网络安全 频道

用UTM和IPS兼顾 从面到点立体安全防护

  根据电信集团企业信息化战略规划的要求,企业信息化体系由管理支撑系统(MSS)、业务支撑系统(BSS)和运营支撑系统(OSS)三部分组成(简称为CTG-MBOSS),且全部承载在一个统一的企业IT 内部专网上。

  在这张专网上,要想为众多的用户提供高质量的网络服务,那么网络设备、业务系统、服务器等的安全运行就显得至关重要。

  本文将重点阐述某省级电信公司是如何利用网络信息安全设施,保障其业务和运营系统稳定、安全地运行的。

  需求背景

  某省电信企业IT 内部专网是由省公司企业网、地市本地企业网和DCN骨干网三大部分组成的,网络规模庞大,且网内各种路由设备、交换设备、服务器、安全设备等种类各异、数量繁多。尤其是该网络内CRM/SPS、集中计费、数据仓库、综合结算等系统已经逐步上线,由业务结算局管理的EDC已经成为省电信的核心数据机房,其数据的安全性越来越得到各级领导的重视。

  鉴于此,该省级电信IT内部专网目前面临的最大问题有2个:一是网络出口众多,面临极大的安全风险;二是网内一些具体信息系统没有做针对性的安全防护。具体如下所述:

  首先,由于EDC业务复杂,其不但与DCN网有连接,同时也与各银行、代办点、公网都有连接,可谓出口众多,从而使该网络需要面对方方面面的网络安全威胁。据了解,该网络当前仅仅在出口处部署了边界防火墙,却没有对应用层威胁施行有效的应对和控制。可以说,整个信息系统存在诸多安全隐患。

  其次,尤其是该网络中的业务代办系统以及收费系统服务器,也都没有进行任何针对性的保护,安全风险极大。

  解决方案

  针对省电信公司的安全现状,需要在现有IT网上构筑一个完整的威胁分析与控制系统,从而使IT网络的威胁控制不再仅仅限于对网络层的访问控制。与此同时,还需要对关键服务器、关键网络进行完整的从网络层到应用层的威胁控制,以确保各种网络攻击对于IT网络和系统的影响具备间断性、暂时性、可管理性和可隔离性的受控特点。

  本方案中,用户在其外联出口部署了启明星辰的天清汉马USG产品,用来抵御来自外联单位的病毒、非授权访问以及其他网络层攻击,从而一举实现对外部威胁的全面防御。同时,用户还针对各种计费服务器以及社会代办服务器进行了专业的应用层防护,分别部署了启明星辰的天清IPS产品,用于实现对应用层威胁的精确阻断。部署示意图如图1所示。

解决方案

  图1 某省级电信IT内部专网部署UTM和IPS产品示意

  案例点评

  通过本文的方案,我们不难理解,对于需要进行企业间互联的信息系统,往往通过网络所交换的数据是具有较高经济价值的,而对于这些信息系统,安全的威胁往往来自于应用层。而对于这类安全威胁,传统的防火墙系统虽然从整个网络的安全建设来说是必须的,但并不足够。

  为了完整地实现对各种威胁的控制,如本方案所述,用户还需要采用立体防御思想对省公司网络进行安全改造,同时针对不同的威胁部署有针对性的产品,只有这样才能有效地提高网络的整体安全性。

0
相关文章