如今，电信网上营业厅早已被广泛熟知。作为利用互联网平台构建的虚拟服务窗口，由于其与互联网连接，使得网上营业厅往往会面临较多安全风险，特别是网上营业厅与电信后端支撑网连接才能实现电信核心交易业务的处理，因此备受各大运营商的高度关注。

电信相关监管部门发布《网上营业厅安全防护检测要求》及《网上营业厅安全防护要求》中，对网上营业厅的安全性都提出了具体的建设要求，包括网上营业厅应采取有效的隔离措施，对远程的合法用户进行认证和授权，保障用户利益等等。

“依据相关标准，针对网上营业厅常见的安全问题，从网络、主机和应用三个层面，我们提出了相关的建设建议”山石网科安全专家说，“在网络安全层面，运营山石网科安全网关，综合运用访问控制、入侵防御、VPN、 病毒过滤等手段，形成综合的防护体系。”

业务上主要参考规范化设计，对网厅业务系统进行梳理，划分核心业务域和非核心业务域。技术上参考IATF国际信息安全技术框架协议，将电信公司的网络从逻辑上划分成多个不同的安全区域，各个安全区域之间的访问关系就形成了边界，然后在边界上和各区域的边界内部署综合防护措施如访问控制、防病毒、安全审计等，同时通过集中的管理系统将全部安全设备进行集中管理。

主要措施可以分为以下几点：

重点保护网络基础设施

1、根据安全保护级别的不同对网络进行安全域的逻辑划分，明确区域边界；在重要服务器区域的边界网关设备（路由器、防火墙等）上开启QOS功能，确保关键应用或重要用户的带宽使用；

2、在互联网出口位置部署综合安全网关设备进行访问控制、病毒防护和线路加密，对网上交易系统等进行加强保护如增强安全审计；

3、进行网络拓扑改造，实现主干通信线路冗余，主要网络设备、服务器主机等均采用双机方式，网关安全设备也采用适当机制保证网络的高可用性，并按照业务系统大集中要求进行网络整改。

重点保护边界安全

1、在互联网接入与DMZ服务器区，DMZ与inside区域等各个的边界部署防火墙系统，结合实际业务需要进行相关安全规则的设置；在互联网接入端部署防毒墙，抵御外部病毒攻击；

2、在DMZ核心交换机前部署入侵防御系统，检测并防御来自外部的攻击、蠕虫、恶意代码攻击；在inside区内域部署网络入侵检测系统，对访问服务器的网络数据流进行攻击检测，同时监控来自管理端的内部攻击，并提供适当的日志和报警机制；

3、在公司机房网络中开启所有网络设备的日志功能，采用专业的安全审计产品对服务器操作系统、数据库系统以及应用系统进行用户行为审计和系统事件审计。

建设运维基础设施，提高响应能力

建立安全管理中心，实现对安全策略、设备管理、全网安全事件集中监控、分析和应急响应，并对安全风险、安全态势进行集中管控。

山石网科安全专家表示，本方案的设计重点在于网络安全层面，适当兼顾了主机安全和应用安全，强度上参考了3.2级的要求，可保障建成的安全系统能够符合电信监管部门的要求，业务上实现分层次的保护，确保了支撑不同业务的服务器安全，并严格控制边界，针对不同安全域采取不同的安全技术和手段，来确保网上营业厅的对抗攻击和意外事件的能力，并对重要的资产进行强化的保护。