模板
教程
环境
性能
功能
管理
实现集中式安全管理
思科安全解决方案在新疆移动BOSS系统改造中的应用业务发展呼唤高效网络
移动通信对信息网络的依赖程度之高,可能是其他一些行业无法想像的,仅其业务运营支撑系统(BOSS系统)就运行着计费、结算、营业账务和客户服务等多项核心业务,这些业务都要求有一个高度稳定、运行顺畅、安全可靠的网络。随着业务量的成倍增长和业务范围的迅猛扩展,中国移动通信新疆公司迫切需要将原有的网络进行改造,建立一个高安全性、高可用性、高可扩充性的骨干网络平台,使得它一方面可以承载未来两年(至2003年底)可预见的、包括300万用户的多项业务应用;另一方面顺应“大集中”的趋势,实现对全区各州县业务的集中统一管理。
系统改造 安全先行
新疆移动通信公司业务支撑系统(BOSS)由计费系统、结算系统、营业账务系统、客户服务系统组成,对于这样一个密切关系到企业生存基础的系统,其安全的重要性是可想而知的。可以说,安全是部署所有系统应用和实施优质服务的前提和保障,因而BOSS系统必须有很高的安全性!
分析整个BOSS系统,所涉及的安全控制主要有网络安全性、处理机安全性和用户安全性三种,其中每台处理机的安全性可以通过UNIX的登录过程实施控制;用户级的安全性可以通过文件的所有者和文件访问权限机构来控制;而网络的安全性将是最大的挑战。
新疆移动业务运营支撑系统网络分布广、处理业务多且皆为计费、客服等核心业务,另外还要注意区中心和各地不同的安全级别,要保障这样一个复杂的分布式网络环境的整体安全,必须首先要对网络系统有一个全面深刻的了解,并且对网络的各个环节可能存在的潜在威胁有一个清晰的认识,然后制订出相应的安全策略。
思科集中分层方案
基于BOSS系统的需求,思科在综合考虑安全性、易用性和成本之后,提出了集中分级的安全解决方案。
1.集中式安全管理。它采用专门用于保证安全性的服务器对整个系统进行监测和管理。如图1所示。
有了这样的服务器以后,连接在这个网络的所有用户,不管它需要以什么样的方式访问网络设备,都必须通过服务器的安全性监测。由于服务器上可以运行功能很强的安全性方面的软件,可以完全满足BOSS系统的安全需求。在路由器、拨号访问服务器和安全服务器之间传送的可以是经过加密的有关网络安全协议的数据流。通过这种集中式的安全控制机制,可以实现鉴别、授权和记账的所谓“AAA”安全功能。
2.分级安全控制。新疆移动BOSS系统位于区中心,和各地的网络重要性是不一样的,需要保护的对象也不同,因此安全实施的力度也应该不同。也就是说一个好的安全体系是有主次之分的。思科在本次方案中根据用户系统的特点构筑了一个分层次的、采用不同厂商安全产品的异构的安全体系。具体为:在系统与外单位的接口处构建一级安全防护,针对计费中心核心的主机、核心数据库的安全构建第二层安全防护体系,并且采用不同厂商安全产品,进一步增加了黑客攻击的难度。这种分层异构安全体系,其实就是思科公司面向网络安全端到端的SAFE(Security Architecture for E-Business)解决方案中深度防御理念的具体应用。
3.利用BOSS系统的集中模式。一是使用了一个被广泛使用的“防火墙”的概念,即把防火墙看作是一个数据流的过滤器,只有用户所期望的数据流才能够通过这个过滤器,这一控制是双向的。
另外,BOSS系统与其他系统的网络接口(如话费代收及银行、邮储、公安之类的接口)都是在区中心采用防火墙等安全机制来集中保证网络的互相独立性。下图以银行为例说明。每家银行现在基本上都可实现通存通兑,也就是说都有一套覆盖全区的网络,而新疆移动采用的是计费、营业及综合账务系统的集中模式,所以只要在中国移动与各家银行的区中心进行网络连接就可以实现联网了。这种方法接口单一,连接方法简单,易于管理,安全隐患小,可节约投资。
在拨号连接安全问题上,思科除了采用回拔技术以外,也主要使用了集中的访问控制。BOSS系统的拔号用户主要是营业厅和代理点两类。对营业厅,它完成的业务多一些,因此也应具有较高的权限;对代理点,不应让其访问过多的数据。这可以通过给予不同的用户名和口令,再对这些用户名和口令作不同访问限制的方法来实现,也可以通过对地址的访问控制实现,具体选用哪一种可依实际情况而定。
为了实现这些功能,使用集中的访问控制是必要的,它不但可以保证网络不受侵犯,也可以记录网络的操作过程,监测各种用户的访问。
全面安全 轻松拥有
新疆移动BOSS系统通过实施思科安全方案后,整个网络的运行将可在一种可控方式下,保证其安全性;不但可以通过集中控制的机制对分布全区15个地州的网络进行安全管理,防止非授权的人员进入网络之中,还可根据具体用户的级别确定它们的访问权限,以实现分层次的安全控制机制;另外,思科通过将自身高性能的安全产品(如PIX防火墙和VPN等)以及第三方安全产品和技术部署到网络相应的位置,大大增强了网络的抗攻击能力。
改造后的系统帮助客户解决了原来因地域分布广造成的管理难度大、成本高、不能及时解决客户问题等问题,使得新疆移动的策略制订、实施,对客户问题的诊断、解决都可以在中心区完成。另外,由于实现了业务管理和安全管理的“大集中”,整个BOSS系统的管理都变得更简单、可控。
在这个系统设计及实施过程中,有3点是保证系统成功的关键。
1.如何在新疆移动具体地运用SAFE蓝图的模块化分析方法。思科的“SAFE”蓝图倡导将企业复杂的网络环境模块化,正是这种模块化的分析方法,使得思科可以帮助新疆移动化繁为简地分析其网络各个模块内部以及相互连接处的薄弱环节和关键部分。这样,一方面可以帮助新疆移动有针对性地采取防御策略和手段,使网络系统得到经济、立体、全面的保护;另一方面,使得网络结构及安全部署都能够随着业务的发展而被便捷地推广,保证了网络结构的可扩展性。
2.将国际领先的理念、解决方案本土化、客户化。
3.在设计、实施的过程中不断与客户沟通,提供给客户一系列良好的服务。
