网络准入控制：运营商DCN网络安全现状分析与解决方案

引言：本文试图通过对电信DCN网的现状和安全性分析，对运营商内部业务运营支撑系统从各个角度讨论出其当下亟需解决的问题，并给出了合适的解决方案建议。

1. MBOSS系统与DCN网概况 1.1 MBOSS系统概况
MBOSS系统是电信运营商企业信息化的整体解决方案，由管理支撑系统(MSS)、业务支撑系统(BSS)、运营支撑系统(OSS)、企业数据架构(EDA)和基础平台构成。

管理支撑系统(MSS)：MSS系统包含了企业门户、协同办公系统、人力资源系统、信息数据管理统计系统等多个模块，其目标是要通过对协同办公、人力资源、工程项目、采购及库存的管理等方面应用的集成，为中国电信的管控流程提供IT支撑。

业务支撑系统(BSS)：BSS系统依据以客户为中心、以信息为基础的建设方针，通过与运营商的各种业务系统互连，集成相关的客户信息，整合电信帐务管理流程来实现各项功能。总体功能分为：计费帐务、CRM、经营分析、电子渠道四大功能领域及企业数据总线EAI。

运营支撑系统(OSS)：主要用于电信业务系统的后端运营支撑，通常由网络管理、网元管理、资源管理、业务开通、施工协调等主要系统组成。随着电信的转型，OSS不仅需要满足面向客户的OSS运营支撑，同时也需要逐步满足ICT等新业务的运营支撑。

1.1 DCN网概况
电信DCN网的概念来自于TMN体系结构。在早期，DCN网络用于承载电信网各种设备的网管信息，称为网管网。随着网络的演进和业务的扩展，目前的DCN网络除了承载网管数据之外，还承载着计费，97，OA，MBOSS等业务的数据信息，发展成为一个内部支撑网，是电信行业重要的内部IT支撑平台。目前，运营商的DCN网基本上都是单独规划、单独建设，是物理上独立的网络。

基于DCN网的重要性，各运营商都把安全性建设作为了DCN网络建设的重点。在网络建设过程中，运营商通过划分虚拟网、配置安全防护设备等手段降低了网络安全风险，提高了网络抗攻击的能力。

2. 网络安全性分析
以某省电信DCN网络为例，全网在内网安全管理和入网规范方面已经做了很多工作，如划分了安全VLAN、部署了防火墙、Symantec 企业版病毒防护系统、补丁统一采用WSUS更新系统，制定了电信终端标准化项目（SMS、AD域、计算机命名规范、关闭默认共享）、并规定禁止安装游戏、聊天等与工作无关的软件等，但是已有的安全效果不佳，既有的规范无法真正落实，目前主要的安全隐患在于：

2.1 各部门或营业厅的终端设备性能严重下降
各部门及营业厅终端设备由于设备资源被异常占用导致终端处理速度下降、网络堵塞，致使终端业务系统速度很慢，造成大量的客户投诉。需要在管理中心实时监控终端设备的CPU 使用率、内存、硬盘占用、I/O读写字节数、建立TCP连接个数、UDP监听端口数目等，并对异常情况进行报警以便及时得到处理。

2.2 违规外联造成企业商业数据泄露
“企业的核心价值就是商业数据，我们要保证这些数据的安全，”电信的某位相关负责人向我们讲述到。目前的很多行业用户在内外网隔离的环境下，员工依然可以随意的通过多种方式访问互联网，极易被植入木马程序；这些木马程序在内网计算机违规连入互联网的时候，在未被察觉的情况下机密信息就能很快的传送出去，造成严重的商业机密信息泄露事故；

2.3 移动存储设备随意使用带来安全隐患
对于带有涉密信息的隔离网络，涉密信息一般都保存在本地并可能通过移动存储介质进行传播。当涉密信息保存在流通的移动存储设备中时，未进行加密或保护的移动设备一旦遗失，在其他计算机就能够直接访问、修改，这将直接导致涉密信息外泄；同时外来人员如果随意把未经检查的移动存储设备接入到内网计算机中，极有可能传播病毒、木马，并且会很快的扩散到全网，直接影响每个终端的正常使用，甚至会造成全网业务瘫痪的严重事故。

2.4 终端用户的操作行为无法做到有据可查
安全事件最担心的是万一事故发生没有线索可追查，目前无法对员工在终端上的操作行为做审计，一旦发生了安全事件，很难定位到相应的事故发生源。本着“事先预防，事中控制，事后审计”的原则，应对每个员工的各项终端操作行为做好审计，以防患于未然。

2.5 终端随意开启服务或安装非法软件威胁网络安全
如果终端用户随意把类似于伪DHCP、抢占IP资源的木马或者ARP欺骗病毒程序开启，会直接影响网络正常运行，威胁网络安全。需要在内网中建立一种“威慑”及控制的机制，从端点的控制做好安全防护。

2.6 无法确认终端是否达到企业要求的安全防护规定
企业办公网络中，任何一台终端的安全状态（主要包括终端的补丁情况、防病毒软件安装和使用情况及版本、病毒库更新情况、系统安全设置、文件共享状况、必须和禁止安装软件、用户密码复杂度、屏保设置情况、企业自定义检查项等），都将直接影响到整个网络的安全。在终端数量众多且分散的情况下，无法掌握内网的安全性将给网络带来重大的安全隐患，随时有发生重大安全事故的潜在威胁。

2.7 安全性低的设备无法得到有效快速的修复
DCN网络中的终端机器数量大，分布范围广，各营业厅均为数台机器组成一个小范围的网络，因此对于存在安全隐患的终端进行及时有效的修复存在相当大的困难，如果需要通过网络管理人员人工现场修复将带来极大的工作量和极低的工作效率。

2.8 对内部攻击没有有效的的隔离措施
由于DCN网也是IP网，因此黑客有可能从网络内部发起攻击。有些运营商虽然在DCN与公众网之间配置了防火墙，但是在网络内部的隔离措施还不完善。例如，当病毒泛滥时，一个地区的DCN网络内的病毒可能通过骨干DCN网传播并影响其它地区的DCN网。

通过以上分析我们可以看到，构建我国基础电信网安全保障体系，需要有的放矢，实用有效，针对现有的的安全威胁，进一步从技术和管理两方面加强网络的可用性，同时需要建立完善的应急通信体制，从而有效地保障我国基础电信网络的安全稳定运行。

3. 法令法规上的明确要求
信息安全、网络安全在大型企业、机构中越来越受到重视，包括运营商和国家相关安全部门都相继出台了关于信息安全的法令法规；国际上早在上世纪就出现了很多信息行业相关性的标准，下面重点分析现有的法令法规以及行业标准：

3.1 《CTG-MBOSS安全规范体系V1.0》
为了进一步提高中国电信集团公司CTG-MBOSS的安全管理与技术控制水平，规范与指导CTG—MBOSS安全建设，中国电信集团公司在07年制定了《CTG-MBOSS安全规范体系》，其中对于终端安全做了详细的规定。

包括终端自身安全防护（补丁、主机防火墙、防病毒软件）、终端行为监控（非法外联、上网行为、应用软件）、终端的网络接入控制（终端及用户的身份认证、终端安全性检查与智能修复、网络授权访问控制）等多项相关规定。

3.2 《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。
等级保护明确规定，从技术和管理两个方面入手共同完成信息系统的安全保护。与内网安全相关主要涵盖了终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。

3.3 《ISO27001信息安全管理体系》
ISO27001指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出接入网络的管理规范和设备要求规范。

3.4 《萨班斯SOX法案》 IT内控体系
萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面，其中404条款（内部控制的管理评估）明确要求对企业内部的控制规范要求。

按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面： 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。

4. 参考解决方案
运营商网络的重要性不言而喻，针对上述问题和背景，需要在网络中建立好网络准入控制的整体平台，从而对网络接入、终端安全防护、入网规范与管理、隔离与智能修复、安全整合等各项功能进行有效的实现，构建DCN网络健全的内网防御体系。

ASM盈高入网规范管理系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制系统，秉承“不改变网络、不装客户端”的特性，重点解决网络的合规性要求，达到“违规不入网、入网必合规”的管理规范，支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，同时提供更高效、更智能的网络准入防护体系。

通过ASM网络准入控制的平台建设，能够规范以下基本入网流程：

1. 统一分配唯一的准入登录帐号，入网人员使用此唯一帐号登录DCN；

2. 身份认证后将对终端进行安全扫描，扫描内容包括补丁升级、杀毒软件的安装和更新、进程是否安全、服务及端口控制、其他自定义的入网规范等，对于存在重大安全隐患的机器，必须立即进行隔离，并对不符合入网规范的机器进行智能修复，免去管理员手工修复的巨大工作量；

3. 安全设备登录DCN后，能够根据业务需求，有限制的访问DCN资源，并由终端安全策略统一进行管理；

总体来看，通过建设ASM网络准入控制平台将实现以下功能点：

4.1 双实名制
ASM盈高入网规范管理系统在提供多样化的身份认证，保障接入网络人员合法性的同时，支持对设备的实名认证，保障了接入网络终端设备的合法性，从而加强内部网络的可控性，方便管理员对网络的统一管理。

4.2 多样化身份认证
ASM盈高入网规范管理系统既提供自身用户名、密码身份认证，也支持与AD域、LDAP、USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动，保障身份认证功能的多样化。

4.3 来宾管理
随着各项业务的开展，访客来往将必不可少。ASM盈高入网规范管理系统提供“我是来宾”选择访问模式，管理员可以事先配置来宾区资源（如互联网、收发邮件等）。基于应用的方式对来宾访问权限进行控制，可以实现既满足业务需要，又保护好用户内网资源的目标。

4.4 多样化引导
ASM盈高入网规范管理系统在提供传统的网页智能引导的功能的同时，更拓展支持通过QQ界面引导，通过邮件客户端引导，进一步地方便了用户的入网体验和快速入网的流程。

4.5 综合入网控制、检查引擎及规范执行审计
ASM盈高入网规范管理系统以入网强制技术为基础，先在网络边界设立岗哨，将之前无序的接入网络行为加以控制；再结合具有优化的高效检查引擎--“基于安全策略可配置引擎”（国家科技部创新基金编号-09C26223301274），进行安全检查修复，并且可持续在线升级引擎及规范库；监视合法终端在网络内的操作行为。技术的组合可以有效解决网络安全规范落实的问题。

4.6 人机对应
ASM盈高入网规范管理系统采用可以实现非常灵活的设备分组、分级分域管理，对所有设备建立责任人对应管理制度；这样将IP设备与用户ID建立对应关系，对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产，可以采取不同的安全检查规范。

4.7 可定制化特色安全检查规范
ASM盈高入网规范管理系统针对不同的行业，提供了可定制化的行业特性规范模版；并以此模版为依据，通过系统设置落实在管理手段上。

4.8 “一键式”智能安全修复
ASM盈高入网规范管理系统为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能，解决终端用户面对漏洞而无从下手，导致不能及时接入网络进行业务操作的问题，减少安全隐患修复的复杂性和专业性，同时大大减少了管理员的工作量。

4.9 定期更新的安全检查引擎及规则库
安全检查规范作为准入控制系统对接入设备审核安全性的依据，应具有丰富性、扩充性、行业性。ASM盈高入网规范管理系统不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项，也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，还可以根据用户的实际需求进行扩充。盈高科技可以为用户提供符合安全管理需求的安全检查规范库在线或离线更新服务，给用户带去的不仅仅是产品更是个性化的服务。

4.10 国内最优秀的网络适应性
ASM盈高入网规范管理系统集成了思科的EOU、H3C的PORTAL/PORTAL+、策略路由、L2-OOB-VG虚拟网关、DHCP强制、SNMP强制以及透明网桥等多种入网强制认证技术，可以适应于各种复杂的网络环境，灵活的部署到网络中。作为独立的第三方专业厂商，可以兼容不同厂家的网络或安全设备，具有目前国内最优秀的网络适应性。

4.11 基于角色的动态授权
在用户认证及设备通过病毒、补丁等安全信息检查后，ASM可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。可以事先做好安全管理规划，根据需要划分多个安全域，管理员可以通ASM设备根据角色的不同配置可访问的安全域。这样就可以在内网中做好区域访问布控。

4.12 严格管理内网外联行为
在机器数量众多且分散的情况下，内网的机器容易利用管理的漏洞私自通过3G网卡拨号上网或者其他方式进行非法的外网访问，这就给涉密内网带来了信息外泄、中毒或成为外网黑客木马跳板的安全风险。

ASM入网规范管理系统通过入网时的安全规范检查确保进入内网机器的访问规范，对于扫描到有非法外联行为的机器进行有效的阻断，并可以在终端设备上进行实时的外联行为检测，对于任何情况下的非法外联均能进行有效的发现和及时处理，从而确保涉密内网的入网规范和信息安全。

4.13 联动与整合
ASM盈高入网规范管理系统在端点上采用Agentless可分解代理（无客户端）技术，主动检查各项规范落实情况，能够与防病毒软件、桌面管理等终端安全防护强强联动；并且结合终端资源、IP资源、补丁资源、规范策略以及集中报警事件，有效改变之前的单点防御、无序分散管理的局面。

4.14 实名制报警与审计报表
ASM盈高入网规范管理系统能够对新接入网络的设备、等待审核设备、统计报表及网络中的异常情况以邮件提醒、手机短信等形式进行及时报警。ASM能够收集接入设备的相关信息，对各检查项数据进行统计分析并提供报表便于查看，管理员能一目了然地掌控全网的安全状态。