李 明 劉 濤 王賢鋒

中國(guó)電信股份有限公司徐州分公司

0 引言

DCN網(wǎng)（Data Communication Network，數(shù)據(jù)通信網(wǎng)絡(luò)）是中國(guó)電信內(nèi)部IT系統(tǒng)的基礎(chǔ)承載網(wǎng)，為電信業(yè)務(wù)、營(yíng)業(yè)、計(jì)費(fèi)、網(wǎng)管數(shù)據(jù)傳輸、多媒體通信等系統(tǒng)提供傳輸通道和通信平臺(tái)。徐州DCN網(wǎng)2005年之前是通過(guò)2M等方式互聯(lián)的獨(dú)立的專網(wǎng)，由華為2600路由器、華為2016或2403等交換機(jī)組成。2005年進(jìn)行了擴(kuò)容，在端局增加了部分華為3528、3352交換機(jī)，隨后以O(shè)LT（optical line terminal，光線路終端）設(shè)備為核心的接入網(wǎng)大規(guī)模部署，網(wǎng)絡(luò)延伸到各個(gè)鄉(xiāng)鎮(zhèn)局點(diǎn)。DCN網(wǎng)用戶可以通過(guò)LAN（局域網(wǎng)）或PON（無(wú)源光纖網(wǎng)絡(luò)）的方式接入城域網(wǎng)，通過(guò)MPLS VPN（Multi-Protocol Label Switching Virtual Private Network，基于多協(xié)議標(biāo)簽交換技術(shù)的虛擬專用網(wǎng)）承載。在城域網(wǎng)內(nèi)采用兩臺(tái)高性能的華為NE40E作 為ASBR（Autonomous System Boundary Router，自治系統(tǒng)邊界路由器）對(duì)本地網(wǎng)DCN業(yè)務(wù)的路由進(jìn)行匯聚，進(jìn)入CN2（Chinatelecom Next Carrier Network，中國(guó)電信下一代承載網(wǎng)絡(luò)）網(wǎng)絡(luò)，接入省DCN網(wǎng)。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 徐州本地網(wǎng)DCN網(wǎng)拓?fù)?/p>

徐州DCN網(wǎng)主要用途主要有三個(gè)方面：

（1）辦公：主要用于員工辦公使用，包括MSS（Manage Support System，管理支持系統(tǒng)）、BSS（Business Support System，業(yè)務(wù)支持系統(tǒng)）、OSS（Operation Support System，運(yùn)營(yíng)支持系統(tǒng)）、OA（Office Automatio，辦公自動(dòng)化）等系統(tǒng)。

（2） 生產(chǎn)：主要用于各設(shè)備、網(wǎng)管使用，包括傳輸網(wǎng)管系統(tǒng)、動(dòng)環(huán)監(jiān)控等。

（3） 營(yíng)業(yè)：主要用于營(yíng)業(yè)廳業(yè)務(wù)辦理，包括自有廳、合作廳、代辦廳等。

1 DCN現(xiàn)網(wǎng)安全狀況分析

1.1 DCN網(wǎng)面臨的安全隱患

（1）企業(yè)信息化、動(dòng)環(huán)監(jiān)控、設(shè)備網(wǎng)管等對(duì)DCN網(wǎng)的需求將長(zhǎng)期存在，但目前的接入交換機(jī)已運(yùn)行15～20年，對(duì)于一張長(zhǎng)期存在的網(wǎng)絡(luò)，需要及時(shí)替代升級(jí)。

（2）各需求部門(mén)組網(wǎng)方式隨意性很強(qiáng)，末端接入混亂，網(wǎng)絡(luò)區(qū)域邊界不清晰，容易存在廣播風(fēng)暴，二層環(huán)路等故障點(diǎn)（如圖2所示，多臺(tái)交換機(jī)串聯(lián)在一起）；網(wǎng)絡(luò)資源比較分散，IP地址各部門(mén)混用，關(guān)鍵數(shù)據(jù)分散管理，部分通信資源無(wú)法共享，擴(kuò)展性差；再加上工作點(diǎn)分散，私自更換IP地址，容易造成資料不準(zhǔn)，資產(chǎn)備案困難，出現(xiàn)障礙無(wú)法準(zhǔn)確定位。

圖2 DCN網(wǎng)末端接入混亂

（3）本地網(wǎng)DCN網(wǎng)出口沒(méi)有配備防火墻，出口路由策略ACL（Access Control Lists，訪問(wèn)控制列表）配置粗糙，訪問(wèn)端口策略不合理，容易受到網(wǎng)絡(luò)攻擊，容易導(dǎo)致產(chǎn)生安全漏洞的端口暴露在整個(gè)DCN網(wǎng)內(nèi)。

（4）DCN網(wǎng)IP地址的利用率低，只有新增沒(méi)有釋放，缺少IP地址的有序管理，造成IP資源浪費(fèi)，剩余可用地址緊張，已經(jīng)影響到后期業(yè)務(wù)開(kāi)放。

總之，資源不準(zhǔn)確、接入無(wú)管控、無(wú)網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)私接、故障定位難、無(wú)法溯源、缺少IP有序管理、IP資源浪費(fèi)等問(wèn)題是目前徐州電信DCN網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)點(diǎn)。

1.2 提升DCN網(wǎng)安全的辦法

（1）根據(jù)DCN網(wǎng)的用途，利用MPLS VPN技術(shù)劃分多個(gè)域，各業(yè)務(wù)在城域網(wǎng)內(nèi)獨(dú)立運(yùn)行。

（2）利用DCN網(wǎng)出口的兩臺(tái)ASBR設(shè)備，在不新增防火墻的前提下，可以通過(guò)配置路由、ACL、白名單等方式進(jìn)行全網(wǎng)的安全防護(hù)。

（3）生產(chǎn)、營(yíng)業(yè)用DCN網(wǎng)，就近接入專線交換機(jī)或接入FTTH網(wǎng)絡(luò)。采用專線電路的方式受理開(kāi)通。IP地址需求量大的局點(diǎn)配置專用DCN網(wǎng)接入交換機(jī)。

（4）除生產(chǎn)和營(yíng)業(yè)用DCN網(wǎng)，其余辦公用DCN網(wǎng)一律采取PPPOE（Point-to-Point Protocol Over Ethernet，以太網(wǎng)上的點(diǎn)對(duì)點(diǎn)協(xié)議）撥號(hào)方式接入DCN網(wǎng)，一人一號(hào)，采用VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）+MAC（Media Access Control Address，局域網(wǎng)地址）綁定，方便管控。其他人員如要訪問(wèn)DCN網(wǎng)一律申請(qǐng)F(tuán)TTH（Fiber To The Home，光纖到戶）鏈路接入，采用撥號(hào)方式，VLAN+MAC綁定。

（5）采用固定IP地址接入的需要嚴(yán)格履行IP資產(chǎn)管理、報(bào)備手續(xù)，在地址啟用、撤銷、變更時(shí)需要及時(shí)在電信自用IP資產(chǎn)管理系統(tǒng)中同步變更。

（6）員工安全意識(shí)欠缺不容忽視，需要加強(qiáng)管理，很多網(wǎng)內(nèi)運(yùn)行的系統(tǒng)平臺(tái)存在敏感信息泄露、弱口令、開(kāi)放非用端口等安全問(wèn)題。

2 解決措施

2.1 DCN網(wǎng)安全域的劃分

針對(duì)DCN網(wǎng)IP地址的用途分配不同，劃分4個(gè)安全域，彼此隔離，并分配不同的權(quán)限：

（1）辦公域，采取VPDN（Virtual Private Dial Network，虛擬專有撥號(hào)網(wǎng)絡(luò)）的方式取代配置靜態(tài)IP方式接入。城域網(wǎng)全區(qū)BRAS（Broadband Remote Access Server，寬帶接入服務(wù)器）做VPDN的LAC（L2TP Access Concentrator，L2TP訪問(wèn)集中器），核心機(jī)房新建一臺(tái)BRAS做LNS（L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器），在省AAA（Authentication、Authorization、Accounting，驗(yàn)證、授權(quán)和計(jì)費(fèi)）系統(tǒng)上新開(kāi)VPDN-DCN網(wǎng)域名及用戶賬號(hào)（域名xzdxdcn.js，用戶賬號(hào)采用“電信辦公手機(jī)號(hào)@域名”方式）。用戶進(jìn)行撥號(hào)在LAC上進(jìn)行一次認(rèn)證，然后在LNS上進(jìn)行二次認(rèn)證并獲得IP地址，原理如圖3所示。每次都要通過(guò)省AAA服務(wù)器進(jìn)行認(rèn)證，省AAA服務(wù)器會(huì)對(duì)用戶賬號(hào)一次認(rèn)證、二次認(rèn)證的成功失敗情況、分配的IP地址、以及用戶的接入信息進(jìn)行記錄，借此可以實(shí)現(xiàn)IP地址的溯源，符合網(wǎng)絡(luò)安全管理的規(guī)定。辦公域的權(quán)限可以訪問(wèn)中國(guó)電信DCN網(wǎng)內(nèi)所有資源，但需要部署80、8080、443、21、23等應(yīng)用端口和常見(jiàn)的病毒端口封堵，提高安全性。

圖3 DCN撥號(hào)改造原理圖

（2）生產(chǎn)域，需通過(guò)營(yíng)業(yè)受理光纖VPN專線業(yè)務(wù)方式開(kāi)通，為保證生產(chǎn)，對(duì)原有固定IP地址盡量不修改，但對(duì)地址段進(jìn)行了規(guī)整，縮小了掩碼，盡量減少?zèng)_突域，并且從原有辦公網(wǎng)接入中獨(dú)立出來(lái)，建立新的VPN實(shí)例2980242，在ASBR上采用白名單的方式，控制生產(chǎn)域?qū)CN網(wǎng)絡(luò)的訪問(wèn)。生產(chǎn)域的權(quán)限只能訪問(wèn)各類網(wǎng)管、操作各類終端，權(quán)限最小。

（3）營(yíng)業(yè)域，通過(guò)營(yíng)業(yè)受理光纖VPN專線業(yè)務(wù)，受理時(shí)使用VPN實(shí)例ldcn-db，營(yíng)業(yè)域權(quán)限只能訪問(wèn)營(yíng)業(yè)系統(tǒng)，訪問(wèn)的權(quán)限由企業(yè)信息化部賦予。

（4）專線域，對(duì)于非辦公、生產(chǎn)和營(yíng)業(yè)外的，對(duì)固定IP需求的單位，單獨(dú)劃分一個(gè)域，通過(guò)營(yíng)業(yè)受理光纖VPN專線業(yè)務(wù)，受理時(shí)使用VPN實(shí)例ldcn，需求者需要提供詳細(xì)的訪問(wèn)控制列表，在用戶接入的BRAS子接口上最細(xì)化控制。專線域的權(quán)限只能訪問(wèn)固定的資源和被固定的資源訪問(wèn)。

2.2 路由策略配置

在徐州兩臺(tái)ASBR到CN2的端口上做策略路由配置，并且在BGP中嚴(yán)格路由收發(fā)策略，如圖4所示。

圖4 路由策略配置

2.3 DCN網(wǎng)設(shè)備和IP資產(chǎn)納管

（1）徐州DCN網(wǎng)內(nèi)共55臺(tái)DCN網(wǎng)設(shè)備、1973條DCN網(wǎng)用電路（包括ASBR與CN2互聯(lián)電路）納入IPOSS網(wǎng)管，實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，便于障礙處理。

（2）根據(jù)集團(tuán)公司、省公司關(guān)于《關(guān)于開(kāi)展2020年云網(wǎng)運(yùn)營(yíng)能力和客戶感知雙提升專項(xiàng)行動(dòng)的通知》、《關(guān)于發(fā)布 DCN 網(wǎng)絡(luò)優(yōu)化整治實(shí)施方案的通知》、《加強(qiáng) DCN 網(wǎng)絡(luò) IP 地址管理工作的通知》文件要求，DCN網(wǎng)IP地址必須實(shí)名制登記，通過(guò)營(yíng)業(yè)受理的光纖VPN專線，電路開(kāi)通之后需進(jìn)行IP資產(chǎn)的登記，明確IP地址的使用人、管理人、使用用途，備案的IP地址包括網(wǎng)絡(luò)地址、網(wǎng)關(guān)、廣播地址、已分配使用地址、已分配未使用地址等，如有變化，及時(shí)申請(qǐng)變更。目前已實(shí)現(xiàn)10931條IP地址資產(chǎn)納入自用地址管理系統(tǒng)。納入管理系統(tǒng)的IP資產(chǎn)，定期進(jìn)行漏洞和病毒掃描，確保安全。

2.4 加強(qiáng)員工安全意識(shí)培養(yǎng)

對(duì)全體員工進(jìn)行信息安全方面的培訓(xùn)，尤其對(duì)于密碼策略選擇和防范社會(huì)工程攻擊等領(lǐng)域加強(qiáng)培訓(xùn)。各部門(mén)設(shè)立專兼職的安全員，分公司專職安全員每月進(jìn)行全網(wǎng)的漏洞掃描，組織進(jìn)行整治和系統(tǒng)補(bǔ)丁更新。

3 經(jīng)驗(yàn)總結(jié)

3.1 徐州DCN網(wǎng)安全得到極大提升

根據(jù)集團(tuán)和省公司的要求，徐州結(jié)合本地DCN網(wǎng)特點(diǎn)，通過(guò)優(yōu)化網(wǎng)絡(luò)拓?fù)?，劃分DCN網(wǎng)安全域、優(yōu)化配置路由及ACL策略，IP資產(chǎn)報(bào)備，員工安全培訓(xùn)等措施來(lái)提升徐州DCN網(wǎng)安全，采用零投資的方式實(shí)現(xiàn)了和防火墻一樣的效果，徐州電信DCN網(wǎng)已初步構(gòu)建成動(dòng)態(tài)的網(wǎng)絡(luò)安全體系，為網(wǎng)絡(luò)的安全運(yùn)行提供了強(qiáng)有力的保障，其具備的特點(diǎn)如下：

（1）節(jié)省投資、利舊線路、避免浪費(fèi)，盡量利用員工的原有線路進(jìn)行VPDN撥號(hào)改造，減少員工布線工作；

（2）區(qū)分安全域，電信員工自用、代理及外包單位、生產(chǎn)用IP的接入線路和網(wǎng)段地址分離，控制不同網(wǎng)段可訪問(wèn)范圍，最小授權(quán)；

（3）用戶出口統(tǒng)一管控、統(tǒng)一限制非法端口，保證電信自用網(wǎng)絡(luò)的安全性；

（4）對(duì)現(xiàn)有SR/BRAS等核心設(shè)備的改動(dòng)較小，不影響現(xiàn)網(wǎng)業(yè)務(wù)；

（5）提高IP資產(chǎn)管理準(zhǔn)確率、確保溯源能力，解決以往部分區(qū)域追查不到具體責(zé)任人的問(wèn)題。

3.2 從信息系統(tǒng)全局安全管理的角度來(lái)看，仍有不足

（1）現(xiàn)有的技術(shù)措施，對(duì)于事前預(yù)防尚存在不足，缺乏一套完善的信息安全預(yù)警體系。通過(guò)信息安全預(yù)警系統(tǒng)，可以實(shí)現(xiàn)對(duì)全DCN網(wǎng)信息資產(chǎn)和業(yè)務(wù)數(shù)據(jù)流的安全狀態(tài)監(jiān)控和預(yù)警。

（2）與其他本地網(wǎng)安全策略存在矛盾，尤其是互訪權(quán)限的配置。在權(quán)限允許內(nèi)的遠(yuǎn)程接入網(wǎng)絡(luò)被入侵后，當(dāng)做跳板來(lái)入侵本地網(wǎng)絡(luò)的情況無(wú)法避免。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，是艱巨而長(zhǎng)期的工作。一個(gè)安全方案不可能解決所有安全問(wèn)題，也沒(méi)有一勞永逸的安全方案，它不是靜止產(chǎn)品，必須根據(jù)實(shí)際情況，適時(shí)調(diào)整安全策略。網(wǎng)絡(luò)安全管理人員要不斷努力來(lái)提升安全，使風(fēng)險(xiǎn)處于掌控之中。