2020年,全球新冠疫情的泛滥打破了传统现场办公模式,开启远程办公,随时随地接入企业内网已成为新常态。网络边界开始模糊,安全保护范围延展至接入的各类终端,在复杂多变的网络威胁场景下部署高效安全的远程接入方案已然成为行业关注的焦点。
基于数字化网络部署系统,中兴通讯在GDPR安全屋的经验基础上整体设计并落地了面向非GDPR国家与地区的远程交付模式,在遵循当地隐私安全和网络安全等法律法规的前提下,成功为全球客户的网络安全部署和运维保驾护航。
全方位保护网络安全
按照网络安全三要素,远程交付应实现以下目标:
机密性—确保远程访问通信和存储的客户数据不能被未授权人员读取。
完整性—确保在传输过程中消息无任何故意或无意的变化。
可用性—确保厂商可以在需要时通过远程访问客户网络资源
本质上,通讯厂商面向客户发起的远程交付是对客户网络自身的逻辑扩展。为避免对客户网络带来额外风险,应对涉及的相关资产如物理环境、远程工作终端、传输链路、客户网络和数据进行合理的安全防护。
物理安全
物理安全是网络安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。除了符合行业标准的防火、防水、防震等要求,为有效阻拦、侦测和抓获非法闯入者,中兴通讯远程交付中心设置在有门禁保护的独立工作区内:交付人员进入工作区前,需事先登记所支持的项目和产品、工作时间段等。审批通过后,相关人员方可刷门禁卡进入。同时,交付中心出入口部署有24小时工作的视频拍摄,用于对进出人员完整记录,并在中兴通讯统一管理平台进行管理。
图1 中兴通讯印尼远程交付中心
终端安全
远程工作终端自身的安全性是远程交付安全保障的重中之重。为避免不规范操作感染病毒、人为恶意破坏和遭遇外部攻击等,中兴通讯采取了系列安全管控措施:
·网络环境: 远程交付中心内的工作终端统一部署在Internet 和中兴通讯内部网络之间的隔离区 (DMZ),并基于安全规则有限制地访问内外部网络。为防止数据丢失、滥用等,在DMZ网络出口同步部署了数据防泄露系统(Data Loss Prevention System)和上网行为管理工具进行全面监测。
图2 DMZ区示例
·帐号密码: 远程工作终端设置有管理员和普通帐号:管理员帐号由专人保管,普通帐号由管理员帐号创建和分配。远程交付人员仅允许使用普通帐号登陆,并遵循“一人一帐号”、“密码复杂度”和“最小权限”原则。普通帐号在每次使用完成后,由远程交付中心管理员及时清除。
·业务软件: 安全的基本原则之一是“最小必需”。为避免工作人员在远程交付中无意从外部网站、文件共享服务或其他方式下载被感染的软件并进一步感染其他关联设备,工作终端仅允许安装业务必需的软件,任何与工作终端用途不一致的应用(如打印、文件共享等)均被禁止。
·安全软件: 远程工作终端安装有第三方正版防病毒软件,病毒库按天更新,每周进行全盘病毒扫描,对异常情况及时进行处理。
·安全加固: 弱密码、多余的服务、不安全的配置等往往成为攻击者的目标。为减少利用此类脆弱性进行攻击的机会,远程工作终端启用了安全协议和密码复杂度,并关闭了多余的服务和非业务需求的高危端口等,同时安装了主机入侵检测和防护工具,极大减少了被入侵的可能性。
·安全配置: 浏览器上的“自动保存密码”选项在便利访问的同时,也给非授权访问提供了方便之门: 使用同一终端的其他工作人员可以轻而易举访问上一人员浏览过的客户侧网站。为避免此类风险,终端上的Web浏览器永久禁用“密码自动保存”选项。
·数据销毁: 远程交付主要动作为站点开通、版本升级、故障处理、提取并分析客户网络或设备性能指标等,因此涉及的数据以客户侧居多。为保护客户数据的安全性,远程交付人员在使用完毕终端后立即清除暂存的客户数据,并确保不可恢复。
传输安全
几乎所有的远程访问都发生在互联网上,而互联网上的通信易受窃听的影响,极有可能将远程访问期间传输的敏感信息置于风险之中。以中间人攻击 (Man in the Middle Attack)为例,可以随时随地拦截和篡改互联网上的明文通信,造成安全事件。
图3 中间人攻击示例
为防范明文传输的安全风险,目前远程交付主要采用两种方式:
·客户VPN
VPN即虚拟专用网,指通过VPN技术在公有网络中构建专用的虚拟网络。VPN创建了安全的通信隧道,通过该隧道可以在诸如Internet之类的公共网络上传输信息。隧道是加密的,可以确保与客户网络之间的通讯是安全私密的,只有真正的发送方和接收方才能解密信息,有效防止数据在互联网传输中被中间人之类的攻击者窃听和篡改,安全系数较高。
图4 VPN接入示例
·主流远程接入工具
在客户许可情况下,工作人员采用多种主流远程接入工具访问客户网络。远程接入工具采用RSA 2048公钥/密钥交换算法和AES (256位)会话端对端加密技术,每次访问均生成随机密码,支持可选的双重验证技术等。
即时满足客户需求
2020年至今,中兴通讯远程交付中心为全球运营商提供了“零接触”、“即时满足”的在线网络部署和运维,高效、安全地协助现场人员和客户快速完成了网络部署和运维,成功让全球超过300张电信网络及其使用者从中受益。
在欧洲,中兴通讯产品专家团队通过分布在国内研究所的云交付中心和安全屋,提前1.5月完成奥地利某项目的开通调试、验收和割接。
在非洲,借助远程交付中心,相关产品支持专家仅花费数天就为当地客户完成了从规划设计到部署测试一站式的自动化交付。
在亚洲,中兴通讯印度尼西亚云交付中心联合全球云交付中心,在一个半月内安全高效地完成某客户现网近万套多模基站的远程升级。
中兴通讯远程交付模式服务于各行各业,已赢得众多客户信赖。未来,中兴通讯将继续深化数字化转型,将远程交付模式与传统交付模式持续融合与提升,以最优方案满足全球客户高效安全的网络部署与运维需求,共赢数智时代。