《奥运通信网络安全攻坚战》由会员分享,可在线阅读,更多相关《奥运通信网络安全攻坚战(2页珍藏版)》请在金锄头文库上搜索。
1、2007.9 第21期MAIN TOPIC热点聚焦Huawei TechnologiesMAIN TOPIC热点聚焦Huawei Technologies安全规划模型为北京2008年奥运会固定通信合作伙伴,中国网通的网络和基础设施承担着奥运通信保障的重任,包括北京奥组委数据业务承载、电视信号传输、所有与会人员的各种通信服务、向全世界人民展示北京奥运会盛大场面等等。因此,如何确保奥运通信网络的安全可靠运行是中国网通面临的一个极其重要的问题。具体来说,保障奥运通信网络的安全可靠运行,就是要保证所有网络基础设施的高度安全和设备的稳定运行;保证在奥运通信业务需求变化时,能够进行平滑的网络调整;保证在超
2、大业务量和高峰业务负载压力下网络的正常运转;保证在出现网络异常的情况下,进行网络路由自动倒换,不中断奥运通信业务;保证在负荷过大时预警,并有效地控制负荷,保障奥运电路流量负荷的优先级;保证网络在遭遇非法攻击时,主动切断攻击途径;保证管道、光缆等基础设施遭遇破坏时,不中断通信业务;保证在发生突发事件或恐怖组织袭击时,有周密的防护机制和恢复机制。为了确保上述种种目标的实现,中国网通制作了安全规划模型,包含安全设计、安全预警和安全管理三个核心体系,如图1所示。其中,安全设计体系的目标是在网络层和应用层采用有针对性的安全设计,保证网络和应用系统自身的完善性;安全预警体系旨在通过有力的预警工具、预警方法
3、和预警团队,提前发现整个通信网络上可能出现的问题,防患于未然;而安全管理体系则是从管理和制度入手,保障网络设施和运行的安全,制定各种有效的管理流程,依托高度安全的管道线路和机房设施管理,保证奥运网络的安全。安全设计体系中国网通雄厚的网络资源是整个奥运安全体系的强有力支撑。其在北京等城市的本地网络、长途和国际骨干网络都采用了全面的安全设计,经过长期的运行和优化,具有良好的稳定性和弹性。基于中国网通本地网络、长途和国际网络构建的奥运通信网,可以很好地疏导因奥运引发的超大业务流量和高峰业务负载,很大程度地减轻奥运通信网络安全方面的压力。不仅如此,对于奥运通信网及其相关网络,中国网通从设计期就充分考虑
4、其安全问题,并从物理层、设备层、网络层和应用层等方面全面进行安全规划。物理层、设备层奥运通信网络设备优先考虑其安全可靠性,因此要首先保证设备的成熟度,为此,中国网通采用的技术和设备都是经过两年以上安全运营考验的,如华为等有多年电信设备研制经验的大厂商设备。在物理层、设备层的安全模式上,中国网通主要采用路由备份和电路冗余设计:针对每个竞赛和非竞赛场馆的通信管道、电缆和光缆通路,设计按地理区域分开的不同方向的两条或两条以上的物理路由;对于网络的重要节点设备进行1+1备份,对普通节点设备进行n+1备份保护;对所有设备的业务板卡根据重要程度进行1+1或n+1备份,对主控板卡进行1+1备份。网络层网络层
5、安全设计主要针对通信网络承载的语音、数据和视音频等具体通信业务进行安全保障。设计内容包括业务容量设计、冗余保护设计、过高流量控制设计等几个方面。网络容量设计:基于峰值冗余处理要求,在网络容量的设计方面,奥运交换网络考虑短时间内话务量激增的情况,将按照网络正常负荷容量的40进行话务量冗余设计,以满足奥运会峰值流量需求。冗余保护设计:奥运通信网络在网络层采用了充分的冗余保护机制(包含部分设备保护方式):互联网业务方面,采用的是多路由的路由保护、多种方式的带宽控制保护方式;数据业务方面,分别采用的是PVC级的1+1、n+1保护及VP、SPVC级的1+1、n+1保护方式;传送业务方面,采用的是网格保护
6、、路由保护、环路保护和信道备份恢复和保护方作奥运通信网络安全攻坚战文/中国网通集团奥运通信管理部 岳保军2008年转眼在即,中国网通如何打响奥运通信网络安全攻坚战MAIN TOPIC热点聚焦Huawei Technologies2007.9 第21期MAIN TOPIC热点聚焦Huawei Technologies根据网络的拓扑状况、业务开通情况、流量以及网络异常特征等因素,网络安全管理和预警系统进行风险分析,准确定位网络存在的安全缺陷,为选择合适的防范和处理机制提供依据。预警响应处理在奥运通信网络出现安全问题时,网络安全部门能够快速选择安全策略,下达处理指令,按照应急处理流程快速排除安全隐患
7、,使网络恢复正常。安全管理体系针对奥运通信网络,中国网通设立了专门的网络安全运行部门,负责进行网络的实时监测、风险分析、安全策略制定、应急响应和异常处理,并提供充分的物力和人力资源以保证其安全运行,如图2所示。视频监控系统除了安全规划模型中的三个核心体系,目前,中国网通还构建了基于IPv6承载平台的视频监控系统,所有奥运场馆的重要通信节点都被纳入其中。该系统是大规模视频监控网络体系结构,基于CNGI示范网完成现网部署,支持对各个监控节点的角度控制、聚焦控制和色彩控制,可大规模部署应用。自从成为北京奥运会合作伙伴之日起,甚至在更早的时间,中国网通就在积极部署,备战奥运,在网络品质、运维机制、运维
8、人员、运维手段和设施等方面进行大力提升。由此,中国网通有信心保障奥运通信网络的安全可靠运行,向全世界展示中国的魅力。式;交换业务方面,则采用了物理双路由组网、长途、国际直通车、启用机动通信交换机保护方式。过高流量控制设计:在流量达到网络设计的阈值时,启动流量控制机制,根据业务优先级限制或过滤流量,以防止由于流量过大造成的通信服务中断。应用层为积极配合安保部保证奥运会信息安全,中国网通在应用层主要采用了如下机制:所有的奥运通信业务和其他业务采用物理隔离和逻辑隔离;采用加密传输技术;采用状态防火墙、ACL/VACL、VPN、IPSec等安全技术。安全预警体系网络安全预警体系旨在根据风险分析、实时监
9、控、脆弱性分析的结果,迅速产生响应,启动异常处理流程,并进行有效处理。实时监控预警网络安全预警系统实时监控整个奥运通信网运行,并实时反映网络运行的安全状况。当监控过程中发现不正常的网络参数或者业务流量变化时,提出预警,并进行同步响应。脆弱性管理预警系统对整个奥运通信网所有资源的薄弱环节和安全隐患建立索引,建立完备的线路和设备脆弱性管理体系,协助进行网络风险分析、安全策略选择和异常事件处理。风险分析预警责任编辑:潘陶 图1 奥运通信网安全规划图图2 中国网通集团网络异常处理流程图人员管理异常流程管理恢复流程管理机房设施管理管道线路管理用户环境要求指挥调度机构安全管理体系互联网安全设计数据安全设计软件安全设计物理层安全设计系统安全设计业务安全设计场馆服务机构安全设计体系脆弱性管理预警风险分析预警实时监控预警专家前瞻性预警预警分类处理预警级别制定网络管理/预警机构安全预警体系安全管理和预警系统启动网络实时监控风险分析脆弱性管理网络应急响应选择安全策略下发处理指令网络恢复执行网络异常?否是否是
