论文部分内容阅读
摘 要 本文介绍了通信单位在经济发展和建设信息化社会中的重要作用以及网络安全面临的安全威胁,只有有效的将技术措施和管理制度结合起来,才能保证网络的安全运行,保障国家经济持续健康发展。文中并探讨了通信单位网络安全防护的基本方法和措施。
关键词 网络安全 防火墙 数据备份 防护 信息加密
截止2004年底,中国电信宽带用户已经达到3018万,电信正为越来越多的企业和用户提供网络服务,其网络一旦瘫痪或出现故障其损失将不可估量。由于电信网络的开放性、共享性和互联性,致使网络易受到黑客、病毒等的攻击,软件的漏洞、缺陷、后门,密码的泄露,远程非法访问等都对网络的安全和网上信息的保密等构成严重威胁。因此,通信单位必须采取各种完善的安全保障措施,否则将给企业和个人带来巨大的经济损失,甚至影响国民经济的健康发展。所以,通信单位应认识到我们的网络面临的严峻挑战,采取物理的和逻辑的,硬件的和软件的,整体的和局部的相结合的立体安全保障措施,保障电信网络的安全性、完整性、保密性和可用性。
一、通信单位网络面临的安全威胁
通信单位网络面临的威胁主要包括两部分,一是对网络结构,主要指物理上的安全的威胁,二是内容上的信息的安全。影响网络安全的因素很多,既有客观的不可抗拒的自然因素,也有人为的;既有无意间带来的安全威胁,也有故意恶意的破坏,归纳起来主要有以下几个方面:
1.计算机病毒
计算机病毒是电信企业目前面临的一个比较突出的安全问题,由于互联网的开放性和网上业务、用户爆炸式的增长,病毒活动日益泛滥,其传播方式也发生了根本的变化,由原来的通过软盘、光盘拷贝式的传播转化为通过互联网、电子邮件等形式传播,它传播的速度非常快,危害很大,往往让大量宽带用户、银行业、校园网等局域网、甚至电信企业整个业务陷于瘫痪,带来不可估量的经济损失。椐不完全统计2004年共发生网络安全事件64686件,发现新病毒13464个,冲击波、蠕虫等病毒爆发时都曾导致大量宽带用户不能正常使用宽带业务,给广大用户带来较大的经济损失。
2.人为的恶意攻击
这是电信网络面临的又一重大威胁,网络的黑客入侵和计算机犯罪基本都属于这一类。这类攻击又可分为两种情况,一种是主动性的、破坏性强的对网络信息系统进行攻击,如国内发生的政府网站被黑就属于这种,目标就是要摧毁信息网络的有效性和完整性,使网络大面积陷于瘫痪或业务不可使用,带有明显的破坏意图和政治目标。另一种是在不影响网络正常工作的情况下的“软”攻击,主要是截取、窃取、破译、盗窃网上的机密信息、用户的密码帐号等等,如电信宽带用户经常发生的影视帐号、游戏帐号、通过网上银行骗取用户的信用卡号和密码等都属于这种。
3.物理原因及其它不可抗力等因素
电信业的网络结构和能力建设尚不能完全满足用户飞速增长的需要,网络结构需要进一步优化调整,Internet骨干网虽然采用网状网结构,具备一定的抗风险能力,但仍然存在一些需要改进的地方,骨干网中继带宽紧张,易出现网络拥塞,部分核心设备性能低,骨干中继光缆易受到山体滑坡、洪水、冰雹等的影响造成阻断等客观存在。电信企业每年都投入巨额资金用于网络的改造升级,优化网络结构。
4.软件的缺陷、漏洞、后门等
网络软件不可能是百分之百的无缺陷和无漏洞的,需要在使用过程中不断的修补和升级,电信网络设备和管理软件应该定期进行升级和下载补丁程序,这一点往往不被重视,结果造成非常严重的后果,今年早些时候发生的全国关注的“4.11”断网事件就是一个典型事例。2005年4月11日22:05,中国Chinanet骨干网28台核心路由器因软件缺陷导致系统宕机,发生雪崩效应,整个互联网陷入瘫痪,全面恢复持续时间近两小时,导致该次事故的直接原因经事后调查为骨干网上的6台大区骨干核心CISCO 路由器存在软件缺陷,更新ISIS数据不成功时发生系统重起,导致核心和汇聚的28台路由器更新数据不成功,致使系统瘫痪,全国大量宽带用户断网近两小时。软件的后门一般都是程序开发人员为了工作方便留下的,但它恰恰为网络的恶意攻击和病毒的入侵大开了方便之门。
5.密码的遗失、盗取
由于互联网的开放性,用户上网基本都需要各种各样的用户名和密码,但我们的密码失窃、不键壮问题却比较突出,用户的互联星空密码、游戏密码、管理软件的操作密码等太简单,如使用电话号码、生日等作为密码就很容易被不怀好意的人猜中,从而造成他消费,你买单的现象,给用户带来不必要的经济损失。由于密码太简单和失窃给宽带用户带来的帐号被盗产生资费纠纷等问题在前两年比较突出,我们除了要求用户不要使用简单易记的密码、帐号等措施外,电信企业也采取了一些诸如宽带认证、用户上网帐号与端口绑定等措施,保证用户业务使用的安全。
二、通信单位的网络安全防护措施
1.物理安全措施
物理安全就是要保证网络的核心层、汇聚层、接入层的核心路由器、交换机、网络服务器、DNS服务器、网络终端等的安全,免受物理损伤。中国电信的核心网络主要是指Chinanet骨干网,采用“双核心,双路由”的网状网结构,保证网络具有较高的可靠性,核心设备都采用双设备互为主备用,正常情况下两台设备进行流量分担,若其中一台设备出现故障,备用设备自动承担全部流量,保证全国广大用户业务的正常使用。同时由于网状网组网方式的显著优点,若任何一条骨干通信电路发生阻断,由于采用的是动态路由协议,网络将采用迂回路由到达目的地,保证网络的安全畅通。在电信网络的汇聚层,则主要应采用“业务分担、路由备份、多光路、少直联”的网络组网原则,汇聚交换设备、路由设备采用双设备业务分担,中继传输电路进行双备份,采用SDH或WDM构建自愈环网,保证网络的安全可靠。
2.网络安全技术保障措施:
防火墙系统是一种保护计算机网络安全的技术手段,它是一个用来阻止网络中的黑客或未经授权访问某个机构的屏障,它既可以是硬件,也可以是软件,它处于被保护网络和其它网络的边界,通过建立起相应的网络通信监控系统来隔离内部和外部网络,阻挡外部网络的入侵。电信通信网络采用的防火墙主要有包过滤防火墙和代理防火墙两种类型。
包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先需建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可用于禁止外部不合法用户对内部网络的访问,也可以用来禁止访问某些服务类型,如我公司的OA办公网系统、97计费帐务系统等就是采用这类防火墙。
代理防火墙:代理防火墙又称应用级网关防火墙,它一般由代理服务器和过滤路由器组成,也是目前电信企业普遍采用的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后根据服务器类型、服务内容、被服务的对象、服务者申请的时间、申请的域名范围等来决定是否接受该项服务,如果接受,它就向内部网络转发这项请求。
防火墙通过上述方法,实现企业内部网络的访问控制和其它安全策略,从而降低内部网络的安全风险,保护内部网络的安全。但防火墙自身也存在一些弱点,如无法防止内部的攻击和内部网络与互联网通过拨号直接连接等,这些都需要采用其它的技术措施来保证整个通信网络的安全。
3.网络安全扫描技术
网络安全扫描技术是系统管理员为了及时了解系统中存在的安全漏洞, 采用一定的软件技术,定期对系统中的关键设备按照事先编制的程序进行循环检测的安全技术。电信企业已经建立了一套完善的网络安全扫描体系,四川电信数据网管中心会定期对全省范围内的核心路由器、交换机、BRAS等设备和本地网的网络管理控制终端通过远程网管进行扫描,发现系统存在的软件缺陷、操作系统漏洞、不健全的管理口令、机房核心设备不必要打开的端口等,以互联网安全信息通报的形式下发各地市,并提出整改技术措施,保证数据通信网络安全。
4.访问控制技术
访问控制是网络安全防范和保护的主要措施,它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全,保护网络资源的重要手段。各种网络安全措施必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全的核心措施之一。主要包括入网访问控制、网络的权限控制、网络服务器安全控制、网络监测和锁定控制等。
入网访问控制为网络访问提供了第一层访问控制。他控制哪些用户能够登陆到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中任何一道未过,该用户便不能进入该网络。对网络用户的用户名和口令验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法,如果验证合法,才继续验证用户输入的口令,否则用户将被拒绝之网络之外。用户的口令是保证用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不小于6个字符,且不能用全1或全0及电话号码、生日等容易猜中的数据做密码,最好用无规律的数字、字母及其它字符组合,且必须进行加密。
三、通信单位网络的安全管理措施
在网络安全中,除了采用上述技术措施外,加强网络的安全管理,制定必要的规章制度和科学合理的应急调度手段,对于确保网络的安全可靠的运行,也是至关重要的。由于网络新漏洞的出现和新威胁的增长,必须通过网络的安全管理收集这些信息,及时采取对应的安全措施,不断调整安全策略,完善安全手段,同时建立各种应急保障措施与响应制度,认真执行应急预案,提高系统的抗攻击和抗灾难的响应能力和时限。
网络的安全管理措施包括:确定安全管理等级和安全管理范围;制定有关网络安全操作使用规程和人员出入机房管理制度;制定网络系统的维护和应急措施等。电信企业有各种各样的安全管理规章制度,如核心交换机数据修改制度、计算机病毒防范管理制度、外来人员进入重要机房登记报告审批制度、业务调度和应急恢复制度、重大障碍处理上报制度等,通过各种网络安全技术保障措施和完善的安全管理措施,确保整个网络的安全可靠运行。
我国信息产业对网络的安全越来越重视,网络安全产品产业正逐年壮大,企业和科研机构对安全的投入逐步增加,部分技术甚至达到国际先进水平,各级电信企业只有结合自身实际情况,将各种网络安全措施有机结合起来,将网络安全与网络建设、业务发展同等重视起来,做到网络安全与网络建设同设计、同建设,同时投入使用,才能保证网络的安全可靠运行,为广大网络用户提供安全可靠的网络,为国民经济的健康发展提供可靠保证。
参考文献:
1.陈敏娜,论通信网络安全维护,企业家天地,2010/03
2.蒋宏,现代通信网络安全现状及维护措施浅析,民营科技,2010/02
3.程建峰,移动通信网络安全技术分析,陇东学院学报,2009/05
4.龚月瑛,浅议网络安全中的身份认证技术,淮北职业技术学院学报,2004/04,
5.康丽军,网络安全中的身份认证机制,太原重型机械学院学报,2004/01,
6.吴建军,校园网络安全中的身份认证问题,教育信息化,2003/11,
关键词 网络安全 防火墙 数据备份 防护 信息加密
截止2004年底,中国电信宽带用户已经达到3018万,电信正为越来越多的企业和用户提供网络服务,其网络一旦瘫痪或出现故障其损失将不可估量。由于电信网络的开放性、共享性和互联性,致使网络易受到黑客、病毒等的攻击,软件的漏洞、缺陷、后门,密码的泄露,远程非法访问等都对网络的安全和网上信息的保密等构成严重威胁。因此,通信单位必须采取各种完善的安全保障措施,否则将给企业和个人带来巨大的经济损失,甚至影响国民经济的健康发展。所以,通信单位应认识到我们的网络面临的严峻挑战,采取物理的和逻辑的,硬件的和软件的,整体的和局部的相结合的立体安全保障措施,保障电信网络的安全性、完整性、保密性和可用性。
一、通信单位网络面临的安全威胁
通信单位网络面临的威胁主要包括两部分,一是对网络结构,主要指物理上的安全的威胁,二是内容上的信息的安全。影响网络安全的因素很多,既有客观的不可抗拒的自然因素,也有人为的;既有无意间带来的安全威胁,也有故意恶意的破坏,归纳起来主要有以下几个方面:
1.计算机病毒
计算机病毒是电信企业目前面临的一个比较突出的安全问题,由于互联网的开放性和网上业务、用户爆炸式的增长,病毒活动日益泛滥,其传播方式也发生了根本的变化,由原来的通过软盘、光盘拷贝式的传播转化为通过互联网、电子邮件等形式传播,它传播的速度非常快,危害很大,往往让大量宽带用户、银行业、校园网等局域网、甚至电信企业整个业务陷于瘫痪,带来不可估量的经济损失。椐不完全统计2004年共发生网络安全事件64686件,发现新病毒13464个,冲击波、蠕虫等病毒爆发时都曾导致大量宽带用户不能正常使用宽带业务,给广大用户带来较大的经济损失。
2.人为的恶意攻击
这是电信网络面临的又一重大威胁,网络的黑客入侵和计算机犯罪基本都属于这一类。这类攻击又可分为两种情况,一种是主动性的、破坏性强的对网络信息系统进行攻击,如国内发生的政府网站被黑就属于这种,目标就是要摧毁信息网络的有效性和完整性,使网络大面积陷于瘫痪或业务不可使用,带有明显的破坏意图和政治目标。另一种是在不影响网络正常工作的情况下的“软”攻击,主要是截取、窃取、破译、盗窃网上的机密信息、用户的密码帐号等等,如电信宽带用户经常发生的影视帐号、游戏帐号、通过网上银行骗取用户的信用卡号和密码等都属于这种。
3.物理原因及其它不可抗力等因素
电信业的网络结构和能力建设尚不能完全满足用户飞速增长的需要,网络结构需要进一步优化调整,Internet骨干网虽然采用网状网结构,具备一定的抗风险能力,但仍然存在一些需要改进的地方,骨干网中继带宽紧张,易出现网络拥塞,部分核心设备性能低,骨干中继光缆易受到山体滑坡、洪水、冰雹等的影响造成阻断等客观存在。电信企业每年都投入巨额资金用于网络的改造升级,优化网络结构。
4.软件的缺陷、漏洞、后门等
网络软件不可能是百分之百的无缺陷和无漏洞的,需要在使用过程中不断的修补和升级,电信网络设备和管理软件应该定期进行升级和下载补丁程序,这一点往往不被重视,结果造成非常严重的后果,今年早些时候发生的全国关注的“4.11”断网事件就是一个典型事例。2005年4月11日22:05,中国Chinanet骨干网28台核心路由器因软件缺陷导致系统宕机,发生雪崩效应,整个互联网陷入瘫痪,全面恢复持续时间近两小时,导致该次事故的直接原因经事后调查为骨干网上的6台大区骨干核心CISCO 路由器存在软件缺陷,更新ISIS数据不成功时发生系统重起,导致核心和汇聚的28台路由器更新数据不成功,致使系统瘫痪,全国大量宽带用户断网近两小时。软件的后门一般都是程序开发人员为了工作方便留下的,但它恰恰为网络的恶意攻击和病毒的入侵大开了方便之门。
5.密码的遗失、盗取
由于互联网的开放性,用户上网基本都需要各种各样的用户名和密码,但我们的密码失窃、不键壮问题却比较突出,用户的互联星空密码、游戏密码、管理软件的操作密码等太简单,如使用电话号码、生日等作为密码就很容易被不怀好意的人猜中,从而造成他消费,你买单的现象,给用户带来不必要的经济损失。由于密码太简单和失窃给宽带用户带来的帐号被盗产生资费纠纷等问题在前两年比较突出,我们除了要求用户不要使用简单易记的密码、帐号等措施外,电信企业也采取了一些诸如宽带认证、用户上网帐号与端口绑定等措施,保证用户业务使用的安全。
二、通信单位的网络安全防护措施
1.物理安全措施
物理安全就是要保证网络的核心层、汇聚层、接入层的核心路由器、交换机、网络服务器、DNS服务器、网络终端等的安全,免受物理损伤。中国电信的核心网络主要是指Chinanet骨干网,采用“双核心,双路由”的网状网结构,保证网络具有较高的可靠性,核心设备都采用双设备互为主备用,正常情况下两台设备进行流量分担,若其中一台设备出现故障,备用设备自动承担全部流量,保证全国广大用户业务的正常使用。同时由于网状网组网方式的显著优点,若任何一条骨干通信电路发生阻断,由于采用的是动态路由协议,网络将采用迂回路由到达目的地,保证网络的安全畅通。在电信网络的汇聚层,则主要应采用“业务分担、路由备份、多光路、少直联”的网络组网原则,汇聚交换设备、路由设备采用双设备业务分担,中继传输电路进行双备份,采用SDH或WDM构建自愈环网,保证网络的安全可靠。
2.网络安全技术保障措施:
防火墙系统是一种保护计算机网络安全的技术手段,它是一个用来阻止网络中的黑客或未经授权访问某个机构的屏障,它既可以是硬件,也可以是软件,它处于被保护网络和其它网络的边界,通过建立起相应的网络通信监控系统来隔离内部和外部网络,阻挡外部网络的入侵。电信通信网络采用的防火墙主要有包过滤防火墙和代理防火墙两种类型。
包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先需建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可用于禁止外部不合法用户对内部网络的访问,也可以用来禁止访问某些服务类型,如我公司的OA办公网系统、97计费帐务系统等就是采用这类防火墙。
代理防火墙:代理防火墙又称应用级网关防火墙,它一般由代理服务器和过滤路由器组成,也是目前电信企业普遍采用的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后根据服务器类型、服务内容、被服务的对象、服务者申请的时间、申请的域名范围等来决定是否接受该项服务,如果接受,它就向内部网络转发这项请求。
防火墙通过上述方法,实现企业内部网络的访问控制和其它安全策略,从而降低内部网络的安全风险,保护内部网络的安全。但防火墙自身也存在一些弱点,如无法防止内部的攻击和内部网络与互联网通过拨号直接连接等,这些都需要采用其它的技术措施来保证整个通信网络的安全。
3.网络安全扫描技术
网络安全扫描技术是系统管理员为了及时了解系统中存在的安全漏洞, 采用一定的软件技术,定期对系统中的关键设备按照事先编制的程序进行循环检测的安全技术。电信企业已经建立了一套完善的网络安全扫描体系,四川电信数据网管中心会定期对全省范围内的核心路由器、交换机、BRAS等设备和本地网的网络管理控制终端通过远程网管进行扫描,发现系统存在的软件缺陷、操作系统漏洞、不健全的管理口令、机房核心设备不必要打开的端口等,以互联网安全信息通报的形式下发各地市,并提出整改技术措施,保证数据通信网络安全。
4.访问控制技术
访问控制是网络安全防范和保护的主要措施,它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全,保护网络资源的重要手段。各种网络安全措施必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全的核心措施之一。主要包括入网访问控制、网络的权限控制、网络服务器安全控制、网络监测和锁定控制等。
入网访问控制为网络访问提供了第一层访问控制。他控制哪些用户能够登陆到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中任何一道未过,该用户便不能进入该网络。对网络用户的用户名和口令验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法,如果验证合法,才继续验证用户输入的口令,否则用户将被拒绝之网络之外。用户的口令是保证用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不小于6个字符,且不能用全1或全0及电话号码、生日等容易猜中的数据做密码,最好用无规律的数字、字母及其它字符组合,且必须进行加密。
三、通信单位网络的安全管理措施
在网络安全中,除了采用上述技术措施外,加强网络的安全管理,制定必要的规章制度和科学合理的应急调度手段,对于确保网络的安全可靠的运行,也是至关重要的。由于网络新漏洞的出现和新威胁的增长,必须通过网络的安全管理收集这些信息,及时采取对应的安全措施,不断调整安全策略,完善安全手段,同时建立各种应急保障措施与响应制度,认真执行应急预案,提高系统的抗攻击和抗灾难的响应能力和时限。
网络的安全管理措施包括:确定安全管理等级和安全管理范围;制定有关网络安全操作使用规程和人员出入机房管理制度;制定网络系统的维护和应急措施等。电信企业有各种各样的安全管理规章制度,如核心交换机数据修改制度、计算机病毒防范管理制度、外来人员进入重要机房登记报告审批制度、业务调度和应急恢复制度、重大障碍处理上报制度等,通过各种网络安全技术保障措施和完善的安全管理措施,确保整个网络的安全可靠运行。
我国信息产业对网络的安全越来越重视,网络安全产品产业正逐年壮大,企业和科研机构对安全的投入逐步增加,部分技术甚至达到国际先进水平,各级电信企业只有结合自身实际情况,将各种网络安全措施有机结合起来,将网络安全与网络建设、业务发展同等重视起来,做到网络安全与网络建设同设计、同建设,同时投入使用,才能保证网络的安全可靠运行,为广大网络用户提供安全可靠的网络,为国民经济的健康发展提供可靠保证。
参考文献:
1.陈敏娜,论通信网络安全维护,企业家天地,2010/03
2.蒋宏,现代通信网络安全现状及维护措施浅析,民营科技,2010/02
3.程建峰,移动通信网络安全技术分析,陇东学院学报,2009/05
4.龚月瑛,浅议网络安全中的身份认证技术,淮北职业技术学院学报,2004/04,
5.康丽军,网络安全中的身份认证机制,太原重型机械学院学报,2004/01,
6.吴建军,校园网络安全中的身份认证问题,教育信息化,2003/11,