[史建華]
當(dāng)前隨著國內(nèi)外局勢變化,網(wǎng)絡(luò)安全被提升至新的高度。傳輸網(wǎng)作為客戶專線業(yè)務(wù)、局內(nèi)中繼業(yè)務(wù)的重要承載網(wǎng)絡(luò),其網(wǎng)絡(luò)安全性關(guān)乎整個應(yīng)用網(wǎng)絡(luò)的安全??梢哉f傳輸網(wǎng)是通信網(wǎng)絡(luò)的基石。如何提升傳輸網(wǎng)的安全性,防范外部攻擊,成為擺在運維人員面前的一個課題。
本文所述傳輸網(wǎng)主要包含:OTN 設(shè)備,MSTP 設(shè)備(含SDH 設(shè)備)和MSAP 設(shè)備。
當(dāng)前傳輸網(wǎng)管通道的網(wǎng)絡(luò)架構(gòu)如圖1 所示。
圖1 傳輸網(wǎng)管理通道拓撲
(1)傳輸非網(wǎng)關(guān)網(wǎng)元通過上行鏈路帶內(nèi)DCC 字節(jié)與網(wǎng)關(guān)網(wǎng)元通信,經(jīng)網(wǎng)關(guān)網(wǎng)元與網(wǎng)管服務(wù)器通信。
(2)網(wǎng)關(guān)網(wǎng)元通過帶外DCN 網(wǎng)絡(luò)與網(wǎng)管服務(wù)器通信。
(3)網(wǎng)管終端通過DCN 網(wǎng)絡(luò)與網(wǎng)管服務(wù)器通信。
(4)網(wǎng)管調(diào)測人員直接或通過網(wǎng)絡(luò)訪問所有網(wǎng)元。
以下3 點風(fēng)險都可能造成網(wǎng)絡(luò)信息泄露和通信中斷的后果。
(1)網(wǎng)管服務(wù)器安全風(fēng)險:服務(wù)器被非法訪問風(fēng)險、服務(wù)器系統(tǒng)漏洞風(fēng)險、服務(wù)器應(yīng)用軟件被非授權(quán)用戶登錄的風(fēng)險、賬號密碼泄露風(fēng)險。
(2)網(wǎng)管客戶端安全風(fēng)險:客戶端電腦病毒風(fēng)險、網(wǎng)管軟件登錄賬號密碼泄露風(fēng)險、被非法訪問的風(fēng)險。
(3)網(wǎng)元訪問風(fēng)險:網(wǎng)元被非法訪問風(fēng)險、用戶端網(wǎng)元被非法納管登錄的風(fēng)險。
防護策略主要從3 個方面考慮:網(wǎng)絡(luò)訪問控制、賬號密碼管理、安全掃描,防護策略及防護控制點如圖2 所示。
圖2 傳輸網(wǎng)安全防護點及防護策略
最小化必要化的訪問控制策略,只允許必要的訪問,拒絕無關(guān)訪問,減少對外暴露,從而提升安全。主要措施有訪問控制策略制定及實施、部署4A 服務(wù)器和堡壘機。
4.1.1 訪問控制策略制定與實施
對服務(wù)器、網(wǎng)元、堡壘機制定訪問控制策略矩陣,只允許白名單IP 訪問,且只在DCN 內(nèi)網(wǎng)訪問,全部單元不暴露在公網(wǎng)中。
(1)服務(wù)器:只允許網(wǎng)管終端、網(wǎng)關(guān)網(wǎng)元、4A 服務(wù)器、必要的IT 系統(tǒng)訪問。在服務(wù)器和接入接的DCN 交換機做雙重訪問控制。
(2)網(wǎng)管終端:因不能做到主機專用,不做訪問控制;如可以主機專用,只允許和服務(wù)器通信。
(3)網(wǎng)關(guān)網(wǎng)元:只允許同服務(wù)器和堡壘機通信。網(wǎng)關(guān)網(wǎng)元和DCN 接入交換機做雙重訪問控制。
(4)用戶端網(wǎng)元:關(guān)閉用戶端網(wǎng)元的本地登錄功能,避免通過用戶端網(wǎng)元反向訪問局端設(shè)備或反拉局端設(shè)備到自建非法服務(wù)器。
4.1.2 部署4A 服務(wù)器和堡壘機
減少直接訪問,加強訪問審計,服務(wù)器和堡壘機只能通過4A 平臺訪問;網(wǎng)元只能通過服務(wù)器和堡壘機直接訪問。同時對4A 系統(tǒng)登錄采用用戶名、密碼、短信驗證碼等多重驗證,加強4A 安全登錄管理。
主要措施有提升密碼復(fù)雜度要求、定期更換密碼機制、過期停用機制、默認密碼強制修改、刪除不必要賬號。
(1)密碼復(fù)雜度要求:服務(wù)器、網(wǎng)管終端、網(wǎng)管應(yīng)用賬號密碼要滿足等保三級級別的復(fù)雜度要求。
(2)定期更換密碼機制:更改周期常規(guī)時期可設(shè)置90 天、180 天不等,特殊時期可設(shè)置30 天、7 天等,按需設(shè)置。
(3)過期停用機制:一般可考慮90 天未登錄自動停用,按需調(diào)整。
(4)默認密碼強制修改:在設(shè)備入網(wǎng)驗收時,將網(wǎng)元登錄密碼修改作為強制動作之一,不允許使用默認密碼。
(5)賬號清理:正常網(wǎng)元需保留的賬號有服務(wù)器訪問網(wǎng)元賬號、設(shè)備本地調(diào)測賬號,可能需要的賬號有巡檢賬號、升級賬號等。其余賬號應(yīng)全部刪除。
應(yīng)建立定期掃描制度,關(guān)閉不必要的端口和訪問方式,修補掃描到的漏洞,提升設(shè)備安全。
(1)掃描內(nèi)容:包括漏洞、木馬病毒、開放端口、開放訪問方式、弱密碼等。
(2)掃描策略:因網(wǎng)元設(shè)備、服務(wù)器、訪問終端等差異較大,掃描的策略應(yīng)采取“先試點,再全量;逐個項目掃描,建立掃描矩陣”。避免因掃描造成設(shè)備運行異常。
(1)DCN 內(nèi)網(wǎng)訪問機制,避免設(shè)備公網(wǎng)暴露,有效防范外部攻擊。
(2)最小化訪問控制,可以最大程度降低內(nèi)網(wǎng)被滲透后的攻擊風(fēng)險。
(3)賬號密碼管理,降低因人員信息保存不當(dāng)帶來的訪問風(fēng)險。
(4)漏洞掃描,進一步降低被利用漏洞攻擊的可能。
通過以上策略可以大大提升傳輸網(wǎng)應(yīng)對外部攻擊的防護能力。
任何網(wǎng)絡(luò)都沒有絕對的安全,但是通過各種防護措施研究和部署,努力提升網(wǎng)絡(luò)的安全邊界,提高攻擊者的攻擊成本,降低被攻擊后的損失,是每個運維人員應(yīng)不斷努力的方向。