李 明 劉 濤 王賢鋒

中國電信股份有限公司徐州分公司

0 引言

DCN網(wǎng)（Data Communication Network，數(shù)據(jù)通信網(wǎng)絡(luò)）是中國電信內(nèi)部IT系統(tǒng)的基礎(chǔ)承載網(wǎng)，為電信業(yè)務(wù)、營業(yè)、計費、網(wǎng)管數(shù)據(jù)傳輸、多媒體通信等系統(tǒng)提供傳輸通道和通信平臺。徐州DCN網(wǎng)2005年之前是通過2M等方式互聯(lián)的獨立的專網(wǎng)，由華為2600路由器、華為2016或2403等交換機組成。2005年進行了擴容，在端局增加了部分華為3528、3352交換機，隨后以O(shè)LT（optical line terminal，光線路終端）設(shè)備為核心的接入網(wǎng)大規(guī)模部署，網(wǎng)絡(luò)延伸到各個鄉(xiāng)鎮(zhèn)局點。DCN網(wǎng)用戶可以通過LAN（局域網(wǎng)）或PON（無源光纖網(wǎng)絡(luò)）的方式接入城域網(wǎng)，通過MPLS VPN（Multi-Protocol Label Switching Virtual Private Network，基于多協(xié)議標(biāo)簽交換技術(shù)的虛擬專用網(wǎng)）承載。在城域網(wǎng)內(nèi)采用兩臺高性能的華為NE40E作 為ASBR（Autonomous System Boundary Router，自治系統(tǒng)邊界路由器）對本地網(wǎng)DCN業(yè)務(wù)的路由進行匯聚，進入CN2（Chinatelecom Next Carrier Network，中國電信下一代承載網(wǎng)絡(luò)）網(wǎng)絡(luò)，接入省DCN網(wǎng)。網(wǎng)絡(luò)拓撲如圖1所示。

圖1 徐州本地網(wǎng)DCN網(wǎng)拓撲

徐州DCN網(wǎng)主要用途主要有三個方面：

（1）辦公：主要用于員工辦公使用，包括MSS（Manage Support System，管理支持系統(tǒng)）、BSS（Business Support System，業(yè)務(wù)支持系統(tǒng)）、OSS（Operation Support System，運營支持系統(tǒng)）、OA（Office Automatio，辦公自動化）等系統(tǒng)。

（2） 生產(chǎn)：主要用于各設(shè)備、網(wǎng)管使用，包括傳輸網(wǎng)管系統(tǒng)、動環(huán)監(jiān)控等。

（3） 營業(yè)：主要用于營業(yè)廳業(yè)務(wù)辦理，包括自有廳、合作廳、代辦廳等。

1 DCN現(xiàn)網(wǎng)安全狀況分析

1.1 DCN網(wǎng)面臨的安全隱患

（1）企業(yè)信息化、動環(huán)監(jiān)控、設(shè)備網(wǎng)管等對DCN網(wǎng)的需求將長期存在，但目前的接入交換機已運行15～20年，對于一張長期存在的網(wǎng)絡(luò)，需要及時替代升級。

（2）各需求部門組網(wǎng)方式隨意性很強，末端接入混亂，網(wǎng)絡(luò)區(qū)域邊界不清晰，容易存在廣播風(fēng)暴，二層環(huán)路等故障點（如圖2所示，多臺交換機串聯(lián)在一起）；網(wǎng)絡(luò)資源比較分散，IP地址各部門混用，關(guān)鍵數(shù)據(jù)分散管理，部分通信資源無法共享，擴展性差；再加上工作點分散，私自更換IP地址，容易造成資料不準(zhǔn)，資產(chǎn)備案困難，出現(xiàn)障礙無法準(zhǔn)確定位。

圖2 DCN網(wǎng)末端接入混亂

（3）本地網(wǎng)DCN網(wǎng)出口沒有配備防火墻，出口路由策略ACL（Access Control Lists，訪問控制列表）配置粗糙，訪問端口策略不合理，容易受到網(wǎng)絡(luò)攻擊，容易導(dǎo)致產(chǎn)生安全漏洞的端口暴露在整個DCN網(wǎng)內(nèi)。

（4）DCN網(wǎng)IP地址的利用率低，只有新增沒有釋放，缺少IP地址的有序管理，造成IP資源浪費，剩余可用地址緊張，已經(jīng)影響到后期業(yè)務(wù)開放。

總之，資源不準(zhǔn)確、接入無管控、無網(wǎng)絡(luò)安全防護、網(wǎng)絡(luò)私接、故障定位難、無法溯源、缺少IP有序管理、IP資源浪費等問題是目前徐州電信DCN網(wǎng)絡(luò)存在的風(fēng)險點。

1.2 提升DCN網(wǎng)安全的辦法

（1）根據(jù)DCN網(wǎng)的用途，利用MPLS VPN技術(shù)劃分多個域，各業(yè)務(wù)在城域網(wǎng)內(nèi)獨立運行。

（2）利用DCN網(wǎng)出口的兩臺ASBR設(shè)備，在不新增防火墻的前提下，可以通過配置路由、ACL、白名單等方式進行全網(wǎng)的安全防護。

（3）生產(chǎn)、營業(yè)用DCN網(wǎng)，就近接入專線交換機或接入FTTH網(wǎng)絡(luò)。采用專線電路的方式受理開通。IP地址需求量大的局點配置專用DCN網(wǎng)接入交換機。

（4）除生產(chǎn)和營業(yè)用DCN網(wǎng)，其余辦公用DCN網(wǎng)一律采取PPPOE（Point-to-Point Protocol Over Ethernet，以太網(wǎng)上的點對點協(xié)議）撥號方式接入DCN網(wǎng)，一人一號，采用VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）+MAC（Media Access Control Address，局域網(wǎng)地址）綁定，方便管控。其他人員如要訪問DCN網(wǎng)一律申請FTTH（Fiber To The Home，光纖到戶）鏈路接入，采用撥號方式，VLAN+MAC綁定。

（5）采用固定IP地址接入的需要嚴(yán)格履行IP資產(chǎn)管理、報備手續(xù)，在地址啟用、撤銷、變更時需要及時在電信自用IP資產(chǎn)管理系統(tǒng)中同步變更。

（6）員工安全意識欠缺不容忽視，需要加強管理，很多網(wǎng)內(nèi)運行的系統(tǒng)平臺存在敏感信息泄露、弱口令、開放非用端口等安全問題。

2 解決措施

2.1 DCN網(wǎng)安全域的劃分

針對DCN網(wǎng)IP地址的用途分配不同，劃分4個安全域，彼此隔離，并分配不同的權(quán)限：

（1）辦公域，采取VPDN（Virtual Private Dial Network，虛擬專有撥號網(wǎng)絡(luò)）的方式取代配置靜態(tài)IP方式接入。城域網(wǎng)全區(qū)BRAS（Broadband Remote Access Server，寬帶接入服務(wù)器）做VPDN的LAC（L2TP Access Concentrator，L2TP訪問集中器），核心機房新建一臺BRAS做LNS（L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器），在省AAA（Authentication、Authorization、Accounting，驗證、授權(quán)和計費）系統(tǒng)上新開VPDN-DCN網(wǎng)域名及用戶賬號（域名xzdxdcn.js，用戶賬號采用“電信辦公手機號@域名”方式）。用戶進行撥號在LAC上進行一次認(rèn)證，然后在LNS上進行二次認(rèn)證并獲得IP地址，原理如圖3所示。每次都要通過省AAA服務(wù)器進行認(rèn)證，省AAA服務(wù)器會對用戶賬號一次認(rèn)證、二次認(rèn)證的成功失敗情況、分配的IP地址、以及用戶的接入信息進行記錄，借此可以實現(xiàn)IP地址的溯源，符合網(wǎng)絡(luò)安全管理的規(guī)定。辦公域的權(quán)限可以訪問中國電信DCN網(wǎng)內(nèi)所有資源，但需要部署80、8080、443、21、23等應(yīng)用端口和常見的病毒端口封堵，提高安全性。

圖3 DCN撥號改造原理圖

（2）生產(chǎn)域，需通過營業(yè)受理光纖VPN專線業(yè)務(wù)方式開通，為保證生產(chǎn)，對原有固定IP地址盡量不修改，但對地址段進行了規(guī)整，縮小了掩碼，盡量減少沖突域，并且從原有辦公網(wǎng)接入中獨立出來，建立新的VPN實例2980242，在ASBR上采用白名單的方式，控制生產(chǎn)域?qū)CN網(wǎng)絡(luò)的訪問。生產(chǎn)域的權(quán)限只能訪問各類網(wǎng)管、操作各類終端，權(quán)限最小。

（3）營業(yè)域，通過營業(yè)受理光纖VPN專線業(yè)務(wù)，受理時使用VPN實例ldcn-db，營業(yè)域權(quán)限只能訪問營業(yè)系統(tǒng)，訪問的權(quán)限由企業(yè)信息化部賦予。

（4）專線域，對于非辦公、生產(chǎn)和營業(yè)外的，對固定IP需求的單位，單獨劃分一個域，通過營業(yè)受理光纖VPN專線業(yè)務(wù)，受理時使用VPN實例ldcn，需求者需要提供詳細的訪問控制列表，在用戶接入的BRAS子接口上最細化控制。專線域的權(quán)限只能訪問固定的資源和被固定的資源訪問。

2.2 路由策略配置

在徐州兩臺ASBR到CN2的端口上做策略路由配置，并且在BGP中嚴(yán)格路由收發(fā)策略，如圖4所示。

圖4 路由策略配置

2.3 DCN網(wǎng)設(shè)備和IP資產(chǎn)納管

（1）徐州DCN網(wǎng)內(nèi)共55臺DCN網(wǎng)設(shè)備、1973條DCN網(wǎng)用電路（包括ASBR與CN2互聯(lián)電路）納入IPOSS網(wǎng)管，實現(xiàn)實時監(jiān)控，便于障礙處理。

（2）根據(jù)集團公司、省公司關(guān)于《關(guān)于開展2020年云網(wǎng)運營能力和客戶感知雙提升專項行動的通知》、《關(guān)于發(fā)布 DCN 網(wǎng)絡(luò)優(yōu)化整治實施方案的通知》、《加強 DCN 網(wǎng)絡(luò) IP 地址管理工作的通知》文件要求，DCN網(wǎng)IP地址必須實名制登記，通過營業(yè)受理的光纖VPN專線，電路開通之后需進行IP資產(chǎn)的登記，明確IP地址的使用人、管理人、使用用途，備案的IP地址包括網(wǎng)絡(luò)地址、網(wǎng)關(guān)、廣播地址、已分配使用地址、已分配未使用地址等，如有變化，及時申請變更。目前已實現(xiàn)10931條IP地址資產(chǎn)納入自用地址管理系統(tǒng)。納入管理系統(tǒng)的IP資產(chǎn)，定期進行漏洞和病毒掃描，確保安全。

2.4 加強員工安全意識培養(yǎng)

對全體員工進行信息安全方面的培訓(xùn)，尤其對于密碼策略選擇和防范社會工程攻擊等領(lǐng)域加強培訓(xùn)。各部門設(shè)立專兼職的安全員，分公司專職安全員每月進行全網(wǎng)的漏洞掃描，組織進行整治和系統(tǒng)補丁更新。

3 經(jīng)驗總結(jié)

3.1 徐州DCN網(wǎng)安全得到極大提升

根據(jù)集團和省公司的要求，徐州結(jié)合本地DCN網(wǎng)特點，通過優(yōu)化網(wǎng)絡(luò)拓撲，劃分DCN網(wǎng)安全域、優(yōu)化配置路由及ACL策略，IP資產(chǎn)報備，員工安全培訓(xùn)等措施來提升徐州DCN網(wǎng)安全，采用零投資的方式實現(xiàn)了和防火墻一樣的效果，徐州電信DCN網(wǎng)已初步構(gòu)建成動態(tài)的網(wǎng)絡(luò)安全體系，為網(wǎng)絡(luò)的安全運行提供了強有力的保障，其具備的特點如下：

（1）節(jié)省投資、利舊線路、避免浪費，盡量利用員工的原有線路進行VPDN撥號改造，減少員工布線工作；

（2）區(qū)分安全域，電信員工自用、代理及外包單位、生產(chǎn)用IP的接入線路和網(wǎng)段地址分離，控制不同網(wǎng)段可訪問范圍，最小授權(quán)；

（3）用戶出口統(tǒng)一管控、統(tǒng)一限制非法端口，保證電信自用網(wǎng)絡(luò)的安全性；

（4）對現(xiàn)有SR/BRAS等核心設(shè)備的改動較小，不影響現(xiàn)網(wǎng)業(yè)務(wù)；

（5）提高IP資產(chǎn)管理準(zhǔn)確率、確保溯源能力，解決以往部分區(qū)域追查不到具體責(zé)任人的問題。

3.2 從信息系統(tǒng)全局安全管理的角度來看，仍有不足

（1）現(xiàn)有的技術(shù)措施，對于事前預(yù)防尚存在不足，缺乏一套完善的信息安全預(yù)警體系。通過信息安全預(yù)警系統(tǒng)，可以實現(xiàn)對全DCN網(wǎng)信息資產(chǎn)和業(yè)務(wù)數(shù)據(jù)流的安全狀態(tài)監(jiān)控和預(yù)警。

（2）與其他本地網(wǎng)安全策略存在矛盾，尤其是互訪權(quán)限的配置。在權(quán)限允許內(nèi)的遠程接入網(wǎng)絡(luò)被入侵后，當(dāng)做跳板來入侵本地網(wǎng)絡(luò)的情況無法避免。

4 結(jié)束語

網(wǎng)絡(luò)安全是一項復(fù)雜的系統(tǒng)工程，是艱巨而長期的工作。一個安全方案不可能解決所有安全問題，也沒有一勞永逸的安全方案，它不是靜止產(chǎn)品，必須根據(jù)實際情況，適時調(diào)整安全策略。網(wǎng)絡(luò)安全管理人員要不斷努力來提升安全，使風(fēng)險處于掌控之中。