网络云对接的各类安全系统在资源池的部署情况及网络组织如图 Q44-1所示。
图Q44-1 各类安全系统在资源池的部署情况及网络组织
一、4A接入、合规检查和日志上报
存在人机操作界面的系统,包括所有硬件设备的管理口、MANO、EMS、Host OS、VNF 的网管模块,均需要根据维护界面接入总部、各网络云节点省份和各省份4A 安全管控系统和合规检查系统,总部和各网络云节点省份4A 安全管控和合规检查前置机部署在每个资源池的管理域,各省份4A 安全管控和合规检查前置机部署在各网络云节点省份公司侧。
部分网元(如彩信中心)在 DMZ 区的 Portal 也需要接入4A 安全管控平台,因此在 DMZ 区为安全管控前置机预留资源。前置机根据维护界面通过CMNET接入总部、各网络云节点省份安全管控平台。
所有生成系统日志的模块,包括所有硬件设备的管理口、MANO、EMS、VNF 的网管模块均需要根据维护界面接入总部、各网络云节点省份和各省份日志采集系统,总部和各网络云节点省份日志采集系统前置机部署在每个资源池的管理域,各省份日志采集系统前置机部署在各省份公司侧。
二、系统漏洞扫描
系统漏洞扫描发现操作系统、数据库、中间件等基础软件的漏洞情况,配置扫描任务进行定期扫描,汇总结果并上报高风险漏洞预警等。
系统漏洞扫描引擎部署在每个资源池的管理域、业务域和 DMZ 区。在网元入网和验收测试时对全端口进行扫描;网元在网运行时,通过在管理域部署的系统漏洞扫描引起周期性或按需对网元的管理模块进行扫描,同时周期性或按需对所有硬件设备的管理口、MANO、EMS、HostOS 进行扫描;网元在网运行时,删除业务域和 DMZ 区漏洞扫描引擎上相关业务口扫描数据,关闭对网元业务口的扫描。
三、Web漏洞扫描
Web 漏洞扫描具有 Web 页面的管理类网元(VIM、VNFM、NFVO+、EMS)、网元的管理模块、组网设备管理口,以及在 DMZ 区中部署的能力开放Portal和统一Centrex业务平台Portal等,它根据管理要求接入安全侧的Web漏洞扫描系统,进行监测和防护。Web漏洞扫描引擎部署在每个资源池的管理域,负责管理类网元、网元的管理模块、组网设备管理口的 Web 漏洞扫描;在 DMZ区中部署Web页面的Web漏洞扫描由集中Web漏洞扫描系统负责。
四、防病毒系统
资源池内的主机/虚拟机安装适配的防病毒软件,具备病毒检测、清除和日志上报功能,接入总部态势感知防护处置平台,实现集中管控。