种防护手段相互独立、缺少关联，没有形成统一协调的安全防护体系，网络本身及业务应用存在着安全隐患。基于此，本文针对数据城域网，在分析网络结构、承载业务及面临的风险和安全威胁的基础上，构建了包含安全域划分及边界整合、设备自身安全配置、基础防护技术手段建设及信息管理平台建设4个层面内容的统一协调安全防护体系，并给出了安全解决方案。

2 数据城域网的网络结构及承载业务

数据城域网作为最终提供各种业务接入，最靠近用户侧的网络，成为全业务运营下网络建设的关键层面，是中国移动未来几年网络建设规划的重中之重。数据城域网是CMNET省网在城域内的延伸[1]，遵循网络扁平化建设原则，目前典型的数据城域网组网模式是三层路由技术，由图1可见，数据城域网的网络结构包括核心层、业务接入控制层和接入层。

下一代城域网将具备语音、数据、视频和移动等四重播放能力，同时支持个人用户和政企用户，并支持各种主流的业务和应用部署模型，是面向多业务融合的IP承载网络，其承载的业务可按照不同的划分方式进行描述。

（1）按接入对象类型和接入方式划分，可分为：

◆集团客户专线接入；

◆WLAN热点接入；

◆小区宽带接入。

（2）按业务类型划分，可分为：

◆互联网接入：如互联网访问、MDC业务接入和承载、自有业务系统接入和承载、行业应用平台接入和承载等；

◆集团客户虚拟专网（VPN、VPDN）：如电子政务、企业信息化承载等；

◆语音和多媒体类：如VoIP实时语音、视频会议、多媒体融合通讯、IPTV流媒体类等。

3 数据城域网面临的风险及安全威胁

数据城域网本身覆盖面广、物理结构庞大、网络流量大，无论是来自外面Internet网络的用户，还是城域网络内部的用户，都能对数据城域网的安全构成威胁[2]。常见的安全威胁主要有路由攻击、流量攻击、非法入侵、病毒、不良信息及垃圾邮件等。网络结构中各个层面所面临的安全威胁存在差异，需要有针对性地部署安全防护手段。其中，核心层主要面临路由攻击及设备自身安全攻击的威胁；业务控制层面临的主要问题有用户访问控制、用户业务安全及异常流量监测抑制等；接入层面临的主要问题是用户攻击行为等[3]。

根据上述分析及国际通用的安全分析原则，可以从网络的控制平面、管理平面和数据平面分析常见安全威胁，具体如表1所示：endprint

表1 数据城域网面临的常见安全威胁

平面 常见的安全威胁

控制平面 BGP路由协议攻击、IGP路由协议攻击、DNS缓存投毒、DNS域名劫持、Radius协议攻击等

管理平面 后门、非授权访问、网络/漏洞探测和信息采集、用户身份伪造和欺骗、内部信息泄露、操作失误等

数据平面 拒绝服务攻击、恶意代码（僵尸、木马、蠕虫、病毒）、虚假IP地址、垃圾邮件、不良信息、业务滥用等

4 数据城域网安全防护体系部署

数据城域网结构庞大而复杂，其安全防护部署须在统一规划的前提下，根据互联网开放性特性，按照数据流向的特点，采用集成防护的思路，将互联网看成一个有机整体，从而建立多层次、立体化、统一协调的安全防护体系[4]。安全防护体系的建设内容主要包括：安全域划分及边界整合、设备自身安全建设、基础安全防护技术手段建设及安全管理平台建设。

4.1 安全域划分及边界整合

数据城域网的总体安全架构分为3个区域：支撑域、业务域和城域网域，如图2所示。其中，支撑域是运营商的基础网络，通常需要部署防火墙[5]，构建安全防护的纵深体系，降低基础网络受外部攻击侵害的可能性；业务域是数据交互的平台，包括电信运营商提供的各种业务平台，如Web服务平台、FTP服务器、IDC[6]等；城域网域最贴近用户，直接向用户提供业务接入，同时也是Internet网络的一部分，是运营商不能完全控制的网络，需要重点考虑。一方面，基于用户需求，提供监测、防御来自其它网络和用户的攻击流量、控制用户访问、内容过滤等；另一方面，面向网络，防止用户终端被利用作为肉鸡攻击网络和其它用户、虚假地址、滥用资源等。

通过安全域划分及边界整合，形成清晰、简洁、稳定的互联网组网架构，实现系统之间严格访问控制的安全互联，更好地解决复杂系统的安全问题。当前的中国移动互联网是一个庞大的复杂系统，在支持业务发展的前提下对系统进行区域划分，进行层次化、重点防护是保证系统和信息安全的重要手段。

4.2 设备自身安全建设

设备的自身安全防护是整体安全防护体系的基础，加强设备自身的安全防护能力将从根本上提升整体安全防护体系的防护能力和程度。设备自身安全包含4个方面：软件编码安全、业务安全（流程、数据）、安全功能（加密、认证、权限、日志记录与审计等）、安全配置。城域网涉及的设备主要有路由器、交换机、主机操作系统、数据库、Web服务器等。中国移动网络部目前已经编制设备功能要求规范和设备配置要求规范，包括主机、数据库、网络三大类，具体安全功能和配置规范参见《中国移动设备安全功能和配置系列规范》[7]。其中应重点关注以下3个方面：

（1）端口及服务最小化；

（2）安全补丁及时加载；

（3）包过滤规则设定。

4.3 基础安全防护技术手段

基础类安全防护技术包括防火墙系统、流量监控设备、账号口令集中管理系统、日志集中管理与审计系统、入侵检测与防御系统等。

通过日志集中管理与审计系统，实现自动的日志采集与分析，发现安全问题；实现自动审计，以便责任认定；实现审计结果自动触发响应，以降低损失。

通过合理的防火墙部署，构建安全防护的纵深体系，设定合理的访问控制权限，降低系统内部受外部攻击侵害的可能性。

通过账号口令集中管理系统，实现对账户的认证和授权集中化、规范化，通过合理的分级授权，实现职责分离，并通过对账号的安全审计，保障系统资源不被滥用和盗用。

4.4 信息安全管理平台建设

为了实现精细化风险管理，在理顺流程和规范设备接口的基础上，需要建设信息安全管理平台[8]。信息安全管理平台将人、手段、流程、知识等因素有机集成，有效地支撑安全相关人员的日常监控，风险分析和评估，安全事件应急处置工作融合安全预警、安全威胁管理、安全事件响应、安全态势分析等技术管理手段，形成快速、流畅的安全闭环管理和反应机制。

5 数据城域网安全解决方案

根据上述网络安全防护体系的部署，数据城域网需进行多层次的安全隔离和防护。结合中国移动某省数据城域网网络安全的现状，给出的安全解决方案如图3所示。

该方案可分为以下3个阶段分步实施：

（1）根据城域网的网络架构进行安全域划分，并按照安全域的划分原则，对现有的网络设备进行规划整合，使得设备的部署符合安全域的划分原则。同时，根据流量情况和业务需求，在域边界及各安全域内部部署网络防火墙、流量监控设备、DDoS流量过滤设备等。此阶段重点解决网络承载的安全问题，以保证数据城域网的网络安全，达到隔离及消除内部威胁的目的。

（2）在接入网各安全域边界部署内容安全类的产品，主要包括上网行为管理系统、垃圾邮件过滤系统、恶意URL检测控制系统、网络防病毒系统等。此阶段重点解决用户的网络安全问题，以保证数据城域网用户的网络访问安全，提升用户的上网体验，并可通过增值服务的方式提供给用户。应考虑优先保重点用户的安全，再面向普通用户的安全。

（3）建设安全运维中心，该中心包括漏洞评估中心、事件流量监控中心、运行状态监控中心、综合分析决策支持与预警和响应管理中心，由策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理5个功能模块组成。

该方案中所采用的基础性安全技术防护手段主要为：流量监测、应用层攻击防范、互联网虚假IP地址监测、不良信息监测系统、入侵检测与防御系统、漏洞扫描和评估系统。

（1）流量监测：以防范城域网外的DDoS攻击为主，在业务规模大的城域网络的出口可部署抗DDoS攻击安全设计，抵御各种DDoS攻击，提高网络的可用性。

（2）应用层攻击防范：主要考虑病毒的防范和拦截问题，病毒防范和拦截功能要求安全防护设备可在网络中发现携带病毒的文件，能够对用户访问携带病毒文件的行为进行阻断，并在用户终端弹出告警对话框进行提醒，同时提供相应的专杀工具。endprint

（3）互联网虚假IP地址监测：城域网的设备应具备IP地址的识别能力，并对判别的伪装的IP地址的报文进行丢弃。

（4）不良信息监测系统：能够对用户上网产生的各种业务数据流进行有效识别，包括P2P数据流、QQ数据流、VoIP数据流等。同时，还能对用户网络流量协议进行正确解析，以确认是否为允许的URL访问地址。

（5）入侵检测与防御系统：应具备安全事件监测功能、策略管理功能、响应与告警功能及入侵防御功能。

（6）漏洞扫描和评估系统：对网络进行安全扫描并找出安全漏洞，主要包括数据库扫描器、系统扫描及互联网扫描。

数据城域网的网络安全部署及实施是一个持续改进与优化的过程，要根据网络安全危险、威胁的演变而做相应的调整与布局，须从全局着手构建安全防护的纵深体系。网络安全防护不仅要注重设备安全性能及安全技术的深入研究，更要关注人在网络安全防护中所起的决定性作用，只有全面协调部署人、技术、设备各因素，才能营造一个可用、可管理的安全网络。

参考文献：

[1] 陈磊. 全业务城域网组网演进探讨[J]. 邮电设计技术， 2010（4）： 36-39.

[2] 陈仲华，王孝明，张连营. IP城域网网络安全研究[EB/OL]. （2008-07-10）[2014-02-12]. http：//www.cnii.com.cn/20080623/ca478918.htm.

[3] 徐琳峰，曾菊根，李社宏. IP城域网的安全管理[J]. 计算机与现代化， 2009（5）： 126-129.

[4] 工业和信息化部. YD/T 1728～1759-2008 电信网和互联网安全防护体系系列标准[S]. 2008.

[5] 中国移动通信有限公司. QB-W-001-2008 中国移动防火墙部署总体技术要求[S]. 2008.

[6] 中国移动通信有限公司. 中国移动IDC安全防护技术要求[S]. 2009.

[7] 中国移动通信有限公司. 中国移动设备通用安全功能和配置规范[S]. 2008.

[8] 中国移动通信有限公司. QB-B-002-2010 中国移动城域数据网技术体制V1.0.0[S]. 2010.

作者简介

李刚：互联网及自动控制高级工程师，工学博士，现任职于中国移动通信集团设计院有限公司黑龙江分公司，先后从事系统集成、互联网、数通、核心网、网络安全规划咨询工作，发表论文28篇，曾获中国移动集团、黑龙江省移动设计院优秀论文和科研成果奖。

吴菊：工程师，工学博士，现任职于中国移动通信集团设计院有限公司黑龙江分公司，主要研究方向为信号与信息处理、网络安全、设计质量评估等。endprint

（3）互联网虚假IP地址监测：城域网的设备应具备IP地址的识别能力，并对判别的伪装的IP地址的报文进行丢弃。

（4）不良信息监测系统：能够对用户上网产生的各种业务数据流进行有效识别，包括P2P数据流、QQ数据流、VoIP数据流等。同时，还能对用户网络流量协议进行正确解析，以确认是否为允许的URL访问地址。

（5）入侵检测与防御系统：应具备安全事件监测功能、策略管理功能、响应与告警功能及入侵防御功能。

（6）漏洞扫描和评估系统：对网络进行安全扫描并找出安全漏洞，主要包括数据库扫描器、系统扫描及互联网扫描。

数据城域网的网络安全部署及实施是一个持续改进与优化的过程，要根据网络安全危险、威胁的演变而做相应的调整与布局，须从全局着手构建安全防护的纵深体系。网络安全防护不仅要注重设备安全性能及安全技术的深入研究，更要关注人在网络安全防护中所起的决定性作用，只有全面协调部署人、技术、设备各因素，才能营造一个可用、可管理的安全网络。

参考文献：

[1] 陈磊. 全业务城域网组网演进探讨[J]. 邮电设计技术， 2010（4）： 36-39.

[2] 陈仲华，王孝明，张连营. IP城域网网络安全研究[EB/OL]. （2008-07-10）[2014-02-12]. http：//www.cnii.com.cn/20080623/ca478918.htm.

[3] 徐琳峰，曾菊根，李社宏. IP城域网的安全管理[J]. 计算机与现代化， 2009（5）： 126-129.

[4] 工业和信息化部. YD/T 1728～1759-2008 电信网和互联网安全防护体系系列标准[S]. 2008.

[5] 中国移动通信有限公司. QB-W-001-2008 中国移动防火墙部署总体技术要求[S]. 2008.

[6] 中国移动通信有限公司. 中国移动IDC安全防护技术要求[S]. 2009.

[7] 中国移动通信有限公司. 中国移动设备通用安全功能和配置规范[S]. 2008.

[8] 中国移动通信有限公司. QB-B-002-2010 中国移动城域数据网技术体制V1.0.0[S]. 2010.

作者简介

李刚：互联网及自动控制高级工程师，工学博士，现任职于中国移动通信集团设计院有限公司黑龙江分公司，先后从事系统集成、互联网、数通、核心网、网络安全规划咨询工作，发表论文28篇，曾获中国移动集团、黑龙江省移动设计院优秀论文和科研成果奖。

吴菊：工程师，工学博士，现任职于中国移动通信集团设计院有限公司黑龙江分公司，主要研究方向为信号与信息处理、网络安全、设计质量评估等。endprint

（3）互联网虚假IP地址监测：城域网的设备应具备IP地址的识别能力，并对判别的伪装的IP地址的报文进行丢弃。

（4）不良信息监测系统：能够对用户上网产生的各种业务数据流进行有效识别，包括P2P数据流、QQ数据流、VoIP数据流等。同时，还能对用户网络流量协议进行正确解析，以确认是否为允许的URL访问地址。

（5）入侵检测与防御系统：应具备安全事件监测功能、策略管理功能、响应与告警功能及入侵防御功能。

（6）漏洞扫描和评估系统：对网络进行安全扫描并找出安全漏洞，主要包括数据库扫描器、系统扫描及互联网扫描。

数据城域网的网络安全部署及实施是一个持续改进与优化的过程，要根据网络安全危险、威胁的演变而做相应的调整与布局，须从全局着手构建安全防护的纵深体系。网络安全防护不仅要注重设备安全性能及安全技术的深入研究，更要关注人在网络安全防护中所起的决定性作用，只有全面协调部署人、技术、设备各因素，才能营造一个可用、可管理的安全网络。

参考文献：

[1] 陈磊. 全业务城域网组网演进探讨[J]. 邮电设计技术， 2010（4）： 36-39.

[2] 陈仲华，王孝明，张连营. IP城域网网络安全研究[EB/OL]. （2008-07-10）[2014-02-12]. http：//www.cnii.com.cn/20080623/ca478918.htm.

[3] 徐琳峰，曾菊根，李社宏. IP城域网的安全管理[J]. 计算机与现代化， 2009（5）： 126-129.

[4] 工业和信息化部. YD/T 1728～1759-2008 电信网和互联网安全防护体系系列标准[S]. 2008.

[5] 中国移动通信有限公司. QB-W-001-2008 中国移动防火墙部署总体技术要求[S]. 2008.

[6] 中国移动通信有限公司. 中国移动IDC安全防护技术要求[S]. 2009.

[7] 中国移动通信有限公司. 中国移动设备通用安全功能和配置规范[S]. 2008.

[8] 中国移动通信有限公司. QB-B-002-2010 中国移动城域数据网技术体制V1.0.0[S]. 2010.

作者简介

李刚：互联网及自动控制高级工程师，工学博士，现任职于中国移动通信集团设计院有限公司黑龙江分公司，先后从事系统集成、互联网、数通、核心网、网络安全规划咨询工作，发表论文28篇，曾获中国移动集团、黑龙江省移动设计院优秀论文和科研成果奖。

吴菊：工程师，工学博士，现任职于中国移动通信集团设计院有限公司黑龙江分公司，主要研究方向为信号与信息处理、网络安全、设计质量评估等。endprint