［史建華］

1 引言

當(dāng)前隨著國內(nèi)外局勢變化，網(wǎng)絡(luò)安全被提升至新的高度。傳輸網(wǎng)作為客戶專線業(yè)務(wù)、局內(nèi)中繼業(yè)務(wù)的重要承載網(wǎng)絡(luò)，其網(wǎng)絡(luò)安全性關(guān)乎整個應(yīng)用網(wǎng)絡(luò)的安全?？梢哉f傳輸網(wǎng)是通信網(wǎng)絡(luò)的基石。如何提升傳輸網(wǎng)的安全性，防范外部攻擊，成為擺在運維人員面前的一個課題。

2 傳輸網(wǎng)管理通道的現(xiàn)狀

2.1 傳輸網(wǎng)絡(luò)分類

本文所述傳輸網(wǎng)主要包含：OTN 設(shè)備，MSTP 設(shè)備（含SDH 設(shè)備）和MSAP 設(shè)備。

2.2 網(wǎng)管通道的網(wǎng)絡(luò)架構(gòu)

當(dāng)前傳輸網(wǎng)管通道的網(wǎng)絡(luò)架構(gòu)如圖1 所示。

圖1 傳輸網(wǎng)管理通道拓撲

2.3 訪問需求和接入方式

（1）傳輸非網(wǎng)關(guān)網(wǎng)元通過上行鏈路帶內(nèi)DCC 字節(jié)與網(wǎng)關(guān)網(wǎng)元通信，經(jīng)網(wǎng)關(guān)網(wǎng)元與網(wǎng)管服務(wù)器通信。

（2）網(wǎng)關(guān)網(wǎng)元通過帶外DCN 網(wǎng)絡(luò)與網(wǎng)管服務(wù)器通信。

（3）網(wǎng)管終端通過DCN 網(wǎng)絡(luò)與網(wǎng)管服務(wù)器通信。

（4）網(wǎng)管調(diào)測人員直接或通過網(wǎng)絡(luò)訪問所有網(wǎng)元。

3 風(fēng)險點分析

以下3 點風(fēng)險都可能造成網(wǎng)絡(luò)信息泄露和通信中斷的后果。

（1）網(wǎng)管服務(wù)器安全風(fēng)險：服務(wù)器被非法訪問風(fēng)險、服務(wù)器系統(tǒng)漏洞風(fēng)險、服務(wù)器應(yīng)用軟件被非授權(quán)用戶登錄的風(fēng)險、賬號密碼泄露風(fēng)險。

（2）網(wǎng)管客戶端安全風(fēng)險：客戶端電腦病毒風(fēng)險、網(wǎng)管軟件登錄賬號密碼泄露風(fēng)險、被非法訪問的風(fēng)險。

（3）網(wǎng)元訪問風(fēng)險：網(wǎng)元被非法訪問風(fēng)險、用戶端網(wǎng)元被非法納管登錄的風(fēng)險。

4 防護策略研究

防護策略主要從3 個方面考慮：網(wǎng)絡(luò)訪問控制、賬號密碼管理、安全掃描，防護策略及防護控制點如圖2 所示。

圖2 傳輸網(wǎng)安全防護點及防護策略

4.1 網(wǎng)絡(luò)訪問控制

最小化必要化的訪問控制策略，只允許必要的訪問，拒絕無關(guān)訪問，減少對外暴露，從而提升安全。主要措施有訪問控制策略制定及實施、部署4A 服務(wù)器和堡壘機。

4.1.1 訪問控制策略制定與實施

對服務(wù)器、網(wǎng)元、堡壘機制定訪問控制策略矩陣，只允許白名單IP 訪問，且只在DCN 內(nèi)網(wǎng)訪問，全部單元不暴露在公網(wǎng)中。

（1）服務(wù)器：只允許網(wǎng)管終端、網(wǎng)關(guān)網(wǎng)元、4A 服務(wù)器、必要的IT 系統(tǒng)訪問。在服務(wù)器和接入接的DCN 交換機做雙重訪問控制。

（2）網(wǎng)管終端：因不能做到主機專用，不做訪問控制；如可以主機專用，只允許和服務(wù)器通信。

（3）網(wǎng)關(guān)網(wǎng)元：只允許同服務(wù)器和堡壘機通信。網(wǎng)關(guān)網(wǎng)元和DCN 接入交換機做雙重訪問控制。

（4）用戶端網(wǎng)元：關(guān)閉用戶端網(wǎng)元的本地登錄功能，避免通過用戶端網(wǎng)元反向訪問局端設(shè)備或反拉局端設(shè)備到自建非法服務(wù)器。

4.1.2 部署4A 服務(wù)器和堡壘機

減少直接訪問，加強訪問審計，服務(wù)器和堡壘機只能通過4A 平臺訪問；網(wǎng)元只能通過服務(wù)器和堡壘機直接訪問。同時對4A 系統(tǒng)登錄采用用戶名、密碼、短信驗證碼等多重驗證，加強4A 安全登錄管理。

4.2 賬號密碼管理

主要措施有提升密碼復(fù)雜度要求、定期更換密碼機制、過期停用機制、默認密碼強制修改、刪除不必要賬號。

（1）密碼復(fù)雜度要求：服務(wù)器、網(wǎng)管終端、網(wǎng)管應(yīng)用賬號密碼要滿足等保三級級別的復(fù)雜度要求。

（2）定期更換密碼機制：更改周期常規(guī)時期可設(shè)置90 天、180 天不等，特殊時期可設(shè)置30 天、7 天等，按需設(shè)置。

（3）過期停用機制：一般可考慮90 天未登錄自動停用，按需調(diào)整。

（4）默認密碼強制修改：在設(shè)備入網(wǎng)驗收時，將網(wǎng)元登錄密碼修改作為強制動作之一，不允許使用默認密碼。

（5）賬號清理：正常網(wǎng)元需保留的賬號有服務(wù)器訪問網(wǎng)元賬號、設(shè)備本地調(diào)測賬號，可能需要的賬號有巡檢賬號、升級賬號等。其余賬號應(yīng)全部刪除。

4.3 安全掃描

應(yīng)建立定期掃描制度，關(guān)閉不必要的端口和訪問方式，修補掃描到的漏洞，提升設(shè)備安全。

（1）掃描內(nèi)容：包括漏洞、木馬病毒、開放端口、開放訪問方式、弱密碼等。

（2）掃描策略：因網(wǎng)元設(shè)備、服務(wù)器、訪問終端等差異較大，掃描的策略應(yīng)采取“先試點，再全量；逐個項目掃描，建立掃描矩陣”。避免因掃描造成設(shè)備運行異常。

5 防護效果評估

（1）DCN 內(nèi)網(wǎng)訪問機制，避免設(shè)備公網(wǎng)暴露，有效防范外部攻擊。

（2）最小化訪問控制，可以最大程度降低內(nèi)網(wǎng)被滲透后的攻擊風(fēng)險。

（3）賬號密碼管理，降低因人員信息保存不當(dāng)帶來的訪問風(fēng)險。

（4）漏洞掃描，進一步降低被利用漏洞攻擊的可能。

通過以上策略可以大大提升傳輸網(wǎng)應(yīng)對外部攻擊的防護能力。

6 結(jié)束語

任何網(wǎng)絡(luò)都沒有絕對的安全，但是通過各種防護措施研究和部署，努力提升網(wǎng)絡(luò)的安全邊界，提高攻擊者的攻擊成本，降低被攻擊后的損失，是每個運維人員應(yīng)不斷努力的方向。