雷火电竞OTN系统网络安全防护技术应用
随着互联网信息网络的发展,信息安全显得越来越重要,我国已发布《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019,简称为等保V2.0版本)和《信息安全技术网络安全等级保护定级指南》(GA/T 1389-2017)。OTN系统在网络中存在安全和防护缺陷,OTN系统是否需要进行相关安全防护,也正逐渐成为OTN网络建设和设计需要研究和考虑的内容。
OTN系统是将客户业务透明地从一个地方传送到另一个地方,比如OTN设备系统会将接入网的业务传送到核心机房 IP 承载网的核心路由器进行路由。
在这个传送过程中,为了将客户业务适配到传送网的信号速率中,传送网设备会对客户业务进行一定的封装,同时,进行一些差错控制和信号质量的监测。传送网设备不会对其他设备传过来的客户业务进行处理,这是传送设备透明性的要求。
OTN系统在通信网络中的分层模型如图所示,OTN系统的安全问题需要从应用层、网络层、物理层和接入层等方面考虑。
应用与数据安全。OTN系统作为承载通道,既承载了面向用户应用的业务数据,也承载了OTN系统内部网络管理的数据,所以,一方面需要从整体安全的角度对数据、业务等层面进行安全风险分析和防护,另一方面也需对OTN系统本身的数据平面采取相关安全防护或者加密措施。
网络和通信数据安全。OTN传送网一般在网络层会与其他专业网络互联互通,如IP承载网、网管网等。为保证OTN系统的安全性,可以按第三方网络
物理和环境安全。OTN系统的物理和环境安全主要从机房门禁、智能机柜、光纤信号隔离、安防监控等方面考虑相关安全防护措施。
接入安全。OTN传送网一般支持多业务的接入,一旦外部业务不加阻拦地接入到网络中来,就有可能破坏网络的安全边界,使外来用户具备对网络进
行破坏的条件。仍需按第三方网络边界、纵向网络边界的边界防护整体思路,实施边界防护。对流经此区域的数据包严格按照安全规则进行过滤,将不安全的或不符合规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。基于数据包的源地址、目的地址、通信协议端口、流量、用户、通信时间等信息,执行严格的访问控制。
OTN系统的安全威胁来自OTN系统内部和边界方面。OTN 系统内部安全威胁是指OTN系统自身的健康,如软、硬件的安全问题,合法用户在使用网络资源的时候,有不合规的行为、误操作、恶意破坏等情况发生。边界安全威胁是指OTN系统的接入、与外界互联互通引起的安全问题,包括入侵、病毒与攻击等。
OTN系统数据安全的威胁来自系统内部与边界两个方面,而OTN系统接入安全的威胁主要来自边界。OTN系统的数据安全及自身相关软硬件的防范措施
有关。OTN系统安全防护的关键在于边界防护,应对OTN系统外的入侵就要在网络边界上建立可靠的安全防御措施。
在工程建设中,业务承载服务层(IP承载网、接入网)、网管通道(网管网)与OTN承载层通过边界网关(下一代防火墙、业务监控网关、多重安全网关等)进行安全防护。边界网关的功能建议如下:
a)访问控制/包过滤:安全策略的主要基础目标是限制外来资源访问边界内的网络和系统。网络应只许可必要的内部连接和服务,并限制内部用户与外部目标连接。
b)识别与认证(I&A):通常认为在边界以内的用户是被信任的,访问内部网络的外来用户必须通过认证。通过防火墙屏蔽访问的认证方法有一次性密码、时效型密码和挑战响应案。
d)加密:部分防火墙可以提供其他安全服务,包括通信流加密和解密。以加密方式通信,发出和接收防火墙必须使用兼容的加密系统,如 Internet 协议安全(IPSec)标准。
f)审计:审计是指跟踪分析和监督检查用户和管理员的行为。审计的目的是确定用户网络行为的本质。
g)网络地址转换:网络地址转换(NAT)可以把IP地址从一个域转换到另一个域,并给主机提供透明的路由。NAT能够让局域网使用一系列内部通信流的IP地址和2套外来通信流的地址。
h)防止渗透:防火墙应保护自己免受攻击,如果被攻破将会让黑客访问整个网络,防火墙应具备防止渗透的功能。
i)配置&第三方监视:合理配置防火墙组件是边界安全的关键。防火墙的大多数漏洞都来自于不合理配置或维护防火墙。
OTN系统网络业务服务层的不同业务主要通过隔离的手段进行边界防护,隔离方式包括物理波道隔离、子波道隔离、端口隔离、VPN隔离等;网管网也通过类似的隔离手段隔离其承载的网管业务。主要隔离手段如下:雷火电竞平台 雷火电竞雷火电竞平台 雷火电竞
扫一扫关注微信公众帐号
