思科安全解決方案在新疆移動(dòng)BOSS系統(tǒng)改造中的成功應(yīng)用
2009/04/13
業(yè)務(wù)發(fā)展呼喚高效網(wǎng)絡(luò)
移動(dòng)通信對(duì)信息網(wǎng)絡(luò)的依賴程度之高可能是另一些行業(yè)無法想象的����,僅其業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)(BOSS系統(tǒng))就運(yùn)行著計(jì)費(fèi)���、結(jié)算�����、營(yíng)業(yè)帳務(wù)和客戶服務(wù)等多項(xiàng)核心業(yè)務(wù)��,這些業(yè)務(wù)都要求有一個(gè)高度穩(wěn)定�����、運(yùn)行順暢���、安全可靠的網(wǎng)絡(luò)。近年來����,在日新月異的信息技術(shù)的大力推動(dòng)下,移動(dòng)通信業(yè)得到了前所未有的蓬勃發(fā)展�。隨著業(yè)務(wù)量的成倍增長(zhǎng)和業(yè)務(wù)范圍的迅猛擴(kuò)展中國(guó)移動(dòng)通信新疆公司迫切需要將原有的網(wǎng)絡(luò)改造,建立一個(gè)高性能���、高安全性��、高可用性���、高可擴(kuò)充性的骨干網(wǎng)絡(luò)平臺(tái),使得它一方面可以承載未來兩年(至2003年底)可預(yù)見的包括300萬(wàn)用戶的多項(xiàng)業(yè)務(wù)應(yīng)用�����,另一方面順應(yīng)“大集中”的趨勢(shì)���,實(shí)現(xiàn)對(duì)全區(qū)各州縣業(yè)務(wù)的集中統(tǒng)一管理��。
系統(tǒng)改造安全先行
疆移動(dòng)通信公司業(yè)務(wù)支撐系統(tǒng)(BOSS--Business Operation SupportSystem)由計(jì)費(fèi)系統(tǒng)�����、結(jié)算系統(tǒng)�����、營(yíng)業(yè)帳務(wù)系統(tǒng)��、客戶服務(wù)系統(tǒng)組成�����,對(duì)于這樣一個(gè)密切關(guān)系到企業(yè)生存基礎(chǔ)的系統(tǒng)�,其安全的重要性是可想而知的可以說,安全是部署所有系統(tǒng)應(yīng)用和實(shí)施優(yōu)質(zhì)服務(wù)的前提和保障��,
因而BOSS系統(tǒng)必須有很高的安全性�����!
分析整個(gè)BOSS系統(tǒng)��,所涉及的安全控制將主要有網(wǎng)絡(luò)安全性�����、處理機(jī)安全性和用戶安全性三種,其中每臺(tái)處理機(jī)的安全性可以通過UNIX的登錄過程實(shí)施控制��,用戶級(jí)的安全性可以通過文件的所有者和文件訪問權(quán)限機(jī)構(gòu)來控制�,而網(wǎng)絡(luò)的安全性將是最大的挑戰(zhàn)�。
一方面網(wǎng)絡(luò)中大量存儲(chǔ)和傳輸?shù)臄?shù)據(jù)有可能被盜用、暴露或者篡改�����,另一方面,BOSS系統(tǒng)本身與Internet的連接���、與其它單位系統(tǒng)(如銀行����、郵儲(chǔ)��、公安等)的接口及撥號(hào)連接等網(wǎng)絡(luò)接口也都是易受黑客攻擊的地方�����。
新疆移動(dòng)業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)網(wǎng)絡(luò)分布廣��、處理業(yè)務(wù)多且皆為計(jì)費(fèi)���、客服等核心業(yè)務(wù),另外還要注意區(qū)中心和各地洲不同的安全級(jí)別,要保障這樣一個(gè)復(fù)雜的分布式網(wǎng)絡(luò)環(huán)境的整體安全����,必須首先要對(duì)網(wǎng)絡(luò)系統(tǒng)有一個(gè)全面深刻的了解,并且對(duì)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)可能存在的潛在威脅有一個(gè)清晰的認(rèn)識(shí)��,然后制定出相應(yīng)的安全策略�����。
思科集中分層方案全面解決安全難題
思科系統(tǒng)公司作為是新疆移動(dòng)新BOSS系統(tǒng)的設(shè)計(jì)者和搭建者����,不僅對(duì)BOSS系統(tǒng)架構(gòu)集中式分布特點(diǎn)及多級(jí)安全性需求了如指掌,而且����,作為世界領(lǐng)先的整體安全解決方案最終,新疆移動(dòng)選擇思科作為部署系統(tǒng)安全的廠商����。
基于BOSS系統(tǒng)的需求,思科在綜合考慮安全性�����、易用性和成本之后,提出了集中分級(jí)的安全解決方案�。
首先,“集中式安全管理”����,即采用專門用于保證安全性的服務(wù)器對(duì)整個(gè)系統(tǒng)進(jìn)行監(jiān)測(cè)和管理。
如圖所示:
(TACAS:Terminal Access Controller Access Control System--終端訪問控制系統(tǒng))有了這樣的服務(wù)器以后�����,連接在這個(gè)網(wǎng)絡(luò)的所有用戶,不管它需要以什么樣的方式訪問網(wǎng)絡(luò)設(shè)備��,都必須通過服務(wù)器的安全性監(jiān)測(cè)�。由于服務(wù)器上可以運(yùn)行功能很強(qiáng)的安全性方面的軟件����,可以完全滿足BOSS系統(tǒng)的安全需求。在路由器�、撥號(hào)訪問服務(wù)器和安全服務(wù)器之間傳送的可以是經(jīng)過加密的有關(guān)網(wǎng)絡(luò)安全協(xié)議的數(shù)據(jù)流。
通過這種集中式的安全控制機(jī)制��,我們可以實(shí)現(xiàn)鑒別(authentication)����、授權(quán)(authorization)和記帳(accounting)的所謂“AAA”安全功能��。
為了進(jìn)一步提高安全數(shù)據(jù)庫(kù)的可靠性�����,我們還可以在網(wǎng)絡(luò)上設(shè)置不止一臺(tái)的安全數(shù)據(jù)庫(kù)���;即使在所有的安全數(shù)據(jù)庫(kù)都發(fā)生故障的情況之下,還可以設(shè)置成利用路由器中的數(shù)據(jù)庫(kù)實(shí)現(xiàn)分散的安全控制方式�����。
其次�����,分級(jí)安全控制����。新疆移動(dòng)BOSS系統(tǒng)位于區(qū)中心和各地洲的網(wǎng)絡(luò)重要性是不一樣的,需要保護(hù)的對(duì)象也不同��,因此安全實(shí)施的力度也應(yīng)不同�。也就是說一個(gè)好的安全體系,是應(yīng)有主次之分的。思科在本次方案中根據(jù)用戶系統(tǒng)的特點(diǎn)構(gòu)筑了一個(gè)分層次的����、采用不同廠商安全產(chǎn)品的異構(gòu)的安全體系。具體為:在系統(tǒng)與外單位的接口處構(gòu)建一級(jí)安全防護(hù),針對(duì)計(jì)費(fèi)中心核心的主機(jī)�,核心數(shù)據(jù)庫(kù)的安全構(gòu)建第二層安全防護(hù)體系,并且采用不同廠商安全產(chǎn)品,進(jìn)一步提高攻擊的難度����。這種分層異構(gòu)安全體系,其實(shí)就是思科公司面向網(wǎng)絡(luò)安全端到端的SAFE(Security
Architecturefor E-Business)解決方案中深度防御理念的具體應(yīng)用����。
最后���,思科在具體的訪問控制中����,也充分利用了BOSS系統(tǒng)的集中模式�����。
一是使用了一個(gè)被廣泛使用的“防火墻”的概念,即把防火墻看作是一個(gè)數(shù)據(jù)流的過濾器�,只有用戶所期望的數(shù)據(jù)流才能夠通過這個(gè)過濾器,而其它所有的數(shù)據(jù)流都不能通過,這一控制是雙向的。
例如在區(qū)中心與Internet的連接就設(shè)置了PIX防火墻,將內(nèi)網(wǎng)與外網(wǎng)隔斷�����,而作為用戶WEB查詢用的服務(wù)器則置于DMZ(Demilitarized
Zoon)中���,用戶訪問時(shí)����,不會(huì)直接進(jìn)入內(nèi)網(wǎng)��,而只和查詢服務(wù)器發(fā)生關(guān)聯(lián)��,再由查詢服務(wù)器——也只能由查詢服務(wù)器進(jìn)入內(nèi)網(wǎng)尋找到用戶所需的數(shù)據(jù)��。這樣就可以基本上保證系統(tǒng)的安全性��。如下圖所示:
另外����,BOSS系統(tǒng)與其它系統(tǒng)的網(wǎng)絡(luò)接口(如話費(fèi)代收及銀行、郵儲(chǔ)����、公安之類的接口)都是在區(qū)中心采用防火墻等安全機(jī)制來集中保證網(wǎng)絡(luò)的互相獨(dú)立性�����。下圖以銀行為例說明���。每家銀行現(xiàn)在基本上都可實(shí)現(xiàn)通存通兌,也就是說都有一套覆蓋全區(qū)的網(wǎng)絡(luò)��,而新疆移動(dòng)采用的是計(jì)費(fèi)����、營(yíng)業(yè)及綜合帳務(wù)系統(tǒng)的集中模式,所以只要在區(qū)中國(guó)移動(dòng)與各家銀行的區(qū)中心作網(wǎng)絡(luò)連接就可以實(shí)現(xiàn)聯(lián)網(wǎng)了���。這種方法接口單一�,連接方法簡(jiǎn)單�,易于管理���,安全隱患小��,投資節(jié)約���。
二是在撥號(hào)連接安全問題上����,思科除了采用回拔技術(shù)以外��,也主要使用了集中的訪問控制�。BOSS系統(tǒng)的拔號(hào)用戶主要是營(yíng)業(yè)廳和代理點(diǎn)兩類,對(duì)營(yíng)業(yè)廳�����,它完成的業(yè)務(wù)多一些���,因此也應(yīng)具有較高的權(quán)限�;對(duì)代理點(diǎn)����,不應(yīng)讓其訪問過多的數(shù)據(jù)。這可以通過給予不同的用戶名和口令����,再對(duì)這些用戶名和口令作不同訪問限制的方法來實(shí)現(xiàn),也可以通過對(duì)地址的訪問控制實(shí)現(xiàn)�,具體選用哪一種可依實(shí)際情況而定。
可能看到�����,為了實(shí)現(xiàn)這些功能,使用集中的訪問控制是必要的���,它不但可以保證網(wǎng)絡(luò)不受侵犯�����,也可以記錄下對(duì)于網(wǎng)絡(luò)的操作�����,監(jiān)測(cè)各種用戶的訪問��。
全面安全輕松擁有
新疆移動(dòng)BOSS系統(tǒng)通過實(shí)施思科安全方案后,整個(gè)網(wǎng)絡(luò)的運(yùn)行將可在一種可控方式下,保證其安全性,不但可以通過集中控制的機(jī)制對(duì)分布全區(qū)15個(gè)地洲的網(wǎng)絡(luò)進(jìn)行安全管理,防止非授權(quán)的人員進(jìn)入網(wǎng)絡(luò)之中,還可根據(jù)具體用戶的級(jí)別確定他們的訪問權(quán)限,以實(shí)現(xiàn)分層次的安全控制機(jī)制;另外����,思科通過將自身高性能的安全產(chǎn)品(如PIX防火墻和VPN等)以及第三方安全產(chǎn)品和技術(shù)部署到網(wǎng)絡(luò)相應(yīng)的位置,大大增強(qiáng)了網(wǎng)絡(luò)的抗攻擊能力����。
在整個(gè)項(xiàng)目中,思科作為頂級(jí)的網(wǎng)絡(luò)系統(tǒng)專家,從整個(gè)網(wǎng)絡(luò)系統(tǒng)的角度綜合設(shè)計(jì)整體安全的解決方案�。這個(gè)方案保證了新疆移動(dòng)BOSS系統(tǒng)整體的安全而且也實(shí)現(xiàn)了系統(tǒng)改造的初衷。
改造后的系統(tǒng)幫助客戶解決了原來因地緣分布廣造成的管理難度大�、成本高��、不能及時(shí)解決客戶問題等問題,使得新疆移動(dòng)的策略制定��、實(shí)施,對(duì)客戶問題的診斷�、解決都可以在中心區(qū)完成���。另外,由于實(shí)現(xiàn)了業(yè)務(wù)管理和安全管理的"大集中"����,整個(gè)BOSS系統(tǒng)的管理都變得更簡(jiǎn)單����、可控,從而不僅保障了整個(gè)系統(tǒng)安全��、持續(xù)�����、高效地運(yùn)行�����,還大幅地提高了人員工作效率,節(jié)約了管理成本��。思科公司認(rèn)為在這個(gè)系統(tǒng)設(shè)計(jì)及實(shí)施過程中,有三點(diǎn)是保證系統(tǒng)成功的關(guān)鍵。
第一�����,如何在新疆移動(dòng)具體地"生產(chǎn)"網(wǎng)絡(luò)中運(yùn)用SAFE藍(lán)圖的模塊化分析方法�。思科的"SAFE"藍(lán)圖倡導(dǎo)將企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境模塊化,正是這種模塊化的分析方法,使得思科可以幫助新疆移動(dòng)化繁為簡(jiǎn)地分析其網(wǎng)絡(luò)各個(gè)模塊內(nèi)部以及相互連接處的薄弱環(huán)節(jié)和關(guān)鍵部分。這樣,一方面可以幫助新疆移動(dòng)有針對(duì)性的采取防御策略和手段,使網(wǎng)絡(luò)系統(tǒng)得到經(jīng)濟(jì)�、立體、全面的保護(hù)���;另一方面,使得網(wǎng)絡(luò)結(jié)構(gòu)及安全部署都能夠隨著業(yè)務(wù)的發(fā)展而被便捷的推廣,保證了網(wǎng)絡(luò)結(jié)構(gòu)的高可擴(kuò)展性����;
第二,要將國(guó)際領(lǐng)先的理念�、解決方案本土化客戶化;
第三,在設(shè)計(jì)���、實(shí)施的過程中不斷與客戶溝通提供給客戶一系列良好的服務(wù)����。
通信世界網(wǎng)(www.cww.net.cn)
相關(guān)鏈接:
阿拉尔市|
花莲市|
盖州市|
改则县|
工布江达县|
江山市|
新巴尔虎左旗|
凤城市|
稷山县|
洪湖市|
肇东市|
宝兴县|
民勤县|
扎鲁特旗|
襄樊市|
长泰县|
林州市|
老河口市|
信宜市|
盐城市|
墨玉县|
台东县|
阿克陶县|
文昌市|
洛阳市|
社旗县|
张家界市|
莎车县|
云安县|
福安市|
通州市|
全州县|
西安市|
鹤庆县|
阿尔山市|
桂平市|
武安市|
韶关市|
洪江市|
民乐县|
阿图什市|