信息技术 联通DON网络的安全风险及解决措施 施斌琼 中国联合网络通信有限公司青岛市分公司 山东青岛266071 摘要:联通公司内部数据通信网(DCN网)是联通各种业务系统及办公的承载网,随着计算机技术和互联网技术的发展,新的 网络威胁、病毒不断出现,对DCN网的安全稳定运行提出了更高的的要求。 关键词:DCN网;网络安全;安全威胁;解决措施;维护 中图分类号:IN915.08 文献标识码:A 文章编号:1671—5799(2015)05—0286—01 采用标准的三层结构设计,核心层采用高端多业务路由交换 机,通过双千兆光纤链路链接各汇聚层交换机;汇聚层采用 千兆三层交换机,通过千兆或百兆链路链下联各接入层交换 1 DON网的安全风险 随着计算机技术和网络技术的不断发展,各种技术层出不 穷,各种网络威胁的严重性也愈加增强。DCN网络的内部管理 主要面临以下几方面的问题: 1.1计算机病毒 随着互联网的普及,计算机病毒日益泛滥。由于使用有病 毒的u盘、DCN网终端上互联网、外部终端接入 ̄I]DCN网等方式 导致计算机病毒进入DCN网络。破坏力严重的病毒会导致部分 办公网络不能正常使用、数据泄露、甚至整个DCN网络瘫痪。 1.2安全漏洞 DCN网接入终端及服务器、网络设备等设备众多,一个市 级DCN网就有几百至几千台计算机终端。由于DCN网与互联网 是物理分离的,DCN网的终端、服务器等设备不能及时从互联 网获取最新的补丁,不能及时修复系统的漏洞,存在很大的 安全隐患。 1.3网络结构问题 由于网络规划原因或公司机构变革,造成网络结构不合 理,大量终端或有安全隐患的设备直接接入到核心交换机 上,整个地市的核心交换机容易受到末梢终端病毒或网络问 题的影响,从而导致整个地市的DCN网络网络故障。 1.4非法接入 接入DCN网络的计算机都应该是联通内部的计算机,其他 外来用户随意接入网络,会导致敏感数据泄露、网络及业务 系统遭到破坏等危险。 1.5非法外联问题 联通内网有涉及用户的各种业务系统和用户数据,按照规 定DCN网内的终端禁止上互联网。但是随着互联网的普及,个 别用户私自接入互联网,而信息化中心却缺乏有效的手段发 现并且阻止外联行为。 1.6网络设备的集中管理 一个地市的DCN网络设备有几十个至几个百,如何保障这 么多的网络设备的正常运行、如何能够在第一时间发现网络 故障是对维护人员一个严重的考验。 2针对DON网问题的解决方案 2.1安装统一部署的网络版杀毒软件 通过在终端上部署网络版杀毒软件,内网终端的防病毒软 件的病毒库可以及时进行更新。通过部署可以有效的查杀病 毒,可以有效的减少因病毒问题导致网络瘫痪。安全管理员 可以通过管理控制台及时发现有病毒的终端和终端感染的病 毒的种类,将病毒严重终端断网,避免病毒范围扩大化。 2.2将内网终端统一加入计算机域 通过域可以防止公司员工在客户端随意安装软件,增强客 户端安全性、见少客户端故障,降低维护成本。同时通过域 的sms系统管理服务可以有效的分发软件、系统补丁等,实现 网络内软件和补丁的自动安装,自动修复系统漏洞。对于不 能加入域的终端或服务器,将升级链接指向内网的wsusN务 器来实现客户端的补丁修复。定期采用漏洞扫描系统,如绿 盟科技的nsfocus、启明星辰的天境等漏洞扫描系统,对DCN 网内的主机、网络设备、终端等设备进行漏洞扫描,对发现 的漏洞及时进行修复。 2.3合理进行网络规划 优秀的网络规划与设计是DCN网络稳定的基础。DCN网络 286 机;接入层交换机采用二层智能可管理交换机,提供百兆到 桌面。通过将接入层的网关设置在汇聚层,可以有效的避免 接入层网络问题或接入层上的终端问题影响到核心层。通过 划分vlan,可以有效的减少网络堵塞,减少IP地冲突的发 生,增强网络的安全性。专业网管、银行代收费等通过专门 的防火墙接入DCN网络,同时在防火墙上做好安全策略,禁止 用户信息和敏感信息泄露。 2.4 l P地址与mac地址绑定 将在用的IP地址与计算机的mac地址绑定,同时将空闲的 ip地址进行封存(绑定一个虚假的mac地址)。通过进行绑 定,可以有效的避免IP地址的随意使用和外来用户随机进入 DCN网进行病毒传播和数据泄密。 2.5监控非法外联 DCN网的接入范围广,接入终端多,如何避免非法外联是 一个令人头疼的难题。通过杀毒软件的集中监控管理程序和 域管理工具可以发现双网卡、病毒、上的痕迹,同时可 以通过交换机的端口镜像功能及在终端上运行wireshark抓包 工具都可以获取内互联的情况。 2.6使用专业的集中网管监控系统 通过使用集中网管监控系统可以实时监控整个DCN网的情 况,包括网络设备是否脱网、CPU及内存是否占用过高、端口 流量是否过大、端口是否down掉等功能,可以及时发现网络 故障及存在的安全问题,缩短故障处理时间,保障DCN网络 稳定运行。通过将集中网管系统与短信网管、呼叫中心的自 动外呼功能结合起来,第一时间将告警内容以短信、TTS电话 语音方式通知网络管理员。如果没有专业的集中网管监控系 统,可以使用Cacti软件,Cacti是免费的,它通过snmp协议 监控网络设备,可以有效的监控DCN网络的运行。 3结束语 随着联通业务的发展,DCN网上承载的各种业务系统日益 增多,这也对DCN网络的稳定性和网络安全性提出了更高的要 求。结合本单位的特点,采用了以上多种安全技术手段及措 施,并取得了不错的效果。“三分技术,七分管理”,DCN 网的安全稳定运行离不开技术手段,但是更主要的是要靠管 理。通过在每个部门设立DCN网安全管理员,每个部f]DCN网 的安全由专人负责。通过将技术手段和管理手段结合,强化 管理,加强考核,定期通报安全事件,让人人了解DCN网安全 管理规定,从源头上杜绝影响网络安全的隐患和问题,从而 提高网络的安全性和稳定性。 参考文献 [1]黄子奎.论述水电站继电保护安全风险和改进措施【J]. 大科技,2 O14,(1):112—11 3. [2]王俊武,董金梅.施工企业项目安全风险管控常见弊病及 解决措施[J].西北水电,2O1 3,(5):88-91. [3]陈环.刍议市场化手段解决食品安全危机的入手点及措施 [J].商品与质量:理论研究,20.t2,(6):2. [4]陈业兵,赵善仓,刘伟等.山东省农产品质量安全风险来源 与防控措施研究[J】.农产品质量与安全,201 3,(4):25—27.
