第一篇:电信企业计算机网络安全构建策略分析
电信企业计算机网络安全构建策略分析
摘要 随着互联网的应用,我国的电信网络安全面临着越来越多的挑战。本文对我国电信计算机网络的现状进行了分析,从技术层面和管理层面出发提出了改进计算机网络安全的建议。
关键词 电信网络;计算机网络;安全
0引言
随着计算机技术和通信技术的融合,电信企业建立起了以计算机网络作为基础的电信支撑系统。这提高了电信企业的运营水平,但是同时也带来了很多新的问题。因此,加强电信企业计算机网络的安全管理,让安全的网络为畅通的电信系统保驾护航至关重要。本文拟对电信计算机网络中存在的安全问题进行分析,并对提高电信计算机网络安全建设策略提出了建设思路。电信计算机网络的安全现状
1.1 源自网络层面的相关问题
这其中最主要的问题是由于网络的开放性和交互性的增强,计算机病毒横行,而电信网络规模大,无法避免在某个时段和环节与因特网相连,因此感染计算机病毒,常见和棘手,有些病毒诸如网络蠕虫病毒,可以消耗带宽,造成拒绝服务攻击。其次,虽然电信计算机网络上也有防火墙系统,但是防火墙系统主要阻止的是来自网络外部的,非法的访问,对于各专业子系统间的不安全访问无法发挥多大作用。再次,尽管部分路由器配置了ACL,但是访问控制表不能实现复杂繁复的安全控制策略。由于所有的系统都有可能存在漏洞,所以,增加了因为IOS协议漏洞造成路由器遭受攻击的可能性。另外,由于用户的增加,网络结构的不合理也渐渐暴露,因特网的骨干网一般都是网状结构,容易出现网络拥堵。在电信企业内部,由于计算机网络都是管理存在保留IP地址的做法,因此IP地址的合理分配是网络安全的重要保证,曾经就发生过由于IP地址混乱造成电信计算机网无络法使用的现象[1]。
1.2 人为因素带来的安全问题
工作人员在日常工作中安全意识薄弱,可能由于各种原因丢失了主机口令,或者不能及时对主机口令等更新,这使得保护系统设备和网络的口令容易被黑客破解,黑客获取了权限,就会严重危害电信计算机网络系统。在公司内部的安全管理上,各个安全机构间信息交流少,不能协调配合处理安全事件。比如电信网络的交换机,不同的应用系统常划分了不同的VLAN,VLAN间互相联通,但是,在管理上却是由不同的部门管理的,这就给协调的配合的处理安全事件成了障碍。
1.3 对电信计算机网络安全的认识误区
首先很多人认为电信计算机网络是很安全的,唯一要提起注意的就是计算机病毒,所以计算机网络安全就是及时杀毒。这是不全面的看法,网络安全还受到外部黑客攻击,内部员工的管理等等的影响。其次,网络安全问题的产生不仅仅都来自网络外部。在实际运行过程中,很多公司出现网络安全问题,都是来自公司内部。比如浙江省电信系统某市的计费系统破坏事件,就是由于公司内部员工把机密数据打包带走。另外,不能认为有CA认证系统就夜宴
安全了,CA认证确实在一定时间内代表了一定程度的网络安全等级,但是不是绝对的安全。2 电信计算机网络安全措施
2.1 提高网络安全的技术保证
2.1.1 采用防火墙机制和Anti-DDOS系统
防火墙是一组或者一个网络设备,比如计算机系统或者路由器,目的是加强多个网络间的访问控制,保护网络不受到来自其他网络的攻击。为了加强电信网络的安全,要在每台交换机的操作系统和终端安装防火墙,防止来自外网的攻击。
2.1.2 采用访问控制策略
访问控制策略是电信计算机网络安全的主要保护策略。通过访问控制,可以保证电信网络资源不被非法访问和使用。目前访问控制策略的实现有多种途径,比如可以使用的入网访问控制,网络权限控制,网络服务器安全控制,网络监测和锁定控制,网络端口和节点的安全控制等等措施。这样的措施实施后,如果遇到无权用户或者权限受限用户,系统就会自动的终止访问或者屏蔽一部分访问的地址。对于需要保护的服务器也可以使用主机访问控制软件,鉴别请求人的合法身份以及请求的合法性[2]。
2.1.3 采用入侵检测机制和漏洞检测机制
分布式漏洞扫描器IS主要是通过模拟入侵,找出网络的漏洞,验证系统的安全,从而让工作人员能够及时发现安全隐患,采取相对的措施,比如打补丁和优化系统,进行补救。分布式网络入侵检测系统IDS,和异常流量分析设备不同,异常流量分析的原理是流量采样统计,在大流量的环境下有较强的检测能力,分布式网络入侵检测系统则主要是用来发现网络攻击,并且可以为截获和追踪,分析网络攻击行为提供原始数据,帮助监督和管理计算机网络安全。
2.2 增强电信网络的安全管理
2.2.1 建立有效的电信网络安全管理制度
尽管目前我们已经不断提高计算机网络安全技术,但是也不能忽略人员的管理工作。建立有效的管理制度很重要。笔者认为可以成立安全管理团队,系统的负责的管理和监督电信网路安全。管理小组可以通过分析日志,检查漏洞等方法定期对网络的安全进行检验,建立网络安全的专人负责,对于口令也要每月修改至少一次。这样可以充分调动人员的积极性。
2.2.2 增强电信工作人员的安全意识
电信工作人员的安全和保密意识非常重要。对员工定期进行培训,让员工意识到从最基础的物理层到接入终端,人员管理等等和安全有关的所有过程,都可能出现安全问题。在提升他们的专业能力时,也要提高他们的保密和安全意识,对相关的法律知识进行宣传。另外,2.2.3 增强电信网络的应急能力
为了增加应对突发情况,应当做一个备份系统与其他地方的管理系统相连。这样当遇到重大问题时,这个系统可以及时启动,接管发生问题的系统。另外,应当制定应急预案,并且定期演习,增加网络的应急能力。结论
电信计算机网络和公众的通信息息相关,其安全运行关系到了社会的稳定和经济活动的顺利进行。随着电信网络不断扩大规模,面临着安全问题也更加严峻,所以必须加强电信计算机网络的安全,提高电信网络的安全水平。
夜宴
第二篇:基于电信企业网络安全策略
网络教育学院
本 科 生 毕 业 论 文(设 计)
需要完整版请点击屏幕右上的“文档贡献者”
题
目: 基于电信企业的网络安全策略
基于电信企业的网络安全策略
内容摘要
随着企业办公网络的发展,如何保障网络正常运行,网络资源的合法访问,使网络免受黑客、病毒和其他不良意图的攻击显得尤为重要。本文简要介绍了企业网络安全的威胁因素,根据网络访问机制给出了相应的管理策略,并重点讨论了信息加密以及内外网互连的企业网络安全策略。
关键词:
I 电信网络;网络安全;策略基于电信企业的网络安全策略
目 录
内容摘要 ··························································································································· I 引
言 ···························································································································· 2 1 概述 ···························································································································· 3
1.1 研究背景 ·········································································································· 3 1.2 网络安全现状 ·································································································· 3 1.2 本文的主要内容及组织结构 ·········································································· 4 2 企业网络安全需求及隐患 ························································································ 5
2.1 企业网络安全需求 ·························································································· 5 2.2 企业网络安全隐患 ·························································································· 5 2.3 安全问题对企业网络的危害 ·········································································· 5 3 电信企业网络安全策略 ···························································································· 6
3.1 访问控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 内外网互联安全策略 ······················································································ 6 4 数据备份策略 ············································································································ 8 5 结论 ···························································································································· 9 参考文献 ························································································································ 10
1
基于电信企业的网络安全策略
引
言
随着计算机网络的出现和互联网的飞速发展,网络在信息获取及传递中发挥着无可比拟的作用。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。伴随着网络的发展,也产生各种各样的问题,其中安全隐患日益突出,无论是企业、服务供应商、政府部门还是研究和教育机构,安全性显然决定着网络要求和工作的优先级。对于企业而言,提高内部信息集成,实现信息共享,提高工作效率,必须要建立完善、高效的网络。
2
基于电信企业的网络安全策略 概述
1.1 研究背景
当今,互联网的发展已经出乎人们的想象,新技术、新概念层出不穷,互联网实现了人们在信息时代的梦想,预示着新经济时代的到来。因特网的迅速发展使得信息资源可以迅速的高度共享。随着全球的网络化,经济的全球化,世界缩小了,人类的工作、生活变的更加快捷方便。随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,因特网正在越来越多地离开原来单纯的学术环境,融入到经济、军事、科技、教育等各个领域中。电子商务、远程教育、网上医疗渐渐步入千家万户,网络吸引了亿万用户,它已经成为人们生活的一部分。
1.2 网络安全现状
Internet正在越来越多地融入到社会的各个方面[1]。一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着Internet和以电子商务为代表的网络应用的日益发展,Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。
随着互联网技术的发展,网上内容的丰富,互联网犹如空气、水融于世界每个角落。互联网不只是高科技的象征,它已成为整个国民经济的神经网络。企业上网不仅是一种时尚,更成为企业成功的必选项。截止到年2001年4月3日,在我国已有的个网站中,企业网站所占比重最大,为77.8%,到,2001年底全国通过网络进行的电子交易达近4万亿美元。然而,在企业纷纷享受现代文明成果之时,网络潜在的危害也在威胁着企业[2]。据统计,2001年全球电脑病毒造成的经济损失高达129亿美元,仅红色代码给企业和个人造成的经济损失就达26.2亿美元,90%的网站均遭受过网络攻击。
2000年2月,在三天的时间里,黑客使美国数家顶级互联网站-Yahoo、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使 3
基于电信企业的网络安全策略
其不能提供正常服务。在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。
国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击[3]。国内第一家大型网上连锁商城IT163网站3月6日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。
客观地说,没有任何一个网络能够免受安全的困扰,依据Financial Times曾做过的统计,平均每20秒钟就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
1.2 本文的主要内容及组织结构
基于电信企业的网络安全策略 企业网络安全需求及隐患
企业网络通常采用TCP/IP、WWW、电子邮件、数据库等通用技术和标准,依托多种通信方式进行广域连接,覆盖系统的大部分单位,传输、存储和处理的信息大都涉及到行业内部信息。因此必须对信息资源加以保护,对服务资源予以控制和管理。
2.1 企业网络安全需求
2.2 企业网络安全隐患
网络的入侵不仅来自网络外部,也来自于网络内部,由于办公网络在用途和实现方式上与公众网络有所不同,大部分办公网络都采用内部网的形式进行组建,外部网相对而言网络节点数量和信息量都较少,敏感信息一般存放在内部网络中,而且内外网之间大多采用了较强的保护甚至物理隔离措施,因此大多数的安全威胁来自网络内部,而非外部,其原因主要有:
一般来说,大部分机构的信息安全保护措施都是“防外不防内”,很多办公网络赖以保障其安全的防火墙系统大部分位于网络边界,对来自内部的攻击毫无作用。
内部人员最容易接触敏感信息,而且对系统的结构、运作都非常熟悉,因此行动的针对性很强,很容易危害系统的核心数据和资源,而且很难被发觉。
内部人员可能采用常用的非法用户技术和软件对办公网络进行测试。
2.3 安全问题对企业网络的危害
基于电信企业的网络安全策略 电信企业网络安全策略
3.1 访问控制策略
访问控制的目的是防止非法访问,实现用户身份鉴别和对重要网络、服务器的安全控制[4]。防火墙就是一类较有效并广泛应用的网络访问控制设备,它主要通过对IP地址、端口号等进行控制和设置应用安全代理等措施,实现内部被保护网络与外部网络的隔离。
在安全规则上,企业网络可以针对单独的主机、一组主机、一段网络,按照网络协议进行设置,面向对象的安全规则编辑;根据网络通讯端口设置安全规则,针对企业保护对象只开放某些服务端口;根据信息传输方向设置安全规则,同时在安全规则中设置允许、拒绝等操作方式;按照星期几或每一天具体的时间设置,实现访问控制;根据网络服务设置安全规则。
3.2 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据[5]。网络加密常用的方法有链路加密、节点加密和端点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端端加密的目的是对源端用户到目的端用户的数据提供保护。用户可根据网络情况酌情选择上述加密方式。
3.3 内外网互联安全策略
随着网络拓扑结构、网络应用以及网络安全技术的不断发展,安全策略的制订和实施是一个动态的延续过程。需要制定周密可靠的安全体制以保护内网的机密信息、阻隔外网对内网系统的有害侵袭以及有效的管理和限制内网用户对外网资源的访问等。为保证企业办公网络的安全性,一般采用以下一些策略:(1)利用防火墙技术。它是以TCP/ IP体系架构为核心,针对具体应用和用户角色进行智能决策的系统,以保护网络的可用性、系统服务的连续性;防范网络资源的非法访问及非授权访问;检测各种入侵、攻击和异常事件,并以响应的方式通知相关人员,管理人员根据警报信息及时修改相应的安全策略;通过防火墙的http访问控制管理,过滤网络地址URL,对URL中的路径部分以及网页内容进行过滤、对JAYAAP2 PLET、ACTIVEX过滤;通过防火墙的FTP访问控制管理,提供命令级的过滤功能、部分命令参数的过滤功能、限制用户的访问,对用户名进行 6
基于电信企业的网络安全策略
过滤、保护FTP服务器信息。
(2)利用入侵检测技术。入侵检测技术可使系统管理员时刻了解网络系统,给网络安全策略的制定提供依据。入侵检测系统可以监视、分析用户级系统活动;构造变化和弱点的审计;识别反映己知进攻的活动模式并向网管人员报警;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
(3)利用VLAN技术。VLAN技术的核心是网络分段。运用VLAN技术跨越交换机按功能对网络进行统一的VLAN划分,可以将通信限定在同一虚网中,形成特别有效的限制非授权访问的屏障。如在集中式网络环境下,将中心的所有服务器系统集中到一个VLAN中,将网管工作站、系统管理员经常用来登陆服务器的工作站等高安全性的用户组织到另一个VLAN中,在这些VLAN里不允许有任何用户节点,从而较好的保护敏感资源,在分布式网络环境下,可按机构和部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
基于电信企业的网络安全策略 数据备份策略
对企业服务器及数据应利用防火墙实现双机热备份和灾难冗余。对于需要高度可靠性的用户,一定要选用具有双机热备份功能的防火墙,在同一个网络节点使用两个配置相同的防火墙,正常情况下一个处于工作状态,另一个处于备份状态,当工作状态的系统出现故障时,备份状态的防火墙自动切换到工作状态,保证网络的正常使用。备用防火墙系统能够在一秒钟内完成整个切换过程,不需要人为操作和除两个防火墙以外的其他系统的参与,而且整个切换过程不影响网络上的任何通讯连接和信息传输。如果是不具有双机热备份功能的防火墙,即使能够做到双机热备份,一旦出现故障时,备用防火墙需要10秒钟以上才能替代主用防火墙正常工作,网络上的所有服务连接均需要重新建立,费时费力而且会造成很大损失。
基于电信企业的网络安全策略 结论
随着网络建设的发展,企业网络的规模将越来越大,网络安全管理工作将越来越复杂,网络安全维护将是企业的一项重要任务。在维护网络安全时,必须结合网络安全防范技术,综合考虑安全因素,制定合理的管理方案、有效的技术方案,采取切实可行的安全防护措施,逐步完善的网络安全防护体系,增强每个网络用户的安全意识,从根本上解决网络安全问题。
榆林电信分公司网络安全系统涉及的安全方案考虑到了榆林电信分公司网络安全系统的实际情况,均衡了性能价格比,从整个系统的可靠性,稳定性,安全性和可扩展性多方面进行了考虑,有如下优势:
基于电信企业的网络安全策略
参考文献
[1]陈则徐.浅析企业网络安全策略,电脑知识与技术2009.3,5(9):106-108 [2] Roberta Bmgg,CISSE Certified Information Systems Security Professional.北京:人民邮电出版社,2003:98~102 [4]胡春安.中小型企业网络升级方案的研究:[硕士学位论文].华中科技大学,2006.9,34-40 [4]仇剑锋.基于VLAN和三层交换的企业网络安全策略研究[硕士学位论文].中南大学,2006.10,8-12 [5] 1912E岩明,冼沛勇.建立数据安全系统,维护企业信息安全.计算机与网络,2003,(24):19-21 10
第三篇:电信网络安全应对策略解决方案[最终版]
电信网络安全应对策略解决方案
网络安全是一个涉及面广泛的问题。随着人们对网络依赖性的增强,电信网的安全性、可靠性与容灾能力越来越受到重视。虽然一开始,网络设计者就采用SDH恢复、双归属等技术来进行网络的冗余与备份,以提高电信业务的抗灾能力,但是由于灾难的不可预测性,如何做到未雨绸缪以及在紧急情况下迅速提供电信业务一直是人们关注的焦点。此外,随着WLAN、互联网和3G的广泛应用,下一代网络的安全性问题也日益受到重视。
一、网络安全涉及的内容
网络安全涉及的层面非常广,从网络到信息,从物理网络的保护到对各种病毒和网络攻击的预防,涉及IT行业的方方面面。一般来讲,网络安全可以简单分为以下几个层次。
1.电信网络的安全可靠性
电信网络的可靠性问题由来已久。传统上,电信网的可靠性一般分为两个方面,即预防网络故障的发生以及电信网络发生故障后的保护和恢复。目前随着通信协议在网络中的应用越来越广泛,通信协议的安全性也越来越重要,特别是在互联网的开放环境中,对通信协议的安全性要求更高。
预防网络故障的发生一般在网络规划和建设时就已经考虑,但仍然需要根据构成设备的可靠性来分析建成后系统的整体可靠性。
故障发生时的网络保护和恢复能力也是电信网络建设所考虑的重点,特别是随着传输设备的交叉连接能力的增强,为传输网络的故障恢复能力提供了重要保证。目前,IP网络的相关故障恢复主要发生在以下三个层次:光传输层、ATM层和IP层。其中,越是底层的网络,要求保护和恢复的时间越快、代价越高,也越不灵活。
2.互联网的安全可靠性
由于互联网是一种全球性、开放性、透明性的网络,是无边界的,任何团体或个人都可以在互联网上方便地传送或获取各种各样的信息。然而目前网络自身的安全保护能力有限,许多应用系统处于不设防或很少设防的状态,存在很多漏洞,而将来对网络的攻击不仅仅是已经出现的蠕虫、病毒和黑客攻击,还会有针对互联网基本机理的攻击,使关键的交换机、路由器和传输设备瘫痪。随着上网单位和网上信息的日益增多,网络与信息安全面临的挑战越来越大。
互联网协议构件的安全性问题也越来越严重,一方面与互联网协议本身有关,另一方面也与互联网的商业化进程密切相关,如目前由于互联网运营模式的变化,可能受到的攻击手段也在增加,特别是随着VoIP业务使得互联网和传统电信网互连,对传统电信网的信令系统也造成很大的威胁。因此对于互联网架构的安全性问题,一方面可以通过协议的安全性改进、实现的一致性、安全性问题标准化等措施来加强,另一方面则应尽量减少协议受攻击或者威胁的可能。
3.信息安全
网络安全与信息安全是休戚相关的,网络不安全,就谈不上信息安全;然而网络再安全,也不可能万无一失,所以还要加强信息自身的安全性。现在,基本上在网络硬件、网络操作系统、网络中的应用程序、数据安全和用户安全等五个层面上开展研究工作。除了常用的防火墙、代理服务器、安全过滤、用户证书、授权、访问控制、数据加密、安全审计和故障恢复等安全技术外,还要采取更多的措施来加强网络的安全,例如,针对现有路由器、交换机、边界网关协议(BGP)、域名系统(DNS)所存在的安全漏洞提出解决办法;迅速采用增强安全性的网络协议(特别是IPv6);对关键的网元、网站、数据中心设置真正的冗余、分集和保护;实时全面地观察和了解整个互联网的情况,对传送的信息内容负责,不盲目传递病毒或进行攻击;严格控制新技术和新系统,在找到和克服安全漏洞或者另加安全性之前不允许把它们匆忙推向市场。
目前就信息的安全性要求来说,一般强调五个要求,即信息的可用性、保密性、完整性、真实性和不可抵赖性。
二、电信行业在网络安全方面的经验
电信网络一般指有线、无线、卫星网络以及互联网等,电信网络所受到的威胁主要是恐怖袭击、自然灾难或类似情况。电信行业在安全方面的工作重点主要包括业务、网络和企业的安全可靠性。
对于电信行业来讲,安全隐患一般分为以下两种:
脆弱性(vulnerability):指通信网络设施的某些方面容易损坏或受到安全威胁的特性;
威胁:可能损害或危及网络安全的任何潜在因素。
1.通信设施主要安全问题及对策
通信设施的安全问题主要来自以下几个方面,运营商应该在问题发生之前采取预防措施,或在问题发生之后采取积极的补救措施。
(1)环境
包括建筑物、电缆沟槽、卫星轨道的空间、海缆沿途等环境。没有绝对安全的环境,要整体考虑环境安全计划,需要定期对环境进行评估和再评估,特殊环境需要特殊考虑。
(2)供电
包括电池、地线、电缆、保险丝、备用应急发电机和燃料。内部电力设施常常被忽略,需要持续检验电力系统是否有效,业务提供商和网络运营商要保证对重要的设备不间断供电,在发生自然灾难(如台风、地震)时,能够提供发电机的燃料供应和后备电源的使用。
(3)硬件
包括硬件架构、电子电路模块和电路板、金属件以及光缆、电缆、半导体芯片。关键网元的设备供应商应该对电子硬件进行测试,以确保兼容性、抗震性、耐压性、温度适应性等。
(4)软件
包括软件版本的物理储藏、开发与测试、版本控制与管理等。提供商应提供安全的软件传送方式。
(5)网络
包括节点的配置、多种网络与技术、同步、冗余、物理与逻辑的分集。业务提供商和网络运营商应该开发一套严密的程序,以评估和管理各种危险(如迂回路由、紧急状态快速反应)。
(6)负载
包括跨越网络设施传送的信息、业务量模型与统计、信息拦截侦听。网络运营商在设计网络时应该使潜在的信息拦截降到最小。
(7)人员
包括有意和无意的行为、限制、教育与培训、道德规范等。业务提供商与网络运营商应该考虑建立员工安全意识培训计划。
2.运营商对互联网采取的安全措施
互联网是未来的发展方向,也是安全隐患最大的地方。目前,互联网最常见的安全问题是病毒、蠕虫、拒绝服务攻击,网络受到的攻击越来越多。据美国计算机紧急响应小组协调中心(CERTCC)统计,1999~2002年间,每年网络受攻击数分别为9859、21756、52 658、86 000次,网络攻击愈演愈烈之势由此可见一斑。因此,运营商都在积极努力,以保证网络的正常运行。AT&T已经有七层安全协议来应对外部攻击,并且在其网络中枢构建了基于网络的主动式安全系统,可以进行细致深入的分析并能预见到各种攻击。
3.保护七号信令网
七号信令网络是电信网重要的控制系统,目前七号信令及其安全性越来越受到关注。FCC在调查造成网络瘫痪的因素时,专门对因七号信令而造成的事故进行了调查与研究。其2002年底的一份调查显示,由于七号信令而造成的网络故障有上升的趋势。几年前美国参议院司法委员会就提议运营商重视七号信令的安全,FBI国家基础设施保护中心(NIPC)也把此列为工作重点。
七号信令攻击具有以下一些共同的特点:
消息中带有非相邻信令节点的地址;
特定消息类型的量增加或异常;
特定消息类型的出现频次增加或异常;
消息集中在某链路或链路集上。
高质量的防卫将是一个多元的安全政策,最好的防卫是早期检测。运营商必须安装能够监控整个网络的设备,该设备必须能够实时地检测所有的信令消息并向中心地点报告这些情况,而且要能够对消息进行分析。
运营商应该认识到,对七号信令网络真正的攻击可能不只是简单的攻击,很可能是一个充分组织的复杂攻击,因此更要积极防范。
三、网络安全是NGN的重要内容
NGN指移动与固定运营商未来将拥有的能够提供一系列先进新业务的网络设施。在NGN中,网络安全是最重要的内容,也是亟待解决的问题。随着新技术特别是WLAN、IP分组网络、3G等的发展与应用,网络中的薄弱环节也越来越多。
1.WLAN
如今,WLAN的安全性成为一个突出的问题。随着WLAN的普遍实施,其安全性应该引起业界足够的重视。设备厂商在试图通过加密与认证等方式来减少一些安全隐患。
针对WLAN存在的安全问题,目前有四项主要的技术措施:802.1x认证协议、专门针对WLAN的安全体系标准802.11/802.11i、VPN和实现WLAN中用户隔离的虚拟局域网(VLAN)。这4项技术有的正在开发之中,有的又过于复杂,因此WLAN的安全问题在最近一段时间内难以得到彻底的解决。
2.基于IP的分组交换网
在过去的电信网络中,网络所受到的安全威胁比较典型,如毁坏PBX、恶意拨号等。而基于IP的分组交换网的安全问题将更加突出,并且与以往的安全问题相比有很大的不同。
人们使用VoIP或者MPLS来构筑VPN时,安全隐患将变大。因为人们在使用IP地址时会把自己“暴露”在大庭广众之中,这样就会面临电路交换网甚至ATM或者帧中继中从未有过的安全问题。你可以从公共域“看到”别人,别人也可以采用标准的攻击形式轻而易举地破坏路由表。例如,攻击一个交换机并非易事,但是攻击一个实施了MPLS的交换设备却方便得多,因为可以从内部网看到它所拥有的IP地址。如果有人进到内部网,就可以接入到交换机,从而带来更大的安全隐患。
3.3G
3G电话更易受到攻击。在2.5G网络中,IP地址是在基站,黑客必须先攻击基站才能攻击到电话,而基站一般都有保护措施。然而在3G网络中,IP地址实际上是在电话中,黑客可以直接攻击电话。因此,3G在安全性方面与2.5G或者i-mode相比有很大的弱点。
四、结语
随着技术的发展,电信网络涵盖的范围越来越广,以前单
一、封闭的网络正在向开放多样的网络演进,因此电信行业面临的安全问题更加复杂、多样,保障电信网络和业务的安全面临着更加严峻的形势。由于电信网络是人们向信息社会迈进的基石,与人们的工作、生活息息相关,因此无论政府、运营商还是用户,都应该更多地关心电信网络的安全问题。
第四篇:电信企业的IT网络安全探讨
电信企业的IT网络安全探讨
罗振一
(单位:中国联通广西分公司
邮编:530000)
摘要:文中论述了电信企业的IT网络安全体系复杂性,阐明了建立计算机网络安全体系的必要性,提出了解决现有计算机网络安全技术方案。着重介绍了主动防御和被动防御的各种技术,通过具体的网络安全实例,阐述了电信企业计算机网络安全体系的合理构成。
关键词:网络拓扑 网络安全体系
防火墙 加密技术 入侵检测
虚拟局域网
1. 网络架构及安全体系特点
本文主要介绍电信企业中的IT网络安全体系,不涉及通信网络的安全问题。电信企业的IT网络组成主要有:计费网、营销网络、办公网络,计费网是核心网络;营销网络是整个企业的营销系统主体,办公网络是实现企业信息化及办公自动化的基础。网络安全体系主要基于计费网为核心网,营业网、办公网、其他外围网络作为接入网络,计费网做为核心网络,放置大部分的核心数据库和主机,具有最高的安全局别,主要考虑采用主动防御和被动防御相结合的方案;营销网络安全级别仅次于计费网,是整个公司营销的基石,营销网的特点是:覆盖的地域广、接入方式不统一、终端类型繁多、INTERNET网严格隔离等,网络安全主要采用被动防御安全技术;办公网主要是为企业信息化和办公自动化建设,办公网的特点主要是:网络拓扑清晰、接入公网、权限管理复杂,办公网的安全体系,建议采用被动防御为主,主动防御为辅。基于以上的网络特点,IT网络的整个安全体系是建立在以计费网为核心,保证核心能够免疫来自内部和外部的入侵和非法访问,各种接入网建立各自的安全体系,从而建立起多级、全方位的IT网络安全体系.2. 网络安全技术
经过几十年的研究和发展,网络安全(从属信息安全)已经成为计算机科学,非常重要的组成部分,形成比较成型的理论和应用技术。电信企业应该采用这些经验和技术,建立安全、可靠的IT网络,减少由于入侵、非法访问、病毒入侵、网络故障等引起的损失,为企业发展建立一个良好的环境。以下主要介绍一些主流的网络信息安全保护技术.2.1 主动防御保护技术
主动防御保护技术主要有:数据加密、身份鉴别、存取控制、权限设置、虚拟局域网等。在主动防御保护技术方面,电信企业一般主要采用:身份鉴别、存取控制、权限设置、虚拟局域网(VLAND)等技术。身份鉴别和权限设置在不同系统,有不同的要求,有分散设置、有统一设置,机制和手段都比较成熟,在这里不做简介。对于存储控制和虚拟局域网,许多IT网络在建设时候,都有这样的技术概念,但是真正有效应用起来比较少,原因可能比较简单,麻烦或没有必要。存取控制的内容包括人员限制、访问权限设定、数据标识、和风险分析等,是内部网络信息安全的重要方向,实现方式可以通过路由访问策略、网络监控、专用物理地址和IP地址的访问控制系统等等,有效的建立起存取控制机制,可以将网络的安全性、可靠性提高一个水平,目前很多企业的网络不够稳定或出现故障,经过故障排查后发现,真正的原因和存取控制机制不够健全有很大关系。对于虚拟局域网技术,相信大家都很熟悉,在此不做太多讨论,利用好虚拟局域网技术,非常廉价也很便利。某公司曾经发生大面积的IT网络瘫痪,经过排查,故障的原因很简单,主要是一台备用的服务器出现故障,不断在网络上大量发包,造成一台主用的业务服务器受到影响。经过重新分析和排查后,发现这样问题如果将应用服务器之间进行虚拟局域网划分和设定良好的路由策略,是完全可以避免的。
2.2被动防御保护技术
被动防御保护技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证等。在电信企业的IT网络中,我们主要强调防火墙技术、入侵检测系统技术、安全扫描技术的应用。在很多公司的IT网络架构体系中,防火墙都起非常重要的做用,本文中,我们主要采用硬件防火墙,保证核心计费网同接入网实现安全隔离,办公网和公网的接入口,也采用硬件防火墙进行访问控制;入侵监测系统(IDS)处于防火墙之后对计费网络活动进行实时检测/监控,保证核心网络安全;安全扫描器 由于核心计费网和公网或外网没有直接的接口,在建立网络安全体系的时候,安全扫描只是设置为定期操作,比如一周或1个月,为应用服务器或 普通终端升级或打补丁,提供数据依据.在规划网络架构的时候,建议将入侵检测系统、安全扫描器放置于一台主机上。
2.3 反病毒技术。
反病毒技术涉及内容很复杂和广泛,目前主要使用到的基本是成熟的杀毒工具,有网络杀毒工具和单机杀毒工具,电信企业应该更多的考虑到如何使用现有的杀毒技术,对核心计费网、营销网和办公网进行病毒防范。我们建立的反病毒机制主要是,对重要的应用服务器进行实时防毒监控,统一采用网络防毒工具,单机的终端安装单机的实时放病毒软件。,3.网络安全体系的解决方案及实例
根据IT网络架构特点,及安全层次要求,电信企业的网络安全体系,应该充分利用现有的网络安全技术,主要从三个方面入手:
3.1 外来非法入侵的防范,即采用现有的网络防火墙技术,根据网络的拓扑结构特点,层层作防,把外来非法入侵的可能性降到最低点。
3.2 采用现有的认证技术,比如PKI技术等等,建立完善的内部认证体系,把来自企业内部的非法访问控制到最低点,很多调查表明,很大比例的非法入侵是来自于企业内部,因此对于企业内部的访问认证控制,是建立网络安全体系的重要工作之一,也是保证营销网络和办公网络真正能达到信息安全的重要手段。
3.3建立完善的反病毒机制,充分利用现有的很多著名的杀毒工具,比如瑞星反病毒工具、NORTON反病毒工具等,定时杀毒和作病毒防范,给公司员工灌注反病毒的意识。
以下是一个简单的网络架构实例,主要根据电信企业的网络特点规划,也是部分电信企业目前的大致网络架构,没有涉及具体的业务和各种认证系统,这样的方案在很多集成商的案例 中都可以看到,做为电信企业的IT技术人员,我着眼点主要是从整体上,从整个网络结构
上规划IT网络的安全体系。这个网络逻辑架构也是我参与建设一个企业内部网,原始的网络构造逻辑图,该网络目前在运行很好,但是仍然存在一些问题,问题将在后面的总结中具体概括。
INTERNET防火墙路由器服务器办公网入侵检测、安全扫描、反病毒营业终端入侵检测、安全扫描、反病毒服务器路由器防火墙应用服务器群路由器计费核心网路由器数据库营销网网管系统管理营业终端营业终端营业服务器
以上的网络架构及安全体系结构,只是一个大致的网络逻辑架构,简化了许多实际应用中需要考虑的问题,只是把主要涉及网络安全的部分重点画出。我在这里引用,主要是强调从网络规划,从网络架构上实现网络信息安全保护是极为重要的。
4.电信企业IT网络安全概括
要建立完整的计算机网络安全体系,外来入侵的防范、内部访问的认证控制、反病毒机制的建立及完善缺一不可,网络安全体系的建立是一项长期而复杂的过程,电信企业只有不断的适应安全技术的新发展,不断完善企业网络的安全防范,才能真正做到企业信息的安全,和保证企业业务正常发展。
作者简介:罗振一 男 1978年2月出生 2000年7月毕业于广西大学计算机与信息工程学院 工程学士
供职于中国联通广西分公司 助理工程师 通讯地址:中国联通广西分公司信息化部新兴大夏24楼 联系电话:***。
第五篇:浅谈计算机网络安全对策分析
浅谈计算机网络安全对策分析
论文关键词:计算机 网络 安全 对策
论文摘要:本文对计算机网络安全存在的问题进行了深入探讨,提出了对应的改进和防范措施。
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将着重对计算机信息网络安全存在的问题提出相应的安全防范措施。
1、技术层面对策
在技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。
6)提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7)研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。
2、管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用
户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。
3、物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
1)计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
参考文献:
[1] 张千里.网络安全新技术[M].北京:人民邮电出版社,2003.[2] 龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.[3] 常建平,靳慧云,娄梅枝,网络安全与计算机犯罪[M].北京:中国人民公安大学出版社,2002
点击咨询 