概述
运营商支撑网络主要包括计费系统,经营分析系统,业务支撑网络管理系统和容灾系统等几个部分。是运营商管理、维护网络设备,收益统计与核算的核心网络,支撑网络是对外接口最多,数据被访问频度最多的网络。并且是多个部门都需要访问的网络,所以其复杂性高,与外界数据互访需求巨大。
面临的问题
运营支撑系统与外界对接,主要采用防火墙配合入侵检测系统设备进行防护,但仍旧面临诸多无法解决问题。尤其是在互联网接口、外部接口上,存在大量恶意的攻击,如:
抵御拒绝服务攻击,导致支撑系统内的业务系统(主机、数据库、WEB)无法正常提供服务
漏洞攻击,破坏数据的完成性
蠕虫病毒感染,导致数据完整性、可用性降低,引起网络瘫痪
口令猜测,篡改数据,破坏系统
多系统并行,管理复杂,出现越权访问
方案目标
对运营支撑系统的安全加固,保护核心系统与数据的可用性、机密性与完整性,以及关键应用的可用性。抵御防火墙与IDS不能防范的攻击。
在核心支撑网络的上边界部署IPS设备,可以抵挡来自任何外界的攻击。在支撑系统的下边界,主要有互联网接口(连接Internet)、外部接口(连接合作者/SP/其他运营商)和内部接口(本运营商其他IT系统),在这些接口上根据实际网络流量与数据纯洁程度在不同接口部署IPS。如外部接口数据流量均衡,数据内容负责,存在病毒感染、DoS/DDoS攻击的可能较大,需要部署IPS抵御来自其他运营商网络病毒与恶意扫描等。
支撑网内部,严格区分不同业务,保证业务之间的数据安全性,避免用户无意情况下的越权访问。
互联网接口由于访问流量相对较大,需要专门部署防火抵御常规攻击,可以酌情部署IPS抵御深层攻击与病毒侵害。
内部接口在本运营商管辖范围内,可以不用设置IPS,依靠上边界的IPS即可。
方案特点
根据运营支撑网计费,经营分析,业务支撑网络管理和容灾等系统在实际应用中重要性以及被访问的频度不同,可针对特定的子系统专门部署IPS,加以保护。
电信级设备,切换时间毫秒级别,先进的可靠性技术保证业务的连续性
采用先进的NP架构,性能最大可达5G
对于支撑网出口,对所有数据进行统一设备管理,保护出口数据安全
虚拟漏洞补丁保障运营支撑系统的稳定运行,无需操作系统另行补丁
彻底消除误报,配合二层回退机制保证业务不间断
病毒漏洞库、数字疫苗实时下载,保证抵御ZeroDay Attack
专用的DoS/DDoS攻击硬件防御机制,保证设备的高处理性能
在线防护消除联动技术在安全威胁传播速度快速增长时反应缓慢的问题
根据协议对非业务流量进行阻断或限流,并可根据时间函数自行制定控制策略 |