IT系统安全体系具体是由解决方案和安全设备部署构成的,二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言,按照网络安全框架的要求,IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的,才能够最终保证所部署的安全设备充分发挥作用,才能够保证安全技术框架的顺利实施,进而保证安全策略的有效贯彻。
一、传统IT系统局域网架构的不足和安全威胁
传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立,经常采用如物理隔离的方式来达到安全的目的,甚至建设两套网络,即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用,而无法实现与其他相关系统之间、与Internet之间的信息交互和共享,不但禁止了有用数据交换,造成信息化工作无法开展,还进一步增加了投资,这与积极防御的理念是背道而驰的。另外,物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次,由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划,同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的,虽然在一定程度上能够起到安全防护作用,但是由于各套IT系统的安全建设自成体系、分散单一,缺乏统筹考虑和宏观把握,造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来运营商制订的统一安全策略难以贯彻、重复建设,安全设备不能充分发挥作用等问题。另外,由于IT系统局域网结构和层次不清晰,不同IT系统所分配私有IP地址很有可能相同。虽然IT系统之间暂时没有发生联系,但是随着运营商维护管理水平的进一步提高,IT系统的管理平台建设也是迫在眉睫,而IT系统内部网络整体结构的天生不足会给今后的管理带来非常大的不便。从管理层面来看,很多运营商由于长期以来把安全项目作为承载网或者其他业务系统、IT等支持系统的附加工程或者从属项目,加之一些网络安全厂商或者电信运营部门的技术人员,往往认为采用先进的网络技术、名牌产品即可实现网络系统、业务系统和IT系统的安全,没有考虑安全产品并未形成体系,容易造成许多薄弱环节没有覆盖到,安全隐患也随之增加。
一般说来,电信运营商IT系统由以下一些系统组成。
1.网络支撑系统,主要有各种网管系统,包括承载网网管、支撑系统网管、业务网管等;
2.业务支撑系统,主要有BOSS、经营分析系统、大客户关系管理系统等;
3.企业管理信息系统,办公自动化系统、电子工单系统、资产管理系统等。
上述IT系统在今天很少是孤立存在的,也就是说,它们必须与其他系统实现网络互通和信息共享与交互。在这种应用需求下,使得不同的外部网络、不同身份和目的的人都有机会连接到运营商内部网络中,从而对IT系统的安全带来了威胁。从电信运营商IT网络环境的层面而言,IT系统的安全威胁主要来自以下几个方面。
1.来自内部误用和滥用的安全威胁,包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。而这类误用和滥用,与运营商内部不同IT系统或者与其他相关系统的互联互通、运营商之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;
2.来自互联网的安全威胁:目前有些运营商的IT系统是与互联网相连的,例如很多办公自动化系统都与互联网相连,如果安全措施不力就很有可能被黑客利用,带来网络安全问题;
3.来自缺省配置的安全威胁:电信行业在建设IT系统时,大量的UNIX/WINDOWS/NOTES等系统很多都采用缺省配置,造成开放不必要的端口等安全隐患,如果运营商对其IT局域网架构缺乏安全边界的划分,而又没有采取一个可集中控制访问请求的措施,则很容易被不法分子利用进行非法入侵。
二、运营商IT系统局域网架构的安全域划分
IT系统安全体系的最终目标就是在技术可行和管理可行的前提下,将安全风险和隐患降低到一个可以接收的水平。要实现这一目标,需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备,更是需要综合考虑如何在现有IT网络架构上安装何种安全设备才能发挥最大的作用。通过前面的分析可知,如果没有一个结构清晰、可靠实用、扩展灵活的IT网络,依然沿袭各套IT系统的安全建设自成体系、分散单一的常规做法,即使选用最先进的安全设备,那么也只能是搭建了一个空中楼阁,无法从根本上减弱IT系统所受到的安全威胁和隐患。因此,克服和改造IT系统传统局域网整体结构的不足才是电信运营商解决网络安全的首要工作。为规划和建设一个完善的IT系统局域网,本文引入一个安全域的新概念。安全域的定义是,在安全策略的统一指导下,根据各套IT系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等,将运营商的IT系统局域网划分成不同的域,将不同IT系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化。
这里需要明确的是,IT系统局域网结构的安全域划分并不是传统意义上的物理隔离,物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程,隔断网络使信息不能共享;而安全域划分是在认真分析各套IT系统的安全需求和面临的安全威胁的前提下,既重视各类安全威胁,也允许IT系统之间以及与其他系统之间正常传输和交换的合法数据。
从设备组成上看,如果不考虑这些IT系统中自带的安全设备,可以将其分为三大部分:核心处理系统,包括多主机架构组成的服务器、数据库、应用软件等,负责该IT系统的信息采集、处理和应用;接入交换系统,包括路由器和交换机,负责该IT系统的内部以及与其他相关系统之间的信息交互;操作维护部分,包括各类操作维护终端,负责向维护管理人员提供接入手段。一般情况下,电信运营商的IT系统虽然是独立建设的,但各套设备的物理位置都是比较集中的,而且不同IT系统的核心处理系统、接入交换系统和操作维护部分所面临的安全威胁、安全需求都是比较类似和接近的(例如IT系统的操作维护终端多是基于MS windows平台,遭受病毒攻击的风险比较接近),因此可以利用这两个特点并借鉴常规物理隔离中的有益思想,完成电信运营商IT系统局域网结构的安全域划分。 在安全域划分时应该遵循以下的一些基本原则。
1.根据电信运营商IT系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。前面已经提到,从网络构架层面来讲,电信运营商IT系统局域网整体结构安全域的划分是与安全产品的部署密不可分的,一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境;另一方面,将安全域划分为域内划分和域外划分两种,域和域之间主要采用通过交换设备划分VLAN和防火墙来彼此策略隔离;在域内主要根据不同被保护对象的安全需求采用部署AAA、IDS和防病毒系统等来完成,因此,安全域的划分不能脱离安全产品的部署。
2.安全域的个数不应过多,否则在策略设置上过于复杂,会给今后管理带来很大不便;在划分的保证各个安全域之间路由或者交换跳数不应该过多;
3.安全域划分的目的是发挥安全产品的整体效能,并不是对运营商IT系统原有局域网整体结构的彻底颠覆。因此在对运营商IT系统局域网结构改造的同时需要考虑保护已有投资,避免重复投入与建设。
根据上述原则,建议电信运营商可将其IT系统局域网划分为核心交换区、生产区、日常维护区、互联区、DMZ区这五个安全域,每个安全域的具体功能如下。
1.核心交换区:主要放置一套核心交换设备,用于实现生产区、日常维护区、互联区、DMZ区的划分、隔离和不同系统之间有条件的信息交互;
2.生产区:主要放置运营商IT系统中的核心生产设备和交换设备;
3.日常维护区:主要放置各套IT系统维护终端及其汇聚交换设备;
4.互联区:主要放置各套IT系统的接入互联设备,用于实现IT系统与专网或者互联网的连接和互通;
5.DMZ区:主要放置一些可供内、外部用户宽松访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器等。
图1 电信运营商IT系统局域网架构安全域划分示意图
从图1可以看出,采用这种方式来划分IT系统局域网的安全域,不仅网络结构清晰,交换和路由跳数适中,而且还存在着以下优点。
1.便于安全产品的部署。从图1可以看出,核心交换区是IT系统网络的神经中枢,内部和外部的信息传输和交互都要通过它来完成。因此可以在核心交换区部署一套IDS,用于对进入核心交换设备的信息,尤其是来自互联区的信息进行监控。日常维护区是运维人员操作维护相关IT系统的区域,因此可以在该区域增加一套AAA系统用于实现对相关交换机、终端主机等设备的认证、授权、审计;也可以统一部署防病毒系统,用于对维护终端的病毒监测和清除。互联区中出入信息量很大,信息源也较为复杂,因此可以在核心交换区与互联区之间增加一套防火墙,起到基本的边界防护作用,抵御运营商内部IT网络不受威胁。总之,采用这种方式来划分IT系统局域网的安全域,只需要在不同安全域之间,在安全域内部有针对性的集中部署一些安全设备,不但节约投资,而且可以明显提高运营商各套IT系统的整体防护效能,较好地贯彻了积极防御、综合防范的方针。
2.扩展性和灵活性好。采用这种方式来划分IT系统局域网的安全域不仅能较好地满足当前IT系统的需求,而且在今后引入其他IT支撑系统时,无需再按照传统方式附加一个安全工程,甚至可以完全不考虑安全问题,只需将其核心处理系统、交换系统、操作维护系统接入不同的安全域,就能够满足一般安全需求。如果某一IT系统的连接端口需求比较少,还可以直接就近接入与其安全需求接近的IT系统所配备的交换设备,不但节省投资,还加快了运营商IT系统的建设速度。
3.为将来的集中管理奠定了基础:采用这种方式来划分IT系统局域网的安全域,可以做到两个“集中部署”,一是不同IT系统中工作角色接近的设备集中部署;一个是安全产品的集中部署。这两个集中部署,为今后安全管理平台和IT管理平台的建设创造了理想的网络环境。安全管理平台(有些厂家也称为安全管理中心),主要完成统一集中的安全策略发布、安全设备管理等;IT管理平台,主要完成对电信运营商各套IT系统的集中管理、集中监控和集中维护。
三、结束语
与世界领先的电信企业相比,我国电信运营商在IT系统的安全建设方面,还存在缺乏安全统一规划、工具手段使用不足、安全评估不够、缺乏审计和集中管理手段等问题。可以说,这种差距是整体性和综合性的,不是通过提高或者改善一两个方面就能够改变的。IT系统的安全问题不仅越来越受到电信运营商的重视,国家电信管理部门也正在研究如何将网络信息安全防范能力建设纳入到电信市场监管工作中,以便为提高电信运营商抗网络信息安全风险能力,降低发生网络信息安全事件的概率,改变单纯靠事后查处的被动局面。局域网结构的安全域划分不仅为电信运营商IT系统的安全防护打下了牢固基础,也可以作为一种模型框架向其他企业、政府机关、银行金融等行业的IT系统推广使用。
作者:李玮出处:通信世界[ 2005-08-16 16:57 ]摘要:众所周知,网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略,它是安全工作的标准和依据;安全技术框架的核心是积极防御,安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。
京移通信设计院有限公司 李玮