電信網(wǎng)上營(yíng)業(yè)廳安全不容忽視

如今，電信網(wǎng)上營(yíng)業(yè)廳早已被廣泛熟知。作為利用互聯(lián)網(wǎng)平臺(tái)構(gòu)建的虛擬服務(wù)窗口，由于其與互聯(lián)網(wǎng)連接，使得網(wǎng)上營(yíng)業(yè)廳往往會(huì)面臨較多安全風(fēng)險(xiǎn)，特別是網(wǎng)上營(yíng)業(yè)廳與電信后端支撐網(wǎng)連接才能實(shí)現(xiàn)電信核心交易業(yè)務(wù)的處理，因此備受各大運(yùn)營(yíng)商的高度關(guān)注。

電信相關(guān)監(jiān)管部門發(fā)布《網(wǎng)上營(yíng)業(yè)廳安全防護(hù)檢測(cè)要求》及《網(wǎng)上營(yíng)業(yè)廳安全防護(hù)要求》中，對(duì)網(wǎng)上營(yíng)業(yè)廳的安全性都提出了具體的建設(shè)要求，包括網(wǎng)上營(yíng)業(yè)廳應(yīng)采取有效的隔離措施，對(duì)遠(yuǎn)程的合法用戶進(jìn)行認(rèn)證和授權(quán)，保障用戶利益等。

業(yè)務(wù)上主要參考規(guī)范化設(shè)計(jì)，對(duì)網(wǎng)廳業(yè)務(wù)系統(tǒng)進(jìn)行梳理，劃分核心業(yè)務(wù)域和非核心業(yè)務(wù)域。技術(shù)上參考IATF國(guó)際信息安全技術(shù)框架協(xié)議，將電信公司的網(wǎng)絡(luò)從邏輯上劃分成多個(gè)不同的安全區(qū)域，各個(gè)安全區(qū)域之間的訪問關(guān)系就形成了邊界，然后在邊界上和各區(qū)域的邊界內(nèi)部署綜合防護(hù)措施如訪問控制、防病毒、安全審計(jì)等,同時(shí)通過集中的管理系統(tǒng)將全部安全設(shè)備進(jìn)行集中管理。

主要措施可以分為以下幾點(diǎn)：

重點(diǎn)保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施

1、根據(jù)安全保護(hù)級(jí)別的不同對(duì)網(wǎng)絡(luò)進(jìn)行安全域的邏輯劃分，明確區(qū)域邊界；在重要服務(wù)器區(qū)域的邊界網(wǎng)關(guān)設(shè)備（路由器、防火墻等）上開啟QOS功能，確保關(guān)鍵應(yīng)用或重要用戶的帶寬使用；

2、在互聯(lián)網(wǎng)出口位置部署綜合安全網(wǎng)關(guān)設(shè)備進(jìn)行訪問控制、病毒防護(hù)和線路加密，對(duì)網(wǎng)上交易系統(tǒng)等進(jìn)行加強(qiáng)保護(hù)如增強(qiáng)安全審計(jì)；

3、進(jìn)行網(wǎng)絡(luò)拓?fù)涓脑?，?shí)現(xiàn)主干通信線路冗余，主要網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)等均采用雙機(jī)方式，網(wǎng)關(guān)安全設(shè)備也采用適當(dāng)機(jī)制保證網(wǎng)絡(luò)的高可用性，并按照業(yè)務(wù)系統(tǒng)大集中要求進(jìn)行網(wǎng)絡(luò)整改。

重點(diǎn)保護(hù)邊界安全

1、在互聯(lián)網(wǎng)接入與DMZ服務(wù)器區(qū)，DMZ與inside區(qū)域等各個(gè)的邊界部署防火墻系統(tǒng)，結(jié)合實(shí)際業(yè)務(wù)需要進(jìn)行相關(guān)安全規(guī)則的設(shè)置；在互聯(lián)網(wǎng)接入端部署防毒墻，抵御外部病毒攻擊；

2、在DMZ核心交換機(jī)前部署入侵防御系統(tǒng)，檢測(cè)并防御來自外部的攻擊、蠕蟲、惡意代碼攻擊；在inside區(qū)內(nèi)域部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，對(duì)訪問服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行攻擊檢測(cè)，同時(shí)監(jiān)控來自管理端的內(nèi)部攻擊，并提供適當(dāng)?shù)娜罩竞蛨?bào)警機(jī)制；

3、在公司機(jī)房網(wǎng)絡(luò)中開啟所有網(wǎng)絡(luò)設(shè)備的日志功能，采用專業(yè)的安全審計(jì)產(chǎn)品對(duì)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及應(yīng)用系統(tǒng)進(jìn)行用戶行為審計(jì)和系統(tǒng)事件審計(jì)。

建設(shè)運(yùn)維基礎(chǔ)設(shè)施，提高響應(yīng)能力

建立安全管理中心，實(shí)現(xiàn)對(duì)安全策略、設(shè)備管理、全網(wǎng)安全事件集中監(jiān)控、分析和應(yīng)急響應(yīng)，并對(duì)安全風(fēng)險(xiǎn)、安全態(tài)勢(shì)進(jìn)行集中管控。

安全專家表示，本方案的設(shè)計(jì)重點(diǎn)在于網(wǎng)絡(luò)安全層面，適當(dāng)兼顧了主機(jī)安全和應(yīng)用安全，強(qiáng)度上參考了3.2級(jí)的要求，可保障建成的安全系統(tǒng)能夠符合電信監(jiān)管部門的要求，業(yè)務(wù)上實(shí)現(xiàn)分層次的保護(hù)，確保了支撐不同業(yè)務(wù)的服務(wù)器安全，并嚴(yán)格控制邊界，針對(duì)不同安全域采取不同的安全技術(shù)和手段，來確保網(wǎng)上營(yíng)業(yè)廳的對(duì)抗攻擊和意外事件的能力，并對(duì)重要的資產(chǎn)進(jìn)行強(qiáng)化的保護(hù)。

(泰勒)