傳輸網(wǎng)防外部攻擊的安全防護策略研究

［史建華］

1 引言

當前隨著國內(nèi)外局勢變化，網(wǎng)絡安全被提升至新的高度。傳輸網(wǎng)作為客戶專線業(yè)務、局內(nèi)中繼業(yè)務的重要承載網(wǎng)絡，其網(wǎng)絡安全性關乎整個應用網(wǎng)絡的安全?？梢哉f傳輸網(wǎng)是通信網(wǎng)絡的基石。如何提升傳輸網(wǎng)的安全性，防范外部攻擊，成為擺在運維人員面前的一個課題。

2 傳輸網(wǎng)管理通道的現(xiàn)狀

2.1 傳輸網(wǎng)絡分類

本文所述傳輸網(wǎng)主要包含：OTN 設備，MSTP 設備（含SDH 設備）和MSAP 設備。

2.2 網(wǎng)管通道的網(wǎng)絡架構

當前傳輸網(wǎng)管通道的網(wǎng)絡架構如圖1 所示。

圖1 傳輸網(wǎng)管理通道拓撲

2.3 訪問需求和接入方式

（1）傳輸非網(wǎng)關網(wǎng)元通過上行鏈路帶內(nèi)DCC 字節(jié)與網(wǎng)關網(wǎng)元通信，經(jīng)網(wǎng)關網(wǎng)元與網(wǎng)管服務器通信。

（2）網(wǎng)關網(wǎng)元通過帶外DCN 網(wǎng)絡與網(wǎng)管服務器通信。

（3）網(wǎng)管終端通過DCN 網(wǎng)絡與網(wǎng)管服務器通信。

（4）網(wǎng)管調(diào)測人員直接或通過網(wǎng)絡訪問所有網(wǎng)元。

3 風險點分析

以下3 點風險都可能造成網(wǎng)絡信息泄露和通信中斷的后果。

（1）網(wǎng)管服務器安全風險：服務器被非法訪問風險、服務器系統(tǒng)漏洞風險、服務器應用軟件被非授權用戶登錄的風險、賬號密碼泄露風險。

（2）網(wǎng)管客戶端安全風險：客戶端電腦病毒風險、網(wǎng)管軟件登錄賬號密碼泄露風險、被非法訪問的風險。

（3）網(wǎng)元訪問風險：網(wǎng)元被非法訪問風險、用戶端網(wǎng)元被非法納管登錄的風險。

4 防護策略研究

防護策略主要從3 個方面考慮：網(wǎng)絡訪問控制、賬號密碼管理、安全掃描，防護策略及防護控制點如圖2 所示。

圖2 傳輸網(wǎng)安全防護點及防護策略

4.1 網(wǎng)絡訪問控制

最小化必要化的訪問控制策略，只允許必要的訪問，拒絕無關訪問，減少對外暴露，從而提升安全。主要措施有訪問控制策略制定及實施、部署4A 服務器和堡壘機。

4.1.1 訪問控制策略制定與實施

對服務器、網(wǎng)元、堡壘機制定訪問控制策略矩陣，只允許白名單IP 訪問，且只在DCN 內(nèi)網(wǎng)訪問，全部單元不暴露在公網(wǎng)中。

（1）服務器：只允許網(wǎng)管終端、網(wǎng)關網(wǎng)元、4A 服務器、必要的IT 系統(tǒng)訪問。在服務器和接入接的DCN 交換機做雙重訪問控制。

（2）網(wǎng)管終端：因不能做到主機專用，不做訪問控制；如可以主機專用，只允許和服務器通信。

（3）網(wǎng)關網(wǎng)元：只允許同服務器和堡壘機通信。網(wǎng)關網(wǎng)元和DCN 接入交換機做雙重訪問控制。

（4）用戶端網(wǎng)元：關閉用戶端網(wǎng)元的本地登錄功能，避免通過用戶端網(wǎng)元反向訪問局端設備或反拉局端設備到自建非法服務器。

4.1.2 部署4A 服務器和堡壘機

減少直接訪問，加強訪問審計，服務器和堡壘機只能通過4A 平臺訪問；網(wǎng)元只能通過服務器和堡壘機直接訪問。同時對4A 系統(tǒng)登錄采用用戶名、密碼、短信驗證碼等多重驗證，加強4A 安全登錄管理。

4.2 賬號密碼管理

主要措施有提升密碼復雜度要求、定期更換密碼機制、過期停用機制、默認密碼強制修改、刪除不必要賬號。

（1）密碼復雜度要求：服務器、網(wǎng)管終端、網(wǎng)管應用賬號密碼要滿足等保三級級別的復雜度要求。

（2）定期更換密碼機制：更改周期常規(guī)時期可設置90 天、180 天不等，特殊時期可設置30 天、7 天等，按需設置。

（3）過期停用機制：一般可考慮90 天未登錄自動停用，按需調(diào)整。

（4）默認密碼強制修改：在設備入網(wǎng)驗收時，將網(wǎng)元登錄密碼修改作為強制動作之一，不允許使用默認密碼。

（5）賬號清理：正常網(wǎng)元需保留的賬號有服務器訪問網(wǎng)元賬號、設備本地調(diào)測賬號，可能需要的賬號有巡檢賬號、升級賬號等。其余賬號應全部刪除。

4.3 安全掃描

應建立定期掃描制度，關閉不必要的端口和訪問方式，修補掃描到的漏洞，提升設備安全。

（1）掃描內(nèi)容：包括漏洞、木馬病毒、開放端口、開放訪問方式、弱密碼等。

（2）掃描策略：因網(wǎng)元設備、服務器、訪問終端等差異較大，掃描的策略應采取“先試點，再全量；逐個項目掃描，建立掃描矩陣”。避免因掃描造成設備運行異常。

5 防護效果評估

（1）DCN 內(nèi)網(wǎng)訪問機制，避免設備公網(wǎng)暴露，有效防范外部攻擊。

（2）最小化訪問控制，可以最大程度降低內(nèi)網(wǎng)被滲透后的攻擊風險。

（3）賬號密碼管理，降低因人員信息保存不當帶來的訪問風險。

（4）漏洞掃描，進一步降低被利用漏洞攻擊的可能。

通過以上策略可以大大提升傳輸網(wǎng)應對外部攻擊的防護能力。

6 結束語

任何網(wǎng)絡都沒有絕對的安全，但是通過各種防護措施研究和部署，努力提升網(wǎng)絡的安全邊界，提高攻擊者的攻擊成本，降低被攻擊后的損失，是每個運維人員應不斷努力的方向。