聯(lián)合電訊社/北京--根據電信集團企業(yè)信息化戰(zhàn)略規(guī)劃的要求，企業(yè)信息化體系由管理支撐系統(tǒng)MSS、業(yè)務支撐系統(tǒng)BSS和運營支撐系統(tǒng)OSS三部分組成簡稱為CTG-MBOSS，且全部承載在一個統(tǒng)一的企業(yè)IT 內部專網上。

　　在這張專網上，要想為眾多的用戶提供高質量的網絡服務，那么網絡設備、業(yè)務系統(tǒng)、服務器等的安全運行就顯得至關重要。

　　本文將重點闡述某省級電信公司是如何利用網絡信息安全設施，保障其業(yè)務和運營系統(tǒng)穩(wěn)定、安全地運行的。

　　需求背景

　　某省電信企業(yè)IT 內部專網是由省公司企業(yè)網、地市本地企業(yè)網和DCN骨干網三大部分組成的，網絡規(guī)模龐大，且網內各種路由設備、交換設備、服務器、安全設備等種類各異、數量繁多。尤其是該網絡內CRM/SPS、集中計費、數據倉庫、綜合結算等系統(tǒng)已經逐步上線，由業(yè)務結算局管理的EDC已經成為省電信的核心數據機房，其數據的安全性越來越得到各級領導的重視。

　　鑒于此，該省級電信IT內部專網目前面臨的最大問題有2個：一是網絡出口眾多，面臨極大的安全風險;二是網內一些具體信息系統(tǒng)沒有做針對性的安全防護。具體如下所述：

　　首先，由于EDC業(yè)務復雜，其不但與DCN網有連接，同時也與各銀行、代辦點、公網都有連接，可謂出口眾多，從而使該網絡需要面對方方面面的網絡安全威脅。據了解，該網絡當前僅僅在出口處部署了邊界防火墻，卻沒有對應用層威脅施行有效的應對和控制。可以說，整個信息系統(tǒng)存在諸多安全隱患。

　　其次，尤其是該網絡中的業(yè)務代辦系統(tǒng)以及收費系統(tǒng)服務器，也都沒有進行任何針對性的保護，安全風險極大。

　　解決方案

　　針對省電信公司的安全現狀，需要在現有IT網上構筑一個完整的威脅分析與控制系統(tǒng)，從而使IT網絡的威脅控制不再僅僅限于對網絡層的訪問控制。與此同時，還需要對關鍵服務器、關鍵網絡進行完整的從網絡層到應用層的威脅控制，以確保各種網絡攻擊對于IT網絡和系統(tǒng)的影響具備間斷性、暫時性、可管理性和可隔離性的受控特點。

　　本方案中，用戶在其外聯(lián)出口部署了啟明星辰的天清漢馬USG產品，用來抵御來自外聯(lián)單位的病毒、非授權訪問以及其他網絡層攻擊，從而一舉實現對外部威脅的全面防御。同時，用戶還針對各種計費服務器以及社會代辦服務器進行了專業(yè)的應用層防護，分別部署了啟明星辰的天清IPS產品，用于實現對應用層威脅的精確阻斷。

　　案例點評

　　通過本文的方案，我們不難理解，對于需要進行企業(yè)間互聯(lián)的信息系統(tǒng)，往往通過網絡所交換的數據是具有較高經濟價值的，而對于這些信息系統(tǒng)，安全的威脅往往來自于應用層。而對于這類安全威脅，傳統(tǒng)的防火墻系統(tǒng)雖然從整個網絡的安全建設來說是必須的，但并不足夠。

　　為了完整地實現對各種威脅的控制，如本方案所述，用戶還需要采用立體防御思想對省公司網絡進行安全改造，同時針對不同的威脅部署有針對性的產品，只有這樣才能有效地提高網絡的整體安全性。