【IT168专稿】一直以来,电信运营商号称自己的网络固若金汤,坚不可摧,事实果真如此吗?日前,一场雷电交加的大雨之后,笔者所在地的电信网络几乎陷于瘫痪状态,多个网点的数百部电话,近百部宽带受损。截至目前,电信网络目前仍然没有完全恢复正常,这难道就是固若金汤的电信网络?除此之外,台湾地震造成的光缆阻断,中国移动员工窃取充值卡事件,这不都是电信网络脆弱的体现吗?
其实,电信网络固若金汤的神话早已经被打破。与此同时,当中国网民突破1.4亿之后,电信网络的现有架构也无法满足用户的需求,为此,电信网络不得不多次升级。仔细审视一下电信和网络,从建设到运行维护,以及网络安全,每个环节都暴露了诸多问题。互联网时代,如何打造一个固若金汤的网络?
网络建设以安全为中心
在语音通讯为主流的年代,电信网络是一个相对封闭的网络,也是一个固若金汤的网络。在互联网时代的今天,电信网络是基于IP的开放性网络,这对于电信网络的安全产生了一定的威胁。随着宽带接入业务的发展,电信网络也在发生着变化,一些地区的电信网络已经在向NGN过渡,电信网络的网络安全成为一个突出的问题。
电信网络的IP化,使电信网络暴露在公众面前。网络设备或网络配置有漏洞一旦被攻击者利用,电信网络的安全将受到极大的威胁。为此,新一代的电信网络,从建设阶段就要以安全为中心。
在防范攻击方面,电信网络建设已经有了成功的经验,相关设备厂商也提供了安全解决方案。目前电信网络的不安全之处,主要指抵御自然灾害及突发事件的能力。笔者所在地的电信网络,夏天无法避免的雷电让电信的网络处于瘫痪的境地。探究根源,由于电信网络的供电系统没有可靠的接地避雷措施,导致一些网络设备在雷电高压之下被击毁。为此,电信网络建设时,必须把雷击等非人力破坏因素考虑进去。
除了非人力因素的破坏之外,物理线路的损坏对于电信网络也是致命的伤害。随着业务的发展,电信网络机房已经入驻各小区及乡村,网点的密集,也增加了电信的建设成本。为了节约成本,一些节点之间的物理传输线路通常是单条链路,试想,一旦唯一的传输线路受损,电信运营商的网络还能运行吗,这也是电信网络的不安全因素。
图一 某地电信宽带网络拓扑图
上图是某地电信宽带网络的拓扑图。电信宽带网络必须为用户提供365*24小时不间断服务的网络,为了保证不间断的服务,该地电信宽带网络采用了环形的网络拓扑结构。该方案的最大特点不仅可以提供不间断的网络服务,在网络流量大的时候,还可以寻找另外一条传输途径。从图一中可以看出,图中任意两个节点之间的物理传输线路因为故障或者非人力因素的破坏中断,所有的数据会自动改道,从另外一个环路进行传输。凭借环形网络,电信宽带网络的安全得到了最大保障。
在过去相当长的时间里,电信网络的建设一直紧紧围绕如何保障网络不被攻击的安全怪圈里,忽视了自然灾害等非人力破坏因素对电信网络安全所产生的影响。在电信网络的建设中,要把所有危及电信网络的不安全因素都考虑进去,让安全贯穿网络建设的整个过程。
网络运维要紧绷安全这根弦
众所周知,一个再安全的网络,在运行中也可能会出现漏洞及一些安全隐患,电信网络也不例外。时下,电话和宽带已经成为人们生活中不可或缺的通讯工具,也是人们生活中的好帮手,电信运营商也有义务为用户提供不间断的服务。为此,在电信网络的运行维护中,也要紧绷安全这根弦。
1、日志文件不可忽视:在电信网络的运行维护中,一定不要忽视查看日志文件。所有的网络设备在工作时会产生日志文件,记录着网络配置更改信息,以及用户登录的IP和时间等信息。通过查看网络设备的日志文件,可以发现网络的安全隐患,也可以发现工作异常的网络设备,及时做好故障预防方案。图二是电信网络管理支撑系统的界面,在红圈部分是网络设备的日志,通过查看日志文件,可以看到网络在某一时间的运行状况。
图二 电信网络管理系统日志界面
2、及时升级网络设备软件:如同微软的Windows系列操作系统有漏洞一样,工作在电信网络的每台网络设备,其软件操作系统也会有漏洞,一旦这些漏洞为攻击者所用,电信网络的安全将无法保障。更重要的是,网络设备操作系统的漏洞,会影响网络传输质量,严重的甚至会造成网络拥塞。在电信网络的日常维护中,必须时刻关注网络设备厂商的公告,如果有升级文件,应该及时升级网络设备的软件。
在升级网络设备的软件时,一定要选择用户上线数量最少的时间,因为升级会中断网络,如果在网络使用高峰期升级,还可能会引发一些新的问题。
3、定期对网络进行安全评估:网络安全运营是一个非常复杂的问题,尤其是网络架构异常复杂的电信网络,保障电信网络安全运行的一个最有效方法就是定期对网络进行安全评估。网络安全评估的形式,可以模仿黑客攻击,通过这种方式,全面测试电信网络的安全性能,以及电信网络的抗攻击能力。对于安全评估中发现的安全问题,一定要找出原因,并用技术手段将摒除这一缺陷。通过不定期的安全评估,电信网络可以工作在一个相对稳定的状态。
电信网络的运行和维护,并不是简简单单的保障网络设备的正常运营,而是要通过维护发现电信网络的安全隐患,并用技术手段进行处理,这才是运行维护的目的。一句话,电信网络的维护运营,必须紧绷安全这根弦。
用制度保障电信网络安全
电信网络IP化的现状,使得电信网络一部分信息暴露在互联网中,如何打造一个固若金汤的电信网络也成为电信网络管理的新问题。网络攻击与安全防范的实质并不是一个技术战,而是一个管理战,谁在最短的时间内发现网络的漏洞,谁就是胜利者。也就是说,完善周密的管理将是电信网络安全的最大保障。
1、严格的机房管理制度:机房是电信网络的核心,也是重点保护对象。为了保障电信网络的绝对安全,机房必须制度严格的管理制度。一定要严格控制人员进出机房,按照工作流程,明确可以进入网络机房的人员名单。另外,所有人员进出机房要做好登记,并且写清楚进入机房的事由。对于进入机房更改网络配置的用户,要记录更改内容。
与企业网络机房不同的是,电信网络机房对温度和湿度比较敏感,因此,一定要严格控制网络机房的温度和湿度。每天要定期检查网络机房的设备运转情况,并做好记录。
图三 周密完善的机房管理制度
2、安全保密制度要执行:随着电信网络的IP化,用户只要知道网络管理的IP地址,电信网络的安全便受到了威胁。为此,电信网络的安全保密制度一定要执行,而且要严格执行。电信网络中有数量众多的网络设备,每一个网络设备都有管理帐号和密码,以及配置信息,既便是一个网络设备的IP地址,也不能对外透露。既便是电信的内部员工,网络管理人员也不要随意将网络的一些机密信息对其透露。
3、设备运营保障制度:电信网络是一个极为复杂的网络,涉及到供电、传输、交换等多个环节,一旦其中的一个环节出现问题,电信网络将无法正常运营。为此,电信网络必须有一个设备运营保障制度,用以保障各个环节的有序运行。同时,对每一个环节可能出现的故障,要做好安全预案,确保万无一失。
电信网络安全涉及到若干个细节,若干个部门,为此,必须用完善周密的制度来保障网络的安全运营。更重要的是,要保证所有的制度能够严格实施。
过去,电信网络号称固若金汤,时代的不同,电信网络的架构也发生着质的变化,管理模式没有随之应变,这致使电信网络不再固若金汤。在互联网时代的今天,电信网络管理必须紧跟时代潮流,这样才能打造一个固若金汤的电信网络。