国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

傳輸網(wǎng)防外部攻擊的安全防護策略研究

2023-03-09 03:16:04史建華
廣東通信技術(shù) 2023年1期
關(guān)鍵詞:傳輸網(wǎng)網(wǎng)元網(wǎng)管

[史建華]

1 引言

當(dāng)前隨著國內(nèi)外局勢變化,網(wǎng)絡(luò)安全被提升至新的高度。傳輸網(wǎng)作為客戶專線業(yè)務(wù)、局內(nèi)中繼業(yè)務(wù)的重要承載網(wǎng)絡(luò),其網(wǎng)絡(luò)安全性關(guān)乎整個應(yīng)用網(wǎng)絡(luò)的安全??梢哉f傳輸網(wǎng)是通信網(wǎng)絡(luò)的基石。如何提升傳輸網(wǎng)的安全性,防范外部攻擊,成為擺在運維人員面前的一個課題。

2 傳輸網(wǎng)管理通道的現(xiàn)狀

2.1 傳輸網(wǎng)絡(luò)分類

本文所述傳輸網(wǎng)主要包含:OTN 設(shè)備,MSTP 設(shè)備(含SDH 設(shè)備)和MSAP 設(shè)備。

2.2 網(wǎng)管通道的網(wǎng)絡(luò)架構(gòu)

當(dāng)前傳輸網(wǎng)管通道的網(wǎng)絡(luò)架構(gòu)如圖1 所示。

圖1 傳輸網(wǎng)管理通道拓撲

2.3 訪問需求和接入方式

(1)傳輸非網(wǎng)關(guān)網(wǎng)元通過上行鏈路帶內(nèi)DCC 字節(jié)與網(wǎng)關(guān)網(wǎng)元通信,經(jīng)網(wǎng)關(guān)網(wǎng)元與網(wǎng)管服務(wù)器通信。

(2)網(wǎng)關(guān)網(wǎng)元通過帶外DCN 網(wǎng)絡(luò)與網(wǎng)管服務(wù)器通信。

(3)網(wǎng)管終端通過DCN 網(wǎng)絡(luò)與網(wǎng)管服務(wù)器通信。

(4)網(wǎng)管調(diào)測人員直接或通過網(wǎng)絡(luò)訪問所有網(wǎng)元。

3 風(fēng)險點分析

以下3 點風(fēng)險都可能造成網(wǎng)絡(luò)信息泄露和通信中斷的后果。

(1)網(wǎng)管服務(wù)器安全風(fēng)險:服務(wù)器被非法訪問風(fēng)險、服務(wù)器系統(tǒng)漏洞風(fēng)險、服務(wù)器應(yīng)用軟件被非授權(quán)用戶登錄的風(fēng)險、賬號密碼泄露風(fēng)險。

(2)網(wǎng)管客戶端安全風(fēng)險:客戶端電腦病毒風(fēng)險、網(wǎng)管軟件登錄賬號密碼泄露風(fēng)險、被非法訪問的風(fēng)險。

(3)網(wǎng)元訪問風(fēng)險:網(wǎng)元被非法訪問風(fēng)險、用戶端網(wǎng)元被非法納管登錄的風(fēng)險。

4 防護策略研究

防護策略主要從3 個方面考慮:網(wǎng)絡(luò)訪問控制、賬號密碼管理、安全掃描,防護策略及防護控制點如圖2 所示。

圖2 傳輸網(wǎng)安全防護點及防護策略

4.1 網(wǎng)絡(luò)訪問控制

最小化必要化的訪問控制策略,只允許必要的訪問,拒絕無關(guān)訪問,減少對外暴露,從而提升安全。主要措施有訪問控制策略制定及實施、部署4A 服務(wù)器和堡壘機。

4.1.1 訪問控制策略制定與實施

對服務(wù)器、網(wǎng)元、堡壘機制定訪問控制策略矩陣,只允許白名單IP 訪問,且只在DCN 內(nèi)網(wǎng)訪問,全部單元不暴露在公網(wǎng)中。

(1)服務(wù)器:只允許網(wǎng)管終端、網(wǎng)關(guān)網(wǎng)元、4A 服務(wù)器、必要的IT 系統(tǒng)訪問。在服務(wù)器和接入接的DCN 交換機做雙重訪問控制。

(2)網(wǎng)管終端:因不能做到主機專用,不做訪問控制;如可以主機專用,只允許和服務(wù)器通信。

(3)網(wǎng)關(guān)網(wǎng)元:只允許同服務(wù)器和堡壘機通信。網(wǎng)關(guān)網(wǎng)元和DCN 接入交換機做雙重訪問控制。

(4)用戶端網(wǎng)元:關(guān)閉用戶端網(wǎng)元的本地登錄功能,避免通過用戶端網(wǎng)元反向訪問局端設(shè)備或反拉局端設(shè)備到自建非法服務(wù)器。

4.1.2 部署4A 服務(wù)器和堡壘機

減少直接訪問,加強訪問審計,服務(wù)器和堡壘機只能通過4A 平臺訪問;網(wǎng)元只能通過服務(wù)器和堡壘機直接訪問。同時對4A 系統(tǒng)登錄采用用戶名、密碼、短信驗證碼等多重驗證,加強4A 安全登錄管理。

4.2 賬號密碼管理

主要措施有提升密碼復(fù)雜度要求、定期更換密碼機制、過期停用機制、默認密碼強制修改、刪除不必要賬號。

(1)密碼復(fù)雜度要求:服務(wù)器、網(wǎng)管終端、網(wǎng)管應(yīng)用賬號密碼要滿足等保三級級別的復(fù)雜度要求。

(2)定期更換密碼機制:更改周期常規(guī)時期可設(shè)置90 天、180 天不等,特殊時期可設(shè)置30 天、7 天等,按需設(shè)置。

(3)過期停用機制:一般可考慮90 天未登錄自動停用,按需調(diào)整。

(4)默認密碼強制修改:在設(shè)備入網(wǎng)驗收時,將網(wǎng)元登錄密碼修改作為強制動作之一,不允許使用默認密碼。

(5)賬號清理:正常網(wǎng)元需保留的賬號有服務(wù)器訪問網(wǎng)元賬號、設(shè)備本地調(diào)測賬號,可能需要的賬號有巡檢賬號、升級賬號等。其余賬號應(yīng)全部刪除。

4.3 安全掃描

應(yīng)建立定期掃描制度,關(guān)閉不必要的端口和訪問方式,修補掃描到的漏洞,提升設(shè)備安全。

(1)掃描內(nèi)容:包括漏洞、木馬病毒、開放端口、開放訪問方式、弱密碼等。

(2)掃描策略:因網(wǎng)元設(shè)備、服務(wù)器、訪問終端等差異較大,掃描的策略應(yīng)采取“先試點,再全量;逐個項目掃描,建立掃描矩陣”。避免因掃描造成設(shè)備運行異常。

5 防護效果評估

(1)DCN 內(nèi)網(wǎng)訪問機制,避免設(shè)備公網(wǎng)暴露,有效防范外部攻擊。

(2)最小化訪問控制,可以最大程度降低內(nèi)網(wǎng)被滲透后的攻擊風(fēng)險。

(3)賬號密碼管理,降低因人員信息保存不當(dāng)帶來的訪問風(fēng)險。

(4)漏洞掃描,進一步降低被利用漏洞攻擊的可能。

通過以上策略可以大大提升傳輸網(wǎng)應(yīng)對外部攻擊的防護能力。

6 結(jié)束語

任何網(wǎng)絡(luò)都沒有絕對的安全,但是通過各種防護措施研究和部署,努力提升網(wǎng)絡(luò)的安全邊界,提高攻擊者的攻擊成本,降低被攻擊后的損失,是每個運維人員應(yīng)不斷努力的方向。

猜你喜歡
傳輸網(wǎng)網(wǎng)元網(wǎng)管
一種全網(wǎng)時鐘同步管理方法
淺析干線傳輸網(wǎng)升級改造勘察注意事項
電力系統(tǒng)SDH/PTN傳輸網(wǎng)性能測試與分析
OTN傳輸網(wǎng)的建設(shè)及應(yīng)用探究
“五制配套”加強網(wǎng)管
新聞前哨(2015年2期)2015-03-11 19:29:29
光網(wǎng)絡(luò)設(shè)備ECC常見問題解決思路剖析
中國新通信(2014年5期)2014-10-17 01:49:03
OTN在福建高速公路傳輸網(wǎng)中的應(yīng)用
一種供鳥有限飛翔的裝置
發(fā)射機房網(wǎng)管系統(tǒng)的設(shè)計原則及功能
河南科技(2014年14期)2014-02-27 14:11:59
Java EE平臺在綜合網(wǎng)元管理系統(tǒng)中的應(yīng)用研究
404 Not Found

404 Not Found


nginx
平罗县| 宁远县| 株洲市| 天全县| 米易县| 丽水市| 莫力| 巩义市| 和田市| 闵行区| 遂宁市| 晋中市| 敦化市| 临颍县| 海南省| 普定县| 岐山县| 西和县| 施甸县| 宜章县| 武平县| 永泰县| 广昌县| 抚顺市| 专栏| 毕节市| 阿坝县| 宁波市| 油尖旺区| 合阳县| 石狮市| 宁陕县| 赤城县| 安吉县| 罗山县| 丽江市| 福安市| 定远县| 桐梓县| 平度市| 洮南市|