1 城域网安全特点

一直以来，城域网的安全问题始终都是困扰运营商的心头症结之一。其实，任何系统的安全问题均源自于对系统产生的“威胁”，作用于系统本身“脆弱性”，而最终体现在对系统的不良“影响程度”上。SSE-CMM（系统安全工程能力成熟度模型）中就将“安全风险”定义为：“风险取决于可能对系统造成重大伤害的威胁、脆弱性和影响的组合”，简单的说，即：风险＝威胁×脆弱性×影响，安全风险的高低是由安全威胁，被攻击系统的脆弱性及这种威胁下对被攻击系统带来的影响三方面综合决定的。由此可知，研究城域网安全问题必然要围绕“城域网的威胁”，“城域网的脆弱性”以及两者结合对城域网带来的“影响程度”这三方面进行。假使城域网的架构非常脆弱，那么，即使在威胁很小的情况下，也存在很大的安全风险，同理，如果城域网的架构非常健壮，即使在安全威胁很大的情况下，也不存在很大的风险。

（1）  传统企业网安全模型

传统企业网是在企业内部网与公众互联网之间架设一个防火墙，企业内部网络用户，可以穿过防火墙，访问公众互联网，而来自公众互联网的攻击和不受信的非法用户无法直接连接到企业内部网络，防止企业网内重要信息被非法窃取；但是这种网络物理网络规模相对较小，不适合大型城域网的建设。

（2）  宽带城域网安全模型

宽带城域网络的结构，主要是由核心层的路由器和接入汇聚层的设备来构成，以及运营商的运营管理监控平台和给用户提供信息服务的IDC等几个部分组成。由于宽带城域网用户众多，都是通过接入汇聚层设备把用户接入到骨干层，然后接入internet网络。宽带城域网本身网络覆盖面积广，物理结构庞大，网络流量大，这就给城域网络的安全提出了很高的要求。无论是来自外面internet网络的用户，还是宽带城域网络内部的用户，都能对宽带城域网安全构成威胁。

城域网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击，影响业务的正常运行。因此其安全设计考虑的重点与企业网络不同，用户的管理难度很大，安全管理制度实施困难，安全建设应更多地综合考虑，从网络架构的健壮性，安全技术，用户的管理结合部署。

根据安全模型将宽带城域网分成三个区域：信任域、非信任域和隔离区域（非军事区）。信任域是宽带运营商的基础网络，通常采用防火墙等设备与电信业务网隔离，包括网管平台、智能业务平台、认证平台等设备；隔离区域是信任域和非信任域之间进行数据交互的平台，包括电信运营商提供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等；非信任域是运营商面对客户的基础网络，它直接提供用户的接入和业务，同时也是Internet网络的一部分，包括基础用户接入、数据交换、媒体网关等设备，是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础，在城域网中起着至关重要的作用，作为安全模型中的非信任域，需要重点考虑。

由此可见，宽带城域网在信任域和隔离域可以很容易依据传统网络安全模型保证其内部安全性，而对于非信任域，保证最终用户的业务存活性是首要目的，保护对象是基于城域网网络架构的业务，而同时，业务的安全既要从业务承载的安全性，又要从业务运营的安全来全面防御保障，保证业务正常承载，且没有被非法盗用。

2 城域网安全防御重点：业务存活性

“存活性”是指：在被攻击、失效、事故等情况下，网络能及时地完成其所承载任务的能力，具体的来说，3R1A四方面能力，如表1所示。

表1   3R1A能力表

Resistance抵抗能力（R1）	设备抗攻击能力，设备安全加固（强配置管理），系统和用户鉴权认证/接入控制，客户端系统安全防护（漏洞升级，病毒防护），用户病毒爆发预警，多样化备份手段
Recognition识别能力（R2）	流量监控、网络系统监控，流量检测与分析，病毒扫描，内部完整性检查、日志审计
Recovery恢复能力（R3）	设备冗余备份，链路冗余备份，系统容灾性考虑，故障隔离，大客户、重点服务保障，数据和程序恢复
Adaptation适应能力（A）	长时间的流量模型的建立，结合新的入侵模式，系统具备过滤和日志的自适应免疫能力

3 城域网安全防御体系

非信任域是网络业务的承载网络，它直接提供用户的接入和业务。非信任域网络安全的主要威胁来自各种攻击和病毒，其危害性主要表现在三个方面：(1) 网络攻击或病毒攻击会消耗网络设备的系统资源，特别是CPU的处理能力，使正常用户报文丢失，造成网络故障。（2）攻击会大量消耗四层资源，如TCP连接数资源，对网络服务器和NAT设备的影响很大。（3）黑客对设备访问控制权的攻击。

城域网非信任域的安全保障措施是从城域网分层模型出发，实现层层防御，增强网络抗攻击性的能力。如表2所示。

表2  安全模型各区域防御措施、功能和防御能力

序号	区域	防御措施	功能	防御能力
1	信任域	信任域安全部署	弱点管理，主机加固，入侵检测，安全监控，等级防护，用户接入控制	Trust-S
2	隔离域	隔离域安全部署	弱点管理，主机加固，入侵检测，安全监控，等级防护，用户接入控制	DMZ-S
		隔离域核心服务器可靠性加固	网络可靠性加固	DMZ-R
3	非信任域	骨干架构可靠性	网络架构优化，快速路由，路由优化，业务分流	Untrust-R3
		接入层安全保障	完善用户标识机制（MAC＋VLANID＋IP） 用户接入流量控制（CAR） 反向转发路径检查 访问列表控制 接入设备自身安全措施应用 系统管理网管告警/日志	Untrust-R1
		网络设备安全加固服务	设备安全配置强加固	Untrust-R1
		城域网安全免疫网关（SIG）	解决非信任域用户终端可信接入问题	Untrust-R1R2R3A
		城域网流量监控与分析	异常流量检测，用户行为分析	Untrust-R1R2R3
		城域网非法接入控制系统	城域网宽带业务非法接入控制（黑网吧，一拖N），非法VOIP运营检测与控制	Untrust-R2
		安全密码管理系统	管理非信任域网络设备，提高其抵御黑客入侵能力	Untrust-R1
		业务安全性定制	NGN业务安全性，IPTV业务安全性……

        4 结束语

宽带城域网的网络安全是一项非常艰巨和持久的任务。对网络安全问题必须通盘考虑，进行体系化的整体安全设计和实施。既要充分考虑网络的安全性能，考虑设备防攻击的健壮性，有效实施设备相关安全特性，又要结合专用的安全产品，采取分域、多层安全保护措施。既要考虑设备安全和技术的因素，还要重视网络安全人员在网络安全方面所起决定性的作用。只有全面建立全面的安全防护体系，才能向社会提供一个安全、高速、易用、智能化的网络，保证运营商宽带数据业务正常经营。