省级电信运营商数据网安全体系研究与设计

◆李秀峰 徐志鹏 董 磊

（中国电信股份有限公司山东分公司 山东 250101）

省级电信运营商数据网安全体系研究与设计

◆李秀峰 徐志鹏 董 磊

（中国电信股份有限公司山东分公司 山东 250101）

随着网络应用日益丰富和网络技术架构不断演进，各类新的安全问题不断涌现；同时，网络IP化、终端智能化和应用丰富化给病毒传播、恶意攻击提供了有利的条件，给电信运营商的安全运营带来了更大的挑战。本文结合网络安全挑战以及安全防护技术的应用情况，以省级电信运营商数据网为研究对象，对省级电信运营商数据网安全体系建设进行创新性和探索性的研究、规划和设计。

省级电信运营商；数据网；安全防护体系；安全评估

0 引言

省级电信运营商数据网主要包括IP承载网，以及承载在其上的业务网和支撑系统。IP承载网包括ChinaNet、CN2、城域网、IPRAN、DCN等网络。业务网包括C网分组域等；支撑系统包括DNS、认证系统、网管系统等。

其中，ChinaNet也称163网络，已成为中国带宽最宽、覆盖范围最广、信息资源最丰富、网络性能最稳定的互联网络，是全球的中文互联网内容承载中心。

CN2网络作为中国电信下一代 IP 网络，具备全球 IP 接入及承载的能力，主要用于承载软交换、移动分组域、大客户VPN及互联网差异化业务。宽带认证系统（AAA）为用户提供网络登录的认证、授权和计费服务。域名系统（DNS）为用户提供域名解析服务。

不论是IP承载网还是承载在其上的业务系统和支撑系统，面临着越来越多的网络安全威胁。一旦出现故障，将会直接影响我们的工作和生活。因此，需要高度重视网络安全的防护工作。

1 省级电信运营商数据网络安全防护需求

通过对省级电信运营商数据网所面对的主要安全威胁进行分析，结合在建设中出现的片面建设、技术与制度建设不匹配等问题，对省级电信运营商数据网络的安全防护提出了具体的需求。

1.1 省级电信运营商数据网面对的主要安全威胁

省级电信运营商数据网面对的主要安全威胁包括日益严峻的互联网安全威胁、频发的DNS安全威胁、大流量的DDoS攻击和高危漏洞威胁等。

（1）互联网安全威胁

互联网面临的安全威胁呈现日益复杂的局面，随着互联网及应用的发展而不断演化。当前的网络安全形势不容乐观，一旦出现网络安全问题，其影响将涉及政治、经济、生活等方方面面。

（2）DNS安全威胁

DNS作为互联网基础服务，其安全对电信运营商来说意义重大。一旦DNS出现安全问题，必然影响到公众用户的互联网访问。近几年DNS安全事件频发，DNS安全威胁日益严峻。

（3）DDoS攻击威胁

运营商的数据网最常遇到的就是DDoS攻击，对网络影响最大的也是DDoS攻击。DDoS攻击随着技术手段的发展更加隐蔽，也更具有破坏性。

（4）漏洞威胁

电信网络设备和基础软件的漏洞风险日益严峻。如果骨干路由器等关键节点的漏洞被攻击者利用，网络设备被入侵操控，则具有影响网络的稳定运行、窃取用户信息、传播恶意代码的风险。因此，需要高度重视漏洞威胁。

1.2 省级电信运营商数据网安全建设中的主要问题

省级电信运营商数据网作为互联网的重要组成部分，随着网络规模日益扩大和网络应用日益丰富，省级电信运营商数据网运营面临的安全威胁更为突出，需要承接的客户安全需求也更加复杂和迫切。

（1）安全防护建设片面

省级运营商网络安全系统建设分散、缺少统筹。如果缺少一套整体的安全防护体系，就无法实现全面高效的网络安全检测、响应和防护。

（2）技术建设与制度管理不匹配

省级运营商往往重技术轻管理，缺少与技术手段相符的管理制度。同时，管理制度没有针对新的网络发展变化进行及时的修订，难以保障全面的防护体系建设。

（3）账号权限管理存在风险

由于多个用户使用同一个账号，一个用户使用多个账号；代维人员流动性大、缺少操作行为监控；缺少统一的运维操作授权策略等原因，这些对于网络系统的安全运行带来较大的潜在风险。

（4）安全加固不全面

漏洞的修复如同关闭了系统的一扇窗户，但并不能完全解决系统自身的安全问题。如果不能统筹考虑安全加固，一旦出现安全问题，将直接影响重要系统的正常运行。

1.3 需求分析

针对上述问题，在安全防护体系的建设过程中，一方面需要加强相关的技术手段的建设，逐步完善相关的系统建设；另一方面，需要加强相关制度建设，使之适应新形式下的网络变化。

（1）建立与技术手段相匹配的管理制度

技术建设是基础，管理制度是安全防护体系的保障。管理制度与技术建设相匹配，体现在如下几个方面：

①需建立安全操作的管理规范，管控网络操作的风险。

②技术系统建设后，需建立与之相匹配的管理制度来保障其执行。

③管理制度应适应不断发展的网络变化，需及时更新。

（2）完善账号和权限管理

为保障网络的安全与稳定、规范管理和提高维护效率，需做好账号的集中管理、人员账号的分权分域以及操作命令的精确授权等工作，具体体现在如下几个方面：

①原地市维护的网络设备上收省公司集约维护后，省公司维护人员与地市维护人员需要同时具备登录设备的账号，但由于责权不同，又需要分清操作权限。因此，需要进行统一的账号管理和权限分配。

②以往同一设备账号由多人共同使用，如果出现误操作、恶意操作，无法定位到责任人，如何保证“一人一账号，操作记录全审计”是一个技术和管理的难题。

③集约化后地市人员需要登录省公司的多种网管平台，这就对地市人员的权限控制，操作审计提出了要求。

（3）提升安全评估效率

省级运营商有着较多的业务系统、网管系统和网络设备，面对如此多的系统靠人工的方式进行漏洞发掘是不现实的。因此，安全防护体系建设中针对漏洞扫描需要做好如下三个方面的工作：

①自动化。漏洞在不断的更新，漏洞扫描工作不是一劳永逸的，需要不断的复扫，发现并解决问题。因此，可以将扫描工作列入日常作业计划中，一键执行，实现扫描工作的自动化。

②智能化。面对如此多的系统，人工的漏洞发掘工作是不现实的。因为，建设相应的漏洞扫描系统，实现漏洞扫描工作的智能化也是安全防护体系建设的要求。

③规范化。发现隐患，及时的进行整改，不断的复扫。“扫描-备案-整改”的循环实现风险的闭环管控，也是安全防护体系建设的规范化要求。

（4）加强资产漏洞信息管控

资产作为运营商网络安全管理的基本要素，目前运营商对资产的管理还大多停留在传统意义上固定资产管理，面对日益严峻的网络安全形势，仅仅做好传统的固定资产管理是远远不够的。

在进行安全扫描、加固等安全防护工作时，齐全的资产信息可以避免出现安全盲区；同时通过对资产信息的分析，可以及时全面掌握现网设备的漏洞、风险等情况。在进行安全应急事件处置时，准确的资产信息同样可以加快事件的处理速度。只有将资产安全管理责任落实到人，才能将各项安全工作推向深入。

在加强传统资产管理工作的基础上，将资产漏洞和安全基线等资产脆弱性信息、系统定级、安全评估和KPI考核等属性融入运营商新的资产管理体系中，及时发现和排除网络隐患，保障网络运行的稳定，这也是新形势下网络安全的要求。

2 构建网络安全防护体系的总体思路

电信运营商为构建科学合理的安全策略体系，制定了“整体考虑，统一规划；组织到位，流程顺畅；模块划分，责任清晰；集中管理，重点防护”的基本原则；设定了“网络安全运行的专业化、网络安全工作的制度化、全网安全的可视可管”的总体目标；从管理制度和技术建设两个方面来构建安全防护体系。

集团公司具有相应的防护指导，但是在省级运营商运维部门，还未有成型落地的防护体系，我们基于对ISO/IEC 27000标准的理解，从管理和技术方面构建起完善的安全防护体系。通过管理体系建设，建立和完善各项规章制度，规范各项操作，使得维护人员有章可循；通过技术体系建设，逐步建立和完善各种自动化、智能化的安全防护手段，增强网络安全防护能力。

管理体系建设与技术体系建设是相辅相成，缺一不可的。管理体系为技术体系建设指明了方向，如果缺少了管理的指导，技术建设则只是工具。技术体系建设是管理体系建设的基础，全面可靠的技术体系为管理体系建设的完善提供有力的技术支撑。

图1 管理体系与技术体系建设

3 网络安全防护的技术体系建设

山东电信根据安全防护的不同级别，划分安全域，隔离边界，针对不同的安全域设计不同的技术防护策略，有效的实现大规模系统的安全防护。从网络的监控、防护、审计和评价四个方面入手，部署了相应的安全系统，来实现山东电信安全防护技术体系建设。

3.1 安全域划分和边界整合

安全域是指同一系统内相互信任，有相同的安全防护需求的子网或网络，具有相同的安全访问控制和边界控制策略。通过安全域划分，可以将大规模复杂系统的安全问题，有效划分为小区域简单系统的安全保护问题，从而有利于采取针对性的防护策略。通过边界整合，可以有效的整理和归并系统与网络接口，从而减少接口数量，规范系统与网络接口，有效实现大规模复杂系统的安全等级保护。

（1）安全域

安全域划分参考“向日葵”模型，将相关网络及系统划分为IP承载网、用户域及业务模块，实现安全域的有效隔离。采用“向日葵”模型进行安全域划分可以确保维护界面明确、网络边界清晰、业务模块易扩展等优点。图2中“花心”作为IP承载网，实现业务的IP可达，“花环”作为IP承载网边界，实现业务接入，“花萼”是业务模块与承载网的交互区域，实现业务控制，而“花瓣”是单个业务模块，可进一步进行安全子域的划分。

图2 省级电信运营商安全域总体划分示意图

（2）边界整合

网络边界的互联应遵循“最小化原则”的基本原则，在满足业务和维护的需求的前提下，最大限度的减少的互联地址和端口数量。交互网络域的安全防护建设，从各系统的等级保护要求、业务特点为出发点设计安全防护需求。

①当安全域与各类网络进行互联时，统一由各自对应的接入区统一进行接入。

②预防为主，检测为辅”，采用通用防护设备或技术，如在网络边界部署防火墙、入侵检测系统、安全监控系统，在核心交换机设置访问控制策略、划分VLAN等技术手段对安全域进行安全防护。

③当安全域接入各类网络时，采取通用防护措施的同时，根据需要部署专业的安全技术防护系统，如DNS防护、反垃圾邮件系统、异常流量分析等。

3.2 安全系统建设

在对各单个网元安全加固的基础上，山东电信采用先进的安全运营体系，从网络安全监控、防护、审计和评价四个方面进行了系统建设。

（1）网络安全监控

山东电信部署了异常流量监测和溯源系统，通过采集城域网核心路由器到省网出口路由器之间的链路流量和省网出口路由器的链路流量，实现DDOS攻击等实时的监控以及各业务系统流量流向情况的统计分析。同时，将检测到DDOS攻击等异常流量情况，通过OSS工单，自动派发至维护人员进行处置，实现异常流量的闭环管控。

针对日益猖獗的僵尸木马病毒和大幅增长的移动互联网恶意程序，山东电信部署了僵尸木马监测平台和移动恶意程序监测和处置平台，实时的采集城域网以及2G、3G和4G流量数据样本，并与相应的特征数据库进行比对，通过黑白名单的管理，实现对省内僵尸、木马等病毒和移动端的恶意程序等恶意事件的实时监测和处置。

（2）网络安全防护

山东电信部署了AV防病毒系统，各生产终端实时从防病毒服务器进行病毒特征版本的更新，防止各生产终端在日常的维护使用时中毒，也避免相应的病毒木马等在网内的传播。

针对DDoS攻击，部署了ADS系统来拦截DDoS攻击，根据监测到的DDoS攻击中的目的IP，将到其的异常流量进行牵引清洗，并将正常的访问流量进行回注，实现异常流量的清洗和正常业务的保护，从而实现对DDoS攻击的安全防护。

为了提高DNS系统对网络攻击的防护性能，应对日益增长的域名解析服务需求，山东电信建设了域名服务系统。在提供传统DNS域名解析的基础上，将域名状态监控、域名安全防护、域名智能纠错、流量分析等功能加入其中，保障在能正常提供域名解析的同时，也能完成对域名的实时监控，及早发现DDoS攻击，保障用户的正常使用。

（3）网络安全审计

山东电信建设了4A平台实现了山东电信网和业务系统的账号（Account）、授权（Authorization）、认证（Authentication）和审计（Audit）的集中管理。

①帐号管理。平台为维护人员提供统一集中的帐号管理，实现包括操作系统、网络设备和应用系统在内的资源帐号的创建、删除等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生命周期的设定。

②授权管理。4A平台既实现了B/S、C/S应用系统资源的访问权限控制，也实现了主机及网络设备的操作的权限控制。

③认证管理。根据维护人员实际工作的需要，平台为其提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（短信认证、动态令牌）。

④审计管理。4A平台将维护人员所有的操作日志集中记录管理和分析，不仅可以对维护人员的访问和操作行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后的安全事故责任的认定。

（4）网络安全评价

山东电信一方面部署了各种漏扫系统，实现对各个网元和业务系统的安全评价：部署了BVS安全配置核查系统和RSAS漏洞扫描系统，来实现对各个网元的配置极限以及各个网元系统的漏洞的智能化核查和扫描；通过WVS web漏洞扫描系统，实现对业务系统、网站等WEB站点的智能化扫描，及时的发现漏洞，保障网络的安全的运行。

另一方面，建设了安全资产管理系统，实现各网络资产信息的评估和闭环管控。安全资产管理系统以资产为核心，以可视化、精确化、自动化和流程化为建设目标，全面覆盖资产的各类安全属性，利用工具化的采集设备获取资产属性，实现资产属性的动态管理。在此基础上将安全扫描、异常流量监测、安全预警、安全告警、入网验收等功能与服保系统（OSS）等系统融合在一起，实现各业务系统资产信息的准确管理。

图3 安全风险闭环管控模型

安全资产管理系统通过“扫描-备案-整改”的循环实现风险的闭环管控。

①安全资产管理系统支持多方漏洞扫描设备进行漏洞扫描，以及漏洞和基线等扫描结果的自动导入。

②与OSS对接，实现按照作业计划自动的进行各业务系统的安全扫描工作。

③根据漏洞、基线和WEB等扫描报告以及相应的安全告警信息，对资产进行多维度的风险评估，并在系统中对告警信息进行备案并向资产维护人员派发安全事件任务单。

④维护人员根据告警详情对资产加固整改完成后，再次进行复扫，根据复扫报告系统会进行告警确认；对于暂时无法整改的告警，维护人员可以通过白名单功能进行管控。

4 网络安全防护的管理体系建设

为指导安全防护技术体系建设，配合相应的安全防护系统和技术手段更好的发挥作用，山东电信结合工作实际和生产组织情况，建立了网络安全防护管理体系建设。下面从管理制度、安全工作流程和考核办法三个方面进行说明。

4.1 管理制度

为保障网络的安全运行，建立完善的安全防护体系，山东电信出台了一系列的管理制度来规范网络操作，来提高网络安全防护体系建设。

山东电信下发了《山东电信安全体系建设》、《明确山东电信网络安全工作组职责的通知》，从制度上明确安全体系建设和工作的职责；通过《山东电信信息安全风险评估技术规范》和《山东电信通信网络安全防护管理办法》等从安全评估的角度来指导安全防护工作；通过《山东电信DNS日常安全保障规程》、《中国电信山东分公司公共互联网网络安全应急预案》和《山东电信重大活动保障及应急预案》等规范日常保障和应急预案保障等工作。

部门制订了《省NOC网络与信息安全实施细则》，从账号授权、远程登录维护审计、信息查询和监控室安全管理等工作细则方面，来实现安全防护体系建设。

山东电信制定了《山东电信通行字管理办法》，规范了通行字使用，对各类生产管理系统的登录实施监督管理，以保证山东电信网络运行维护的各类生产管理系统安全运行。

4.2 安全工作的流程

安全工作的流程包括组织架构和安全工作处置两个方面。

省NOC作为连接集团和地市公司的桥梁，需要做好工作的流转，及时的进行上报和下发，保障反馈信息的准确、及时和高效。

制定了《山东电信垃圾邮件处理办法》、《互联网安全事件应急处理流程和要求》、《木马和僵尸网络监测和处置机制规范》等规章，规范了安全工作的流程。

4.3 网络安全工作量化评估

面对日益严峻的网络安全形势，电信运营商积极推进网络安全体系建设，不断提升电信基础网络和重要业务系统、支撑系统的安全防护能力，虽然，通过一些对比数据可以呈现网络安全工作成效，但是缺少整体性和系统性。因此构建省级电信运营商数据网络安全量化评估指标，客观评价网络安全整体水平，对持续推进和完善网络安全体系建设有重要意义。

山东电信从漏洞基线符合率KPI、作业计划以及安全事件处置的及时率和有效率等方面进行量化考核。通过安全资产管理系统，对各个业务存在的漏洞及整改情况、基线符合率等安全资产的要素进行自动化的统计，将各业务系统的安全状态进行呈现和考核；各系统包机人制定安全作业计划，对其执行情况进行考核；对于垃圾邮件、木马和僵尸网络、DDoS攻击等安全事件的处置，通过及时率和有效率的统计，对维护人员进行考核。

5 结语

通过构建省级电信运营商数据网安全体系，将管理制度与安全技术、安全产品、安全策略等安全技术融合在一起，共同形成一个坚实的防护体系，全面提升数据网安全保障能力，为今后网络安全工作的开展奠定了基础。安全评估的量化工作，可以客观反映网络安全水平，验证安全体系建设的实施效果，对持续推进和完善网络安全体系建设有重要意义。