运营商IT系统网络架构的安全域划分

运营商IT系统网络架构的安全域划分

京移通信设计院有限公司李玮

众所周知，网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略，它是安全工作的标准和依据;安全技术框架的核心是积极防御，安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。对拥有众多IT系统的电信运营商而言，以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署，更应该是一个全面、立体、构架化的安全体系。安全体系的健康与否，关系到认证与授权是否能够做到对访问的主动控制，关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失，关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题。

IT系统安全体系具体是由解决方案和安全设备部署构成的，二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言，按照网络安全框架的要求，IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的，才能够最终保证所部署的安全设备充分发挥作用，才能够保证安全技术框架的顺利实施，进而保证安全策略的有效贯彻。

一、传统IT系统局域网架构的不足和安全威胁

传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立，经常采用如物理隔离的方式来达到安全的目的，甚至建设两套网络，即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用，而无法实现与其他相关系统之间、与Internet之间的信息交互和共享，不但禁止了有用数据交换，造成信息化工作无法开展，还进一步增加了投资，这与积极防御的理念是背道而驰的。另外，物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次，由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划，同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的，虽然在一定程度上能够起到安全防护作用，但是由于各套IT系统的安全建设自成体系、分散单一，缺乏统筹考虑和宏观把握，造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来

运营商制订的统一安全策略难以贯彻、重复建设，安全设备不能充分发挥作用等问题。另外，由于IT系统局域网结构和层次不清晰，不同IT系统所分配私有IP地址很有可能相同。虽然IT系统之间暂时没有发生联系，但是随着运营商维护管理水平的进一步提高，IT系统的管理平台建设也是迫在眉睫，而IT系统内部网络整体结构的天生不足会给今后的管理带来非常大的不便。从管理层面来看，很多运营商由于长期以来把安全项目作为承载网或者其他业务系统、IT等支持系统的附加工程或者从属项目，加之一些网络安全厂商或者电信运营部门的技术人员，往往认为采用先进的网络技术、名牌产品即可实现网络系统、业务系统和IT系统的安全，没有考虑安全产品并未形成体系，容易造成许多薄弱环节没有覆盖到，安全隐患也随

之增加。

一般说来，电信运营商IT系统由以下一些系统组成。

1.网络支撑系统，主要有各种网管系统，包括承载网网管、支撑系统网管、业务网管等;

2.业务支撑系统，主要有BOSS、经营分析系统、大客户关系管理系统等;

3.企业管理信息系统，办公自动化系统、电子工单系统、资产管理系统等。

上述IT系统在今天很少是孤立存在的，也就是说，它们必须与其他系统实现网络互通和信息共享与交互。在这种应用需求下，使得不同的外部网络、不同身份和目的的人都有机会连接到运营商内部网络中，从而对IT系统的安全带来了威胁。从电信运营商IT网络环境的层面而言，IT系统的安全威胁主要来自以

下几个方面。

1.来自内部误用和滥用的安全威胁，包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。而这类误用和滥用，与运营商内部不同IT系统或者与其他相关系统的互联互通、运营商之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;

2.来自互联网的安全威胁:目前有些运营商的IT系统是与互联网相连的，例如很多办公自动化系统都

与互联网相连，如果安全措施不力就很有可能被黑客利用，带来网络安全问题;

3.来自缺省配置的安全威胁:电信行业在建设IT系统时，大量的UNIX/WINDOWS/NOTES等系统很多都采用缺省配置，造成开放不必要的端口等安全隐患，如果运营商对其IT局域网架构缺乏安全边界的划分，而又没有采取一个可集中控制访问请求的措施，则很容易被不法分子利用进行非法入侵。

二、运营商IT系统局域网架构的安全域划分

IT系统安全体系的最终目标就是在技术可行和管理可行的前提下，将安全风险和隐患降低到一个可以接收的水平。要实现这一目标，需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备，更是需要综合考虑如何在现有IT网络架构上安装何种安全设备才能发挥最大的作用。通过前面的分析可知，如果没有一个结构清晰、可靠实用、扩展灵活的IT网络，依然沿袭各套IT系统的安全建设自成体系、分散单一的常规做法，即使选用最先进的安全设备，那么也只能是搭建了一个空中楼阁，无法从根本上减弱IT系统所受到的安全威胁和隐患。因此，克服和改造IT系统传统局域网整体结构的不足才是电信运营商解决网络安全的首要工作。为规划和建设一个完善的IT系统局域网，本文引入一个安全域的新概念。安全域的定义是，在安全策略的统一指导下，根据各套IT系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等，将运营商的IT系统局域网划分成不同的域，将不同IT系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为安全子域，安全子

域也可继续依次细化。

这里需要明确的是，IT系统局域网结构的安全域划分并不是传统意义上的物理隔离，物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享;而安全域划分是在认真分析各套IT系统的安全需求和面临的安全威胁的前提下，既重视各类安全威胁，也允许IT系统之间以及

与其他系统之间正常传输和交换的合法数据。

从设备组成上看，如果不考虑这些IT系统中自带的安全设备，可以将其分为三大部分:核心处理系统，包括多主机架构组成的服务器、数据库、应用软件等，负责该IT系统的信息采集、处理和应用;接入交换系统，包括路由器和交换机，负责该IT系统的内部以及与其他相关系统之间的信息交互;操作维护部分，包括各类操作维护终端，负责向维护管理人员提供接入手段。一般情况下，电信运营商的IT系统虽然是独立建设的，但各套设备的物理位置都是比较集中的，而且不同IT系统的核心处理系统、接入交换系统和操作维护部分所面临的安全威胁、安全需求都是比较类似和接近的(例如IT系统的操作维护终端多是基于MS windows平台,遭受病毒攻击的风险比较接近)，因此可以利用这两个特点并借鉴常规物理隔离中的有益思想，完成电信运营商IT系统局域网结构的安全域划分。在安全域划分时应该遵循以下的一些基本原则。

1.根据电信运营商IT系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。前面已经提到，从网络构架层面来讲，电信运营商IT系统局域网整体结构安全域的划分是与安全产品的部署密不可分的，一方面安全域的划分为安全产品的部署提供了一个