电信网络安全问题和常用技术分析.docVIP

电信网络安全问题和常用技术分析 　　【摘要】本文探讨了网络安全的概念和常用的主要技术手段，并分析了当前电信网络中的安全问题，针对这些问题从保障网络安全运行的角度进行了相应的技术分析。 　　【关键词】电信网络；网络安全；技术分析 　　 　　1.网络安全的概念与主要技术手段概述 　　网络安全是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。从网络的组成结构来看，网络安全的概念涵盖了网络组成硬件的安全、网络运行的安全以及网络数据的安全三个层次。网络安全运行的基本目标包括以下三个方面：①信息的必威体育官网网址性，即实现用户信息不被非法用户获得和利用，以及不被合法用户非法使用；②信息的完整性，信息的完整是指信息的存储和修改等操作都必须在授权的前提下进行，避免出现存储信息的破坏或丢失；③信息的可用性，信息的可用性是指在需要向用户提供网络信息时，能够及时的将对应权限内的信息完整的提供给用户。为了实现以上网络安全的基本目标，就必须依赖于一定的技术手段，目前在保证网络安全运行方面技术手段主要有以下6大类：数据加密技术、数字签名技术、消息认证技术、身份鉴别技术、访问控制技术以及PKI技术。这几类技术手段从不同的角度来实现对网络安全运行。由于这几类技术的技术难度和应用需求各异，因此在适用范围上会有所差异。 　　2.电信宽带城域网的网络安全问题分析 　　对于网络运行商来说，网络安全基本的、也是重要的目标就是保障各级网络的正常运行，对蠕虫病毒和DDOS攻击等常见攻击形式应当具有一定的抵御能力。为了保障网络安全，已经普遍采用防火墙技术、数据加密等技术手段，提高了面临网络攻击时的应对速度。但这些技术手段都还需要不断的维护和升级才能适应网络的发展步伐。 　　为便于讨论，本文仅限于对电信宽带的城域网网络安全问题的探讨。笔者认为当前电信城域网网络的安全问题主要表现在以下几个方面：①在网络规模越来越大的情况下，并没有形成一套能够有效的城域网安全管理体系，现有技术对网络安全的保障力度不够；②缺乏网络在运行中的实时诊断、监控技术，在面临网络攻击时缺乏有效的应对技术手段；③对不同服务级别的安全承诺SLSA缺乏有效的服务模式。 　　在上述几类问题存在的情况下，要让电信网络正常运行并为客户提供更好的增值服务，首先是保障网络的可用性，这是网络安全基本特征之一。而就当前城域网网络安全的主要威胁来看，对网络可用性威胁最大的因素是DDOS攻击和网络滥用。因此这是首先需要着力解决的问题。为达到这一目标，就必须建立各层次网络的防护系统，规范网络边界，对各业务系统范围内的网络提供有效保护，并提高面临网络攻击时的应急处理能力。从具体实施步骤上看，笔者认为应当完成以下三类基本的任务：①提高对网络中异常流量的监控力度，加强对城域网出口层、汇聚层、接入层等各个级别的网络设备的监控；②加强对网络数据的源地址合法性审查；③完善各级网络的安全管理机制，形成一套集网络监控、攻击应对机制、常规安全管理为一体的网络安全管理模式。 　　3.技术体系分析 　　 　　3.1 网络边界的保护措施 　　电信宽带城域网的网络层次结构包括出口层、核心层、汇聚层和接入层四个部分。对上述四个网络组成部分的边界保护是实现网络安全的基础之一。具体到各个层次而言，相应的安全控制措施为：①出口层，通过访问控制列表来控制进入电信城域网流量。②核心层，对与核心层相连接的网络端口进行数据包的ACL控制，加强对核心层基础网络设备的保护，对核心层管理系统进行安全强化。③汇聚层，汇聚层的安全控制是网络安全控制的核心，是网络用户数据汇聚的层次。为了加强这一层次的安全管理，首先应加强对网络数据包的监控和管理，可通过配置uRPF来防御源ＩＰ地址欺骗，同时开启TCP拦截或者CAR来限制网络流量以避免高频网络数据包攻击。此外，对已知网络病毒的防御也应在汇聚层的设备接口处来完成，可通过配置访问列表的方式来进行拦截。④接入层，启用uRPF或配置ACL，以加强对IP地址的控制和对外访问，依据需要还可以选择ICMP限速等其他功能来配合接入层的安全控制。 　　3.2 应用系统的安全防护 　　应用系统的安全防护是配合当前电信网络中部署的DNS服务器、邮件服务器、数据库等的正常使用。应用系统的安全防护的内容主要是指主机的安全防护、应用系统的入侵检测、应用系统的安全隔离以及病毒防护等。现分别对这几个方面的安全防护方式进行探讨。 　　(1)主机安全防护 　　主机的安全对于网络安全的重要意义不言而喻。主机的安全防护应首先从主机系统的漏洞修补开始，及时对主机所使用的系统进行更新和病毒检测。此外，为了避免主机在遭受攻击时造成大面积的服务瘫痪，应将重要的