通信支撐網(wǎng)安全策略的研究分析

摘要：為全面提升通信業(yè)務(wù)水平，要對(duì)支撐網(wǎng)安全效能予以控制，降低安全隱患造成的影響，提升網(wǎng)絡(luò)結(jié)構(gòu)安全保護(hù)級(jí)別，從而確保通信各項(xiàng)業(yè)務(wù)在規(guī)范控制范圍內(nèi)全面推進(jìn)，實(shí)現(xiàn)經(jīng)濟(jì)效益和社會(huì)效益的和諧統(tǒng)一。本文分析了通信業(yè)務(wù)支撐網(wǎng)安全問(wèn)題，并從訪問(wèn)控制、信息加密、管理控制三個(gè)方面對(duì)具體的安全策略展開討論。

關(guān)鍵詞：通信業(yè)務(wù);支撐網(wǎng);安全策略

一、引言

通信體系借助業(yè)務(wù)支撐網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)以及監(jiān)控網(wǎng)絡(luò)等形成統(tǒng)一的業(yè)務(wù)服務(wù)模式，以便于能維持網(wǎng)絡(luò)通信的穩(wěn)定性和安全性，為網(wǎng)絡(luò)統(tǒng)籌管理控制工作水平的全面進(jìn)步奠定基礎(chǔ)。

二、通信業(yè)務(wù)支撐網(wǎng)安全問(wèn)題研究

近幾年，我國(guó)通信技術(shù)呈現(xiàn)出全面發(fā)展的態(tài)勢(shì)，然而，通信服務(wù)支持網(wǎng)絡(luò)的安全水平還有一些亟待解決的問(wèn)題，若是從通信服務(wù)支持網(wǎng)絡(luò)的角度對(duì)相關(guān)情況進(jìn)行分析，拓?fù)浒踩詥?wèn)題較為普遍。比如，網(wǎng)絡(luò)平臺(tái)的安全性、遠(yuǎn)程服務(wù)結(jié)構(gòu)的安全性以及終端安全性等[1]。

一般而言，要實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)鋺?yīng)用控制目標(biāo)，就要對(duì)行業(yè)發(fā)展和冗余體系抗干擾性予以分析。并且，配合相應(yīng)的服務(wù)機(jī)制，才能更好地維持網(wǎng)絡(luò)和系統(tǒng)信息的科學(xué)配置。盡管服務(wù)器和設(shè)備都能有效支持遠(yuǎn)程訪問(wèn)，且遠(yuǎn)程服務(wù)工作模塊的功能也在不斷完善，卻依舊存在通信業(yè)務(wù)支持網(wǎng)絡(luò)安全不足的現(xiàn)象，很容易受到隱藏危害的攻擊。

三、通信業(yè)務(wù)支撐網(wǎng)安全策略研究

正是因?yàn)橥ㄐ艠I(yè)務(wù)會(huì)受到威脅，因此，要針對(duì)通信業(yè)務(wù)支撐網(wǎng)建立更加可靠的安全監(jiān)督控制模式，發(fā)揮對(duì)應(yīng)策略的優(yōu)勢(shì)作用，有效搭建科學(xué)合理的控制模式。

（一）訪問(wèn)策略

在計(jì)算機(jī)系統(tǒng)的常規(guī)化活動(dòng)中，主體和客體之間開展相應(yīng)的業(yè)務(wù)交互才能完成具體作業(yè)，因此，在計(jì)算機(jī)安全管理體系中，要將主體對(duì)客體的訪問(wèn)合法性作為評(píng)估關(guān)鍵，包括對(duì)數(shù)據(jù)信息、程序讀取、寫入、修改以及執(zhí)行等環(huán)節(jié)的監(jiān)管?；诖?，在通信業(yè)務(wù)支撐網(wǎng)安全管控工作開展過(guò)程中，要建立匹配的訪問(wèn)控制模型，確保能對(duì)資源訪問(wèn)予以集中管理，在檢查用戶訪問(wèn)權(quán)限的同時(shí)，評(píng)估是否可供資料查閱和信息讀取。

1.訪問(wèn)控制

較為常見(jiàn)的訪問(wèn)控制主要分為自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制，要結(jié)合實(shí)際情況落實(shí)相匹配的評(píng)估信息，確保相應(yīng)內(nèi)容的規(guī)范性。

（1）自主訪問(wèn)控制。指的是資源掌控者依據(jù)實(shí)際需求劃定可以訪問(wèn)其資源的對(duì)象范圍，并配合用戶和用戶進(jìn)程選擇可供共享的資源內(nèi)容，因此，在自主訪問(wèn)控制體系中，一般是對(duì)單個(gè)用戶執(zhí)行相應(yīng)作業(yè)。目前，較為常見(jiàn)的自主訪問(wèn)控制模式是DAC，配合訪問(wèn)控制矩陣和訪問(wèn)控制表就能建立有效的控制模式，實(shí)現(xiàn)數(shù)據(jù)的靈活化管理和規(guī)范訪問(wèn)。①基于“行”的自主訪問(wèn)控制。在每個(gè)主體基礎(chǔ)上附加該主體訪問(wèn)的客體明細(xì)，按照權(quán)利表、前綴表和口令開展相應(yīng)作業(yè)。比如，口令執(zhí)行模式中，要結(jié)合訪問(wèn)控制矩陣對(duì)客體相應(yīng)口令予以評(píng)估，并在訪問(wèn)前向操作系統(tǒng)提供口令明細(xì)，以便于能直接建立相應(yīng)的數(shù)據(jù)評(píng)估。②基于“列”的自主訪問(wèn)控制。主要是從保護(hù)位和訪問(wèn)控制表兩個(gè)方面出發(fā)，建立相應(yīng)的訪問(wèn)控制分析模式，有效借助客體附加主體明細(xì)表的方式實(shí)現(xiàn)矩陣評(píng)估，從而在訪問(wèn)控制體系內(nèi)盡量實(shí)現(xiàn)自主訪問(wèn)控制。除此之外，要按照等級(jí)型、有主型、自由型等類別對(duì)自主訪問(wèn)控制的訪問(wèn)許可予以分析，借助訪問(wèn)許可和訪問(wèn)模式更好地描述主體對(duì)客體的訪問(wèn)權(quán)限，最大程度上保證訪問(wèn)操作執(zhí)行的規(guī)范效果，以便于能提升統(tǒng)籌管理效果。

（2）強(qiáng)制訪問(wèn)控制。是指系統(tǒng)的主體和客體在訪問(wèn)關(guān)系中分屬不同的安全屬性劃定范圍，用戶在實(shí)際操作環(huán)節(jié)中，無(wú)法改變自身的安全屬性，只有相應(yīng)的系統(tǒng)管理員才能有效評(píng)估用戶和用戶組的訪問(wèn)權(quán)限。

比如，通過(guò)角色分析完成訪問(wèn)控制。在基于角色訪問(wèn)控制系統(tǒng)模式中，結(jié)合企業(yè)或者是相關(guān)組織的業(yè)務(wù)需求，要設(shè)置若干個(gè)“角色”客體，在此基礎(chǔ)上，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)分工。系統(tǒng)管理員主要是負(fù)責(zé)將系統(tǒng)和數(shù)據(jù)訪問(wèn)的權(quán)限賦予不同角色，并且能結(jié)合角色相關(guān)需求的變動(dòng)予以動(dòng)態(tài)升級(jí)，實(shí)現(xiàn)權(quán)限和職責(zé)的合理性劃分控制，保證資源管理權(quán)限的最優(yōu)化。

2.防火墻

在通信業(yè)務(wù)支撐網(wǎng)體系中，防火墻是較為常見(jiàn)的管控模式，能有效實(shí)現(xiàn)網(wǎng)絡(luò)通信量的實(shí)時(shí)性監(jiān)測(cè)，僅允許安全信息和核準(zhǔn)后的信息進(jìn)入用戶閱讀區(qū)，盡可能減少威脅數(shù)據(jù)造成的安全隱患。并且，防火墻的應(yīng)用還能強(qiáng)化網(wǎng)絡(luò)安全水平。完整的防火墻系統(tǒng)（圖1）能對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)予以合理性屏蔽管理，保證監(jiān)視和處理信息的規(guī)范性[2]。

較為常見(jiàn)的防火墻包括屏蔽路由器、雙宿主網(wǎng)關(guān)、屏蔽主機(jī)網(wǎng)關(guān)、屏蔽子網(wǎng)等，按照不同的設(shè)置和匹配要求實(shí)現(xiàn)對(duì)應(yīng)的控制工作。例如，屏蔽路由器，一般是專業(yè)廠家生產(chǎn)的路由器，或者是利用主機(jī)實(shí)現(xiàn)相應(yīng)的工作。作為聯(lián)通內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通道，所有的報(bào)文都要借助屏蔽路由器予以檢查和管理，借助IP層報(bào)文過(guò)濾軟件，就能建立完整且規(guī)范的報(bào)文過(guò)濾控制模式。但是，屏蔽路由器也存在一定弊端，一旦被攻陷很難及時(shí)發(fā)現(xiàn)問(wèn)題，且無(wú)法靈活識(shí)別不同用戶。另外，隨著通信服務(wù)安全管理工作的全面發(fā)展，代理服務(wù)器也受到了更多的關(guān)注，配合應(yīng)用協(xié)議就能實(shí)現(xiàn)有效的應(yīng)用管理，從而滿足安全服務(wù)的基本質(zhì)量要求[3]。

3.入侵監(jiān)測(cè)

為有效保證計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性和規(guī)范性，要配置相應(yīng)的報(bào)告系統(tǒng)，對(duì)未授權(quán)或者是異常的情況予以集中的識(shí)別，并開展相應(yīng)的評(píng)估分析。在入侵監(jiān)測(cè)系統(tǒng)中，能對(duì)入侵攻擊出現(xiàn)后可能存在的入侵攻擊予以統(tǒng)籌評(píng)價(jià)，并且借助報(bào)警系統(tǒng)和防護(hù)系統(tǒng)有效驅(qū)逐入侵攻擊，從而減少入侵攻擊產(chǎn)生的危害問(wèn)題。值得一提的是，為了有效提升通信業(yè)務(wù)支撐網(wǎng)絡(luò)的安全性，也要在入侵系統(tǒng)工作結(jié)束后收集相關(guān)信息內(nèi)容，將其作為整個(gè)計(jì)算機(jī)防范系統(tǒng)的歷史知識(shí)數(shù)據(jù)存入知識(shí)庫(kù)，提升系統(tǒng)的統(tǒng)籌防控水平。

在入群檢測(cè)系統(tǒng)體系中，基于主機(jī)的檢測(cè)系統(tǒng)應(yīng)用效能較高，較為常見(jiàn)的分為單一主機(jī)入侵檢測(cè)和管理器入侵檢測(cè)。①單一主機(jī)入侵檢測(cè)，主要是借助檢測(cè)主機(jī)審計(jì)日志實(shí)現(xiàn)合理性的主機(jī)保護(hù)控制。②管理器入侵檢測(cè)是需要對(duì)每一臺(tái)網(wǎng)絡(luò)主機(jī)安裝代理器，并將其和管理器聯(lián)通，實(shí)現(xiàn)管理終端的協(xié)同控制。

另外，在入侵管理控制模式中，要結(jié)合攻擊事件開展相應(yīng)的分析，并且及時(shí)發(fā)現(xiàn)違反安全策略的具體行為，有效提升入侵檢測(cè)系統(tǒng)的控制效率。在基于模式匹配檢測(cè)的技術(shù)方案中，檢測(cè)工作要對(duì)收集的數(shù)據(jù)特征予以檢測(cè)分析，其整體手法和操作流程類似于殺毒軟件，能結(jié)合異?，F(xiàn)象匹配檢測(cè)技術(shù)，有效對(duì)比正常情況下的閾值情況，全面評(píng)估CPU利用率、內(nèi)存利用率以及文件校準(zhǔn)等基礎(chǔ)情況，并有效分析系統(tǒng)運(yùn)行狀態(tài)下數(shù)值參數(shù)的變化，最大程度上保證攻擊檢測(cè)的及時(shí)性和規(guī)范性，以便于能開展更加可靠且合理的處理方案。

（二）信息加密

在通信業(yè)務(wù)支撐網(wǎng)安全管理控制工作中，不僅要對(duì)訪問(wèn)予以控制，也要強(qiáng)化信息加密管理的水平，踐行規(guī)范性應(yīng)用模式，從而保證相應(yīng)內(nèi)容的合理性和規(guī)范性。也就是說(shuō)，要基于保護(hù)信息可用性、完整度以及不可抵賴性的原則，完成信息的鑒別分析，確保信息的準(zhǔn)確水平符合信息交互的基本需求。目前，較為常見(jiàn)的方式就是加密算法，結(jié)合設(shè)計(jì)要求實(shí)現(xiàn)常規(guī)加密和公鑰加密等處理，保證信息安全監(jiān)督工作有序開展。

1.常規(guī)加密

指的是AES加密處理，具體流程如下：①要進(jìn)行字節(jié)的替換，實(shí)現(xiàn)非線性置換處理，保證字節(jié)替換操作的規(guī)范效果。例如，狀態(tài)字節(jié)的前四位決定了S盒的基本行為模式，后四位則決定S盒的列號(hào)，完成相應(yīng)數(shù)據(jù)分析。②移位行運(yùn)算，是指狀態(tài)中字節(jié)的循環(huán)移位運(yùn)算模式，利用Bij=Ai，（j+1）mod4完成計(jì)算。③混合列運(yùn)算，借助線性變化對(duì)狀態(tài)關(guān)聯(lián)列內(nèi)的相關(guān)元素進(jìn)行變換，利用十六進(jìn)制對(duì)矩陣中的元素予以分析。④輪流密鑰加法，在每一輪都要進(jìn)行密鑰編排處理，輪密鑰的實(shí)際長(zhǎng)度和加密分組的長(zhǎng)度保持一致，從而有效實(shí)現(xiàn)實(shí)時(shí)性運(yùn)算處理。⑤密鑰編排，依據(jù)加密密鑰分析輪密鑰的內(nèi)容，并從運(yùn)算中明確密鑰擴(kuò)展和輪密鑰選擇內(nèi)容。⑥密鑰擴(kuò)展。密鑰擴(kuò)展函數(shù)的輸入要結(jié)合具體情況進(jìn)行數(shù)組的區(qū)分和管理。⑦最終完成密鑰的選擇，因?yàn)閿U(kuò)展中密鑰派生出輪密鑰，要結(jié)合算法的實(shí)際情況落實(shí)相應(yīng)分析工作。

2.公鑰加密

對(duì)公鑰加密算法的研究要追溯到密碼學(xué)的發(fā)展，相較于基礎(chǔ)替代和置換的常規(guī)加密算法，公鑰加密算法具有突出的應(yīng)用優(yōu)勢(shì)，從數(shù)學(xué)函數(shù)出發(fā)，且處于非對(duì)稱狀態(tài)，不同密鑰的應(yīng)用會(huì)存在一定的差異性。若是要進(jìn)行相應(yīng)的通信處理，使用兩個(gè)密鑰對(duì)于提升通信的保密性和密鑰分配處理具有重要的意義。與此同時(shí)，兩個(gè)密鑰中會(huì)設(shè)置私鑰和公鑰，配合應(yīng)用需求建立相應(yīng)的發(fā)送和處理模塊，并配合類型化密碼的編碼解碼作業(yè)。①Diffie-Hell man密鑰交換算法，主要針對(duì)的是實(shí)時(shí)性網(wǎng)絡(luò)體系中通信雙方實(shí)現(xiàn)安全共享密鑰的環(huán)境，能對(duì)雙方通信的基本內(nèi)容進(jìn)行有效的加密控制，所以，多數(shù)通訊協(xié)議中會(huì)采取DH密鑰交換算法。②RSA算法，一般是應(yīng)用在加密解密過(guò)程，或者是匹配數(shù)字簽名開展保護(hù)機(jī)制。比如，A和B進(jìn)行通信，若是A使用的是B的公鑰加密報(bào)文，則B能借助自身掌握的私鑰有效解讀報(bào)文的相關(guān)信息。③IPSec處理，旨在提升分組的質(zhì)量效果，建立可操作性和安全性符合應(yīng)用要求的控制模式，借助2種通信安全協(xié)議完成首部和安全封裝有效荷載算法內(nèi)容的評(píng)估，并配合Internet密鑰交換協(xié)議就能實(shí)現(xiàn)密鑰的實(shí)時(shí)性管理，保證協(xié)議處理效果的可靠性。在AH協(xié)議提供數(shù)據(jù)源認(rèn)證的基礎(chǔ)上，ESP協(xié)議提供數(shù)據(jù)的保密服務(wù)，打造協(xié)同控制的應(yīng)用服務(wù)模式，IPSec能提供的服務(wù)見(jiàn)表1。

3.公鑰基礎(chǔ)設(shè)施

為了保證通信業(yè)務(wù)支撐網(wǎng)應(yīng)用的安全性，要對(duì)信息的來(lái)源予以身份的認(rèn)證分析，并且將信息的完整性和機(jī)密性作為關(guān)鍵，從而結(jié)合具體的需求提供信息加密以及身份鑒別控制服務(wù)。之所以要建立基礎(chǔ)設(shè)施，就是為了在熟悉的設(shè)施環(huán)境中保證通信規(guī)范效果，較為常見(jiàn)的基礎(chǔ)設(shè)施就是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和電力基礎(chǔ)設(shè)施，前者要利用通信計(jì)算機(jī)完成數(shù)據(jù)傳送，后者則是利用不同的電子設(shè)備完成電壓和電流的控制。因此，要利用對(duì)應(yīng)的技術(shù)處理模式保證基礎(chǔ)設(shè)施信息數(shù)據(jù)傳遞的規(guī)范效果。

（三）安全管理

除了要從技術(shù)層面提升我國(guó)通信業(yè)支撐網(wǎng)安全水平，也要整合安全管理方案，建立健全完整且可控的應(yīng)用模式，從而為安全管理效果的最優(yōu)化提供保障。在信息系統(tǒng)安全管理工作開展過(guò)程中，不僅要保證信息資源管理水平，也要對(duì)信息安全資源的控制效果予以關(guān)注。

1.安全管理基準(zhǔn)

要秉持規(guī)范性、系統(tǒng)性、綜合保障性原則落實(shí)相應(yīng)工作，實(shí)現(xiàn)安全管理的目標(biāo)，實(shí)現(xiàn)安全管理組織機(jī)構(gòu)、人員以及制度控制的合理性目標(biāo)，維持安全管理效果。并且，要踐行以人為本的原則，強(qiáng)化安全指導(dǎo)教育和培訓(xùn)管理，保證相關(guān)管理人員和從業(yè)人員都能形成較為規(guī)范的安全意識(shí)，利用信息技術(shù)和安全技術(shù)實(shí)現(xiàn)統(tǒng)籌管理目標(biāo)。

2.軟件管理

在安全監(jiān)督管控體系中，要對(duì)操作系統(tǒng)、應(yīng)用軟件以及數(shù)據(jù)庫(kù)、安全軟件等予以統(tǒng)籌管理，保證相應(yīng)的安全保護(hù)措施都能發(fā)揮作用，維持通信業(yè)務(wù)支撐網(wǎng)安全水平。第一，軟件采購(gòu)以及安裝測(cè)試環(huán)節(jié)要落實(shí)精準(zhǔn)分析機(jī)制，選取正規(guī)版本的同時(shí)，在安裝后予以集中的檢測(cè)分析，維持安全性，并且要明確相應(yīng)軟件的脆弱性，以便于能落實(shí)風(fēng)險(xiǎn)防控工作。第二，軟件登記和保管。為了保證軟件能發(fā)揮其實(shí)際作用，要在軟件安裝作業(yè)結(jié)束后完成規(guī)范性登記，指派專人保管信息和數(shù)據(jù)，在軟件更新操作后，專人保管新舊版本，嚴(yán)格控制實(shí)際應(yīng)用環(huán)節(jié)，維持?jǐn)?shù)據(jù)管理工作的合理性和規(guī)范性。第三，軟件使用和維護(hù)，無(wú)論是操作系統(tǒng)還是數(shù)據(jù)庫(kù)系統(tǒng)都要專業(yè)化維護(hù)管理，并且，系統(tǒng)安全員和管理員要及時(shí)完成系統(tǒng)的維護(hù)處理，嚴(yán)格落實(shí)數(shù)據(jù)登記制，以便于開展歷史數(shù)據(jù)和運(yùn)行數(shù)據(jù)的合理性對(duì)比分析，最大程度上提高軟件安全管控效果。

3.硬件管理

要結(jié)合國(guó)家信息安全測(cè)評(píng)機(jī)構(gòu)認(rèn)可要求，采購(gòu)對(duì)應(yīng)的信息安全產(chǎn)品，并且盡量應(yīng)用我國(guó)自主研發(fā)的信息安全計(jì)算和設(shè)備，有效提升信息監(jiān)督管理的安全性。另外，信息系統(tǒng)安全產(chǎn)品要選擇型號(hào)匹配且獲取批準(zhǔn)的產(chǎn)品，正式運(yùn)行前還要落實(shí)相匹配的系統(tǒng)兼容測(cè)試。

四、結(jié)束語(yǔ)

總而言之，通信業(yè)務(wù)支撐網(wǎng)安全管理控制工作具有重要的研究?jī)r(jià)值，要整合具體的管理路徑，維持密鑰管理、防入侵管理等工作的規(guī)范性，及時(shí)發(fā)現(xiàn)問(wèn)題即使解決，最大程度上提高信息交互的安全性，為通信體系可持續(xù)發(fā)展奠定基礎(chǔ)。

作者單位：任斌? ? 中國(guó)移動(dòng)通信集團(tuán)山東有限公司

參? 考? 文? 獻(xiàn)

[1]朱延敏.我國(guó)通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對(duì)策探討[J].數(shù)字通信世界，2021（2）：126-127.

[2]石磊，朱鵬.通信業(yè)支撐網(wǎng)安全現(xiàn)狀及對(duì)策探討[J].通信電源技術(shù)，2020，37（16）：215-217.

[3]黃煒瑋.我國(guó)通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對(duì)策探討[J].中國(guó)新通信，2019，18（20）：10-10，11.