思科安全解決方案在新疆移動(dòng)BOSS系統改造中的成功應用
2009/04/13
業(yè)務(wù)發(fā)展呼喚高效網(wǎng)絡(luò )
移動(dòng)通信對信息網(wǎng)絡(luò )的依賴(lài)程度之高可能是另一些行業(yè)無(wú)法想象的,僅其業(yè)務(wù)運營(yíng)支撐系統(BOSS系統)就運行著(zhù)計費、結算、營(yíng)業(yè)帳務(wù)和客戶(hù)服務(wù)等多項核心業(yè)務(wù),這些業(yè)務(wù)都要求有一個(gè)高度穩定、運行順暢、安全可靠的網(wǎng)絡(luò )。近年來(lái),在日新月異的信息技術(shù)的大力推動(dòng)下,移動(dòng)通信業(yè)得到了前所未有的蓬勃發(fā)展。隨著(zhù)業(yè)務(wù)量的成倍增長(cháng)和業(yè)務(wù)范圍的迅猛擴展中國移動(dòng)通信新疆公司迫切需要將原有的網(wǎng)絡(luò )改造,建立一個(gè)高性能、高安全性、高可用性、高可擴充性的骨干網(wǎng)絡(luò )平臺,使得它一方面可以承載未來(lái)兩年(至2003年底)可預見(jiàn)的包括300萬(wàn)用戶(hù)的多項業(yè)務(wù)應用,另一方面順應“大集中”的趨勢,實(shí)現對全區各州縣業(yè)務(wù)的集中統一管理。
系統改造安全先行
疆移動(dòng)通信公司業(yè)務(wù)支撐系統(BOSS--Business Operation SupportSystem)由計費系統、結算系統、營(yíng)業(yè)帳務(wù)系統、客戶(hù)服務(wù)系統組成,對于這樣一個(gè)密切關(guān)系到企業(yè)生存基礎的系統,其安全的重要性是可想而知的可以說(shuō),安全是部署所有系統應用和實(shí)施優(yōu)質(zhì)服務(wù)的前提和保障,
因而B(niǎo)OSS系統必須有很高的安全性!
分析整個(gè)BOSS系統,所涉及的安全控制將主要有網(wǎng)絡(luò )安全性、處理機安全性和用戶(hù)安全性三種,其中每臺處理機的安全性可以通過(guò)UNIX的登錄過(guò)程實(shí)施控制,用戶(hù)級的安全性可以通過(guò)文件的所有者和文件訪(fǎng)問(wèn)權限機構來(lái)控制,而網(wǎng)絡(luò )的安全性將是最大的挑戰。
一方面網(wǎng)絡(luò )中大量存儲和傳輸的數據有可能被盜用、暴露或者篡改,另一方面,BOSS系統本身與Internet的連接、與其它單位系統(如銀行、郵儲、公安等)的接口及撥號連接等網(wǎng)絡(luò )接口也都是易受黑客攻擊的地方。
新疆移動(dòng)業(yè)務(wù)運營(yíng)支撐系統網(wǎng)絡(luò )分布廣、處理業(yè)務(wù)多且皆為計費、客服等核心業(yè)務(wù),另外還要注意區中心和各地洲不同的安全級別,要保障這樣一個(gè)復雜的分布式網(wǎng)絡(luò )環(huán)境的整體安全,必須首先要對網(wǎng)絡(luò )系統有一個(gè)全面深刻的了解,并且對網(wǎng)絡(luò )的各個(gè)環(huán)節可能存在的潛在威脅有一個(gè)清晰的認識,然后制定出相應的安全策略。
思科集中分層方案全面解決安全難題
思科系統公司作為是新疆移動(dòng)新BOSS系統的設計者和搭建者,不僅對BOSS系統架構集中式分布特點(diǎn)及多級安全性需求了如指掌,而且,作為世界領(lǐng)先的整體安全解決方案最終,新疆移動(dòng)選擇思科作為部署系統安全的廠(chǎng)商。
基于BOSS系統的需求,思科在綜合考慮安全性、易用性和成本之后,提出了集中分級的安全解決方案。
首先,“集中式安全管理”,即采用專(zhuān)門(mén)用于保證安全性的服務(wù)器對整個(gè)系統進(jìn)行監測和管理。
如圖所示:
(TACAS:Terminal Access Controller Access Control System--終端訪(fǎng)問(wèn)控制系統)有了這樣的服務(wù)器以后,連接在這個(gè)網(wǎng)絡(luò )的所有用戶(hù),不管它需要以什么樣的方式訪(fǎng)問(wèn)網(wǎng)絡(luò )設備,都必須通過(guò)服務(wù)器的安全性監測。由于服務(wù)器上可以運行功能很強的安全性方面的軟件,可以完全滿(mǎn)足BOSS系統的安全需求。在路由器、撥號訪(fǎng)問(wèn)服務(wù)器和安全服務(wù)器之間傳送的可以是經(jīng)過(guò)加密的有關(guān)網(wǎng)絡(luò )安全協(xié)議的數據流。
通過(guò)這種集中式的安全控制機制,我們可以實(shí)現鑒別(authentication)、授權(authorization)和記帳(accounting)的所謂“AAA”安全功能。
為了進(jìn)一步提高安全數據庫的可靠性,我們還可以在網(wǎng)絡(luò )上設置不止一臺的安全數據庫;即使在所有的安全數據庫都發(fā)生故障的情況之下,還可以設置成利用路由器中的數據庫實(shí)現分散的安全控制方式。
其次,分級安全控制。新疆移動(dòng)BOSS系統位于區中心和各地洲的網(wǎng)絡(luò )重要性是不一樣的,需要保護的對象也不同,因此安全實(shí)施的力度也應不同。也就是說(shuō)一個(gè)好的安全體系,是應有主次之分的。思科在本次方案中根據用戶(hù)系統的特點(diǎn)構筑了一個(gè)分層次的、采用不同廠(chǎng)商安全產(chǎn)品的異構的安全體系。具體為:在系統與外單位的接口處構建一級安全防護,針對計費中心核心的主機,核心數據庫的安全構建第二層安全防護體系,并且采用不同廠(chǎng)商安全產(chǎn)品,進(jìn)一步提高攻擊的難度。這種分層異構安全體系,其實(shí)就是思科公司面向網(wǎng)絡(luò )安全端到端的SAFE(Security
Architecturefor E-Business)解決方案中深度防御理念的具體應用。
最后,思科在具體的訪(fǎng)問(wèn)控制中,也充分利用了BOSS系統的集中模式。
一是使用了一個(gè)被廣泛使用的“防火墻”的概念,即把防火墻看作是一個(gè)數據流的過(guò)濾器,只有用戶(hù)所期望的數據流才能夠通過(guò)這個(gè)過(guò)濾器,而其它所有的數據流都不能通過(guò),這一控制是雙向的。
例如在區中心與Internet的連接就設置了PIX防火墻,將內網(wǎng)與外網(wǎng)隔斷,而作為用戶(hù)WEB查詢(xún)用的服務(wù)器則置于DMZ(Demilitarized
Zoon)中,用戶(hù)訪(fǎng)問(wèn)時(shí),不會(huì )直接進(jìn)入內網(wǎng),而只和查詢(xún)服務(wù)器發(fā)生關(guān)聯(lián),再由查詢(xún)服務(wù)器——也只能由查詢(xún)服務(wù)器進(jìn)入內網(wǎng)尋找到用戶(hù)所需的數據。這樣就可以基本上保證系統的安全性。如下圖所示:
另外,BOSS系統與其它系統的網(wǎng)絡(luò )接口(如話(huà)費代收及銀行、郵儲、公安之類(lèi)的接口)都是在區中心采用防火墻等安全機制來(lái)集中保證網(wǎng)絡(luò )的互相獨立性。下圖以銀行為例說(shuō)明。每家銀行現在基本上都可實(shí)現通存通兌,也就是說(shuō)都有一套覆蓋全區的網(wǎng)絡(luò ),而新疆移動(dòng)采用的是計費、營(yíng)業(yè)及綜合帳務(wù)系統的集中模式,所以只要在區中國移動(dòng)與各家銀行的區中心作網(wǎng)絡(luò )連接就可以實(shí)現聯(lián)網(wǎng)了。這種方法接口單一,連接方法簡(jiǎn)單,易于管理,安全隱患小,投資節約。
二是在撥號連接安全問(wèn)題上,思科除了采用回拔技術(shù)以外,也主要使用了集中的訪(fǎng)問(wèn)控制。BOSS系統的拔號用戶(hù)主要是營(yíng)業(yè)廳和代理點(diǎn)兩類(lèi),對營(yíng)業(yè)廳,它完成的業(yè)務(wù)多一些,因此也應具有較高的權限;對代理點(diǎn),不應讓其訪(fǎng)問(wèn)過(guò)多的數據。這可以通過(guò)給予不同的用戶(hù)名和口令,再對這些用戶(hù)名和口令作不同訪(fǎng)問(wèn)限制的方法來(lái)實(shí)現,也可以通過(guò)對地址的訪(fǎng)問(wèn)控制實(shí)現,具體選用哪一種可依實(shí)際情況而定。
可能看到,為了實(shí)現這些功能,使用集中的訪(fǎng)問(wèn)控制是必要的,它不但可以保證網(wǎng)絡(luò )不受侵犯,也可以記錄下對于網(wǎng)絡(luò )的操作,監測各種用戶(hù)的訪(fǎng)問(wèn)。
全面安全輕松擁有
新疆移動(dòng)BOSS系統通過(guò)實(shí)施思科安全方案后,整個(gè)網(wǎng)絡(luò )的運行將可在一種可控方式下,保證其安全性,不但可以通過(guò)集中控制的機制對分布全區15個(gè)地洲的網(wǎng)絡(luò )進(jìn)行安全管理,防止非授權的人員進(jìn)入網(wǎng)絡(luò )之中,還可根據具體用戶(hù)的級別確定他們的訪(fǎng)問(wèn)權限,以實(shí)現分層次的安全控制機制;另外,思科通過(guò)將自身高性能的安全產(chǎn)品(如PIX防火墻和VPN等)以及第三方安全產(chǎn)品和技術(shù)部署到網(wǎng)絡(luò )相應的位置,大大增強了網(wǎng)絡(luò )的抗攻擊能力。
在整個(gè)項目中,思科作為頂級的網(wǎng)絡(luò )系統專(zhuān)家,從整個(gè)網(wǎng)絡(luò )系統的角度綜合設計整體安全的解決方案。這個(gè)方案保證了新疆移動(dòng)BOSS系統整體的安全而且也實(shí)現了系統改造的初衷。
改造后的系統幫助客戶(hù)解決了原來(lái)因地緣分布廣造成的管理難度大、成本高、不能及時(shí)解決客戶(hù)問(wèn)題等問(wèn)題,使得新疆移動(dòng)的策略制定、實(shí)施,對客戶(hù)問(wèn)題的診斷、解決都可以在中心區完成。另外,由于實(shí)現了業(yè)務(wù)管理和安全管理的"大集中",整個(gè)BOSS系統的管理都變得更簡(jiǎn)單、可控,從而不僅保障了整個(gè)系統安全、持續、高效地運行,還大幅地提高了人員工作效率,節約了管理成本。思科公司認為在這個(gè)系統設計及實(shí)施過(guò)程中,有三點(diǎn)是保證系統成功的關(guān)鍵。
第一,如何在新疆移動(dòng)具體地"生產(chǎn)"網(wǎng)絡(luò )中運用SAFE藍圖的模塊化分析方法。思科的"SAFE"藍圖倡導將企業(yè)復雜的網(wǎng)絡(luò )環(huán)境模塊化,正是這種模塊化的分析方法,使得思科可以幫助新疆移動(dòng)化繁為簡(jiǎn)地分析其網(wǎng)絡(luò )各個(gè)模塊內部以及相互連接處的薄弱環(huán)節和關(guān)鍵部分。這樣,一方面可以幫助新疆移動(dòng)有針對性的采取防御策略和手段,使網(wǎng)絡(luò )系統得到經(jīng)濟、立體、全面的保護;另一方面,使得網(wǎng)絡(luò )結構及安全部署都能夠隨著(zhù)業(yè)務(wù)的發(fā)展而被便捷的推廣,保證了網(wǎng)絡(luò )結構的高可擴展性;
第二,要將國際領(lǐng)先的理念、解決方案本土化客戶(hù)化;
第三,在設計、實(shí)施的過(guò)程中不斷與客戶(hù)溝通提供給客戶(hù)一系列良好的服務(wù)。
通信世界網(wǎng)(www.cww.net.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
咸丰县|
漠河县|
稻城县|
邹城市|
常山县|
黄冈市|
阳西县|
新津县|
紫金县|
青海省|
洛川县|
沙洋县|
临猗县|
达州市|
沂源县|
浑源县|
六盘水市|
宁津县|
安多县|
开原市|
宁乡县|
黔江区|
卢龙县|
东港市|
宁德市|
曲阜市|
蒙城县|
黄浦区|
宣恩县|
即墨市|
习水县|
雷山县|
孝昌县|
绥中县|
洛川县|
黄山市|
定兴县|
咸丰县|
北川|
江北区|
淳安县|
http://444
http://444
http://444
http://444
http://444
http://444