需求背景

根據(jù)電信集團(tuán)企業(yè)信息化戰(zhàn)略規(guī)劃的要求，企業(yè)信息化體系由管理支撐系統(tǒng)（MSS）、業(yè)務(wù)支撐系統(tǒng)（BSS）和運(yùn)營支撐系統(tǒng)（OSS）三部分組成（簡稱為CTG-MBOSS），承載在一個(gè)統(tǒng)一的企業(yè)IT 內(nèi)部專網(wǎng)上。某省電信企業(yè)IT 內(nèi)部專網(wǎng)由省公司企業(yè)網(wǎng)、地市本地企業(yè)網(wǎng)和DCN骨干網(wǎng)三大部分組成。網(wǎng)絡(luò)，規(guī)模龐大，網(wǎng)內(nèi)各種路由設(shè)備、交換設(shè)備、服務(wù)器、安全設(shè)備等，種類各異、數(shù)量繁多。為如此多的用戶提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器的安全運(yùn)行非常關(guān)鍵。

目前，CRM/SPS、集中計(jì)費(fèi)、數(shù)據(jù)倉庫、綜合結(jié)算等系統(tǒng)已經(jīng)逐步上線， 業(yè)務(wù)結(jié)算局管理的EDC已經(jīng)成為省電信的核心數(shù)據(jù)機(jī)房，其數(shù)據(jù)的安全性也越來越得到各級領(lǐng)導(dǎo)的重視。由于EDC業(yè)務(wù)復(fù)雜，不但與DCN網(wǎng)有連接，同時(shí)與各銀行、代辦點(diǎn)、公網(wǎng)都有連接，出口眾多，進(jìn)一步的網(wǎng)絡(luò)安全迫在眉睫。

通過對現(xiàn)狀的分析，可以看出結(jié)算局EDC的出口眾多，網(wǎng)絡(luò)威脅是來自多方面的。當(dāng)前僅僅在出口處部署邊界防火墻，沒有有效的應(yīng)對應(yīng)用層威脅控制，整個(gè)信息系統(tǒng)還是存在諸多安全隱患。尤其是業(yè)務(wù)代辦系統(tǒng)以及收費(fèi)系統(tǒng)服務(wù)器，沒有任何進(jìn)行針對性的包含，安全風(fēng)險(xiǎn)極大。

解決方案

針對省公司的安全現(xiàn)狀，在現(xiàn)有IT網(wǎng)上構(gòu)筑一個(gè)完整的威脅分析與控制系統(tǒng)，使省IT網(wǎng)絡(luò)的威脅控制不再僅僅限于對網(wǎng)絡(luò)層的訪問控制。對關(guān)鍵服務(wù)器、關(guān)鍵網(wǎng)絡(luò)進(jìn)行完整的從網(wǎng)絡(luò)層到應(yīng)用層的威脅控制，確保各種網(wǎng)絡(luò)攻擊對于IT網(wǎng)絡(luò)和系統(tǒng)的影響具有間斷性、暫時(shí)性、可管理性和可隔離性。

本方案中在用戶的外聯(lián)出口部署天清漢馬USG產(chǎn)品，抵御來自外聯(lián)單位的病毒、非授權(quán)訪問以及其他網(wǎng)絡(luò)層攻擊，在互聯(lián)網(wǎng)出口部署天清漢馬USG產(chǎn)品，實(shí)現(xiàn)對外部威脅的全面防御。針對各種計(jì)費(fèi)服務(wù)器以及社會代辦服務(wù)器進(jìn)行專業(yè)的應(yīng)用層防護(hù)，分別部署天清IPS產(chǎn)品，用于實(shí)現(xiàn)對應(yīng)用層威脅的精確阻斷。

案例點(diǎn)評

對于需要進(jìn)行企業(yè)間互聯(lián)的信息系統(tǒng)，往往網(wǎng)絡(luò)中交換的數(shù)據(jù)具有較高的經(jīng)濟(jì)價(jià)值，而對于這些信息系統(tǒng)，威脅往往來自于應(yīng)用層，傳統(tǒng)的防火墻系統(tǒng)對于這樣的網(wǎng)絡(luò)雖然是必須的，但并不足夠。為了完整的實(shí)現(xiàn)對各種威脅的控制，本方案采用立體防御思想對省公司網(wǎng)絡(luò)進(jìn)行安全改造，針對不同的威脅部署對應(yīng)的產(chǎn)品，有效的提高了省公司網(wǎng)絡(luò)的整體安全性。