電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析

王 迅

廣東電信企業(yè)信息化（IT）運(yùn)營(yíng)中心汕頭分部，廣東汕頭 515041

0 引言

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的融合，電信企業(yè)建立起了以計(jì)算機(jī)網(wǎng)絡(luò)作為基礎(chǔ)的電信支撐系統(tǒng)。這提高了電信企業(yè)的運(yùn)營(yíng)水平，但是同時(shí)也帶來了很多新的問題。因此，加強(qiáng)電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，讓安全的網(wǎng)絡(luò)為暢通的電信系統(tǒng)保駕護(hù)航至關(guān)重要。本文擬對(duì)電信計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全問題進(jìn)行分析，并對(duì)提高電信計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)策略提出了建設(shè)思路。

1 電信計(jì)算機(jī)網(wǎng)絡(luò)的安全現(xiàn)狀

1.1 源自網(wǎng)絡(luò)層面的相關(guān)問題

這其中最主要的問題是由于網(wǎng)絡(luò)的開放性和交互性的增強(qiáng)，計(jì)算機(jī)病毒橫行，而電信網(wǎng)絡(luò)規(guī)模大，無法避免在某個(gè)時(shí)段和環(huán)節(jié)與因特網(wǎng)相連，因此感染計(jì)算機(jī)病毒，常見和棘手，有些病毒諸如網(wǎng)絡(luò)蠕蟲病毒，可以消耗帶寬，造成拒絕服務(wù)攻擊。其次，雖然電信計(jì)算機(jī)網(wǎng)絡(luò)上也有防火墻系統(tǒng)，但是防火墻系統(tǒng)主要阻止的是來自網(wǎng)絡(luò)外部的，非法的訪問，對(duì)于各專業(yè)子系統(tǒng)間的不安全訪問無法發(fā)揮多大作用。再次，盡管部分路由器配置了ACL，但是訪問控制表不能實(shí)現(xiàn)復(fù)雜繁復(fù)的安全控制策略。由于所有的系統(tǒng)都有可能存在漏洞，所以，增加了因?yàn)镮OS 協(xié)議漏洞造成路由器遭受攻擊的可能性。另外，由于用戶的增加，網(wǎng)絡(luò)結(jié)構(gòu)的不合理也漸漸暴露，因特網(wǎng)的骨干網(wǎng)一般都是網(wǎng)狀結(jié)構(gòu)，容易出現(xiàn)網(wǎng)絡(luò)擁堵。在電信企業(yè)內(nèi)部，由于計(jì)算機(jī)網(wǎng)絡(luò)都是管理存在保留IP 地址的做法，因此IP 地址的合理分配是網(wǎng)絡(luò)安全的重要保證，曾經(jīng)就發(fā)生過由于IP 地址混亂造成電信計(jì)算機(jī)網(wǎng)無絡(luò)法使用的現(xiàn)象[1]。

1.2 人為因素帶來的安全問題

工作人員在日常工作中安全意識(shí)薄弱，可能由于各種原因丟失了主機(jī)口令，或者不能及時(shí)對(duì)主機(jī)口令等更新，這使得保護(hù)系統(tǒng)設(shè)備和網(wǎng)絡(luò)的口令容易被黑客破解，黑客獲取了權(quán)限，就會(huì)嚴(yán)重危害電信計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。在公司內(nèi)部的安全管理上，各個(gè)安全機(jī)構(gòu)間信息交流少，不能協(xié)調(diào)配合處理安全事件。比如電信網(wǎng)絡(luò)的交換機(jī)，不同的應(yīng)用系統(tǒng)常劃分了不同的VLAN，VLAN 間互相聯(lián)通，但是，在管理上卻是由不同的部門管理的，這就給協(xié)調(diào)的配合的處理安全事件成了障礙。

1.3 對(duì)電信計(jì)算機(jī)網(wǎng)絡(luò)安全的認(rèn)識(shí)誤區(qū)

首先很多人認(rèn)為電信計(jì)算機(jī)網(wǎng)絡(luò)是很安全的，唯一要提起注意的就是計(jì)算機(jī)病毒，所以計(jì)算機(jī)網(wǎng)絡(luò)安全就是及時(shí)殺毒。這是不全面的看法，網(wǎng)絡(luò)安全還受到外部黑客攻擊，內(nèi)部員工的管理等等的影響。其次，網(wǎng)絡(luò)安全問題的產(chǎn)生不僅僅都來自網(wǎng)絡(luò)外部。在實(shí)際運(yùn)行過程中，很多公司出現(xiàn)網(wǎng)絡(luò)安全問題，都是來自公司內(nèi)部。比如浙江省電信系統(tǒng)某市的計(jì)費(fèi)系統(tǒng)破壞事件，就是由于公司內(nèi)部員工把機(jī)密數(shù)據(jù)打包帶走。另外，不能認(rèn)為有CA 認(rèn)證系統(tǒng)就安全了，CA 認(rèn)證確實(shí)在一定時(shí)間內(nèi)代表了一定程度的網(wǎng)絡(luò)安全等級(jí)，但是不是絕對(duì)的安全。

2 電信計(jì)算機(jī)網(wǎng)絡(luò)安全措施

2.1 提高網(wǎng)絡(luò)安全的技術(shù)保證

2.1.1 采用防火墻機(jī)制和Anti-DDOS 系統(tǒng)

防火墻是一組或者一個(gè)網(wǎng)絡(luò)設(shè)備，比如計(jì)算機(jī)系統(tǒng)或者路由器，目的是加強(qiáng)多個(gè)網(wǎng)絡(luò)間的訪問控制，保護(hù)網(wǎng)絡(luò)不受到來自其他網(wǎng)絡(luò)的攻擊。為了加強(qiáng)電信網(wǎng)絡(luò)的安全，要在每臺(tái)交換機(jī)的操作系統(tǒng)和終端安裝防火墻，防止來自外網(wǎng)的攻擊。

2.1.2 采用訪問控制策略

訪問控制策略是電信計(jì)算機(jī)網(wǎng)絡(luò)安全的主要保護(hù)策略。通過訪問控制，可以保證電信網(wǎng)絡(luò)資源不被非法訪問和使用。目前訪問控制策略的實(shí)現(xiàn)有多種途徑，比如可以使用的入網(wǎng)訪問控制，網(wǎng)絡(luò)權(quán)限控制，網(wǎng)絡(luò)服務(wù)器安全控制，網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制，網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制等等措施。這樣的措施實(shí)施后，如果遇到無權(quán)用戶或者權(quán)限受限用戶，系統(tǒng)就會(huì)自動(dòng)的終止訪問或者屏蔽一部分訪問的地址。對(duì)于需要保護(hù)的服務(wù)器也可以使用主機(jī)訪問控制軟件，鑒別請(qǐng)求人的合法身份以及請(qǐng)求的合法性[2]。

2.1.3 采用入侵檢測(cè)機(jī)制和漏洞檢測(cè)機(jī)制

分布式漏洞掃描器IS 主要是通過模擬入侵，找出網(wǎng)絡(luò)的漏洞，驗(yàn)證系統(tǒng)的安全，從而讓工作人員能夠及時(shí)發(fā)現(xiàn)安全隱患，采取相對(duì)的措施，比如打補(bǔ)丁和優(yōu)化系統(tǒng)，進(jìn)行補(bǔ)救。分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS，和異常流量分析設(shè)備不同，異常流量分析的原理是流量采樣統(tǒng)計(jì)，在大流量的環(huán)境下有較強(qiáng)的檢測(cè)能力，分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)則主要是用來發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且可以為截獲和追蹤，分析網(wǎng)絡(luò)攻擊行為提供原始數(shù)據(jù)，幫助監(jiān)督和管理計(jì)算機(jī)網(wǎng)絡(luò)安全。

2.2 增強(qiáng)電信網(wǎng)絡(luò)的安全管理

2.2.1 建立有效的電信網(wǎng)絡(luò)安全管理制度

盡管目前我們已經(jīng)不斷提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，但是也不能忽略人員的管理工作。建立有效的管理制度很重要。筆者認(rèn)為可以成立安全管理團(tuán)隊(duì)，系統(tǒng)的負(fù)責(zé)的管理和監(jiān)督電信網(wǎng)路安全。管理小組可以通過分析日志，檢查漏洞等方法定期對(duì)網(wǎng)絡(luò)的安全進(jìn)行檢驗(yàn)，建立網(wǎng)絡(luò)安全的專人負(fù)責(zé)，對(duì)于口令也要每月修改至少一次。這樣可以充分調(diào)動(dòng)人員的積極性。

2.2.2 增強(qiáng)電信工作人員的安全意識(shí)

電信工作人員的安全和保密意識(shí)非常重要。對(duì)員工定期進(jìn)行培訓(xùn)，讓員工意識(shí)到從最基礎(chǔ)的物理層到接入終端，人員管理等等和安全有關(guān)的所有過程，都可能出現(xiàn)安全問題。在提升他們的專業(yè)能力時(shí)，也要提高他們的保密和安全意識(shí)，對(duì)相關(guān)的法律知識(shí)進(jìn)行宣傳。另外，

2.2.3 增強(qiáng)電信網(wǎng)絡(luò)的應(yīng)急能力

為了增加應(yīng)對(duì)突發(fā)情況，應(yīng)當(dāng)做一個(gè)備份系統(tǒng)與其他地方的管理系統(tǒng)相連。這樣當(dāng)遇到重大問題時(shí)，這個(gè)系統(tǒng)可以及時(shí)啟動(dòng)，接管發(fā)生問題的系統(tǒng)。另外，應(yīng)當(dāng)制定應(yīng)急預(yù)案，并且定期演習(xí)，增加網(wǎng)絡(luò)的應(yīng)急能力。

3 結(jié)論

電信計(jì)算機(jī)網(wǎng)絡(luò)和公眾的通信息息相關(guān)，其安全運(yùn)行關(guān)系到了社會(huì)的穩(wěn)定和經(jīng)濟(jì)活動(dòng)的順利進(jìn)行。隨著電信網(wǎng)絡(luò)不斷擴(kuò)大規(guī)模，面臨著安全問題也更加嚴(yán)峻，所以必須加強(qiáng)電信計(jì)算機(jī)網(wǎng)絡(luò)的安全，提高電信網(wǎng)絡(luò)的安全水平。

[1]馮航航.論電信計(jì)算機(jī)網(wǎng)絡(luò)的安全管理[J].民營(yíng)科技，2011(2)：199.

[2]鄭航.關(guān)于電信計(jì)算機(jī)網(wǎng)絡(luò)安全管理的研究[J].信息與電腦，2012(3)：30.