浅谈电信网络的安全

浅谈电信网络的安全（共6篇）

篇1：浅谈电信网络的安全

一、选题的依据及意义：

老师在课堂也也时刻点明这我们这个是随着互联网的兴起的时代,而我们这些IT人又面临着更新一步的IT技术。面对TCP/IP协议簇的采用,各种应用层出不穷,传统的固定网、移动网与互联网的联系越来越紧密。有线、无线等各种接入方式不断推出,企业网、ISP、ICP、个人电脑等都以不同的方式与互联网等网络相联。这样,虽然用户使用方便了,但网络安全问题的威胁也增加了,往往一个点或一个地方的问题会影响到其他地方、其他网络,甚至多个网络。

同时，我在外面所报名的华三H3C的NE课程中也认识到网络安全问题的重要性：当前,威胁网络安全的主要有木马程序病毒、蠕虫病毒、电子邮件攻击、Web攻击、软件漏洞、系统漏洞、拒绝服务(DoS)攻击、IP地址欺骗、即时通信攻击、端到端攻击、缓冲溢出等。

从上述威胁网络的种种可以看出,黑客与病毒的目的不外呼是破坏系统和窃取信息。面对这一形势,目前电信网络如何增强其安全性呢?

二、本课题研究内容：

首先我们就先来看互联网和电信网的特点：

电信网络的特点

传统的电信网络(PSTN)是基于电路交换的方式,面向连接,网络QoS有保证。其网络的安全性体现在网络的可靠性和可用性,网络的可靠性涵盖了传输系统和相应的设备,可靠性的指标很高,设备间的连接电路也有相同的可靠性要求,并且还设计了冗余备份和保护倒换等技术来进一步保证系统的可靠性。

PSTN对用户的信息是透明的,网络保证不对用户信息进行任何的修改和破坏。用户信息也不会对网络节点设备构成任何冲击和危害。

PSTN的网络安全还包含运营网络不得随意使用加密技术,而对于个人用户的私人保密是以不危及国家安全为限的。在传统的电信网中,用户数据加密是有规定的,普通用户数据是不准加密的,商密用户,普密用户,绝密用户可以使用密码技术加密,但必需经过相关部门批准。

互联网的特点

互联网是基于分组交换的方式,面向无连接,网络QoS保证较差。互联网又可称为IP网,传统的PSTN网由于是面向连接,一条链路要么接通,要么不通,问题容易发现也容易解决。而IP网是无连接的,其网络的路由和流量分配都是随机的,不同的流量分配带来的网络效率也不一样。IP网络攻击源无处不在,难以追踪和查找,使IP网络维护的复杂性大大增加。

近年来,由于互联网的迅猛发展,新业务及传统业务的迅速IP化,终端设备的智能化,网络规模越来越大,网络的安全问题也越来越突出,加上互联网的不可管理,不可控制,网络只保证通达,而把安全问题交给了用户的一些网络设计中,这样就进一步恶化。上面所谈的一些威胁安全的种类都是由于互联网及其业务的发展所引起的。而当今互联网已把PSTN和移动网紧密地联系起来了,如VoIP业务的迅猛发展更是和每个网络有关系。这样上述的网络安全的种种自然也带给了电信网络。

从客观来讲二者之间的差异一目了然，可二者的技术关联是密不可分的。互联网和电信网的普遍性、加密性、覆盖面广决定了我们所依赖此类网络的前提。下面我们谈谈其防范：

网络安全的防范

网络安全的防范是一个体系和系统,必需协调法律,技术和管理三个方面。要集成防护,监测,响应,恢复等多种技术。

网络安全的防范是通过各种计算机,网络,密码和信息安全技术,保护在网络中传输,交换和存储信息的机密性,完整性和真实性,并对信息的传播及内容进行控制。

网络按全的防范从技术层次上看,主要有防火墙技术,入侵监测(IDS/IPS,IPS可以做到一手检测,一手阻击)技术,数据加密技术和数据恢复技术,此外还有安全协议,安全审计,身份认证,数字签名,拒绝服务等多种技术手段。这里特别需要指出的是防火墙,防病毒和安全协议的技术。防火墙守住网络门户,防病毒是网络的第一把保护伞,安全协议提供了身份鉴别,密钥分配,数据加密,防信息重传,以及通信双方的不可否认性等重要功能。

三、研究目标、主要特色及工作进度：这里的电信网包括电信,移动等运营商的固定网和移动网,以及专门供运营商使用的专用网,如DCN(数据通信网)等。电信网络的安全保障可从以下几方面考虑:

1.在电信网络各节点处构筑防御(如防火墙),防止外网影响内网。这里说的节点就是与其他各种网络连接的地方,除固定网与移动网外,还有ISP,ICP,企业网,个人电脑等许多终端设备。

2.建立一个统一,完善的安全防护体系,该体系不仅包括防火墙,网关,防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合性服务措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。

3.在互联网日益广泛应用的今天,为保障电信网络的安全,必需树立全程安全的观念。全程安全就是在安全的每个过程中,如物理层,网络层,接入终端,服务层面,人员管理等每个和安全有关的过程都要添加相应的安全措施,并且还要考虑安全随时间变化的因素,也就是说,无论用户在任何特定的时间,用户的安全性都能得到保障。

4.需要建立安全管理机制。例如,口令管理;各种密钥的生成,分发与管理;全网统一的管理员身份鉴别与授权;建立全系统的安全评估体系;建立安全审计制度;建立系统及数据的备份制度;建立安全事件/安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力,应制定灾难性事故的应急计划,如紧急行动方案,资源(硬件,软件,数据等)备份及操作计划,系统恢复和检测方法等。

5.建立专门的数据容灾系统。其内容主要是数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统,该系统是本地关键应用的一个实时复制,当本地数

据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务的数据。应用容灾是在数据容灾的基础上在异地建立一套完整的,与本地相当的备份应用系统(可以互为备用),在遇到灾难时,远程系统迅速接管业务运行。

2、主要特色：网络管理是电信网络运营商的重要手段之一。它监控网络话务量及路由繁忙的情况,以及设备及链路的可靠运行。网络管理在网络内部安全方面具有先天的优势,它可以通过对网络流量发生异常的分析及深度检测,对IP数据进行截获,发现已知及未知的新型侵入者。通过网络管理中增加的安全手段还可对多数安全设备顾及不到的4-7 层的内容安全与网络行为的法律取证等采取有效措施。因此,网络管理与网络安全管理相结合将使电信运营商能更有效地保障电信网络的安全。

篇2：浅谈电信网络的安全

摘要：随着互联网的兴起,TCP/IP协议簇的采用,各种应用层出不穷,传统的固定网、移动网与互联网的联系越来越紧密。有线、无线等各种接入方式不断推出, 企业网、ISP、ICP、个人电脑等都以不同的方式与互联网等网络相联。这样,虽然用户使用方便了,但网络安全问题的威胁也增加了,往往一个点或一个地方的问题会影响到其他地方、其他网络,甚至多个网络。

关键词：电信网络；安全；互联网

Abstract: With the rise of the Internet, TCP / IP protocol used cluster, the endless variety of applications, the traditional fixed network, mobile network and the Internet more and more closely linked.Wired and wireless access such as introducing corporate network, ISP, ICP, personal computers and so on, in different ways, such as the Internet and associated networks.In this way, although the user easy to use, but the problem of network security threats have increased, often a point or place the issue will affect other parts of the other networks, even

across multiple networks.Key words: telecommunications network;security;Internet

前言

当前,威胁网络安全的主要有木马程序病毒、蠕虫病毒、电子邮件攻击、Web攻击、软件漏洞、系统漏洞、拒绝服务(DoS)攻击、IP地址欺骗、即时通信攻击、端到端攻击、缓冲溢出等。

从上述威胁网络的种种可以看出,黑客与病毒的目的不外呼是破坏系统和窃取信息。面对这一形势, 目

前电信网络如何增强其安全性呢?

电信网络的特点

PSTN对用户的信息是透明的,网络保证不对用户信息进行任何的修改和破坏。用户信息也不会对网络

节点设备构成任何冲击和危害。

互联网的特点

互联网是基于分组交换的方式,面向无连接,网络QoS保证较差。互联网又可称为IP网,传统的PSTN网由于是面向连接,一条链路要么接通,要么不通,问题容易发现也容易解决。而IP网是无连接的,其网络的路由和流量分配都是随机的,不同的流量分配带来的网络效率也不一样。IP网络攻击源无处不在,难以追踪和查

找,使IP网络维护的复杂性大大增加。

近年来,由于互联网的迅猛发展 ,新业务及传统业务的迅速IP化,终端设备的智能化,网络规模越来越大,网络的安全问题也越来越突出,加上互联网的不可管理,不可控制,网络只保证通达,而把安全问题交给了用户的一些网络设计中,这样就进一步恶化。上面所谈的一些威胁安全的种类都是由于互联网及其业务的发展所引起的。而当今互联网已把PSTN和移动网紧密地联系起来了,如VoIP业务的迅猛发展更是和每个网络有关系。这样上述的网络安全的种种自然也带给了电信网络。

网络安全的防范

1.网络安全防范的要求

网络安全从用户的要求,主要是涉及个人隐私或商业利益的信息要受到机密性,完整性和真实性的保护,避免其他人窃听,冒充,修改和非法访问等。

网络安全从运营商的要求,主要是对本地网络的信息访问,读写等操作受到保护和控制,避免出现病毒,非法存取,拒绝服务和网络资源被非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。

网络安全从政府主管的要求,主要是对非法的,有害或涉及国家机密的信息进行过滤和防堵,避免这类信息从网络上泄漏。此外,对不健康的内容和对社会稳定有影响的信息也必需加以控制。

2.网络安全的防范

网络安全的防范是一个体系和系统,必需协调法律 ,技术和管理三个方面。要集成防护,监测,响应,恢

复等多种技术。

网络按全的防范从技术层次上看,主要有防火墙技术,入侵监测(IDS/IPS,IPS可以做到一手检测,一手阻击)技术,数据加密技术和数据恢复技术,此外还有安全协议,安全审计,身份认证,数字签名,拒绝服务等多种技

术手段。

中国论文联盟http://(数

据通信网)等。

电信网络的安全保障可从以下几方面考虑:

2.建立一个统一,完善的安全防护体系,该体系不仅包括防火墙,网关,防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合性服务措施,通过对网络的管理和监控,可以在第一时间发现问题 ,解决问题,防

患于未然。

3.在互联网日益广泛应用的今天,为保障电信网络的安全,必需树立全程安全的观念。全程安全就是在安全的每个过程中,如物理层,网络层,接入终端,服务层面,人员管理等每个和安全有关的过程都要添加相应的安全措施,并且还要考虑安全随时间变化的因素,也就是说,无论用户在任何特定的时间,用户的安全性都

能得到保障。

方法等。

5.建立专门的数据容灾系统。其内容主要是数据容灾和应用容灾。数据容灾是指建立一个异地的数

据系统,该系统是本

地关键应用的一个实时复制,当本地数据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务的数据。应用容灾是在数据容灾的基础上在异地建立一套完整的,与本地相当的备份应用系统(可以互为备用),在遇到灾难时,远程系统迅速接管业务运行。

篇3：电信企业的网络与信息安全探讨

1. 电信网络的发展

传统电信网络的基础是十分复杂的电路交换技术, 其结构主要有多段点到点的PCM (脉冲编码调制) 数据传输链路和节点的时隙交换程控交换机组成, 它的基本特点是为通信双方固定地分配一条具有固定带宽的通信电路, 一次完整的通信包括三个过程:链路的建立、通话和链路的释放。它的优点是提供专线服务、时延低、通信服务质量高。缺点是成本高、带宽利用率低, 制约了数据业务的发展。

承载技术在电信网络的应用, 融合了计算机技术, 使电信网业务结构发生了极大的变化, 用户之间的连接可以是一对一的, 也可以是一点对多点的;通信方式可以是双向交互式的, 也可以是单向的;全球数据业务的年增长率远远超过了传统电话业务的年增长率。

在电信网络向IP网络转变过程中, 由于IP协议的不安全以及复杂的互联需求, 安全风险逐步渗入到电信网络的核心;运营商、SP在业务模式的发展中构成更加紧密的价值链, 合作运营的模式对管理和技术安全控制措施提出更高要求;移动终端处理能力的提高、功能的丰富, 意味着传统计算机领域的安全问题也会扩散到移动终端领域, 并给通信网络带来安全隐患。

2. 电信网络面临的安全威胁

随着电信网络的IP化程度提高, 在互联网上广泛存在的威胁同样影响电信网络的安全。企业面对的信息安全问题正在变得复杂化。从便携设备到可移动存储, 再到基于Web的协作应用, 乃至基于IP的语音技术 (Vo IP) , 每一类新产品都有新的安全问题与之相伴而生。目前最突出的安全威胁是系统在面临着日趋复杂的威胁的同时, 遭受攻击的次数日益增多。例如病毒、蠕虫、木马、黑客攻击、拒绝服务攻击、信息篡改、人为因素等。

3. 电信网络安全建设思路

电信网络作为国家、社会重要的信息通信领域, 安全问题成为近些年急需需要考虑的重要问题之一。安全建设不仅仅是安全设备的堆叠, 它需要从管理、标准、技术、组织等一系列角度出发。只有做到高层领导重视, 宏观方向明确;中层思路清晰, 中观概念清晰;底层执行得力, 微观标准统一;才能达到操作有规矩, 防范有措施, 回查有依据的目的。

3.1 建设原则

电信企业想要最大限度地降低信息安全风险, 成功开展信息安全工作, 必须把握多项关键原则。

3.1.1 管理层的高度重视

公司管理层要高度重视网络安全工作, 并给予明确支持。

3.1.2 统一管理, 总体协调

制定、贯彻流程将安全工作要点条理化, 将人、标准、技术结合在一起, 为管理层支持提供明确依据, 为全民参与明确职责及分工界面, 从而将各项安全要求真正落地。安全的建设应和业务系统相结合, 做到全程全网统一监控和审计, 统一管理。

3.1.3 全民参与

网络安全是一项全民性工作, 需要每个人参与。坚持“谁主管, 谁负责;谁运营, 谁负责”的原则, 层层落实安全责任, 达到不断教育、提高全员的安全意识。

3.1.4 同步规划、同步建设、同步运行原则

安全建设应与业务系统同步规划、同步建设、同步运行, 在任何一个环节的疏忽都可能给业务系统带来危害。

3.1.5 三分技术、七分管理原则

网络与信息安全不是单纯的技术问题, 需要在采用安全技术和产品的同时, 重视安全管理, 不断完善各类安全管理规章制度和操作规程, 全面提高安全管理水平。

3.1.6 内外并重原则

安全工作需要做到内外并重, 在防范外部威胁的同时, 加强规范内部人员行为和审计机制。根据调查显示, 内部问题引发的安全事件占总数的70%-80%, 内部人员对于网络的滥用 (包括不恰当使用IM、非法扫描和监听) 、公司机密信息的窃取等, 都远比外部人员容易, 加上内部普通工作人员的信息安全意识差, 办公用机很可能成为病毒、木马的受害者, 甚至成为攻击重要服务器的跳板或成为僵尸网络的成员, 从而危害到组织内外的安全。

3.1.7 整体规划, 分步实施原则

需要对公司信息安全建设进行整体规划, 分步实施, 逐步建立完善的信息安全体系。

3.2 组织机构

安全工作组织的设置是电信企业网络安全建设工作良好开展的基本保障, 组织机构一般分为安全领导小组、安全工作办公室和安全工作小组三个层面。其中安全领导小组应由公司的主管领导承担, 以便有效地落实发展规划、资源分配、监督执行等工作;安全工作办公室应设立在一个负责牵头的部门, 成员由各部门总经理组成, 负责辅助决策等工作;安全工作小组具体到不同的专业, 由具备安全知识、熟悉业务流程的人员组成。

3.3 网络安全的构建

3.3.1 安全规划

安全是一个广泛的主题, 它涉及到许多不同的区域, 如物理设备、网络、系统平台、应用程序等, 每个区域都有其相关的风险、威胁及解决方法。

对于联网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程, 不仅仅是纯粹的技术, 仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程, 要从观念上进行转变, 规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。

3.3.2 安全域划分

安全域划分的背景:随着电信业务快速增长, 暴露出组网方式随意性强, 缺乏统一规划、网络区域之间边界不清晰, 互连互通没有统一控制规范、安全防护手段部署原则不明确、扩展性差等安全隐患, 导致无法有效隔离不同业务领域、跨业务领域的非授权互访难于发现和控制;无法有效控制网络病毒的发作区域和影响;不能及时地发现安全事件和响应;第三方维护人员缺乏访问控制和授权;管理员密码和权限的难以管理;关键服务器、信息资产的缺乏重点防护等风险。

安全域划分的根本目的是把一个大规模复杂系统的安全问题, 化解为更小区域的简单系统的安全保护问题。这也是实现大规模复杂信息系统安全分等级保护的有效方法。按照主体、性质、安全目标和策略等元素的不同来划分不同逻辑子网或网络, 每一个逻辑区域有相同的安全保护需求, 具有相同的安全访问控制和边界控制策略, 区域间具有相互信任关系, 而且相同的网络安全域共享同样的安全策略。

3.3.3 安全设备

安全设备是电信网络安全防护最基础的硬件, 在这里介绍几种常用的安全设备。

防火墙:防火墙是一种高级访问控制设备, 是置于不同网络安全域之间的一系列部件的组合, 是不同网络安全域间通信流的唯一通道, 能根据企业有关安全政策控制 (允许、拒绝、监视、记录) 进出网络的访问行为。

虽然网络防火墙在网络安全中起着不可替代的作用, 但它不是万能的, 有其自身的弱点, 主要表现在:防火墙不能防备病毒。虽然防火墙扫描所有通过的信息, 但扫描多半是针对源与目标地址以及断口号, 而并非数据细节, 有太多类型的病毒和太多种方法可使病毒在数据中隐藏, 防火墙在病毒的防范上是不适用的。防火墙对不通过它的连接无能为力。虽然防火墙能有效地控制所有通过它的信息, 但对从网络后门及调制解调器拨入的访问则无能为力。防火墙不能防备内部人员的攻击, 目前防火墙只提供对外部网络用户攻击的防护, 对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性, 所以如果入侵者来自防火墙的内部, 防火墙则无能为力。防火墙限制有用的网络服务, 防火墙为了提高被保护网络的安全性, 限制或关闭了很多有用但存在安全缺陷的网络服务;防火墙是一种被动式的防护手段, 只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和新的网络应用的出现, 不可能靠一次性的防火墙设置来解决永远的网络安全问题。

IDS (IDS:Intrusion detection system) 入侵检测系统, 用于监控网络和计算机系统被入侵或滥用的征兆;以后台进程的形式运行, 发现可疑情况, 立即通知有关人员, 是监控和识别攻击的标准解决方案、安防体系的重要组成部分。

假如说防火墙是一幢大楼的门锁, 那入侵检测系统就是这幢大楼里的监视系统。形象地说, 它就是网络摄像机, 能够捕获并记录网络上的所有数据, 同时它也是智能摄象机, 能够分析网络数据并提炼出可疑的、异常的网络数据;它还是X光摄像机, 能够穿透一些巧妙的伪装, 抓住实际的内容。它还不仅仅只是摄像机, 还包括保安员的摄像机, 能够对入侵行为自动地进行反击:阻断连接、关闭道路 (与防火墙联动) 。

IDS与防火墙的区别:

1) 所在的位置不同

防火墙是安装在网关上, 将可信任区域和非可信任区域分开, 对进出网络的数据包进行检测, 实现访问控制。一个网段只需要部署一个防火墙。

而IDS是可以装在局域网内的任何机器上, 一个网段内可以装上数台IDS引擎, 由一个总控中心来控制。

2) 防范的方向不同

防火墙主要是实现对外部网络和内部网络通讯的访问控制, 防止外部网络对内部网络的可能存在的攻击。

网络入侵检测系统在不影响网络性能的情况下能对网络进行检测, 从而提供对内部攻击、外部攻击和误操作的实时保护, 防止内外部的恶意攻击和网络资源滥用。

3) 检测的细粒度不同

防火墙为了实现快速的网络包转换, 故只能对网络包的IP和端口进行一些防黑检测, 比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵, 防火墙是毫无办法。

而网络入侵检测系统则可以拥有更多特征的入侵数据特征库, 可以对整个网络包进行检查过滤

IPS (Intrusion Prevention System) 入侵防御系统, 提供一种主动的、实时的防护, 其设计旨在对常规网络流量中的恶意数据包进行检测, 阻止入侵活动, 预先对攻击性的流量进行自动拦截, 使它们无法造成损失, 而不是简单地在传送恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中或安装在服务器上而实现这一功能的, 即IPS接收到外部数据流量时, 如果检测到攻击企图, 就会自动地将攻击包丢掉。

IPS的优点:IPS侧重访问控制, 注重主动防御。目前, 主流的IPS产品都内置了状态包检测防火墙, IPS代表了深度检测和时时防御, IPS是2-7层的检测在加上高性能的硬件的结合体。

IPS的缺点:设备性能不够稳定, 造成网络延迟或丢包;存在误检测, 对正常业务造成影响;存在漏报现象, 影响系统安全性, 给企业带来损失。

3.3.4 监控手段

安全事件是一个或一系列与网络与系统安全、业务安全、信息安全相关的, 并极有可能发生危害系统可用性、完整性或保密性的事件。

安全事件按照受攻击设备分类可以分成主机设备、网络设备、数据库系统安全事件。

按照安全事件影响可分为:影响系统可用性的安全事件, 如拒绝服务攻击、恶意代码、漏洞攻击、僵尸网络等;影响系统完整性的安全事件:信息篡改事件、网页挂马、以破坏系统数据为目的的后门木马、漏洞攻击等;影响系统机密性的安全事件:信息窃取、信息泄密、网络钓鱼、网络嗅探、信息假冒、以窃取信息为目的后门木马、恶意程序 (间谍软件、盗号软件) 、漏洞攻击、僵尸网络等。

安全事件按照对业务影响范围及严重性一般可以分为四类:一般、紧急、严重和重大安全事件。

电信企业的网络安装了众多的安全设备, 使用各类安全手段的集中管控系统 (OMC) , 如防火墙的控制端、防病毒系统的集中控制端、IDS的集中日志分析系统等, 进行较为集中的安全监控;或者利用部分网管系统, 可以对各业务系统工作状态进行实时监控, 实现小范围内的集中监控。如果对安全事件监控的集中化程度需求较高, 可以考虑建设集中化的安全监控平台, 在集中监控平台上, 可以对采集到的所有的日志进行分类汇总, 按照恶意软件类告警、配置未归类告警、网络攻击类告警、漏洞类告警、安全设备故障类告警和综合类告警等类型进行呈现。

3.3.5 应急响应

安全监控可以有效地预防安全事件的发生, 但并不能完全阻止安全事件的发生。当安全事件真正发生的时候, 应急响应工作的成熟程度会决定事件的影响范围。

应急响应工作的目的是最快速度恢复系统的保密性、完整性和可用性, 阻止和减小安全事件带来的影响。应急处理是靠人完成各种复杂的应急响应。负责应急处理的人需要具备较强的专业知识、丰富的维护经验、应对突发性的能力、以及良好的协调与合作能力。

应急工作不是一个人或者个别人的工作, 它需要一个完备的组织机构共同协调完成。应急过程大致可以分为五个阶段:准备阶段;检测阶段;抑制根除阶段;恢复阶段;跟进阶段。在准备阶段需要事先做好以下内容:

1) 完善监控体系;

2) 制定应急预案;

3) 实施应急演练;

4) 制作系统快照;

5) 日常工具包。

检测阶段是应急响应全过程中最重要的阶段, 在这个阶段需要系统维护人员及安全人员使用检测技术进行检测, 查找安全事件的真正原因, 明确安全事件的特征、影响范围和安全事件对受影响的系统所带来的改变, 最终形成安全事件的应急处理方案及安全事件报告。

抑制阶段主要是针对检测阶段发现的攻击特征, 比如攻击利用的端口、服务、攻击源、攻击利用系统漏洞等, 采取有针对性的安全补救工作, 以防止攻击进一步加深和扩大。

抑制阶段的风险是可能对正常业务造成影响, 如在系统中了蠕虫后要拔掉网线, 遭到DOS攻击时会在网络设备上做一些安全配置, 由于简单口令遭到入侵后要更改口令会对系统的业务造成中断或延迟, 所以在采取抑制措施时, 必须充分考虑风险。

根除阶段是在抑制的基础上, 对引起该类安全问题的最终技术原因在技术上进行完全的杜绝, 并对这类安全问题所造成的后果进行弥补和消除。在根除阶段, 采取的措施最大的风险主要是在系统升级或补丁时可能造成系统故障, 所以必须作好备份工作。

恢复阶段的主要工作是将系统恢复到正常的任务状态。在系统遭到入侵后, 攻击者一定会对入侵的系统进行更改。同时, 攻击者还会想尽各种办法使这种修改不被系统维护人员发现, 从而达到隐藏自己的目的。因此, 在根除阶段能彻底恢复配置和清除系统上的恶意文件, 并且能够确定系统经过根除已经完全将系统的所有变化根除的情况下, 可以通过直接恢复业务系统的方式来恢复系统。这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小。如果在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已干净时, 那么就一定要彻底的重装系统。系统重装往往是系统最可靠的系统恢复手段。

跟进阶段是应急响应的最后一个阶段, 安全事件处理结束后, 要积极稳妥、深入细致地做好善后处置工作, 包括对安全事件的起因、性质、影响、责任、经验教训等问题进行调查和评估;分析产生此次事件的原因, 对事件进行调查, 确定责任人。如果涉及违法犯罪行为, 报司法机关追究当事人的刑事责任;较大及较大以上安全事件应编写详细的事件分析表格并报备有限公司;根据应急响应过程中暴露出的问题和调查评估结果, 对应急方案进行相应的修改和维护等内容。

4. 风险评估

绝对的信息安全是不存在的, 每个网络环境都有一定程度的漏洞和风险, 当风险降低到一定程度的时候是可以被接受的。信息安全问题的解决最终是要通过一系列的规划和措施, 把风险降低到可被接受的程度, 同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。

风险评估是对电信网络中已有安全保护措施的落实情况和有效性进行确认, 对存在的威胁和脆弱性进行分析, 找出安全风险, 有针对性的提出改进措施的活动。

4.1 风险评估的要素

风险评估包含三个要素:资产、脆弱性、威胁。

4.1.1 资产

系统中具有价值的资源, 是安全工作保护的对象。它能够以多种形式存在, 有无形的、有形的, 有硬件、软件, 有文档、代码, 也有服务、形象等。

4.1.2 脆弱性

资产中存在的弱点、缺陷与不足, 不直接对资产造成危害, 但可能被威胁所利用从而危及资产的安全。

4.1.3 威胁

可能导致对资产产生危害的不希望事件潜在起因, 它可能是人为的, 也可能是非人为的;可能是无意失误, 也可能是恶意攻击。常见的威胁有偷窃、冒名顶替、病毒、特洛伊木马、火灾等。

4.2 风险评估的过程

安全风险评估包括风险评估准备、资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析等步骤。

4.2.1 风险评估准备

风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前, 各单位应组建风险评估团队, 确定此次风险评估的目标、范围、原则、依据、方式、方法、职责分工、结果形式和进度安排等内容, 形成指导风险评估工作的方案。

4.2.2 资产识别

资产是具有价值的资源, 是安全防护体系保护的对象。评估者通过对定级对象包含的资产进行识别, 明确被评估的资产并形成资产清单, 根据资产清单对每一个资产进行后续的脆弱性识别、威胁识别、安全措施确认、风险分析等操作。

4.2.3 脆弱性识别

脆弱性是资产本身存在的, 是资产中存在的弱点、缺陷与不足。在评估过程中, 评估者应根据资产清单, 针对每个资产分别识别其可能被威胁利用的脆弱性, 脆弱性包括技术、管理等方面的脆弱性。

4.2.4 威胁识别

威胁是一种对资产构成潜在破坏的可能性因素, 是客观存在的。评估者通过威胁分析明确资产面临的人为、环境和技术等方面的威胁。

4.2.5 已有安全措施的确认

评估者应针对每一个脆弱性和威胁, 对已经采取的安全措施及其有效性进行确认, 并将已经采取的安全措施记录下来。

4.2.6 风险分析

评估者完成资产识别、脆弱性识别和威胁识别后, 判断威胁利用资产的脆弱性导致安全事件发生的可能性以及安全事件一旦发生造成的损失, 分析资产存在的安全风险, 结合已有的安全措施判断目前的安全风险是否在可接受的范围内。对于不可接受风险, 评估者应制定风险处理计划并及时进行整改, 采取新的安全措施降低、控制风险。

4.4 风险评估的方法

风险评估的方法有矩阵法、相乘法等多种方法。以相乘法为例:

风险值=资产价值×威胁值×脆弱性值。

风险值的取值范围为1-125, 根据风险值的大小, 对风险值等级化处理, 从而确定风险值对应的资产的风险等级。

5. 安全审计

安全审计是电信企业采用管理和技术的手段, 评估系统物理配置以及环境、软件、信息处理过程、用户操作等的安全性是否满足相关规定的行为。审计结果可以纠正现网存在的高风险行为。

5.1 安全审计的分类

5.1.1 信息系统审计

信息系统审计是一个通过收集和评价审计证据, 对信息系统是否能够保护带来的经营风险等进行系统的、独立的检查验证, 并作出相应资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。

5.1.2 网络安全审计

网络安全审计是指由专业审计人员根据有关的法律法规, 接受财产所有者的委托或管理当局的授权, 运用专业的审计软件, 对被审计单位计算机网络系统的管理和防护、监控、恢复等系统安全性的评价的一个过程。

5.1.3 信息安全审计

信息安全审计是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法。完整的安全审计通常评估系统物理配置以及环境、软件、信息处理过程、用户操作等的安全性。

5.2 安全审计的方法

5.2.1 安全审计的依据

一般可以遵循国家标准、国际相关标准来执行, 例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800等系列。如果企业有明确的标准要求, 应该依照企业制定的标准来执行。

5.2.2 安全审计的方法

包含抽样检查、系统检查、现场访谈和凭证检查。

5.2.3 安全审计的过程

安全审计过程规定了安全审计工作的具体内容、时间安排、具体的审计方法和手段。主要包括三个阶段:准备阶段、实施阶段、总结和改进阶段。

实施审计之前要先制订具体的安全审计计划, 确定审计工作的范围、重点、时间安排、审计人员及配合人员;采用的技术手段、主要风险及规避风险方案等内容。

审计实施主要对审计对象是否符合审计依据, 采用人工和技术手段相结合的方式进行符合性检查, 并逐一记录结果在审计过程中。如果发现不符合项, 经确认无误后, 被审计单位负责人在报告书中签字认可, 审计人员与配合审计人员签字确认。

安全审计实施完毕, 被审计系统要根据安全审计报告编制《安全审计问题整改计划及实施方案》, 并实施整改。

6. 人才培养及发展方向

电信企业的安全工作注重“三分技术, 七分管理”, 既要培养安全技术人员, 也要培养安全管理人员。培养的过程也是一个转换的过程, 初期以电信业务网络的安全运营为主, 后期逐步转化为对外提供安全服务。

7. 结束语

电信网络的安全是一个长期建设的过程, 需要采用科学发展的观点开展, 既不能超越企业运行的需要, 也不能滞后系统的安全需要。在规划、建设、审计、评估等环节中融入PDCA的思路, 可以形成有效的安全工作闭环模式, 达到巩固、提升安全工作的效果。

参考文献

[1]童晓谕、李安渝等.软交换技术与实现成都:西南交通大学曾出版社, 2004.7.

篇4：电信级网络安全问题剖析

关键词：运营商；网络安全；风险分析；用户行为；安全增值

中图分类号：TN915.08 文献标识码：A 文章编号：1674-7712 (2012) 10-0107-01

随着互联网技术的飞速发展，互联网的建设和应用正日趋成熟，使得国内外同行业间的竞争加剧，因此，向全社会提供一个安全、高速、易用的互联网环境，成为了每个运营商都面临着的挑战。

本文简要分析了运营商普遍存在的安全问题，提出了一些有针对性的想法。从分析运营商所面临的安全风险入手，对运营商提高网络与信息安全的水平进行初步的探讨。

一、网络运营的安全现状和面临的主要安全风险

考虑互联网的安全，从技术层面上来说，应当首先明确网络结构的安全特性；从管理层面上说，应当首先明确技术人员的能力与规章制度的执行效率等情况。

为方便说明问题以一省的互联网为例，从网络、用户行为和管理等几个方面进行简要分析。

（一）网络层面

骨干网的安全风险主要有（依照破坏强度大小排列，下同）：

1.急速消耗带宽类的拒绝服务攻击，例如，穿越省网出口的网络蠕虫引发的安全风险和穿越省骨干网核心节点间的网络蠕虫引发的安全风险；

2.路由器自身遭受攻击，例如IOS或路由协议可能出现的安全漏洞引发的安全风险；

3.路由器配置错误和不当引发的安全风险；

4.缓速消耗带宽类的拒绝服务攻击，例如各种人为的以缓慢消耗带宽为目的的破坏。

（二）用户行为

用户行为的安全风险主要有：

1.病毒的传播更加便捷高效、破坏力更强。虽然用户可能使用了各种形式的杀毒软件，但是如果出现病毒借助点对点共享方式进行传播的情况，由于病毒检测机构很难快速获得病毒样本，所以被延长了的杀毒周期加剧了病毒的破坏力，带来的安全风险极大；

2.信息安全受到极大的挑战，数据的机密性和完整性受到严重威胁；

3.带宽消耗非常大，符合缓速消耗带宽类拒绝服务攻击的特征。

由此看出，虽然用户行为引发的安全风险主要集中在用户自身，影响其信息资产的安全，同时也对运营商的网络产生影响。但是用户不会如此客观的看待这个问题。他们很可能会迁怒于运营商网络的不稳定、不安全。如此下去，若被竞争对手加以利用，则会更加不利于市场竞争。

（三）管理层面

安全工作需要管理层面和技术层面紧密结合才能取得实质的效果，在行业内普遍认同“三分技术、七分管理”的理念。

1.目前，各运营商都普遍成立了专门的安全组织，但在实际工作中，各级安全机构间的沟通一直都比较少，还没有形成定期沟通的机制。由此会引发的安全风险主要表现在由于指挥调度、信息传递、考核监督等受到影响而不能及时处理安全事件、消除安全隐患等方面。

2.在安全工作的流程上，主要有两个工作关系还没有得到优化：一是安全管理员与设备、网管维护人员的工作关系，二是上级安全管理员与下级安全管理员间的工作关系。由于流程没有优化，加之相关的规章制度也没有健全，所以会带来安全管理上的风险。

3.运营商的整个安全工作缺乏一支专业技术队伍作为支撑，缺乏较高水平的核心技术人员，很多工作无法落到实处。缺乏核心技术人员，以及技术人员整体水平偏低，都是安全工作的严重隐患，能引发极大的安全风险。

二、网络运营安全问题的解决思路

总结上述对运营商互联网安全风险的分析，可以看到，当前的安全风险已经分布在涉及技术和管理两大范畴在内的方方面面。为了有效的消除安全风险，可以采取“三步走”战略。

（一）采取基本措施，具备安全风险控制的基本能力

1.部署分布式漏洞扫描器（IS），主动发现安全漏洞。使用漏洞扫描器可以主动的发现安全隐患，从而能够及时采取必要措施进行补救以避免遭受网络攻击和破坏。漏洞扫描器主要采用模拟入侵的方式验证目标系统的安全性，用来对全省互联网设备和业务主机进行漏洞扫描和发现。

2.部署分布式网络入侵检测系统（IDS），完善安全监视手段。网络入侵检测（预防）系统主要是用来识别网络攻击和安全事故，监视网络安全状况；可以为发现、截获、追踪和事后分析网络攻击行为提供必要的原始数据。入侵检测系统不同于异常流量分析设备，前者是基于安全事件的检测，智能化程度较高；后者基于流量采样统计，对大流量环境下的检测能力较强。

3.部署综合安全风险分析系统。综合安全风险分析系统可以改善当前网络安全工作中完全依靠手工运算进行安全风险分析、预测的局面，全面提高网络安全风险控制的能力。综合安全风险分析系统还可以在运行维护的辅助决策、安全预警和流程控制等方面发挥作用。

4.部署防范拒绝服务攻击（Anti-DDoS）系统。防范拒绝服务攻击系统具备综合安全风险分析系统的关联分析资料，防范拒绝服务模块可以与之进行联动，在综合安全风险分析系统的支持下，可以有效的调度网络资源对抗（或削弱）拒绝服务攻击，还可以进行溯源。

5.考虑请一家或数家安全技术力量雄厚的公司来为运营网络提供高级安全顾问服务，并在出现紧急情况时，为运营商提供专业的安全应急服务。

6.技术队伍建设。采用参加专业培训与实际工作相结合的方式进行技术队伍建设，尤其应当注意培养核心技术人员。

（二）制订、实施安全工作的中长期规划

中长期规划主要用来加强互联网网络本身和各种依托互联网的业务系统的生存能力，也就是考虑实施业务持续性计划，或称作BCP（Business Continuity Planning）。

BCP是一套完整的解决方案，用来消灭或降低突发事件对业务产生的影响，是在量化的业务冲击分析（BIA）及风险分析（RA）基础上，制定各种相应的应急及恢复计划、方法和流程，减轻灾难事件造成的不利影响。

（三）安全增值服务计划

安全增值服务的核心的思想就是将运营商成熟的安全管理方法、技术手段以客户能接受的方式提供给客户；用双赢的方式，即加强安全又产生效益。

篇5：电信企业的IT网络安全探讨

罗振一

（单位：中国联通广西分公司

邮编：530000）

摘要：文中论述了电信企业的IT网络安全体系复杂性，阐明了建立计算机网络安全体系的必要性，提出了解决现有计算机网络安全技术方案。着重介绍了主动防御和被动防御的各种技术，通过具体的网络安全实例，阐述了电信企业计算机网络安全体系的合理构成。

关键词：网络拓扑网络安全体系

防火墙加密技术入侵检测

虚拟局域网

1．网络架构及安全体系特点

本文主要介绍电信企业中的IT网络安全体系，不涉及通信网络的安全问题。电信企业的IT网络组成主要有：计费网、营销网络、办公网络，计费网是核心网络；营销网络是整个企业的营销系统主体，办公网络是实现企业信息化及办公自动化的基础。网络安全体系主要基于计费网为核心网，营业网、办公网、其他外围网络作为接入网络，计费网做为核心网络，放置大部分的核心数据库和主机，具有最高的安全局别，主要考虑采用主动防御和被动防御相结合的方案；营销网络安全级别仅次于计费网，是整个公司营销的基石，营销网的特点是：覆盖的地域广、接入方式不统一、终端类型繁多、INTERNET网严格隔离等，网络安全主要采用被动防御安全技术；办公网主要是为企业信息化和办公自动化建设，办公网的特点主要是：网络拓扑清晰、接入公网、权限管理复杂，办公网的安全体系，建议采用被动防御为主，主动防御为辅。基于以上的网络特点，IT网络的整个安全体系是建立在以计费网为核心，保证核心能够免疫来自内部和外部的入侵和非法访问，各种接入网建立各自的安全体系，从而建立起多级、全方位的IT网络安全体系.2．网络安全技术

经过几十年的研究和发展，网络安全（从属信息安全）已经成为计算机科学，非常重要的组成部分，形成比较成型的理论和应用技术。电信企业应该采用这些经验和技术，建立安全、可靠的IT网络，减少由于入侵、非法访问、病毒入侵、网络故障等引起的损失，为企业发展建立一个良好的环境。以下主要介绍一些主流的网络信息安全保护技术.2.1 主动防御保护技术

主动防御保护技术主要有：数据加密、身份鉴别、存取控制、权限设置、虚拟局域网等。在主动防御保护技术方面，电信企业一般主要采用：身份鉴别、存取控制、权限设置、虚拟局域网（VLAND）等技术。身份鉴别和权限设置在不同系统，有不同的要求，有分散设置、有统一设置，机制和手段都比较成熟，在这里不做简介。对于存储控制和虚拟局域网，许多IT网络在建设时候，都有这样的技术概念，但是真正有效应用起来比较少，原因可能比较简单，麻烦或没有必要。存取控制的内容包括人员限制、访问权限设定、数据标识、和风险分析等，是内部网络信息安全的重要方向，实现方式可以通过路由访问策略、网络监控、专用物理地址和IP地址的访问控制系统等等，有效的建立起存取控制机制，可以将网络的安全性、可靠性提高一个水平，目前很多企业的网络不够稳定或出现故障，经过故障排查后发现，真正的原因和存取控制机制不够健全有很大关系。对于虚拟局域网技术，相信大家都很熟悉，在此不做太多讨论，利用好虚拟局域网技术，非常廉价也很便利。某公司曾经发生大面积的IT网络瘫痪，经过排查，故障的原因很简单，主要是一台备用的服务器出现故障，不断在网络上大量发包，造成一台主用的业务服务器受到影响。经过重新分析和排查后，发现这样问题如果将应用服务器之间进行虚拟局域网划分和设定良好的路由策略，是完全可以避免的。

2.2被动防御保护技术

被动防御保护技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证等。在电信企业的IT网络中，我们主要强调防火墙技术、入侵检测系统技术、安全扫描技术的应用。在很多公司的IT网络架构体系中，防火墙都起非常重要的做用，本文中，我们主要采用硬件防火墙,保证核心计费网同接入网实现安全隔离,办公网和公网的接入口,也采用硬件防火墙进行访问控制;入侵监测系统(IDS)处于防火墙之后对计费网络活动进行实时检测/监控,保证核心网络安全;安全扫描器由于核心计费网和公网或外网没有直接的接口,在建立网络安全体系的时候,安全扫描只是设置为定期操作,比如一周或1个月,为应用服务器或普通终端升级或打补丁,提供数据依据.在规划网络架构的时候,建议将入侵检测系统、安全扫描器放置于一台主机上。

2.3 反病毒技术。

反病毒技术涉及内容很复杂和广泛，目前主要使用到的基本是成熟的杀毒工具，有网络杀毒工具和单机杀毒工具，电信企业应该更多的考虑到如何使用现有的杀毒技术，对核心计费网、营销网和办公网进行病毒防范。我们建立的反病毒机制主要是，对重要的应用服务器进行实时防毒监控，统一采用网络防毒工具，单机的终端安装单机的实时放病毒软件。，3．网络安全体系的解决方案及实例

根据IT网络架构特点，及安全层次要求，电信企业的网络安全体系，应该充分利用现有的网络安全技术，主要从三个方面入手：

3.1 外来非法入侵的防范，即采用现有的网络防火墙技术，根据网络的拓扑结构特点，层层作防，把外来非法入侵的可能性降到最低点。

3.2 采用现有的认证技术，比如PKI技术等等，建立完善的内部认证体系，把来自企业内部的非法访问控制到最低点，很多调查表明，很大比例的非法入侵是来自于企业内部，因此对于企业内部的访问认证控制，是建立网络安全体系的重要工作之一，也是保证营销网络和办公网络真正能达到信息安全的重要手段。

3.3建立完善的反病毒机制，充分利用现有的很多著名的杀毒工具，比如瑞星反病毒工具、NORTON反病毒工具等，定时杀毒和作病毒防范，给公司员工灌注反病毒的意识。

以下是一个简单的网络架构实例，主要根据电信企业的网络特点规划，也是部分电信企业目前的大致网络架构，没有涉及具体的业务和各种认证系统，这样的方案在很多集成商的案例中都可以看到，做为电信企业的IT技术人员，我着眼点主要是从整体上，从整个网络结构

上规划IT网络的安全体系。这个网络逻辑架构也是我参与建设一个企业内部网，原始的网络构造逻辑图，该网络目前在运行很好，但是仍然存在一些问题，问题将在后面的总结中具体概括。

INTERNET防火墙路由器服务器办公网入侵检测、安全扫描、反病毒营业终端入侵检测、安全扫描、反病毒服务器路由器防火墙应用服务器群路由器计费核心网路由器数据库营销网网管系统管理营业终端营业终端营业服务器

以上的网络架构及安全体系结构，只是一个大致的网络逻辑架构，简化了许多实际应用中需要考虑的问题，只是把主要涉及网络安全的部分重点画出。我在这里引用，主要是强调从网络规划，从网络架构上实现网络信息安全保护是极为重要的。

4．电信企业IT网络安全概括

要建立完整的计算机网络安全体系，外来入侵的防范、内部访问的认证控制、反病毒机制的建立及完善缺一不可，网络安全体系的建立是一项长期而复杂的过程，电信企业只有不断的适应安全技术的新发展，不断完善企业网络的安全防范，才能真正做到企业信息的安全，和保证企业业务正常发展。

作者简介：罗振一男 1978年2月出生 2000年7月毕业于广西大学计算机与信息工程学院工程学士

篇6：基于电信企业网络安全策略

本科生毕业论文（设计）

需要完整版请点击屏幕右上的“文档贡献者”

题

目：基于电信企业的网络安全策略

基于电信企业的网络安全策略

内容摘要

随着企业办公网络的发展，如何保障网络正常运行，网络资源的合法访问，使网络免受黑客、病毒和其他不良意图的攻击显得尤为重要。本文简要介绍了企业网络安全的威胁因素，根据网络访问机制给出了相应的管理策略，并重点讨论了信息加密以及内外网互连的企业网络安全策略。

关键词：

I 电信网络；网络安全；策略基于电信企业的网络安全策略

内容摘要 ··························································································································· I 引

言 ···························································································································· 2 1 概述 ···························································································································· 3

1.1 研究背景 ·········································································································· 3 1.2 网络安全现状 ·································································································· 3 1.2 本文的主要内容及组织结构 ·········································································· 4 2 企业网络安全需求及隐患 ························································································ 5

2.1 企业网络安全需求 ·························································································· 5 2.2 企业网络安全隐患 ·························································································· 5 2.3 安全问题对企业网络的危害 ·········································································· 5 3 电信企业网络安全策略 ···························································································· 6

3.1 访问控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 内外网互联安全策略 ······················································································ 6 4 数据备份策略 ············································································································ 8 5 结论 ···························································································································· 9 参考文献 ························································································································ 10

１

基于电信企业的网络安全策略

引

言

随着计算机网络的出现和互联网的飞速发展，网络在信息获取及传递中发挥着无可比拟的作用。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。伴随着网络的发展，也产生各种各样的问题，其中安全隐患日益突出，无论是企业、服务供应商、政府部门还是研究和教育机构，安全性显然决定着网络要求和工作的优先级。对于企业而言，提高内部信息集成，实现信息共享，提高工作效率，必须要建立完善、高效的网络。

２

基于电信企业的网络安全策略概述

1.1 研究背景

当今，互联网的发展已经出乎人们的想象，新技术、新概念层出不穷，互联网实现了人们在信息时代的梦想，预示着新经济时代的到来。因特网的迅速发展使得信息资源可以迅速的高度共享。随着全球的网络化，经济的全球化，世界缩小了，人类的工作、生活变的更加快捷方便。随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展，因特网正在越来越多地离开原来单纯的学术环境，融入到经济、军事、科技、教育等各个领域中。电子商务、远程教育、网上医疗渐渐步入千家万户，网络吸引了亿万用户，它已经成为人们生活的一部分。

1.2 网络安全现状

Internet正在越来越多地融入到社会的各个方面[1]。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益发展，Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。

随着互联网技术的发展，网上内容的丰富，互联网犹如空气、水融于世界每个角落。互联网不只是高科技的象征，它已成为整个国民经济的神经网络。企业上网不仅是一种时尚，更成为企业成功的必选项。截止到年2001年4月3日，在我国已有的个网站中，企业网站所占比重最大，为77.8%，到,2001年底全国通过网络进行的电子交易达近4万亿美元。然而，在企业纷纷享受现代文明成果之时，网络潜在的危害也在威胁着企业[2]。据统计，2001年全球电脑病毒造成的经济损失高达129亿美元，仅红色代码给企业和个人造成的经济损失就达26.2亿美元，90%的网站均遭受过网络攻击。

2000年2月，在三天的时间里，黑客使美国数家顶级互联网站－Yahoo、Amazon、eBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使 3

基于电信企业的网络安全策略

其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。

国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客攻击[3]。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程度的破坏，致使网站无法运作。

客观地说，没有任何一个网络能够免受安全的困扰，依据Financial Times曾做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。

1.2 本文的主要内容及组织结构

基于电信企业的网络安全策略企业网络安全需求及隐患

企业网络通常采用TCP/IP、WWW、电子邮件、数据库等通用技术和标准，依托多种通信方式进行广域连接，覆盖系统的大部分单位，传输、存储和处理的信息大都涉及到行业内部信息。因此必须对信息资源加以保护，对服务资源予以控制和管理。

2.1 企业网络安全需求

2.2 企业网络安全隐患

网络的入侵不仅来自网络外部，也来自于网络内部，由于办公网络在用途和实现方式上与公众网络有所不同，大部分办公网络都采用内部网的形式进行组建，外部网相对而言网络节点数量和信息量都较少，敏感信息一般存放在内部网络中，而且内外网之间大多采用了较强的保护甚至物理隔离措施，因此大多数的安全威胁来自网络内部，而非外部，其原因主要有：

一般来说，大部分机构的信息安全保护措施都是“防外不防内”，很多办公网络赖以保障其安全的防火墙系统大部分位于网络边界，对来自内部的攻击毫无作用。

内部人员最容易接触敏感信息，而且对系统的结构、运作都非常熟悉，因此行动的针对性很强，很容易危害系统的核心数据和资源，而且很难被发觉。

内部人员可能采用常用的非法用户技术和软件对办公网络进行测试。

2.3 安全问题对企业网络的危害

基于电信企业的网络安全策略电信企业网络安全策略

3.1 访问控制策略

访问控制的目的是防止非法访问，实现用户身份鉴别和对重要网络、服务器的安全控制[4]。防火墙就是一类较有效并广泛应用的网络访问控制设备，它主要通过对IP地址、端口号等进行控制和设置应用安全代理等措施，实现内部被保护网络与外部网络的隔离。

在安全规则上，企业网络可以针对单独的主机、一组主机、一段网络，按照网络协议进行设置，面向对象的安全规则编辑；根据网络通讯端口设置安全规则，针对企业保护对象只开放某些服务端口；根据信息传输方向设置安全规则，同时在安全规则中设置允许、拒绝等操作方式；按照星期几或每一天具体的时间设置，实现访问控制；根据网络服务设置安全规则。

3.2 信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据[5]。网络加密常用的方法有链路加密、节点加密和端点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；节点加密的目的是对源节点到目的节点之间的传输链路提供保护；端端加密的目的是对源端用户到目的端用户的数据提供保护。用户可根据网络情况酌情选择上述加密方式。

3.3 内外网互联安全策略

随着网络拓扑结构、网络应用以及网络安全技术的不断发展，安全策略的制订和实施是一个动态的延续过程。需要制定周密可靠的安全体制以保护内网的机密信息、阻隔外网对内网系统的有害侵袭以及有效的管理和限制内网用户对外网资源的访问等。为保证企业办公网络的安全性，一般采用以下一些策略:(1)利用防火墙技术。它是以TCP/ IP体系架构为核心，针对具体应用和用户角色进行智能决策的系统，以保护网络的可用性、系统服务的连续性;防范网络资源的非法访问及非授权访问;检测各种入侵、攻击和异常事件，并以响应的方式通知相关人员，管理人员根据警报信息及时修改相应的安全策略;通过防火墙的http访问控制管理，过滤网络地址URL，对URL中的路径部分以及网页内容进行过滤、对JAYAAP2 PLET、ACTIVEX过滤；通过防火墙的FTP访问控制管理，提供命令级的过滤功能、部分命令参数的过滤功能、限制用户的访问，对用户名进行 6

基于电信企业的网络安全策略

过滤、保护FTP服务器信息。

(2)利用入侵检测技术。入侵检测技术可使系统管理员时刻了解网络系统，给网络安全策略的制定提供依据。入侵检测系统可以监视、分析用户级系统活动；构造变化和弱点的审计;识别反映己知进攻的活动模式并向网管人员报警;操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

(3)利用VLAN技术。VLAN技术的核心是网络分段。运用VLAN技术跨越交换机按功能对网络进行统一的VLAN划分，可以将通信限定在同一虚网中，形成特别有效的限制非授权访问的屏障。如在集中式网络环境下，将中心的所有服务器系统集中到一个VLAN中，将网管工作站、系统管理员经常用来登陆服务器的工作站等高安全性的用户组织到另一个VLAN中，在这些VLAN里不允许有任何用户节点，从而较好的保护敏感资源，在分布式网络环境下，可按机构和部门的设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

基于电信企业的网络安全策略数据备份策略

对企业服务器及数据应利用防火墙实现双机热备份和灾难冗余。对于需要高度可靠性的用户，一定要选用具有双机热备份功能的防火墙，在同一个网络节点使用两个配置相同的防火墙，正常情况下一个处于工作状态，另一个处于备份状态，当工作状态的系统出现故障时，备份状态的防火墙自动切换到工作状态，保证网络的正常使用。备用防火墙系统能够在一秒钟内完成整个切换过程，不需要人为操作和除两个防火墙以外的其他系统的参与，而且整个切换过程不影响网络上的任何通讯连接和信息传输。如果是不具有双机热备份功能的防火墙，即使能够做到双机热备份，一旦出现故障时，备用防火墙需要10秒钟以上才能替代主用防火墙正常工作，网络上的所有服务连接均需要重新建立，费时费力而且会造成很大损失。

基于电信企业的网络安全策略结论

随着网络建设的发展，企业网络的规模将越来越大，网络安全管理工作将越来越复杂，网络安全维护将是企业的一项重要任务。在维护网络安全时，必须结合网络安全防范技术，综合考虑安全因素，制定合理的管理方案、有效的技术方案，采取切实可行的安全防护措施，逐步完善的网络安全防护体系，增强每个网络用户的安全意识，从根本上解决网络安全问题。

榆林电信分公司网络安全系统涉及的安全方案考虑到了榆林电信分公司网络安全系统的实际情况，均衡了性能价格比，从整个系统的可靠性，稳定性，安全性和可扩展性多方面进行了考虑，有如下优势：

基于电信企业的网络安全策略

参考文献

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处