dcn网络与公网_DCN网络安全
DCN
網絡(數據通信網)安全解決方案
DCN
(數據通信網)是網通
A
公司的專用數據通信網,作為公司的
Intranet
,不僅是公司的
生產網,同時也承載了大量的業務系統,如計費系統、綜合客服系統、網管系統、呼叫中心
和計費采集系統等。
作為內部
IT
系統的基礎承載網絡,
網通
A
公司
DCN
采用
VLAN+MPLSVPN
技術來隔離各業
務系統,網絡安全問題由各業務系統自己解決。在網絡建設之初,
缺乏統一規劃,
主要以滿
足各業務系統自身需求為出發點,
欠缺整體上的安全保護策略,
安全保護策略的部署差異很
大,無法提供整體的安全解決方案,同時在一定程度上帶來了維護和管理上的難度。而且,
DCN
的網絡設備在整體上缺乏保護措施,
面臨被黑客控制甚至被當作攻擊跳板的危險,
同時
由于運營商的特殊角色,其網絡設備面臨嚴重的拒絕服務攻擊的威脅。
本文從網絡安全域角度出發,從網絡邊界防護、
主機安全策略、身份認證和終端安全控制
等多方面分析了網通
A
公司
DCN
網絡安全解決方案。
2
、網絡安全域的劃分
為規劃和建設一個安全可靠的
IT
系統,目前通用的做法是引入一個安全域的概念。本文
所講述的安全域的概念是,在安全策略的統一指導下,根據各套
IT
系統的工作屬性、組成
設備、所攜帶的信息性質、使用主體、安全目標等,將
DCN
及其所承載的
IT
系統劃分成不
同的域,將不同
IT
系統中具有相近安全屬性的組成部分歸納在同級或者同一域中。一個安
全域內可進一步被劃分為多個安全子域,安全子域也可繼續依次細化。這里需要明確的是,
安全域劃分并不是傳統意義上的物理隔離。
物理隔離是由于存在信息安全的威脅而消極地停
止或者滯后信息化進程,隔斷網絡使信息不能共享;而安全域劃分是在認真分析各套
IT
系
統的安全需求和面臨的安全威脅的前提下,既重視各類安全威脅,也允許
IT
系統之間以及
與其他系統之間正常傳輸和交換合法數據。
本文將網通
A
公司
DCN
及其所承載的
IT
系統劃分為
5
個安全域,如圖
1
所示。
圖
1
網絡安全域劃分●核心主機域:各業務系統業務主機。●網絡域:包括路由器、交換
機等網絡設備。
●終端用戶域:
本區域按照終端類型分為固定終端用戶
(主要是特定權限人
員的固定坐席人員)
、第三方接入用戶(漫游區、現場支持等)
、外部撥號用戶接入(
OA
用
戶接入、
遠程內部用戶接入、
遠程第三方人員接入、
撥號接入和維護接入)
。
●公共接口區:
包括與
Internet
相連、
與銀行的接口以及與公司企業內其他網絡的連接。
●公共安全服務區:
包括終端安全策略強制系統、病毒監控中心、
認證中心、
安全管理中心等,
本次工程在二樞
紐三層“九七”機房新增華為
S6503
交換機,用于安全服務區設備
DCN
的接入。
3
、
網絡安全解決方案網絡安全域劃分的目的是根據各設備所承擔的工作角色和安全方面,
有針
對性地考慮安全產品的部署。
一方面安全域的劃分為安全產品的部署提供了一個健康、
規范、
靈活的網絡環境;另一方面,將安全域劃分為域內和域外,域和域之間主要通過
VPN
和防
火墻來彼此隔離,
在域內主要根據不同被保護對象的安全需求部署
AAA
、
IDS
和防病毒系統。
圖
1
圖
1
網絡安全域劃分
●核心主機域:各業務系統業務主機。
總結
以上是生活随笔為你收集整理的dcn网络与公网_DCN网络安全的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: iPad及BT4下的WEP破解实验与分析
- 下一篇: easyboot的一个严重不足