思科電信BOSS系統安全解決方案

2019-11-04 21:22:38

字體：大中小

來源：轉載

供稿：網友

　　業務發展呼喚高效網絡
　　
　　移動通信對信息網絡的依靠程度之高可能是另一些行業無法想象的，僅其業務運營支撐系統（BOSS系統）就運行著計費、結算、營業帳務和客戶服務等多項核心業務，這些業務都要求有一個高度穩定、運行順暢、安全可靠的網絡。近年來，在日新月異的信息技術的大力推動下，移動通信業得到了前所未有的蓬勃發展。隨著業務量的成倍增長和業務范圍的迅猛擴展中國移動通信新疆公司迫切需要將原有的網絡改造，建立一個高性能、高安全性、高可用性、高可擴充性的骨干網絡平臺，使得它一方面可以承載未來兩年（至2003年底）可預見的包括300萬用戶的多項業務應用，另一方面順應“大集中”的趨勢，實現對全區各州縣業務的集中統一治理。
　　
　　系統改造　安全先行
　　
　　新疆移動通信公司業務支撐系統(BOSS--Business Operation SupportSystem)由計費系統、結算系統、營業帳務系統、客戶服務系統組成，對于這樣一個密切關系到企業生存基礎的系統，其安全的重要性是可想而知的可以說，安全是部署所有系統應用和實施優質服務的前提和保障，因而BOSS系統必須有很高的安全性！
　　
　　分析整個BOSS系統，所涉及的安全控制將主要有網絡安全性、處理機安全性和用戶安全性三種，其中每臺處理機的安全性可以通過UNIX的登錄過程實施控制，用戶級的安全性可以通過文件的所有者和文件訪問權限機構來控制，而網絡的安全性將是最大的挑戰。
　　
　　一方面網絡中大量存儲和傳輸的數據有可能被盜用、暴露或者篡改，另一方面,BOSS系統本身與Internet的連接、與其它單位系統（如銀行、郵儲、公安等）的接口及撥號連接等網絡接口也都是易受黑客攻擊的地方。
　　
　　新疆移動業務運營支撐系統網絡分布廣、處理業務多且皆為計費、客服等核心業務,另外還要注重區中心和各地洲不同的安全級別,要保障這樣一個復雜的分布式網絡環境的整體安全，必須首先要對網絡系統有一個全面深刻的了解，并且對網絡的各個環節可能存在的潛在威脅有一個清楚的熟悉，然后制定出相應的安全策略。
　　
　　集中分層方案　全面解決安全難題
　　
　　思科系統公司作為是新疆移動新BOSS系統的設計者和搭建者，不僅對BOSS系統架構集中式分布特點及多級安全性需求了如指掌，而且，作為世界領先的整體安全解決方案最終，新疆移動選擇思科作為部署系統安全的廠商。
　　
　　基于BOSS系統的需求，思科在綜合考慮安全性、易用性和成本之后，提出了集中分級的安全解決方案。
　　
　　首先，“集中式安全治理”，即采用專門用于保證安全性的服務器對整個系統進行監測和治理。
　　
　　(TACAS：Terminal access Controller Access Control System--終端訪問控制系統)有了這樣的服務器以后，連接在這個網絡的所有用戶,不管它需要以什么樣的方式訪問網絡設備，都必須通過服務器的安全性監測。由于服務器上可以運行功能很強的安全性方面的軟件，可以完全滿足BOSS系統的安全需求。在路由器、撥號訪問服務器和安全服務器之間傳送的可以是經過加密的有關網絡安全協議的數據流。
　　
　　通過這種集中式的安全控制機制，我們可以實現鑒別（authentication）、授權（authorization）和記帳（accounting）的所謂“AAA”安全功能。
　　
　　為了進一步提高安全數據庫的可靠性，我們還可以在網絡上設置不止一臺的安全數據庫；即使在所有的安全數據庫都發生故障的情況之下，還可以設置成利用路由器中的數據庫實現分散的安全控制方式。
　　
　　其次，分級安全控制。新疆移動BOSS系統位于區中心和各地洲的網絡重要性是不一樣的，需要保護的對象也不同，因此安全實施的力度也應不同。也就是說一個好的安全體系，是應有主次之分的。思科在本次方案中根據用戶系統的特點構筑了一個分層次的、采用不同廠商安全產品的異構的安全體系。具體為：在系統與外單位的接口處構建一級安全防護,針對計費中心核心的主機，核心數據庫的安全構建第二層安全防護體系，并且采用不同廠商安全產品,進一步提高攻擊的難度。這種分層異構安全體系，其實就是思科公司面向網絡安全端到端的SAFE（Security Architecturefor E-Business）解決方案中深度防御理念的具體應用。
　　
　　最后，思科在具體的訪問控制中，也充分利用了BOSS系統的集中模式。
　　
　　一是使用了一個被廣泛使用的“防火墻”的概念,即把防火墻看作是一個數據流的過濾器，只有用戶所期望的數據流才能夠通過這個過濾器,而其它所有的數據流都不能通過,這一控制是雙向的。
　　
　　例如在區中心與Internet的連接就設置了PIX防火墻，將內網與外網隔斷，而作為用戶WEB查詢用的服務器則置于DMZ（Demilitarized Zoon）中，用戶訪問時，不會直接進入內網，而只和查詢服務器發生關聯，再由查詢服務器——也只能由查詢服務器進入內網尋找到用戶所需的數據。
這樣就可以基本上保證系統的安全性。
　　
　　另外，BOSS系統與其它系統的網絡接口（如話費代收及銀行、郵儲、公安之類的接口）都是在區中心采用防火墻等安全機制來集中保證網絡的互相獨立性。下圖以銀行為例說明。每家銀行現在基本上都可實現通存通兌，也就是說都有一套覆蓋全區的網絡，而新疆移動采用的是計費、營業及綜合帳務系統的集中模式，所以只要在區中國移動與各家銀行的區中心作網絡連接就可以實現聯網了。這種方法接口單一，連接方法簡單，易于治理，安全隱患小，投資節約。
　　
　　二是在撥號連接安全問題上，思科除了采用回拔技術以外，也主要使用了集中的訪問控制。BOSS系統的拔號用戶主要是營業廳和代理點兩類，對營業廳，它完成的業務多一些，因此也應具有較高的權限；對代理點，不應讓其訪問過多的數據。這可以通過給予不同的用戶名和口令，再對這些用戶名和口令作不同訪問限制的方法來實現，也可以通過對地址的訪問控制實現，具體選用哪一種可依實際情況而定。
　　
　　可以看到，為了實現這些功能，使用集中的訪問控制是必要的，它不但可以保證網絡不受侵犯，也可以記錄下對于網絡的操作，監測各種用戶的訪問。
　　
　　全面安全輕松擁有
　　
　　新疆移動BOSS系統通過實施思科安全方案后,整個網絡的運行將可在一種可控方式下,保證其安全性,不但可以通過集中控制的機制對分布全區15個地洲的網絡進行安全治理,防止非授權的人員進入網絡之中,還可根據具體用戶的級別確定他們的訪問權限,以實現分層次的安全控制機制;另外，思科通過將自身高性能的安全產品（如PIX防火墻和VPN等）以及第三方安全產品和技術部署到網絡相應的位置,大大增強了網絡的抗攻擊能力。
　　
　　在整個項目中,思科作為頂級的網絡系統專家,從整個網絡系統的角度綜合設計整體安全的解決方案。這個方案保證了新疆移動BOSS系統整體的安全而且也實現了系統改造的初衷。
　　
　　改造后的系統幫助客戶解決了原來因地緣分布廣造成的治理難度大、成本高、不能及時解決客戶問題等問題,使得新疆移動的策略制定、實施,對客戶問題的診斷、解決都可以在中心區完成。另外,由于實現了業務治理和安全治理的"大集中"，整個BOSS系統的治理都變得更簡單、可控，從而不僅保障了整個系統安全、持續、高效地運行，還大幅地提高了人員工作效率,節約了治理成本。思科公司認為在這個系統設計及實施過程中,有三點是保證系統成功的要害。
　　
　　第一，如何在新疆移動具體地"生產"網絡中運用SAFE藍圖的模塊化分析方法。思科的"SAFE"藍圖倡導將企業復雜的網絡環境模塊化,正是這種模塊化的分析方法,使得思科可以幫助新疆移動化繁為簡地分析其網絡各個模塊內部以及相互連接處的薄弱環節和要害部分。這樣,一方面可以幫助新疆移動有針對性的采取防御策略和手段,使網絡系統得到經濟、立體、全面的保護；另一方面,使得網絡結構及安全部署都能夠隨著業務的發展而被便捷的推廣,保證了網絡結構的高可擴展性；
　　
　　第二,要將國際領先的理念、解決方案本土化客戶化；
　　
　　第三,在設計、實施的過程中不斷與客戶溝通提供給客戶一系列良好的服務。

上一篇：24端口快速以太網交換機單芯片解決方案

下一篇：思科推出新型光傳輸解決方案