电信运营商的内网优化改造研究与部署
2021-11-07程旺燕王林林吴宝山崔中胜黄建军
程旺燕 王林林 吴宝山 崔中胜 黄建军
摘要:中国电信安徽分公司企业内网不仅承载了内部支撑管理系统和生产系统,而且承载了办公终端。随着互联网技术的快速发展,各种网络病毒和威胁不断涌现,对网络安全防护提出了更高的要求。因此,安徽分公司的企业内网优化改造迫在眉睫。本文从网络结构优化、办公终端安全管理、IP地址管理三个方面提出了改造方案并实施了部署,进一步提升了安徽分公司企业内网的安全性,在电信运营商中具有一定的推广意义。
关键词:电信运营商;企业内网;终端安全;实名制
中图分类号:TP393 文献标识码:A
文章編号:1009-3044(2021)25-0055-02
1 引言
中国电信企业内网(以下简称DCN网)是承载中国电信内部支撑管理系统和业务生产系统的专有网络通道,安徽分公司的DCN网不仅承载了企业内部支撑管理系统和业务生产系统,而且承载了全体员工的办公终端,办公终端通过省公司统一公网出口访问互联网业务。随着网络技术和信息化建设的飞速发展,网络病毒、蠕虫的传播,针对系统漏洞的网络攻击、信息泄露和盗用,都可能会造成重要网络或系统瘫痪[1]。因此,安徽分公司DCN网面临着巨大的安全威胁,如何在现有网络上进行优化改造,既保证内部支撑管理系统和业务生产系统安全、稳定运行,又能满足广大员工的日常办公需求,是当前需解决的问题。
2问题分析
安徽分公司DCN网在优化改造前(网络拓扑如图1所示)主要存在如下三个安全隐患问题。问题一:所有办公终端均接入DCN网,通过省中心的终端认证设备认证后访问互联网业务,DCN网存在互联网统一出口,不符合集团公司关于DCN网不允许存在互联网出口的安全运营要求。问题二:所有办公终端和非办公终端未进行物理或逻辑隔离,存在IP地址段混用的情况。办公终端很容易成为肉鸡和攻击跳板,对关键业务系统构成安全威胁,存在较大的安全运营风险。问题三:DCN网IP地址未实现100%实名制,导致无法100%溯源,不符合运维管理要求。
3 优化和部署方案
3.1 网络结构优化
新建OA办公网,与DCN网隔离。通过在CN 2网PE设备和城域网ASBR、BRAS等设备上开通OA办公网的MPLS VPN,与现有DCN网的MPLS VPN[2]实现逻辑隔离,同时在接入段实现网络设备物理隔离(网络拓扑如图2所示)。
此次网络优化改造,全省除采购2台华为S9300X-8交换机作为OA办公网省核心交换机使用外,原承载办公终端的DCN网接入段设备全部割接至OA办公网,具备PON资源的优先从PON接入,无其他新增投资。OA办公网新启用22.0.0.0/8地址段,在承载网与其他VPN业务区分,通过公网私用的方式解决办公终端的IP地址使用需求,在省中心终端认证设备上实现OA办公网访问互联网和DCN网的NAT转换。完成网络优化改造后,全部办公终端从DCN网割接至OA办公网承载,经过认证后二选一访问互联网或者DCN网,DCN网内只保留IT和网络类资产,大大提升了DCN网的安全性。
3.2办公终端安全管理
使用网络准入控制技术[3],对所有接入OA办公网的办公终端强制安装桌面安全系统软件(如图3所示)。办公终端桌面安全系统对终端的杀毒软件、密码策略设置、屏幕保护、禁止安装软件、弱口令账户等6大项内容进行实时检查。若检查发现存在不符合安全管理要求的内容,办公终端桌面安全系统会产生告警并给出修复方案。办公终端桌面安全系统软件上线半年时间里,累计检测到终端弱口令10207个、禁止安装的软件894个、杀毒软件不合规9546个、锁屏时间不合规9368个、密码策略不合规10549个,进一步提升了办公终端的安全性。
3.3 IP地址管理
一方面,制定IP地址管理办法,明确各单位在IP地址规划、申请、分配、注册、使用、更改、回收和稽核等环节的职责。另一方面,建设IP地址管理系统,将IP地址的全生命周期管理纳入生产流程,规范对IP地址的系统化、日常化、动态化管理。
对于OA办公网IP地址,在省中心终端认证系统实现实名制管理(如图4所示),包括认证时间、获取的IP地址、使用人OA工号和姓名等信息。
对于DCN网IP地址,遵循“先实名、后使用”原则[4],在IP地址管理系统中完成实名制注册后才能使用,要求每一个DCN网IP地址都能对应到单位、部门、系统、设备/终端和责任人,确保并确保信息准确性、完整新和及时性(如图5所示)。
4部署成效和结论
本文提出的电信运营商的内网优化改造研究与部署方案,在安徽分公司实践应用后取得了十分显著的成效。通过新建OA办公网,实现全省约1.5万办公终端全部从DCN网剥离,DCN网内只保留IT和网络类资产。通过升级终端认证系统以及上线办公终端桌面安全系统软件,实现OA网IP地址100%实名制同时提升了办公终端的安全性。通过利用省内IP地址管理系统,实现DCN网IP地址100%实名制和全生命周期管理。
该方案在中国电信安徽分公司企业内网部署后,达到了预期的效果,在电信运营商中具有非常好的推广性。
参考文献:
[1] 杨德友,王伟,陈诗伟.大型企业的网络安全分析及安全防护体系设计[J].商场现代化,2009(13):142-144.
[2] 王达.华为MPLS VPN学习指南[M].北京:人民邮电出版社,2019.
[3] 宋经伟.网络准入控制技术在终端安全管理系统中的应用[J].软件导刊,2014,13(2):136-138.
[4] 周珊珊.我国网络实名制发展状况研究[D].武汉:华中科技大学,2011.
【通联编辑:唐一东】