动力中心丁锡松-动力环境集中监控系统安全分层控制浅析.doc

动力环境集中监控系统安全分层控制浅析 丁锡松 （中国联通台州分公司运维部动力中心 318000） 摘要：本文作者结合自己在中国联通台州分公司运维部动力中心3年多的动力环境集中监控系统维护工作中的点滴经验，从涉及动力监控系统安全的6个方面的主要因素进行分析，继之详细论述了监控系统安全分层控制方案的内容，简要分析动力监控系统安全的重要性及如何保证监控系统安全性，进而对各层面的安全采取不同的技术措施。 关键词：监控 安全 分层控制 目前，动力环境集中监控系统（以下简称：动力监控系统）已经成为整个电信行业维护管理人员不可缺少的先进维护手段。随着台州地区移动通信业务的迅猛发展，基站数目不断增加，网络规模日益扩大，基站的动力监控系统成为工程建设初期就必须考虑的方面，其重要性不言而喻。 然而，在动力监控系统的应用过程中，我们将大部分的注意力都集中在动力监控系统硬件的性能和软件的功能上，往往忽视了监控系统数据的安全问题。实际上，动力随着建设规模日益扩大，更多的设备和仪器并网运行，系统变得庞大而复杂，任何一个节点的故障都会给监控系统带来严重的隐患。目前的监控系统采用服务器\客户机的运行模式，客户机上不存放任何数据，它的数据均来自服务器，因此，当业务台网络或服务器运行不正常时，业务台会受到影响或不能运行。更为严重的是，如果服务器的数据存储硬件（硬盘、内存等）损坏，将会使整个监控系统的所有数据丢失，多年苦心维护的监控系统完全崩溃。因此，动力监控系统安全是我们需要面对的问题，如何建立完善的网络安全方案、保护核心资源是摆在我们面前的一大课题。 1、监控系统安全的主要威胁 影响监控安全的因素很多，既有自然因素，也有人为因素，其中人为因素危害较大，归结起来，主要有六个方面构成对监控系统网络的威胁： 人为失误 一些无意的行为，如：丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人登陆等，都会对监控系统造成极大的安全隐患。 病毒感染 从简单的引导型病毒、宏病毒，到更具破坏性的CIH、爱虫、冲击波等“蠕虫”病毒，病毒一直是计算机系统安全最直接的威胁，网络更是为病毒提供了迅速传播的途径，病毒很容易地通过代理服务器以软件下载、邮件接收等方式进入网络，然后对网络进行攻击，造成很大的损失，人们甚至到了谈“毒”变色的程度。 来自网络外部的攻击 这是指来自局域网外部的恶意的攻击，例如：有选择地破坏网络信息的有效性和完整性；伪装为合法用户进入网络并占用大量资源；修改网络数据、窃取、破译机密信息、破坏软件执行；在中间站点拦截和读取绝密信息等。 来自网络内部的攻击 在局域网内部，一些非法用户冒用合法用户的口令以合法身份登陆网站后，查看数据信息，修改信息内容及破坏应用系统的运行。或者一部分局域网电脑在中了病毒之后，成为病毒的“帮凶”，不断对系统发动蠕虫攻击，造成网络瘫痪。 系统的漏洞及“后门” 操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。另外，编程人员为自便而在软件中留有“后门”，一旦“漏洞”及“后门”为外人所知，就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。 隐私及机密资料的存储和传输 机密资料存储在网络系统内，当系统受到攻击时，如不采取措施，很容易被搜集而造成泄密。同样，机密资料在传输过程中，由于要经过多个外节点，且难以查证，在任何中介服务器均可以读取。因而，隐私和机密资料的存储及传输也是威胁网络安全的一个重要方面。 　　由于网络本身所带来的诸多不安全因素，使得网络使用者必须采用相应的网络安全技术和安全控制体系来堵塞安全漏洞以保证信息的安全。 2、安全分层控制方案 在网络安全方面，可以采用多种技术从不同角度来保证住处的安全。然而，单纯的防护技术可能导致系统安全的盲目性，这种盲目是对系统的某个或某些方面的安全采取了安全措施而对其它方面有所忽视。因而，在网络安全上，我们采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，进而对各层的安全采取不同的技术措施。 2.1、外部网络传输控制层 　　外部网络是指局域网路由器和防火墙之外的公用网。当前网络技术发展迅速，网络四通八达，网上黑客手段多种多样，为了保证安全，可以从多个方面采取措施，保证网络安全，目前比较流行和常见的方法有以下四种： 2.1.1、虚拟专网（VPN）技术： 对于从专线连接的外部网络用户，采用虚拟专网（VPN）技术，它使架设于公众网络上的私有网络使用信道协议及相关的安全程序进行必威体育官网网址，还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠。 2.1.2、身份认证技术： 对于拨号入网的用户进行严格控制，在拨号线路