《强化WLAN安全建设构筑精品WLAN网络PPT.ppt》由会员分享,可在线阅读,更多相关《强化WLAN安全建设构筑精品WLAN网络PPT.ppt(19页珍藏版)》请在三一办公上搜索。
1、强化WLAN安全建设,构筑精品WLAN网络,中国移动福建公司2011年10月,项目概况,目录,成果引入背景,推广应用情况,本地化改造和拓展开发,创新点,实施效果,成果引入背景项目意义,刘爱力副总裁:面临严峻的安全形势,必须在全网范围内健全和完善网络与信息安全保障体系,有效控制安全风险。-2011年集团网络工作会,成果引入背景风险分析,WLAN系统风险:一、WLAN业务滥用,包括利用设备地址无认证(无计费)访问互联网等。二、无线网络不可用,包括使用DoS攻击导致portal页面瘫痪或篡改portal页面。三、专有设备被利用,包括控制暴露在公网的AC,恶意破解下载AC配置文件等。四、用户信息被窃取
2、,包括维护人员处理投诉时登录RADIUS获得用户账号信息等。具体案例:2010年,黑客利用中太AC设备DNS白名单配置漏洞,通过53端口与远程DNS建立隧道,绕过认证系统,免费上网。由于该攻击难以追查攻击来源,初步估计,该漏洞在发现前已造成中国移动上万话费的流失。,WLAN安全面临法律和经济的巨大风险!,成果引入背景问题及处理手段,目录,成果引入背景,推广应用情况,本地化改造和拓展开发,创新点,实施效果,推广应用情况,无法通过安全合规性检查工具发现的安全隐患,发现问题,发现问题,本地核查,目录,成果引入背景,推广应用情况,本地化改造和拓展开发,创新点,实施效果,具体措施,改造优化措施,“安全合
3、规性检查”工具发现的问题,本地化改造和拓展开发,省内安全评估发现的问题,建立WLAN安全体系,构筑精品WLAN网络,通过引入天津公司成果,福建公司结合本地实际情况进行了二次创新,创新性得提出一套以检测评估为基础,以加固为手段,以优化为核心目标的WLAN安全体系,该体系可推广到全国。,目录,成果引入背景,推广应用情况,本地化改造和拓展开发,创新点,实施效果,创新点1:建立WLAN网络设备权限生命周期模型,分析对象需求,确认设备使用人员权限及操作黑白名单,提交审批工单,基于本地电子化审批流程,审核并确认人员需求,引入设备操作安全审计系统,按照审批结果建立对象,赋予相应权限,持续审计人员操作日志,并
4、将重要操作通过邮件发送给管理员,设备使用人员因离职等原因需要剥夺权限时,及时销毁对象,创新点2:搭建基于IP城域网的WLAN业务承载系统,全面提升网络容灾备份能力,单点故障,原有组网采用二层组网方式,易发生DHCP仿冒攻击及广播风暴,目前系统方案已被评为2011年集团二类科技成果,并在全省推广应用。,早期采用二层组网,存在核心节点单点故障,DHCP攻击以及广播风暴等问题,该系统基于三层组网和冗余技术,能有效提高网络容灾备份能力,消除二层网络攻击,解决早期组网的安全问题,在集团内率先提出搭建基于IP城域网的WLAN业务承载系统,消除单点故障,创新点3:从接入层到核心层,提出完整的网络攻击综合保护
5、方案,目录,成果引入背景,推广应用情况,本地化改造和拓展开发,创新点,实施效果,实施效果(一),成果应用经济效益明显,引入天津成果以及本地创新改造后,福建公司一次性可节省270万元安全检测软件采购费用,在减少通信费损失以及节约维护成本两个方面每年总计为公司节省运维开支804万元。,804万元/年,节约投资成本,月均降低各类导致AP异常下线的故障约200起,全年可挽回经济损失324万元/年,减少通信费损失,节约维护成本,故障率降低后,因受理故障和投诉而产生的维护成本大幅减少,预计可节省480万元/年,实施效果(二),社会效益:经过改造,全省每月WLAN安全相关事件引起的业务、计费投诉平均由312次降低至16次,促进了客户满意度的提高,为公司的网络建立良好的口碑。安全性提高:全省AC遭受攻击次数由日均159件减少为0件,未出现因恶意DHCP攻击导致AP下线的热点以及核心设备故障导致的业务全阻。网络质量提升:全省AP退服率由四月份的8%降低至十月份3%。连续三个月全省WLAN业务未出现全阻。工作效率提升:引入天津成果前,每个网元安全检查需耗时约90分钟,使用“安全合规性检查工具“后,每个网元检查时间降低至约2分钟,由于每月需进行一次全网检查,全省234个网元网元检查时间可由每月351小时降低至每月7.8小时。,谢谢!,
