某省移动BOSS安全域改造

network

某省移动BOSS安全域改造












想与大家讨论一下，这个网络如何整改？安全域划分与边界整合，希望大家能给予更多的思路
信息技术中心现有BOSS系统、经营分析系统、客服系统、OA系统、MIS系统业务系统。随着业务的增长，经过多次扩容，网络结构更加复杂。目前网络拓扑如上。





与大家讨论问题如下：

1.
网络的结构方面：网络结构不清晰，缺乏层次，扩展性差，安全区域边界不明确，核心层和接入层混淆，没有清晰的层次结构，多处网络设备存在单点故障隐患和单链路故障隐患。设备接入没有统一的规范、标准。
2.
网络路由规划方面：整个网络采用Cisco专有的EIGRP路由协议，不能与其它厂家网络设备进行动态路由协议的互通。另外IP子网规划不合理，多台三层交换机之间采用二层的TRUNK互连，形成庞大的广播域。
3.
安全防护和安全策略部署方面：安全防护策略不统一，安全防护手段部署原则不明确，业务系统接入缺乏长远的安全考虑，只在局部区域内部署有安全防护策略。
4.
终端接入管理方面：目前终端接入主要采用MAC地址绑定方式，缺乏有效的控制手段，无法对其身份进行准确认证；
5.
账号口令管理方面：内部员工和外部集成商及厂商的维护、开发人员在很多系统上都有账号，由于系统过多，很容易出现遗忘，而且一个人有多个系统的帐号口令，容易造成口令的简化和易泄漏，缺乏对大量系统账户口令的有效统一管理。

network