摘要:為全面提升通信業(yè)務(wù)水平,要對(duì)支撐網(wǎng)安全效能予以控制,降低安全隱患造成的影響,提升網(wǎng)絡(luò)結(jié)構(gòu)安全保護(hù)級(jí)別,從而確保通信各項(xiàng)業(yè)務(wù)在規(guī)范控制范圍內(nèi)全面推進(jìn),實(shí)現(xiàn)經(jīng)濟(jì)效益和社會(huì)效益的和諧統(tǒng)一。本文分析了通信業(yè)務(wù)支撐網(wǎng)安全問(wèn)題,并從訪問(wèn)控制、信息加密、管理控制三個(gè)方面對(duì)具體的安全策略展開討論。
關(guān)鍵詞:通信業(yè)務(wù);支撐網(wǎng);安全策略
一、引言
通信體系借助業(yè)務(wù)支撐網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)以及監(jiān)控網(wǎng)絡(luò)等形成統(tǒng)一的業(yè)務(wù)服務(wù)模式,以便于能維持網(wǎng)絡(luò)通信的穩(wěn)定性和安全性,為網(wǎng)絡(luò)統(tǒng)籌管理控制工作水平的全面進(jìn)步奠定基礎(chǔ)。
二、通信業(yè)務(wù)支撐網(wǎng)安全問(wèn)題研究
近幾年,我國(guó)通信技術(shù)呈現(xiàn)出全面發(fā)展的態(tài)勢(shì),然而,通信服務(wù)支持網(wǎng)絡(luò)的安全水平還有一些亟待解決的問(wèn)題,若是從通信服務(wù)支持網(wǎng)絡(luò)的角度對(duì)相關(guān)情況進(jìn)行分析,拓?fù)浒踩詥?wèn)題較為普遍。比如,網(wǎng)絡(luò)平臺(tái)的安全性、遠(yuǎn)程服務(wù)結(jié)構(gòu)的安全性以及終端安全性等[1]。
一般而言,要實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)鋺?yīng)用控制目標(biāo),就要對(duì)行業(yè)發(fā)展和冗余體系抗干擾性予以分析。并且,配合相應(yīng)的服務(wù)機(jī)制,才能更好地維持網(wǎng)絡(luò)和系統(tǒng)信息的科學(xué)配置。盡管服務(wù)器和設(shè)備都能有效支持遠(yuǎn)程訪問(wèn),且遠(yuǎn)程服務(wù)工作模塊的功能也在不斷完善,卻依舊存在通信業(yè)務(wù)支持網(wǎng)絡(luò)安全不足的現(xiàn)象,很容易受到隱藏危害的攻擊。
三、通信業(yè)務(wù)支撐網(wǎng)安全策略研究
正是因?yàn)橥ㄐ艠I(yè)務(wù)會(huì)受到威脅,因此,要針對(duì)通信業(yè)務(wù)支撐網(wǎng)建立更加可靠的安全監(jiān)督控制模式,發(fā)揮對(duì)應(yīng)策略的優(yōu)勢(shì)作用,有效搭建科學(xué)合理的控制模式。
(一)訪問(wèn)策略
在計(jì)算機(jī)系統(tǒng)的常規(guī)化活動(dòng)中,主體和客體之間開展相應(yīng)的業(yè)務(wù)交互才能完成具體作業(yè),因此,在計(jì)算機(jī)安全管理體系中,要將主體對(duì)客體的訪問(wèn)合法性作為評(píng)估關(guān)鍵,包括對(duì)數(shù)據(jù)信息、程序讀取、寫入、修改以及執(zhí)行等環(huán)節(jié)的監(jiān)管?;诖?,在通信業(yè)務(wù)支撐網(wǎng)安全管控工作開展過(guò)程中,要建立匹配的訪問(wèn)控制模型,確保能對(duì)資源訪問(wèn)予以集中管理,在檢查用戶訪問(wèn)權(quán)限的同時(shí),評(píng)估是否可供資料查閱和信息讀取。
1.訪問(wèn)控制
較為常見(jiàn)的訪問(wèn)控制主要分為自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制,要結(jié)合實(shí)際情況落實(shí)相匹配的評(píng)估信息,確保相應(yīng)內(nèi)容的規(guī)范性。
(1)自主訪問(wèn)控制。指的是資源掌控者依據(jù)實(shí)際需求劃定可以訪問(wèn)其資源的對(duì)象范圍,并配合用戶和用戶進(jìn)程選擇可供共享的資源內(nèi)容,因此,在自主訪問(wèn)控制體系中,一般是對(duì)單個(gè)用戶執(zhí)行相應(yīng)作業(yè)。目前,較為常見(jiàn)的自主訪問(wèn)控制模式是DAC,配合訪問(wèn)控制矩陣和訪問(wèn)控制表就能建立有效的控制模式,實(shí)現(xiàn)數(shù)據(jù)的靈活化管理和規(guī)范訪問(wèn)。①基于“行”的自主訪問(wèn)控制。在每個(gè)主體基礎(chǔ)上附加該主體訪問(wèn)的客體明細(xì),按照權(quán)利表、前綴表和口令開展相應(yīng)作業(yè)。比如,口令執(zhí)行模式中,要結(jié)合訪問(wèn)控制矩陣對(duì)客體相應(yīng)口令予以評(píng)估,并在訪問(wèn)前向操作系統(tǒng)提供口令明細(xì),以便于能直接建立相應(yīng)的數(shù)據(jù)評(píng)估。②基于“列”的自主訪問(wèn)控制。主要是從保護(hù)位和訪問(wèn)控制表兩個(gè)方面出發(fā),建立相應(yīng)的訪問(wèn)控制分析模式,有效借助客體附加主體明細(xì)表的方式實(shí)現(xiàn)矩陣評(píng)估,從而在訪問(wèn)控制體系內(nèi)盡量實(shí)現(xiàn)自主訪問(wèn)控制。除此之外,要按照等級(jí)型、有主型、自由型等類別對(duì)自主訪問(wèn)控制的訪問(wèn)許可予以分析,借助訪問(wèn)許可和訪問(wèn)模式更好地描述主體對(duì)客體的訪問(wèn)權(quán)限,最大程度上保證訪問(wèn)操作執(zhí)行的規(guī)范效果,以便于能提升統(tǒng)籌管理效果。
(2)強(qiáng)制訪問(wèn)控制。是指系統(tǒng)的主體和客體在訪問(wèn)關(guān)系中分屬不同的安全屬性劃定范圍,用戶在實(shí)際操作環(huán)節(jié)中,無(wú)法改變自身的安全屬性,只有相應(yīng)的系統(tǒng)管理員才能有效評(píng)估用戶和用戶組的訪問(wèn)權(quán)限。
比如,通過(guò)角色分析完成訪問(wèn)控制。在基于角色訪問(wèn)控制系統(tǒng)模式中,結(jié)合企業(yè)或者是相關(guān)組織的業(yè)務(wù)需求,要設(shè)置若干個(gè)“角色”客體,在此基礎(chǔ)上,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)分工。系統(tǒng)管理員主要是負(fù)責(zé)將系統(tǒng)和數(shù)據(jù)訪問(wèn)的權(quán)限賦予不同角色,并且能結(jié)合角色相關(guān)需求的變動(dòng)予以動(dòng)態(tài)升級(jí),實(shí)現(xiàn)權(quán)限和職責(zé)的合理性劃分控制,保證資源管理權(quán)限的最優(yōu)化。
2.防火墻
在通信業(yè)務(wù)支撐網(wǎng)體系中,防火墻是較為常見(jiàn)的管控模式,能有效實(shí)現(xiàn)網(wǎng)絡(luò)通信量的實(shí)時(shí)性監(jiān)測(cè),僅允許安全信息和核準(zhǔn)后的信息進(jìn)入用戶閱讀區(qū),盡可能減少威脅數(shù)據(jù)造成的安全隱患。并且,防火墻的應(yīng)用還能強(qiáng)化網(wǎng)絡(luò)安全水平。完整的防火墻系統(tǒng)(圖1)能對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)予以合理性屏蔽管理,保證監(jiān)視和處理信息的規(guī)范性[2]。
較為常見(jiàn)的防火墻包括屏蔽路由器、雙宿主網(wǎng)關(guān)、屏蔽主機(jī)網(wǎng)關(guān)、屏蔽子網(wǎng)等,按照不同的設(shè)置和匹配要求實(shí)現(xiàn)對(duì)應(yīng)的控制工作。例如,屏蔽路由器,一般是專業(yè)廠家生產(chǎn)的路由器,或者是利用主機(jī)實(shí)現(xiàn)相應(yīng)的工作。作為聯(lián)通內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通道,所有的報(bào)文都要借助屏蔽路由器予以檢查和管理,借助IP層報(bào)文過(guò)濾軟件,就能建立完整且規(guī)范的報(bào)文過(guò)濾控制模式。但是,屏蔽路由器也存在一定弊端,一旦被攻陷很難及時(shí)發(fā)現(xiàn)問(wèn)題,且無(wú)法靈活識(shí)別不同用戶。另外,隨著通信服務(wù)安全管理工作的全面發(fā)展,代理服務(wù)器也受到了更多的關(guān)注,配合應(yīng)用協(xié)議就能實(shí)現(xiàn)有效的應(yīng)用管理,從而滿足安全服務(wù)的基本質(zhì)量要求[3]。
3.入侵監(jiān)測(cè)
為有效保證計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性和規(guī)范性,要配置相應(yīng)的報(bào)告系統(tǒng),對(duì)未授權(quán)或者是異常的情況予以集中的識(shí)別,并開展相應(yīng)的評(píng)估分析。在入侵監(jiān)測(cè)系統(tǒng)中,能對(duì)入侵攻擊出現(xiàn)后可能存在的入侵攻擊予以統(tǒng)籌評(píng)價(jià),并且借助報(bào)警系統(tǒng)和防護(hù)系統(tǒng)有效驅(qū)逐入侵攻擊,從而減少入侵攻擊產(chǎn)生的危害問(wèn)題。值得一提的是,為了有效提升通信業(yè)務(wù)支撐網(wǎng)絡(luò)的安全性,也要在入侵系統(tǒng)工作結(jié)束后收集相關(guān)信息內(nèi)容,將其作為整個(gè)計(jì)算機(jī)防范系統(tǒng)的歷史知識(shí)數(shù)據(jù)存入知識(shí)庫(kù),提升系統(tǒng)的統(tǒng)籌防控水平。
在入群檢測(cè)系統(tǒng)體系中,基于主機(jī)的檢測(cè)系統(tǒng)應(yīng)用效能較高,較為常見(jiàn)的分為單一主機(jī)入侵檢測(cè)和管理器入侵檢測(cè)。①單一主機(jī)入侵檢測(cè),主要是借助檢測(cè)主機(jī)審計(jì)日志實(shí)現(xiàn)合理性的主機(jī)保護(hù)控制。②管理器入侵檢測(cè)是需要對(duì)每一臺(tái)網(wǎng)絡(luò)主機(jī)安裝代理器,并將其和管理器聯(lián)通,實(shí)現(xiàn)管理終端的協(xié)同控制。
另外,在入侵管理控制模式中,要結(jié)合攻擊事件開展相應(yīng)的分析,并且及時(shí)發(fā)現(xiàn)違反安全策略的具體行為,有效提升入侵檢測(cè)系統(tǒng)的控制效率。在基于模式匹配檢測(cè)的技術(shù)方案中,檢測(cè)工作要對(duì)收集的數(shù)據(jù)特征予以檢測(cè)分析,其整體手法和操作流程類似于殺毒軟件,能結(jié)合異?,F(xiàn)象匹配檢測(cè)技術(shù),有效對(duì)比正常情況下的閾值情況,全面評(píng)估CPU利用率、內(nèi)存利用率以及文件校準(zhǔn)等基礎(chǔ)情況,并有效分析系統(tǒng)運(yùn)行狀態(tài)下數(shù)值參數(shù)的變化,最大程度上保證攻擊檢測(cè)的及時(shí)性和規(guī)范性,以便于能開展更加可靠且合理的處理方案。
(二)信息加密
在通信業(yè)務(wù)支撐網(wǎng)安全管理控制工作中,不僅要對(duì)訪問(wèn)予以控制,也要強(qiáng)化信息加密管理的水平,踐行規(guī)范性應(yīng)用模式,從而保證相應(yīng)內(nèi)容的合理性和規(guī)范性。也就是說(shuō),要基于保護(hù)信息可用性、完整度以及不可抵賴性的原則,完成信息的鑒別分析,確保信息的準(zhǔn)確水平符合信息交互的基本需求。目前,較為常見(jiàn)的方式就是加密算法,結(jié)合設(shè)計(jì)要求實(shí)現(xiàn)常規(guī)加密和公鑰加密等處理,保證信息安全監(jiān)督工作有序開展。
1.常規(guī)加密
指的是AES加密處理,具體流程如下:①要進(jìn)行字節(jié)的替換,實(shí)現(xiàn)非線性置換處理,保證字節(jié)替換操作的規(guī)范效果。例如,狀態(tài)字節(jié)的前四位決定了S盒的基本行為模式,后四位則決定S盒的列號(hào),完成相應(yīng)數(shù)據(jù)分析。②移位行運(yùn)算,是指狀態(tài)中字節(jié)的循環(huán)移位運(yùn)算模式,利用Bij=Ai,(j+1)mod4完成計(jì)算。③混合列運(yùn)算,借助線性變化對(duì)狀態(tài)關(guān)聯(lián)列內(nèi)的相關(guān)元素進(jìn)行變換,利用十六進(jìn)制對(duì)矩陣中的元素予以分析。④輪流密鑰加法,在每一輪都要進(jìn)行密鑰編排處理,輪密鑰的實(shí)際長(zhǎng)度和加密分組的長(zhǎng)度保持一致,從而有效實(shí)現(xiàn)實(shí)時(shí)性運(yùn)算處理。⑤密鑰編排,依據(jù)加密密鑰分析輪密鑰的內(nèi)容,并從運(yùn)算中明確密鑰擴(kuò)展和輪密鑰選擇內(nèi)容。⑥密鑰擴(kuò)展。密鑰擴(kuò)展函數(shù)的輸入要結(jié)合具體情況進(jìn)行數(shù)組的區(qū)分和管理。⑦最終完成密鑰的選擇,因?yàn)閿U(kuò)展中密鑰派生出輪密鑰,要結(jié)合算法的實(shí)際情況落實(shí)相應(yīng)分析工作。
2.公鑰加密
對(duì)公鑰加密算法的研究要追溯到密碼學(xué)的發(fā)展,相較于基礎(chǔ)替代和置換的常規(guī)加密算法,公鑰加密算法具有突出的應(yīng)用優(yōu)勢(shì),從數(shù)學(xué)函數(shù)出發(fā),且處于非對(duì)稱狀態(tài),不同密鑰的應(yīng)用會(huì)存在一定的差異性。若是要進(jìn)行相應(yīng)的通信處理,使用兩個(gè)密鑰對(duì)于提升通信的保密性和密鑰分配處理具有重要的意義。與此同時(shí),兩個(gè)密鑰中會(huì)設(shè)置私鑰和公鑰,配合應(yīng)用需求建立相應(yīng)的發(fā)送和處理模塊,并配合類型化密碼的編碼解碼作業(yè)。①Diffie-Hell man密鑰交換算法,主要針對(duì)的是實(shí)時(shí)性網(wǎng)絡(luò)體系中通信雙方實(shí)現(xiàn)安全共享密鑰的環(huán)境,能對(duì)雙方通信的基本內(nèi)容進(jìn)行有效的加密控制,所以,多數(shù)通訊協(xié)議中會(huì)采取DH密鑰交換算法。②RSA算法,一般是應(yīng)用在加密解密過(guò)程,或者是匹配數(shù)字簽名開展保護(hù)機(jī)制。比如,A和B進(jìn)行通信,若是A使用的是B的公鑰加密報(bào)文,則B能借助自身掌握的私鑰有效解讀報(bào)文的相關(guān)信息。③IPSec處理,旨在提升分組的質(zhì)量效果,建立可操作性和安全性符合應(yīng)用要求的控制模式,借助2種通信安全協(xié)議完成首部和安全封裝有效荷載算法內(nèi)容的評(píng)估,并配合Internet密鑰交換協(xié)議就能實(shí)現(xiàn)密鑰的實(shí)時(shí)性管理,保證協(xié)議處理效果的可靠性。在AH協(xié)議提供數(shù)據(jù)源認(rèn)證的基礎(chǔ)上,ESP協(xié)議提供數(shù)據(jù)的保密服務(wù),打造協(xié)同控制的應(yīng)用服務(wù)模式,IPSec能提供的服務(wù)見(jiàn)表1。
3.公鑰基礎(chǔ)設(shè)施
為了保證通信業(yè)務(wù)支撐網(wǎng)應(yīng)用的安全性,要對(duì)信息的來(lái)源予以身份的認(rèn)證分析,并且將信息的完整性和機(jī)密性作為關(guān)鍵,從而結(jié)合具體的需求提供信息加密以及身份鑒別控制服務(wù)。之所以要建立基礎(chǔ)設(shè)施,就是為了在熟悉的設(shè)施環(huán)境中保證通信規(guī)范效果,較為常見(jiàn)的基礎(chǔ)設(shè)施就是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和電力基礎(chǔ)設(shè)施,前者要利用通信計(jì)算機(jī)完成數(shù)據(jù)傳送,后者則是利用不同的電子設(shè)備完成電壓和電流的控制。因此,要利用對(duì)應(yīng)的技術(shù)處理模式保證基礎(chǔ)設(shè)施信息數(shù)據(jù)傳遞的規(guī)范效果。
(三)安全管理
除了要從技術(shù)層面提升我國(guó)通信業(yè)支撐網(wǎng)安全水平,也要整合安全管理方案,建立健全完整且可控的應(yīng)用模式,從而為安全管理效果的最優(yōu)化提供保障。在信息系統(tǒng)安全管理工作開展過(guò)程中,不僅要保證信息資源管理水平,也要對(duì)信息安全資源的控制效果予以關(guān)注。
1.安全管理基準(zhǔn)
要秉持規(guī)范性、系統(tǒng)性、綜合保障性原則落實(shí)相應(yīng)工作,實(shí)現(xiàn)安全管理的目標(biāo),實(shí)現(xiàn)安全管理組織機(jī)構(gòu)、人員以及制度控制的合理性目標(biāo),維持安全管理效果。并且,要踐行以人為本的原則,強(qiáng)化安全指導(dǎo)教育和培訓(xùn)管理,保證相關(guān)管理人員和從業(yè)人員都能形成較為規(guī)范的安全意識(shí),利用信息技術(shù)和安全技術(shù)實(shí)現(xiàn)統(tǒng)籌管理目標(biāo)。
2.軟件管理
在安全監(jiān)督管控體系中,要對(duì)操作系統(tǒng)、應(yīng)用軟件以及數(shù)據(jù)庫(kù)、安全軟件等予以統(tǒng)籌管理,保證相應(yīng)的安全保護(hù)措施都能發(fā)揮作用,維持通信業(yè)務(wù)支撐網(wǎng)安全水平。第一,軟件采購(gòu)以及安裝測(cè)試環(huán)節(jié)要落實(shí)精準(zhǔn)分析機(jī)制,選取正規(guī)版本的同時(shí),在安裝后予以集中的檢測(cè)分析,維持安全性,并且要明確相應(yīng)軟件的脆弱性,以便于能落實(shí)風(fēng)險(xiǎn)防控工作。第二,軟件登記和保管。為了保證軟件能發(fā)揮其實(shí)際作用,要在軟件安裝作業(yè)結(jié)束后完成規(guī)范性登記,指派專人保管信息和數(shù)據(jù),在軟件更新操作后,專人保管新舊版本,嚴(yán)格控制實(shí)際應(yīng)用環(huán)節(jié),維持?jǐn)?shù)據(jù)管理工作的合理性和規(guī)范性。第三,軟件使用和維護(hù),無(wú)論是操作系統(tǒng)還是數(shù)據(jù)庫(kù)系統(tǒng)都要專業(yè)化維護(hù)管理,并且,系統(tǒng)安全員和管理員要及時(shí)完成系統(tǒng)的維護(hù)處理,嚴(yán)格落實(shí)數(shù)據(jù)登記制,以便于開展歷史數(shù)據(jù)和運(yùn)行數(shù)據(jù)的合理性對(duì)比分析,最大程度上提高軟件安全管控效果。
3.硬件管理
要結(jié)合國(guó)家信息安全測(cè)評(píng)機(jī)構(gòu)認(rèn)可要求,采購(gòu)對(duì)應(yīng)的信息安全產(chǎn)品,并且盡量應(yīng)用我國(guó)自主研發(fā)的信息安全計(jì)算和設(shè)備,有效提升信息監(jiān)督管理的安全性。另外,信息系統(tǒng)安全產(chǎn)品要選擇型號(hào)匹配且獲取批準(zhǔn)的產(chǎn)品,正式運(yùn)行前還要落實(shí)相匹配的系統(tǒng)兼容測(cè)試。
四、結(jié)束語(yǔ)
總而言之,通信業(yè)務(wù)支撐網(wǎng)安全管理控制工作具有重要的研究?jī)r(jià)值,要整合具體的管理路徑,維持密鑰管理、防入侵管理等工作的規(guī)范性,及時(shí)發(fā)現(xiàn)問(wèn)題即使解決,最大程度上提高信息交互的安全性,為通信體系可持續(xù)發(fā)展奠定基礎(chǔ)。
作者單位:任斌? ? 中國(guó)移動(dòng)通信集團(tuán)山東有限公司
參? 考? 文? 獻(xiàn)
[1]朱延敏.我國(guó)通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對(duì)策探討[J].數(shù)字通信世界,2021(2):126-127.
[2]石磊,朱鵬.通信業(yè)支撐網(wǎng)安全現(xiàn)狀及對(duì)策探討[J].通信電源技術(shù),2020,37(16):215-217.
[3]黃煒瑋.我國(guó)通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對(duì)策探討[J].中國(guó)新通信,2019,18(20):10-10,11.