第一篇：電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析

電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析

摘要 隨著互聯(lián)網(wǎng)的應(yīng)用，我國的電信網(wǎng)絡(luò)安全面臨著越來越多的挑戰(zhàn)。本文對我國電信計(jì)算機(jī)網(wǎng)絡(luò)的現(xiàn)狀進(jìn)行了分析，從技術(shù)層面和管理層面出發(fā)提出了改進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全的建議。

關(guān)鍵詞 電信網(wǎng)絡(luò)；計(jì)算機(jī)網(wǎng)絡(luò)；安全

0引言

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的融合，電信企業(yè)建立起了以計(jì)算機(jī)網(wǎng)絡(luò)作為基礎(chǔ)的電信支撐系統(tǒng)。這提高了電信企業(yè)的運(yùn)營水平，但是同時(shí)也帶來了很多新的問題。因此，加強(qiáng)電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，讓安全的網(wǎng)絡(luò)為暢通的電信系統(tǒng)保駕護(hù)航至關(guān)重要。本文擬對電信計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全問題進(jìn)行分析，并對提高電信計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)策略提出了建設(shè)思路。電信計(jì)算機(jī)網(wǎng)絡(luò)的安全現(xiàn)狀

1.1 源自網(wǎng)絡(luò)層面的相關(guān)問題

這其中最主要的問題是由于網(wǎng)絡(luò)的開放性和交互性的增強(qiáng)，計(jì)算機(jī)病毒橫行，而電信網(wǎng)絡(luò)規(guī)模大，無法避免在某個(gè)時(shí)段和環(huán)節(jié)與因特網(wǎng)相連，因此感染計(jì)算機(jī)病毒，常見和棘手，有些病毒諸如網(wǎng)絡(luò)蠕蟲病毒，可以消耗帶寬，造成拒絕服務(wù)攻擊。其次，雖然電信計(jì)算機(jī)網(wǎng)絡(luò)上也有防火墻系統(tǒng)，但是防火墻系統(tǒng)主要阻止的是來自網(wǎng)絡(luò)外部的，非法的訪問，對于各專業(yè)子系統(tǒng)間的不安全訪問無法發(fā)揮多大作用。再次，盡管部分路由器配置了ACL，但是訪問控制表不能實(shí)現(xiàn)復(fù)雜繁復(fù)的安全控制策略。由于所有的系統(tǒng)都有可能存在漏洞，所以，增加了因?yàn)镮OS協(xié)議漏洞造成路由器遭受攻擊的可能性。另外，由于用戶的增加，網(wǎng)絡(luò)結(jié)構(gòu)的不合理也漸漸暴露，因特網(wǎng)的骨干網(wǎng)一般都是網(wǎng)狀結(jié)構(gòu)，容易出現(xiàn)網(wǎng)絡(luò)擁堵。在電信企業(yè)內(nèi)部，由于計(jì)算機(jī)網(wǎng)絡(luò)都是管理存在保留IP地址的做法，因此IP地址的合理分配是網(wǎng)絡(luò)安全的重要保證，曾經(jīng)就發(fā)生過由于IP地址混亂造成電信計(jì)算機(jī)網(wǎng)無絡(luò)法使用的現(xiàn)象[1]。

1.2 人為因素帶來的安全問題

工作人員在日常工作中安全意識薄弱，可能由于各種原因丟失了主機(jī)口令，或者不能及時(shí)對主機(jī)口令等更新，這使得保護(hù)系統(tǒng)設(shè)備和網(wǎng)絡(luò)的口令容易被黑客破解，黑客獲取了權(quán)限，就會嚴(yán)重危害電信計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。在公司內(nèi)部的安全管理上，各個(gè)安全機(jī)構(gòu)間信息交流少，不能協(xié)調(diào)配合處理安全事件。比如電信網(wǎng)絡(luò)的交換機(jī)，不同的應(yīng)用系統(tǒng)常劃分了不同的VLAN，VLAN間互相聯(lián)通，但是，在管理上卻是由不同的部門管理的，這就給協(xié)調(diào)的配合的處理安全事件成了障礙。

1.3 對電信計(jì)算機(jī)網(wǎng)絡(luò)安全的認(rèn)識誤區(qū)

首先很多人認(rèn)為電信計(jì)算機(jī)網(wǎng)絡(luò)是很安全的，唯一要提起注意的就是計(jì)算機(jī)病毒，所以計(jì)算機(jī)網(wǎng)絡(luò)安全就是及時(shí)殺毒。這是不全面的看法，網(wǎng)絡(luò)安全還受到外部黑客攻擊，內(nèi)部員工的管理等等的影響。其次，網(wǎng)絡(luò)安全問題的產(chǎn)生不僅僅都來自網(wǎng)絡(luò)外部。在實(shí)際運(yùn)行過程中，很多公司出現(xiàn)網(wǎng)絡(luò)安全問題，都是來自公司內(nèi)部。比如浙江省電信系統(tǒng)某市的計(jì)費(fèi)系統(tǒng)破壞事件，就是由于公司內(nèi)部員工把機(jī)密數(shù)據(jù)打包帶走。另外，不能認(rèn)為有CA認(rèn)證系統(tǒng)就夜宴

安全了，CA認(rèn)證確實(shí)在一定時(shí)間內(nèi)代表了一定程度的網(wǎng)絡(luò)安全等級，但是不是絕對的安全。2 電信計(jì)算機(jī)網(wǎng)絡(luò)安全措施

2.1 提高網(wǎng)絡(luò)安全的技術(shù)保證

2.1.1 采用防火墻機(jī)制和Anti-DDOS系統(tǒng)

防火墻是一組或者一個(gè)網(wǎng)絡(luò)設(shè)備，比如計(jì)算機(jī)系統(tǒng)或者路由器，目的是加強(qiáng)多個(gè)網(wǎng)絡(luò)間的訪問控制，保護(hù)網(wǎng)絡(luò)不受到來自其他網(wǎng)絡(luò)的攻擊。為了加強(qiáng)電信網(wǎng)絡(luò)的安全，要在每臺交換機(jī)的操作系統(tǒng)和終端安裝防火墻，防止來自外網(wǎng)的攻擊。

2.1.2 采用訪問控制策略

訪問控制策略是電信計(jì)算機(jī)網(wǎng)絡(luò)安全的主要保護(hù)策略。通過訪問控制，可以保證電信網(wǎng)絡(luò)資源不被非法訪問和使用。目前訪問控制策略的實(shí)現(xiàn)有多種途徑，比如可以使用的入網(wǎng)訪問控制，網(wǎng)絡(luò)權(quán)限控制，網(wǎng)絡(luò)服務(wù)器安全控制，網(wǎng)絡(luò)監(jiān)測和鎖定控制，網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制等等措施。這樣的措施實(shí)施后，如果遇到無權(quán)用戶或者權(quán)限受限用戶，系統(tǒng)就會自動的終止訪問或者屏蔽一部分訪問的地址。對于需要保護(hù)的服務(wù)器也可以使用主機(jī)訪問控制軟件，鑒別請求人的合法身份以及請求的合法性[2]。

2.1.3 采用入侵檢測機(jī)制和漏洞檢測機(jī)制

分布式漏洞掃描器IS主要是通過模擬入侵，找出網(wǎng)絡(luò)的漏洞，驗(yàn)證系統(tǒng)的安全，從而讓工作人員能夠及時(shí)發(fā)現(xiàn)安全隱患，采取相對的措施，比如打補(bǔ)丁和優(yōu)化系統(tǒng)，進(jìn)行補(bǔ)救。分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS，和異常流量分析設(shè)備不同，異常流量分析的原理是流量采樣統(tǒng)計(jì)，在大流量的環(huán)境下有較強(qiáng)的檢測能力，分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)則主要是用來發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且可以為截獲和追蹤，分析網(wǎng)絡(luò)攻擊行為提供原始數(shù)據(jù)，幫助監(jiān)督和管理計(jì)算機(jī)網(wǎng)絡(luò)安全。

2.2 增強(qiáng)電信網(wǎng)絡(luò)的安全管理

2.2.1 建立有效的電信網(wǎng)絡(luò)安全管理制度

盡管目前我們已經(jīng)不斷提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，但是也不能忽略人員的管理工作。建立有效的管理制度很重要。筆者認(rèn)為可以成立安全管理團(tuán)隊(duì)，系統(tǒng)的負(fù)責(zé)的管理和監(jiān)督電信網(wǎng)路安全。管理小組可以通過分析日志，檢查漏洞等方法定期對網(wǎng)絡(luò)的安全進(jìn)行檢驗(yàn)，建立網(wǎng)絡(luò)安全的專人負(fù)責(zé)，對于口令也要每月修改至少一次。這樣可以充分調(diào)動人員的積極性。

2.2.2 增強(qiáng)電信工作人員的安全意識

電信工作人員的安全和保密意識非常重要。對員工定期進(jìn)行培訓(xùn)，讓員工意識到從最基礎(chǔ)的物理層到接入終端，人員管理等等和安全有關(guān)的所有過程，都可能出現(xiàn)安全問題。在提升他們的專業(yè)能力時(shí)，也要提高他們的保密和安全意識，對相關(guān)的法律知識進(jìn)行宣傳。另外，2.2.3 增強(qiáng)電信網(wǎng)絡(luò)的應(yīng)急能力

為了增加應(yīng)對突發(fā)情況，應(yīng)當(dāng)做一個(gè)備份系統(tǒng)與其他地方的管理系統(tǒng)相連。這樣當(dāng)遇到重大問題時(shí)，這個(gè)系統(tǒng)可以及時(shí)啟動，接管發(fā)生問題的系統(tǒng)。另外，應(yīng)當(dāng)制定應(yīng)急預(yù)案，并且定期演習(xí)，增加網(wǎng)絡(luò)的應(yīng)急能力。結(jié)論

電信計(jì)算機(jī)網(wǎng)絡(luò)和公眾的通信息息相關(guān)，其安全運(yùn)行關(guān)系到了社會的穩(wěn)定和經(jīng)濟(jì)活動的順利進(jìn)行。隨著電信網(wǎng)絡(luò)不斷擴(kuò)大規(guī)模，面臨著安全問題也更加嚴(yán)峻，所以必須加強(qiáng)電信計(jì)算機(jī)網(wǎng)絡(luò)的安全，提高電信網(wǎng)絡(luò)的安全水平。

夜宴

第二篇：基于電信企業(yè)網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)教育學(xué)院

本 科 生 畢 業(yè) 論 文（設(shè) 計(jì)）

需要完整版請點(diǎn)擊屏幕右上的“文檔貢獻(xiàn)者”

題

目： 基于電信企業(yè)的網(wǎng)絡(luò)安全策略

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

內(nèi)容摘要

隨著企業(yè)辦公網(wǎng)絡(luò)的發(fā)展，如何保障網(wǎng)絡(luò)正常運(yùn)行，網(wǎng)絡(luò)資源的合法訪問，使網(wǎng)絡(luò)免受黑客、病毒和其他不良意圖的攻擊顯得尤為重要。本文簡要介紹了企業(yè)網(wǎng)絡(luò)安全的威脅因素，根據(jù)網(wǎng)絡(luò)訪問機(jī)制給出了相應(yīng)的管理策略，并重點(diǎn)討論了信息加密以及內(nèi)外網(wǎng)互連的企業(yè)網(wǎng)絡(luò)安全策略。

關(guān)鍵詞：

I 電信網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；策略基于電信企業(yè)的網(wǎng)絡(luò)安全策略

目 錄

內(nèi)容摘要 ··························································································································· I 引

言 ···························································································································· 2 1 概述 ···························································································································· 3

1.1 研究背景 ·········································································································· 3 1.2 網(wǎng)絡(luò)安全現(xiàn)狀 ·································································································· 3 1.2 本文的主要內(nèi)容及組織結(jié)構(gòu) ·········································································· 4 2 企業(yè)網(wǎng)絡(luò)安全需求及隱患 ························································································ 5

2.1 企業(yè)網(wǎng)絡(luò)安全需求 ·························································································· 5 2.2 企業(yè)網(wǎng)絡(luò)安全隱患 ·························································································· 5 2.3 安全問題對企業(yè)網(wǎng)絡(luò)的危害 ·········································································· 5 3 電信企業(yè)網(wǎng)絡(luò)安全策略 ···························································································· 6

3.1 訪問控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 內(nèi)外網(wǎng)互聯(lián)安全策略 ······················································································ 6 4 數(shù)據(jù)備份策略 ············································································································ 8 5 結(jié)論 ···························································································································· 9 參考文獻(xiàn) ························································································································ 10

１

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

引

言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)在信息獲取及傳遞中發(fā)揮著無可比擬的作用。眾多的企業(yè)、組織、政府部門與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到Internet上，以充分共享、利用網(wǎng)絡(luò)的信息和資源。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生各種各樣的問題，其中安全隱患日益突出，無論是企業(yè)、服務(wù)供應(yīng)商、政府部門還是研究和教育機(jī)構(gòu)，安全性顯然決定著網(wǎng)絡(luò)要求和工作的優(yōu)先級。對于企業(yè)而言，提高內(nèi)部信息集成，實(shí)現(xiàn)信息共享，提高工作效率，必須要建立完善、高效的網(wǎng)絡(luò)。

２

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 概述

1.1 研究背景

當(dāng)今，互聯(lián)網(wǎng)的發(fā)展已經(jīng)出乎人們的想象，新技術(shù)、新概念層出不窮，互聯(lián)網(wǎng)實(shí)現(xiàn)了人們在信息時(shí)代的夢想，預(yù)示著新經(jīng)濟(jì)時(shí)代的到來。因特網(wǎng)的迅速發(fā)展使得信息資源可以迅速的高度共享。隨著全球的網(wǎng)絡(luò)化，經(jīng)濟(jì)的全球化，世界縮小了，人類的工作、生活變的更加快捷方便。隨著政府上網(wǎng)、海關(guān)上網(wǎng)、電子商務(wù)、網(wǎng)上娛樂等一系列網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，因特網(wǎng)正在越來越多地離開原來單純的學(xué)術(shù)環(huán)境，融入到經(jīng)濟(jì)、軍事、科技、教育等各個(gè)領(lǐng)域中。電子商務(wù)、遠(yuǎn)程教育、網(wǎng)上醫(yī)療漸漸步入千家萬戶，網(wǎng)絡(luò)吸引了億萬用戶，它已經(jīng)成為人們生活的一部分。

1.2 網(wǎng)絡(luò)安全現(xiàn)狀

Internet正在越來越多地融入到社會的各個(gè)方面[1]。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊(duì)、企業(yè)、個(gè)人的利益休戚相關(guān)的“大事情”。尤其對于政府和軍隊(duì)而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴(yán)重的威脅。

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)上內(nèi)容的豐富，互聯(lián)網(wǎng)猶如空氣、水融于世界每個(gè)角落。互聯(lián)網(wǎng)不只是高科技的象征，它已成為整個(gè)國民經(jīng)濟(jì)的神經(jīng)網(wǎng)絡(luò)。企業(yè)上網(wǎng)不僅是一種時(shí)尚，更成為企業(yè)成功的必選項(xiàng)。截止到年2001年4月3日，在我國已有的個(gè)網(wǎng)站中，企業(yè)網(wǎng)站所占比重最大，為77.8%，到,2001年底全國通過網(wǎng)絡(luò)進(jìn)行的電子交易達(dá)近4萬億美元。然而，在企業(yè)紛紛享受現(xiàn)代文明成果之時(shí)，網(wǎng)絡(luò)潛在的危害也在威脅著企業(yè)[2]。據(jù)統(tǒng)計(jì)，2001年全球電腦病毒造成的經(jīng)濟(jì)損失高達(dá)129億美元，僅紅色代碼給企業(yè)和個(gè)人造成的經(jīng)濟(jì)損失就達(dá)26.2億美元，90%的網(wǎng)站均遭受過網(wǎng)絡(luò)攻擊。

2000年2月，在三天的時(shí)間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務(wù)器，使 3

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

其不能提供正常服務(wù)。在隨后的不到一個(gè)月的時(shí)間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。

國內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書店、EC123等知名網(wǎng)站也先后受到黑客攻擊[3]。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運(yùn)營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運(yùn)作。

客觀地說，沒有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計(jì)，平均每20秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵。僅在美國，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟(jì)損失就超過100億美元。

1.2 本文的主要內(nèi)容及組織結(jié)構(gòu)

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 企業(yè)網(wǎng)絡(luò)安全需求及隱患

企業(yè)網(wǎng)絡(luò)通常采用TCP/IP、WWW、電子郵件、數(shù)據(jù)庫等通用技術(shù)和標(biāo)準(zhǔn)，依托多種通信方式進(jìn)行廣域連接，覆蓋系統(tǒng)的大部分單位，傳輸、存儲和處理的信息大都涉及到行業(yè)內(nèi)部信息。因此必須對信息資源加以保護(hù)，對服務(wù)資源予以控制和管理。

2.1 企業(yè)網(wǎng)絡(luò)安全需求

2.2 企業(yè)網(wǎng)絡(luò)安全隱患

網(wǎng)絡(luò)的入侵不僅來自網(wǎng)絡(luò)外部，也來自于網(wǎng)絡(luò)內(nèi)部，由于辦公網(wǎng)絡(luò)在用途和實(shí)現(xiàn)方式上與公眾網(wǎng)絡(luò)有所不同，大部分辦公網(wǎng)絡(luò)都采用內(nèi)部網(wǎng)的形式進(jìn)行組建，外部網(wǎng)相對而言網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量和信息量都較少，敏感信息一般存放在內(nèi)部網(wǎng)絡(luò)中，而且內(nèi)外網(wǎng)之間大多采用了較強(qiáng)的保護(hù)甚至物理隔離措施，因此大多數(shù)的安全威脅來自網(wǎng)絡(luò)內(nèi)部，而非外部，其原因主要有：

一般來說，大部分機(jī)構(gòu)的信息安全保護(hù)措施都是“防外不防內(nèi)”，很多辦公網(wǎng)絡(luò)賴以保障其安全的防火墻系統(tǒng)大部分位于網(wǎng)絡(luò)邊界，對來自內(nèi)部的攻擊毫無作用。

內(nèi)部人員最容易接觸敏感信息，而且對系統(tǒng)的結(jié)構(gòu)、運(yùn)作都非常熟悉，因此行動的針對性很強(qiáng)，很容易危害系統(tǒng)的核心數(shù)據(jù)和資源，而且很難被發(fā)覺。

內(nèi)部人員可能采用常用的非法用戶技術(shù)和軟件對辦公網(wǎng)絡(luò)進(jìn)行測試。

2.3 安全問題對企業(yè)網(wǎng)絡(luò)的危害

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 電信企業(yè)網(wǎng)絡(luò)安全策略

3.1 訪問控制策略

訪問控制的目的是防止非法訪問，實(shí)現(xiàn)用戶身份鑒別和對重要網(wǎng)絡(luò)、服務(wù)器的安全控制[4]。防火墻就是一類較有效并廣泛應(yīng)用的網(wǎng)絡(luò)訪問控制設(shè)備，它主要通過對IP地址、端口號等進(jìn)行控制和設(shè)置應(yīng)用安全代理等措施，實(shí)現(xiàn)內(nèi)部被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離。

在安全規(guī)則上，企業(yè)網(wǎng)絡(luò)可以針對單獨(dú)的主機(jī)、一組主機(jī)、一段網(wǎng)絡(luò)，按照網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)置，面向?qū)ο蟮陌踩?guī)則編輯；根據(jù)網(wǎng)絡(luò)通訊端口設(shè)置安全規(guī)則，針對企業(yè)保護(hù)對象只開放某些服務(wù)端口；根據(jù)信息傳輸方向設(shè)置安全規(guī)則，同時(shí)在安全規(guī)則中設(shè)置允許、拒絕等操作方式；按照星期幾或每一天具體的時(shí)間設(shè)置，實(shí)現(xiàn)訪問控制；根據(jù)網(wǎng)絡(luò)服務(wù)設(shè)置安全規(guī)則。

3.2 信息加密策略

信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)[5]。網(wǎng)絡(luò)加密常用的方法有鏈路加密、節(jié)點(diǎn)加密和端點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；節(jié)點(diǎn)加密的目的是對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)；端端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

3.3 內(nèi)外網(wǎng)互聯(lián)安全策略

隨著網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，安全策略的制訂和實(shí)施是一個(gè)動態(tài)的延續(xù)過程。需要制定周密可靠的安全體制以保護(hù)內(nèi)網(wǎng)的機(jī)密信息、阻隔外網(wǎng)對內(nèi)網(wǎng)系統(tǒng)的有害侵襲以及有效的管理和限制內(nèi)網(wǎng)用戶對外網(wǎng)資源的訪問等。為保證企業(yè)辦公網(wǎng)絡(luò)的安全性，一般采用以下一些策略:(1)利用防火墻技術(shù)。它是以TCP/ IP體系架構(gòu)為核心，針對具體應(yīng)用和用戶角色進(jìn)行智能決策的系統(tǒng)，以保護(hù)網(wǎng)絡(luò)的可用性、系統(tǒng)服務(wù)的連續(xù)性;防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問;檢測各種入侵、攻擊和異常事件，并以響應(yīng)的方式通知相關(guān)人員，管理人員根據(jù)警報(bào)信息及時(shí)修改相應(yīng)的安全策略;通過防火墻的http訪問控制管理，過濾網(wǎng)絡(luò)地址URL，對URL中的路徑部分以及網(wǎng)頁內(nèi)容進(jìn)行過濾、對JAYAAP2 PLET、ACTIVEX過濾；通過防火墻的FTP訪問控制管理，提供命令級的過濾功能、部分命令參數(shù)的過濾功能、限制用戶的訪問，對用戶名進(jìn)行 6

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

過濾、保護(hù)FTP服務(wù)器信息。

(2)利用入侵檢測技術(shù)。入侵檢測技術(shù)可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)，給網(wǎng)絡(luò)安全策略的制定提供依據(jù)。入侵檢測系統(tǒng)可以監(jiān)視、分析用戶級系統(tǒng)活動；構(gòu)造變化和弱點(diǎn)的審計(jì);識別反映己知進(jìn)攻的活動模式并向網(wǎng)管人員報(bào)警;操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。

(3)利用VLAN技術(shù)。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。運(yùn)用VLAN技術(shù)跨越交換機(jī)按功能對網(wǎng)絡(luò)進(jìn)行統(tǒng)一的VLAN劃分，可以將通信限定在同一虛網(wǎng)中，形成特別有效的限制非授權(quán)訪問的屏障。如在集中式網(wǎng)絡(luò)環(huán)境下，將中心的所有服務(wù)器系統(tǒng)集中到一個(gè)VLAN中，將網(wǎng)管工作站、系統(tǒng)管理員經(jīng)常用來登陸服務(wù)器的工作站等高安全性的用戶組織到另一個(gè)VLAN中，在這些VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好的保護(hù)敏感資源，在分布式網(wǎng)絡(luò)環(huán)境下，可按機(jī)構(gòu)和部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 數(shù)據(jù)備份策略

對企業(yè)服務(wù)器及數(shù)據(jù)應(yīng)利用防火墻實(shí)現(xiàn)雙機(jī)熱備份和災(zāi)難冗余。對于需要高度可靠性的用戶，一定要選用具有雙機(jī)熱備份功能的防火墻，在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻，正常情況下一個(gè)處于工作狀態(tài)，另一個(gè)處于備份狀態(tài)，當(dāng)工作狀態(tài)的系統(tǒng)出現(xiàn)故障時(shí)，備份狀態(tài)的防火墻自動切換到工作狀態(tài)，保證網(wǎng)絡(luò)的正常使用。備用防火墻系統(tǒng)能夠在一秒鐘內(nèi)完成整個(gè)切換過程，不需要人為操作和除兩個(gè)防火墻以外的其他系統(tǒng)的參與，而且整個(gè)切換過程不影響網(wǎng)絡(luò)上的任何通訊連接和信息傳輸。如果是不具有雙機(jī)熱備份功能的防火墻，即使能夠做到雙機(jī)熱備份，一旦出現(xiàn)故障時(shí)，備用防火墻需要10秒鐘以上才能替代主用防火墻正常工作，網(wǎng)絡(luò)上的所有服務(wù)連接均需要重新建立，費(fèi)時(shí)費(fèi)力而且會造成很大損失。

基于電信企業(yè)的網(wǎng)絡(luò)安全策略 結(jié)論

隨著網(wǎng)絡(luò)建設(shè)的發(fā)展，企業(yè)網(wǎng)絡(luò)的規(guī)模將越來越大，網(wǎng)絡(luò)安全管理工作將越來越復(fù)雜，網(wǎng)絡(luò)安全維護(hù)將是企業(yè)的一項(xiàng)重要任務(wù)。在維護(hù)網(wǎng)絡(luò)安全時(shí)，必須結(jié)合網(wǎng)絡(luò)安全防范技術(shù)，綜合考慮安全因素，制定合理的管理方案、有效的技術(shù)方案，采取切實(shí)可行的安全防護(hù)措施，逐步完善的網(wǎng)絡(luò)安全防護(hù)體系，增強(qiáng)每個(gè)網(wǎng)絡(luò)用戶的安全意識，從根本上解決網(wǎng)絡(luò)安全問題。

榆林電信分公司網(wǎng)絡(luò)安全系統(tǒng)涉及的安全方案考慮到了榆林電信分公司網(wǎng)絡(luò)安全系統(tǒng)的實(shí)際情況，均衡了性能價(jià)格比，從整個(gè)系統(tǒng)的可靠性，穩(wěn)定性，安全性和可擴(kuò)展性多方面進(jìn)行了考慮，有如下優(yōu)勢：

基于電信企業(yè)的網(wǎng)絡(luò)安全策略

參考文獻(xiàn)

[1]陳則徐.淺析企業(yè)網(wǎng)絡(luò)安全策略,電腦知識與技術(shù)2009.3，5(9):106-108 [2] Roberta Bmgg，CISSE Certified Information Systems Security Professional．北京：人民郵電出版社，2003：98～102 [4]胡春安.中小型企業(yè)網(wǎng)絡(luò)升級方案的研究:[碩士學(xué)位論文].華中科技大學(xué),2006.9,34-40 [4]仇劍鋒.基于VLAN和三層交換的企業(yè)網(wǎng)絡(luò)安全策略研究[碩士學(xué)位論文].中南大學(xué)，2006.10,8-12 [5] 1912E巖明，冼沛勇．建立數(shù)據(jù)安全系統(tǒng)，維護(hù)企業(yè)信息安全．計(jì)算機(jī)與網(wǎng)絡(luò)，2003，(24)：19-21 10

第三篇：電信網(wǎng)絡(luò)安全應(yīng)對策略解決方案[最終版]

電信網(wǎng)絡(luò)安全應(yīng)對策略解決方案

網(wǎng)絡(luò)安全是一個(gè)涉及面廣泛的問題。隨著人們對網(wǎng)絡(luò)依賴性的增強(qiáng)，電信網(wǎng)的安全性、可靠性與容災(zāi)能力越來越受到重視。雖然一開始，網(wǎng)絡(luò)設(shè)計(jì)者就采用SDH恢復(fù)、雙歸屬等技術(shù)來進(jìn)行網(wǎng)絡(luò)的冗余與備份，以提高電信業(yè)務(wù)的抗災(zāi)能力，但是由于災(zāi)難的不可預(yù)測性，如何做到未雨綢繆以及在緊急情況下迅速提供電信業(yè)務(wù)一直是人們關(guān)注的焦點(diǎn)。此外，隨著WLAN、互聯(lián)網(wǎng)和3G的廣泛應(yīng)用，下一代網(wǎng)絡(luò)的安全性問題也日益受到重視。

一、網(wǎng)絡(luò)安全涉及的內(nèi)容

網(wǎng)絡(luò)安全涉及的層面非常廣，從網(wǎng)絡(luò)到信息，從物理網(wǎng)絡(luò)的保護(hù)到對各種病毒和網(wǎng)絡(luò)攻擊的預(yù)防，涉及IT行業(yè)的方方面面。一般來講，網(wǎng)絡(luò)安全可以簡單分為以下幾個(gè)層次。

1.電信網(wǎng)絡(luò)的安全可靠性

電信網(wǎng)絡(luò)的可靠性問題由來已久。傳統(tǒng)上，電信網(wǎng)的可靠性一般分為兩個(gè)方面，即預(yù)防網(wǎng)絡(luò)故障的發(fā)生以及電信網(wǎng)絡(luò)發(fā)生故障后的保護(hù)和恢復(fù)。目前隨著通信協(xié)議在網(wǎng)絡(luò)中的應(yīng)用越來越廣泛，通信協(xié)議的安全性也越來越重要，特別是在互聯(lián)網(wǎng)的開放環(huán)境中，對通信協(xié)議的安全性要求更高。

預(yù)防網(wǎng)絡(luò)故障的發(fā)生一般在網(wǎng)絡(luò)規(guī)劃和建設(shè)時(shí)就已經(jīng)考慮，但仍然需要根據(jù)構(gòu)成設(shè)備的可靠性來分析建成后系統(tǒng)的整體可靠性。

故障發(fā)生時(shí)的網(wǎng)絡(luò)保護(hù)和恢復(fù)能力也是電信網(wǎng)絡(luò)建設(shè)所考慮的重點(diǎn)，特別是隨著傳輸設(shè)備的交叉連接能力的增強(qiáng)，為傳輸網(wǎng)絡(luò)的故障恢復(fù)能力提供了重要保證。目前，IP網(wǎng)絡(luò)的相關(guān)故障恢復(fù)主要發(fā)生在以下三個(gè)層次：光傳輸層、ATM層和IP層。其中，越是底層的網(wǎng)絡(luò)，要求保護(hù)和恢復(fù)的時(shí)間越快、代價(jià)越高，也越不靈活。

2.互聯(lián)網(wǎng)的安全可靠性

由于互聯(lián)網(wǎng)是一種全球性、開放性、透明性的網(wǎng)絡(luò)，是無邊界的，任何團(tuán)體或個(gè)人都可以在互聯(lián)網(wǎng)上方便地傳送或獲取各種各樣的信息。然而目前網(wǎng)絡(luò)自身的安全保護(hù)能力有限，許多應(yīng)用系統(tǒng)處于不設(shè)防或很少設(shè)防的狀態(tài)，存在很多漏洞，而將來對網(wǎng)絡(luò)的攻擊不僅僅是已經(jīng)出現(xiàn)的蠕蟲、病毒和黑客攻擊，還會有針對互聯(lián)網(wǎng)基本機(jī)理的攻擊，使關(guān)鍵的交換機(jī)、路由器和傳輸設(shè)備癱瘓。隨著上網(wǎng)單位和網(wǎng)上信息的日益增多，網(wǎng)絡(luò)與信息安全面臨的挑戰(zhàn)越來越大。

互聯(lián)網(wǎng)協(xié)議構(gòu)件的安全性問題也越來越嚴(yán)重，一方面與互聯(lián)網(wǎng)協(xié)議本身有關(guān)，另一方面也與互聯(lián)網(wǎng)的商業(yè)化進(jìn)程密切相關(guān)，如目前由于互聯(lián)網(wǎng)運(yùn)營模式的變化，可能受到的攻擊手段也在增加，特別是隨著VoIP業(yè)務(wù)使得互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)互連，對傳統(tǒng)電信網(wǎng)的信令系統(tǒng)也造成很大的威脅。因此對于互聯(lián)網(wǎng)架構(gòu)的安全性問題，一方面可以通過協(xié)議的安全性改進(jìn)、實(shí)現(xiàn)的一致性、安全性問題標(biāo)準(zhǔn)化等措施來加強(qiáng)，另一方面則應(yīng)盡量減少協(xié)議受攻擊或者威脅的可能。

3.信息安全

網(wǎng)絡(luò)安全與信息安全是休戚相關(guān)的，網(wǎng)絡(luò)不安全，就談不上信息安全;然而網(wǎng)絡(luò)再安全，也不可能萬無一失，所以還要加強(qiáng)信息自身的安全性。現(xiàn)在，基本上在網(wǎng)絡(luò)硬件、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)中的應(yīng)用程序、數(shù)據(jù)安全和用戶安全等五個(gè)層面上開展研究工作。除了常用的防火墻、代理服務(wù)器、安全過濾、用戶證書、授權(quán)、訪問控制、數(shù)據(jù)加密、安全審計(jì)和故障恢復(fù)等安全技術(shù)外，還要采取更多的措施來加強(qiáng)網(wǎng)絡(luò)的安全，例如，針對現(xiàn)有路由器、交換機(jī)、邊界網(wǎng)關(guān)協(xié)議(BGP)、域名系統(tǒng)(DNS)所存在的安全漏洞提出解決辦法;迅速采用增強(qiáng)安全性的網(wǎng)絡(luò)協(xié)議(特別是IPv6);對關(guān)鍵的網(wǎng)元、網(wǎng)站、數(shù)據(jù)中心設(shè)置真正的冗余、分集和保護(hù);實(shí)時(shí)全面地觀察和了解整個(gè)互聯(lián)網(wǎng)的情況，對傳送的信息內(nèi)容負(fù)責(zé)，不盲目傳遞病毒或進(jìn)行攻擊;嚴(yán)格控制新技術(shù)和新系統(tǒng)，在找到和克服安全漏洞或者另加安全性之前不允許把它們匆忙推向市場。

目前就信息的安全性要求來說，一般強(qiáng)調(diào)五個(gè)要求，即信息的可用性、保密性、完整性、真實(shí)性和不可抵賴性。

二、電信行業(yè)在網(wǎng)絡(luò)安全方面的經(jīng)驗(yàn)

電信網(wǎng)絡(luò)一般指有線、無線、衛(wèi)星網(wǎng)絡(luò)以及互聯(lián)網(wǎng)等，電信網(wǎng)絡(luò)所受到的威脅主要是恐怖襲擊、自然災(zāi)難或類似情況。電信行業(yè)在安全方面的工作重點(diǎn)主要包括業(yè)務(wù)、網(wǎng)絡(luò)和企業(yè)的安全可靠性。

對于電信行業(yè)來講，安全隱患一般分為以下兩種：

脆弱性(vulnerability)：指通信網(wǎng)絡(luò)設(shè)施的某些方面容易損壞或受到安全威脅的特性;

威脅：可能損害或危及網(wǎng)絡(luò)安全的任何潛在因素。

1.通信設(shè)施主要安全問題及對策

通信設(shè)施的安全問題主要來自以下幾個(gè)方面，運(yùn)營商應(yīng)該在問題發(fā)生之前采取預(yù)防措施，或在問題發(fā)生之后采取積極的補(bǔ)救措施。

(1)環(huán)境

包括建筑物、電纜溝槽、衛(wèi)星軌道的空間、海纜沿途等環(huán)境。沒有絕對安全的環(huán)境，要整體考慮環(huán)境安全計(jì)劃，需要定期對環(huán)境進(jìn)行評估和再評估，特殊環(huán)境需要特殊考慮。

(2)供電

包括電池、地線、電纜、保險(xiǎn)絲、備用應(yīng)急發(fā)電機(jī)和燃料。內(nèi)部電力設(shè)施常常被忽略，需要持續(xù)檢驗(yàn)電力系統(tǒng)是否有效，業(yè)務(wù)提供商和網(wǎng)絡(luò)運(yùn)營商要保證對重要的設(shè)備不間斷供電，在發(fā)生自然災(zāi)難(如臺風(fēng)、地震)時(shí)，能夠提供發(fā)電機(jī)的燃料供應(yīng)和后備電源的使用。

(3)硬件

包括硬件架構(gòu)、電子電路模塊和電路板、金屬件以及光纜、電纜、半導(dǎo)體芯片。關(guān)鍵網(wǎng)元的設(shè)備供應(yīng)商應(yīng)該對電子硬件進(jìn)行測試，以確保兼容性、抗震性、耐壓性、溫度適應(yīng)性等。

(4)軟件

包括軟件版本的物理儲藏、開發(fā)與測試、版本控制與管理等。提供商應(yīng)提供安全的軟件傳送方式。

(5)網(wǎng)絡(luò)

包括節(jié)點(diǎn)的配置、多種網(wǎng)絡(luò)與技術(shù)、同步、冗余、物理與邏輯的分集。業(yè)務(wù)提供商和網(wǎng)絡(luò)運(yùn)營商應(yīng)該開發(fā)一套嚴(yán)密的程序，以評估和管理各種危險(xiǎn)(如迂回路由、緊急狀態(tài)快速反應(yīng))。

(6)負(fù)載

包括跨越網(wǎng)絡(luò)設(shè)施傳送的信息、業(yè)務(wù)量模型與統(tǒng)計(jì)、信息攔截偵聽。網(wǎng)絡(luò)運(yùn)營商在設(shè)計(jì)網(wǎng)絡(luò)時(shí)應(yīng)該使?jié)撛诘男畔r截降到最小。

(7)人員

包括有意和無意的行為、限制、教育與培訓(xùn)、道德規(guī)范等。業(yè)務(wù)提供商與網(wǎng)絡(luò)運(yùn)營商應(yīng)該考慮建立員工安全意識培訓(xùn)計(jì)劃。

2.運(yùn)營商對互聯(lián)網(wǎng)采取的安全措施

互聯(lián)網(wǎng)是未來的發(fā)展方向，也是安全隱患最大的地方。目前，互聯(lián)網(wǎng)最常見的安全問題是病毒、蠕蟲、拒絕服務(wù)攻擊，網(wǎng)絡(luò)受到的攻擊越來越多。據(jù)美國計(jì)算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心(CERTCC)統(tǒng)計(jì)，1999～2002年間，每年網(wǎng)絡(luò)受攻擊數(shù)分別為9859、21756、52 658、86 000次，網(wǎng)絡(luò)攻擊愈演愈烈之勢由此可見一斑。因此，運(yùn)營商都在積極努力，以保證網(wǎng)絡(luò)的正常運(yùn)行。AT&T已經(jīng)有七層安全協(xié)議來應(yīng)對外部攻擊，并且在其網(wǎng)絡(luò)中樞構(gòu)建了基于網(wǎng)絡(luò)的主動式安全系統(tǒng)，可以進(jìn)行細(xì)致深入的分析并能預(yù)見到各種攻擊。

3.保護(hù)七號信令網(wǎng)

七號信令網(wǎng)絡(luò)是電信網(wǎng)重要的控制系統(tǒng)，目前七號信令及其安全性越來越受到關(guān)注。FCC在調(diào)查造成網(wǎng)絡(luò)癱瘓的因素時(shí)，專門對因七號信令而造成的事故進(jìn)行了調(diào)查與研究。其2002年底的一份調(diào)查顯示，由于七號信令而造成的網(wǎng)絡(luò)故障有上升的趨勢。幾年前美國參議院司法委員會就提議運(yùn)營商重視七號信令的安全，F(xiàn)BI國家基礎(chǔ)設(shè)施保護(hù)中心(NIPC)也把此列為工作重點(diǎn)。

七號信令攻擊具有以下一些共同的特點(diǎn)：

消息中帶有非相鄰信令節(jié)點(diǎn)的地址;

特定消息類型的量增加或異常;

特定消息類型的出現(xiàn)頻次增加或異常;

消息集中在某鏈路或鏈路集上。

高質(zhì)量的防衛(wèi)將是一個(gè)多元的安全政策，最好的防衛(wèi)是早期檢測。運(yùn)營商必須安裝能夠監(jiān)控整個(gè)網(wǎng)絡(luò)的設(shè)備，該設(shè)備必須能夠?qū)崟r(shí)地檢測所有的信令消息并向中心地點(diǎn)報(bào)告這些情況，而且要能夠?qū)ο⑦M(jìn)行分析。

運(yùn)營商應(yīng)該認(rèn)識到，對七號信令網(wǎng)絡(luò)真正的攻擊可能不只是簡單的攻擊，很可能是一個(gè)充分組織的復(fù)雜攻擊，因此更要積極防范。

三、網(wǎng)絡(luò)安全是NGN的重要內(nèi)容

NGN指移動與固定運(yùn)營商未來將擁有的能夠提供一系列先進(jìn)新業(yè)務(wù)的網(wǎng)絡(luò)設(shè)施。在NGN中，網(wǎng)絡(luò)安全是最重要的內(nèi)容，也是亟待解決的問題。隨著新技術(shù)特別是WLAN、IP分組網(wǎng)絡(luò)、3G等的發(fā)展與應(yīng)用，網(wǎng)絡(luò)中的薄弱環(huán)節(jié)也越來越多。

1.WLAN

如今，WLAN的安全性成為一個(gè)突出的問題。隨著WLAN的普遍實(shí)施，其安全性應(yīng)該引起業(yè)界足夠的重視。設(shè)備廠商在試圖通過加密與認(rèn)證等方式來減少一些安全隱患。

針對WLAN存在的安全問題，目前有四項(xiàng)主要的技術(shù)措施：802.1x認(rèn)證協(xié)議、專門針對WLAN的安全體系標(biāo)準(zhǔn)802.11/802.11i、VPN和實(shí)現(xiàn)WLAN中用戶隔離的虛擬局域網(wǎng)(VLAN)。這4項(xiàng)技術(shù)有的正在開發(fā)之中，有的又過于復(fù)雜，因此WLAN的安全問題在最近一段時(shí)間內(nèi)難以得到徹底的解決。

2.基于IP的分組交換網(wǎng)

在過去的電信網(wǎng)絡(luò)中，網(wǎng)絡(luò)所受到的安全威脅比較典型，如毀壞PBX、惡意撥號等。而基于IP的分組交換網(wǎng)的安全問題將更加突出，并且與以往的安全問題相比有很大的不同。

人們使用VoIP或者M(jìn)PLS來構(gòu)筑VPN時(shí)，安全隱患將變大。因?yàn)槿藗冊谑褂肐P地址時(shí)會把自己“暴露”在大庭廣眾之中，這樣就會面臨電路交換網(wǎng)甚至ATM或者幀中繼中從未有過的安全問題。你可以從公共域“看到”別人，別人也可以采用標(biāo)準(zhǔn)的攻擊形式輕而易舉地破壞路由表。例如，攻擊一個(gè)交換機(jī)并非易事，但是攻擊一個(gè)實(shí)施了MPLS的交換設(shè)備卻方便得多，因?yàn)榭梢詮膬?nèi)部網(wǎng)看到它所擁有的IP地址。如果有人進(jìn)到內(nèi)部網(wǎng)，就可以接入到交換機(jī)，從而帶來更大的安全隱患。

3.3G

3G電話更易受到攻擊。在2.5G網(wǎng)絡(luò)中，IP地址是在基站，黑客必須先攻擊基站才能攻擊到電話，而基站一般都有保護(hù)措施。然而在3G網(wǎng)絡(luò)中，IP地址實(shí)際上是在電話中，黑客可以直接攻擊電話。因此，3G在安全性方面與2.5G或者i-mode相比有很大的弱點(diǎn)。

四、結(jié)語

隨著技術(shù)的發(fā)展，電信網(wǎng)絡(luò)涵蓋的范圍越來越廣，以前單

一、封閉的網(wǎng)絡(luò)正在向開放多樣的網(wǎng)絡(luò)演進(jìn)，因此電信行業(yè)面臨的安全問題更加復(fù)雜、多樣，保障電信網(wǎng)絡(luò)和業(yè)務(wù)的安全面臨著更加嚴(yán)峻的形勢。由于電信網(wǎng)絡(luò)是人們向信息社會邁進(jìn)的基石，與人們的工作、生活息息相關(guān)，因此無論政府、運(yùn)營商還是用戶，都應(yīng)該更多地關(guān)心電信網(wǎng)絡(luò)的安全問題。

第四篇：電信企業(yè)的IT網(wǎng)絡(luò)安全探討

電信企業(yè)的IT網(wǎng)絡(luò)安全探討

羅振一

（單位：中國聯(lián)通廣西分公司

郵編：530000）

摘要：文中論述了電信企業(yè)的IT網(wǎng)絡(luò)安全體系復(fù)雜性，闡明了建立計(jì)算機(jī)網(wǎng)絡(luò)安全體系的必要性，提出了解決現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)方案。著重介紹了主動防御和被動防御的各種技術(shù)，通過具體的網(wǎng)絡(luò)安全實(shí)例，闡述了電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全體系的合理構(gòu)成。

關(guān)鍵詞：網(wǎng)絡(luò)拓?fù)?網(wǎng)絡(luò)安全體系

防火墻 加密技術(shù) 入侵檢測

虛擬局域網(wǎng)

1． 網(wǎng)絡(luò)架構(gòu)及安全體系特點(diǎn)

本文主要介紹電信企業(yè)中的IT網(wǎng)絡(luò)安全體系，不涉及通信網(wǎng)絡(luò)的安全問題。電信企業(yè)的IT網(wǎng)絡(luò)組成主要有：計(jì)費(fèi)網(wǎng)、營銷網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)，計(jì)費(fèi)網(wǎng)是核心網(wǎng)絡(luò)；營銷網(wǎng)絡(luò)是整個(gè)企業(yè)的營銷系統(tǒng)主體，辦公網(wǎng)絡(luò)是實(shí)現(xiàn)企業(yè)信息化及辦公自動化的基礎(chǔ)。網(wǎng)絡(luò)安全體系主要基于計(jì)費(fèi)網(wǎng)為核心網(wǎng)，營業(yè)網(wǎng)、辦公網(wǎng)、其他外圍網(wǎng)絡(luò)作為接入網(wǎng)絡(luò)，計(jì)費(fèi)網(wǎng)做為核心網(wǎng)絡(luò)，放置大部分的核心數(shù)據(jù)庫和主機(jī)，具有最高的安全局別，主要考慮采用主動防御和被動防御相結(jié)合的方案；營銷網(wǎng)絡(luò)安全級別僅次于計(jì)費(fèi)網(wǎng)，是整個(gè)公司營銷的基石，營銷網(wǎng)的特點(diǎn)是：覆蓋的地域廣、接入方式不統(tǒng)一、終端類型繁多、INTERNET網(wǎng)嚴(yán)格隔離等，網(wǎng)絡(luò)安全主要采用被動防御安全技術(shù)；辦公網(wǎng)主要是為企業(yè)信息化和辦公自動化建設(shè)，辦公網(wǎng)的特點(diǎn)主要是：網(wǎng)絡(luò)拓?fù)淝逦⒔尤牍W(wǎng)、權(quán)限管理復(fù)雜，辦公網(wǎng)的安全體系，建議采用被動防御為主，主動防御為輔。基于以上的網(wǎng)絡(luò)特點(diǎn)，IT網(wǎng)絡(luò)的整個(gè)安全體系是建立在以計(jì)費(fèi)網(wǎng)為核心，保證核心能夠免疫來自內(nèi)部和外部的入侵和非法訪問，各種接入網(wǎng)建立各自的安全體系，從而建立起多級、全方位的IT網(wǎng)絡(luò)安全體系.2． 網(wǎng)絡(luò)安全技術(shù)

經(jīng)過幾十年的研究和發(fā)展，網(wǎng)絡(luò)安全（從屬信息安全）已經(jīng)成為計(jì)算機(jī)科學(xué)，非常重要的組成部分，形成比較成型的理論和應(yīng)用技術(shù)。電信企業(yè)應(yīng)該采用這些經(jīng)驗(yàn)和技術(shù)，建立安全、可靠的IT網(wǎng)絡(luò)，減少由于入侵、非法訪問、病毒入侵、網(wǎng)絡(luò)故障等引起的損失，為企業(yè)發(fā)展建立一個(gè)良好的環(huán)境。以下主要介紹一些主流的網(wǎng)絡(luò)信息安全保護(hù)技術(shù).2.1 主動防御保護(hù)技術(shù)

主動防御保護(hù)技術(shù)主要有：數(shù)據(jù)加密、身份鑒別、存取控制、權(quán)限設(shè)置、虛擬局域網(wǎng)等。在主動防御保護(hù)技術(shù)方面，電信企業(yè)一般主要采用：身份鑒別、存取控制、權(quán)限設(shè)置、虛擬局域網(wǎng)（VLAND）等技術(shù)。身份鑒別和權(quán)限設(shè)置在不同系統(tǒng)，有不同的要求，有分散設(shè)置、有統(tǒng)一設(shè)置，機(jī)制和手段都比較成熟，在這里不做簡介。對于存儲控制和虛擬局域網(wǎng)，許多IT網(wǎng)絡(luò)在建設(shè)時(shí)候，都有這樣的技術(shù)概念，但是真正有效應(yīng)用起來比較少，原因可能比較簡單，麻煩或沒有必要。存取控制的內(nèi)容包括人員限制、訪問權(quán)限設(shè)定、數(shù)據(jù)標(biāo)識、和風(fēng)險(xiǎn)分析等，是內(nèi)部網(wǎng)絡(luò)信息安全的重要方向，實(shí)現(xiàn)方式可以通過路由訪問策略、網(wǎng)絡(luò)監(jiān)控、專用物理地址和IP地址的訪問控制系統(tǒng)等等，有效的建立起存取控制機(jī)制，可以將網(wǎng)絡(luò)的安全性、可靠性提高一個(gè)水平，目前很多企業(yè)的網(wǎng)絡(luò)不夠穩(wěn)定或出現(xiàn)故障，經(jīng)過故障排查后發(fā)現(xiàn)，真正的原因和存取控制機(jī)制不夠健全有很大關(guān)系。對于虛擬局域網(wǎng)技術(shù)，相信大家都很熟悉，在此不做太多討論，利用好虛擬局域網(wǎng)技術(shù)，非常廉價(jià)也很便利。某公司曾經(jīng)發(fā)生大面積的IT網(wǎng)絡(luò)癱瘓，經(jīng)過排查，故障的原因很簡單，主要是一臺備用的服務(wù)器出現(xiàn)故障，不斷在網(wǎng)絡(luò)上大量發(fā)包，造成一臺主用的業(yè)務(wù)服務(wù)器受到影響。經(jīng)過重新分析和排查后，發(fā)現(xiàn)這樣問題如果將應(yīng)用服務(wù)器之間進(jìn)行虛擬局域網(wǎng)劃分和設(shè)定良好的路由策略，是完全可以避免的。

2.2被動防御保護(hù)技術(shù)

被動防御保護(hù)技術(shù)主要有防火墻技術(shù)、入侵檢測系統(tǒng)、安全掃描器、口令驗(yàn)證等。在電信企業(yè)的IT網(wǎng)絡(luò)中，我們主要強(qiáng)調(diào)防火墻技術(shù)、入侵檢測系統(tǒng)技術(shù)、安全掃描技術(shù)的應(yīng)用。在很多公司的IT網(wǎng)絡(luò)架構(gòu)體系中，防火墻都起非常重要的做用，本文中，我們主要采用硬件防火墻,保證核心計(jì)費(fèi)網(wǎng)同接入網(wǎng)實(shí)現(xiàn)安全隔離,辦公網(wǎng)和公網(wǎng)的接入口,也采用硬件防火墻進(jìn)行訪問控制;入侵監(jiān)測系統(tǒng)(IDS)處于防火墻之后對計(jì)費(fèi)網(wǎng)絡(luò)活動進(jìn)行實(shí)時(shí)檢測/監(jiān)控,保證核心網(wǎng)絡(luò)安全;安全掃描器 由于核心計(jì)費(fèi)網(wǎng)和公網(wǎng)或外網(wǎng)沒有直接的接口,在建立網(wǎng)絡(luò)安全體系的時(shí)候,安全掃描只是設(shè)置為定期操作,比如一周或1個(gè)月,為應(yīng)用服務(wù)器或 普通終端升級或打補(bǔ)丁,提供數(shù)據(jù)依據(jù).在規(guī)劃網(wǎng)絡(luò)架構(gòu)的時(shí)候,建議將入侵檢測系統(tǒng)、安全掃描器放置于一臺主機(jī)上。

2.3 反病毒技術(shù)。

反病毒技術(shù)涉及內(nèi)容很復(fù)雜和廣泛，目前主要使用到的基本是成熟的殺毒工具，有網(wǎng)絡(luò)殺毒工具和單機(jī)殺毒工具，電信企業(yè)應(yīng)該更多的考慮到如何使用現(xiàn)有的殺毒技術(shù)，對核心計(jì)費(fèi)網(wǎng)、營銷網(wǎng)和辦公網(wǎng)進(jìn)行病毒防范。我們建立的反病毒機(jī)制主要是，對重要的應(yīng)用服務(wù)器進(jìn)行實(shí)時(shí)防毒監(jiān)控，統(tǒng)一采用網(wǎng)絡(luò)防毒工具，單機(jī)的終端安裝單機(jī)的實(shí)時(shí)放病毒軟件。，3．網(wǎng)絡(luò)安全體系的解決方案及實(shí)例

根據(jù)IT網(wǎng)絡(luò)架構(gòu)特點(diǎn)，及安全層次要求，電信企業(yè)的網(wǎng)絡(luò)安全體系，應(yīng)該充分利用現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)，主要從三個(gè)方面入手：

3.1 外來非法入侵的防范，即采用現(xiàn)有的網(wǎng)絡(luò)防火墻技術(shù)，根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)特點(diǎn)，層層作防，把外來非法入侵的可能性降到最低點(diǎn)。

3.2 采用現(xiàn)有的認(rèn)證技術(shù)，比如PKI技術(shù)等等，建立完善的內(nèi)部認(rèn)證體系，把來自企業(yè)內(nèi)部的非法訪問控制到最低點(diǎn)，很多調(diào)查表明，很大比例的非法入侵是來自于企業(yè)內(nèi)部，因此對于企業(yè)內(nèi)部的訪問認(rèn)證控制，是建立網(wǎng)絡(luò)安全體系的重要工作之一，也是保證營銷網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)真正能達(dá)到信息安全的重要手段。

3.3建立完善的反病毒機(jī)制，充分利用現(xiàn)有的很多著名的殺毒工具，比如瑞星反病毒工具、NORTON反病毒工具等，定時(shí)殺毒和作病毒防范，給公司員工灌注反病毒的意識。

以下是一個(gè)簡單的網(wǎng)絡(luò)架構(gòu)實(shí)例，主要根據(jù)電信企業(yè)的網(wǎng)絡(luò)特點(diǎn)規(guī)劃，也是部分電信企業(yè)目前的大致網(wǎng)絡(luò)架構(gòu)，沒有涉及具體的業(yè)務(wù)和各種認(rèn)證系統(tǒng)，這樣的方案在很多集成商的案例 中都可以看到，做為電信企業(yè)的IT技術(shù)人員，我著眼點(diǎn)主要是從整體上，從整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)

上規(guī)劃IT網(wǎng)絡(luò)的安全體系。這個(gè)網(wǎng)絡(luò)邏輯架構(gòu)也是我參與建設(shè)一個(gè)企業(yè)內(nèi)部網(wǎng)，原始的網(wǎng)絡(luò)構(gòu)造邏輯圖，該網(wǎng)絡(luò)目前在運(yùn)行很好，但是仍然存在一些問題，問題將在后面的總結(jié)中具體概括。

INTERNET防火墻路由器服務(wù)器辦公網(wǎng)入侵檢測、安全掃描、反病毒營業(yè)終端入侵檢測、安全掃描、反病毒服務(wù)器路由器防火墻應(yīng)用服務(wù)器群路由器計(jì)費(fèi)核心網(wǎng)路由器數(shù)據(jù)庫營銷網(wǎng)網(wǎng)管系統(tǒng)管理營業(yè)終端營業(yè)終端營業(yè)服務(wù)器

以上的網(wǎng)絡(luò)架構(gòu)及安全體系結(jié)構(gòu)，只是一個(gè)大致的網(wǎng)絡(luò)邏輯架構(gòu)，簡化了許多實(shí)際應(yīng)用中需要考慮的問題，只是把主要涉及網(wǎng)絡(luò)安全的部分重點(diǎn)畫出。我在這里引用，主要是強(qiáng)調(diào)從網(wǎng)絡(luò)規(guī)劃，從網(wǎng)絡(luò)架構(gòu)上實(shí)現(xiàn)網(wǎng)絡(luò)信息安全保護(hù)是極為重要的。

4．電信企業(yè)IT網(wǎng)絡(luò)安全概括

要建立完整的計(jì)算機(jī)網(wǎng)絡(luò)安全體系，外來入侵的防范、內(nèi)部訪問的認(rèn)證控制、反病毒機(jī)制的建立及完善缺一不可，網(wǎng)絡(luò)安全體系的建立是一項(xiàng)長期而復(fù)雜的過程，電信企業(yè)只有不斷的適應(yīng)安全技術(shù)的新發(fā)展，不斷完善企業(yè)網(wǎng)絡(luò)的安全防范，才能真正做到企業(yè)信息的安全，和保證企業(yè)業(yè)務(wù)正常發(fā)展。

作者簡介：羅振一 男 1978年2月出生 2000年7月畢業(yè)于廣西大學(xué)計(jì)算機(jī)與信息工程學(xué)院 工程學(xué)士

供職于中國聯(lián)通廣西分公司 助理工程師 通訊地址：中國聯(lián)通廣西分公司信息化部新興大夏24樓 聯(lián)系電話：***。

第五篇：淺談計(jì)算機(jī)網(wǎng)絡(luò)安全對策分析

淺談計(jì)算機(jī)網(wǎng)絡(luò)安全對策分析

論文關(guān)鍵詞：計(jì)算機(jī) 網(wǎng)絡(luò) 安全 對策

論文摘要：本文對計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題進(jìn)行了深入探討，提出了對應(yīng)的改進(jìn)和防范措施。

隨著計(jì)算機(jī)信息化建設(shè)的飛速發(fā)展，計(jì)算機(jī)已普遍應(yīng)用到日常工作、生活的每一個(gè)領(lǐng)域，比如政府機(jī)關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等。但隨之而來的是，計(jì)算機(jī)網(wǎng)絡(luò)安全也受到全所未有的威脅，計(jì)算機(jī)病毒無處不在，黑客的猖獗，都防不勝防。本文將著重對計(jì)算機(jī)信息網(wǎng)絡(luò)安全存在的問題提出相應(yīng)的安全防范措施。

1、技術(shù)層面對策

在技術(shù)方面，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有實(shí)時(shí)掃描技術(shù)、實(shí)時(shí)監(jiān)測技術(shù)、防火墻、完整性檢驗(yàn)保護(hù)技術(shù)、病毒情況分析報(bào)告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來，技術(shù)層面可以采取以下對策：

1)建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴(yán)格做好開機(jī)查毒，及時(shí)備份數(shù)據(jù)，這是一種簡單有效的方法。

2)網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

3)數(shù)據(jù)庫的備份與恢復(fù)。數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法?；謴?fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。

4)應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證。基于密碼的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一，密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。

5)切斷傳播途徑。對被感染的硬盤和計(jì)算機(jī)進(jìn)行徹底殺毒處理，不使用來歷不明的U盤和程序，不隨意下載網(wǎng)絡(luò)可疑信息。

6)提高網(wǎng)絡(luò)反病毒技術(shù)能力。通過安裝病毒防火墻，進(jìn)行實(shí)時(shí)過濾。對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測，在工作站上采用防病毒卡，加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中，限制只能由服務(wù)器才允許執(zhí)行的文件。

7)研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。

2、管理層面對策

計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，而且要看它所采取的管理措施和執(zhí)行計(jì)算機(jī)安全保護(hù)法律、法規(guī)的力度。只有將兩者緊密結(jié)合，才能使計(jì)算機(jī)網(wǎng)絡(luò)安全確實(shí)有效。計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，包括對計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用

戶的法律、法規(guī)和道德觀念，提高計(jì)算機(jī)用戶的安全意識，對防止計(jì)算機(jī)犯罪、抵制黑客攻擊和防止計(jì)算機(jī)病毒干擾，是十分重要的措施。

這就要對計(jì)算機(jī)用戶不斷進(jìn)行法制教育，包括計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、保密法、數(shù)據(jù)保護(hù)法等，明確計(jì)算機(jī)用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù)，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全，維護(hù)信息系統(tǒng)的安全。除此之外，還應(yīng)教育計(jì)算機(jī)用戶和全體工作人員，應(yīng)自覺遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運(yùn)行維護(hù)和管理制度、計(jì)算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度。

3、物理安全層面對策

要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠，必須保證系統(tǒng)實(shí)體有個(gè)安全的物理環(huán)境條件。這個(gè)安全的環(huán)境是指機(jī)房及其設(shè)施，主要包括以下內(nèi)容：

1)計(jì)算機(jī)系統(tǒng)的環(huán)境條件。計(jì)算機(jī)系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn)。

2)機(jī)房場地環(huán)境的選擇。計(jì)算機(jī)系統(tǒng)選擇一個(gè)合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計(jì)算機(jī)房場地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性，避開強(qiáng)振動源和強(qiáng)噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。

3)機(jī)房的安全防護(hù)。機(jī)房的安全防護(hù)是針對環(huán)境的物理災(zāi)害和防止未授權(quán)的個(gè)人或團(tuán)體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全，首先，應(yīng)考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進(jìn)行驗(yàn)證；其次，對來訪者必須限定其活動范圍；第三，要在計(jì)算機(jī)系統(tǒng)中心設(shè)備外設(shè)多層安全防護(hù)圈，以防止非法暴力入侵；第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。

計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。我們必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強(qiáng)計(jì)算機(jī)立法和執(zhí)法的力度，建立備份和恢復(fù)機(jī)制，制定相應(yīng)的安全標(biāo)準(zhǔn)。此外，由于計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪等技術(shù)是不分國界的，因此必須進(jìn)行充分的國際合作，來共同對付日益猖獗的計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等問題。

參考文獻(xiàn)：

[1] 張千里.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社，2003.[2] 龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州:華南理工大學(xué)出版社,2006.[3] 常建平，靳慧云，婁梅枝，網(wǎng)絡(luò)安全與計(jì)算機(jī)犯罪[M].北京:中國人民公安大學(xué)出版社，2002