電信網上營業廳安全不容忽視

電信網上營業廳安全不容忽視

如今，電信網上營業廳早已被廣泛熟知。作為利用互聯網平臺構建的虛擬服務窗口，由于其與互聯網連接，使得網上營業廳往往會面臨較多安全風險，特別是網上營業廳與電信后端支撐網連接才能實現電信核心交易業務的處理，因此備受各大運營商的高度關注。

電信相關監管部門發布《網上營業廳安全防護檢測要求》及《網上營業廳安全防護要求》中，對網上營業廳的安全性都提出了具體的建設要求，包括網上營業廳應采取有效的隔離措施，對遠程的合法用戶進行認證和授權，保障用戶利益等。

業務上主要參考規范化設計，對網廳業務系統進行梳理，劃分核心業務域和非核心業務域。技術上參考IATF國際信息安全技術框架協議，將電信公司的網絡從邏輯上劃分成多個不同的安全區域，各個安全區域之間的訪問關系就形成了邊界，然后在邊界上和各區域的邊界內部署綜合防護措施如訪問控制、防病毒、安全審計等,同時通過集中的管理系統將全部安全設備進行集中管理。

主要措施可以分為以下幾點：

重點保護網絡基礎設施

1、根據安全保護級別的不同對網絡進行安全域的邏輯劃分，明確區域邊界；在重要服務器區域的邊界網關設備（路由器、防火墻等）上開啟QOS功能，確保關鍵應用或重要用戶的帶寬使用；

2、在互聯網出口位置部署綜合安全網關設備進行訪問控制、病毒防護和線路加密，對網上交易系統等進行加強保護如增強安全審計；

3、進行網絡拓撲改造，實現主干通信線路冗余，主要網絡設備、服務器主機等均采用雙機方式，網關安全設備也采用適當機制保證網絡的高可用性，并按照業務系統大集中要求進行網絡整改。

重點保護邊界安全

1、在互聯網接入與DMZ服務器區，DMZ與inside區域等各個的邊界部署防火墻系統，結合實際業務需要進行相關安全規則的設置；在互聯網接入端部署防毒墻，抵御外部病毒攻擊；

2、在DMZ核心交換機前部署入侵防御系統，檢測并防御來自外部的攻擊、蠕蟲、惡意代碼攻擊；在inside區內域部署網絡入侵檢測系統，對訪問服務器的網絡數據流進行攻擊檢測，同時監控來自管理端的內部攻擊，并提供適當的日志和報警機制；

3、在公司機房網絡中開啟所有網絡設備的日志功能，采用專業的安全審計產品對服務器操作系統、數據庫系統以及應用系統進行用戶行為審計和系統事件審計。

建設運維基礎設施，提高響應能力

建立安全管理中心，實現對安全策略、設備管理、全網安全事件集中監控、分析和應急響應，并對安全風險、安全態勢進行集中管控。

安全專家表示，本方案的設計重點在于網絡安全層面，適當兼顧了主機安全和應用安全，強度上參考了3.2級的要求，可保障建成的安全系統能夠符合電信監管部門的要求，業務上實現分層次的保護，確保了支撐不同業務的服務器安全，并嚴格控制邊界，針對不同安全域采取不同的安全技術和手段，來確保網上營業廳的對抗攻擊和意外事件的能力，并對重要的資產進行強化的保護。

(泰勒)