第一篇：淺談電信網絡安全

一、選題的依據及意義：

老師在課堂也也時刻點明這我們這個是隨著互聯網的興起的時代,而我們這些IT人又面臨著更新一步的IT技術。面對TCP/IP協議簇的采用,各種應用層出不窮,傳統的固定網、移動網與互聯網的聯系越來越緊密。有線、無線等各種接入方式不斷推出,企業網、ISP、ICP、個人電腦等都以不同的方式與互聯網等網絡相聯。這樣,雖然用戶使用方便了,但網絡安全問題的威脅也增加了,往往一個點或一個地方的問題會影響到其他地方、其他網絡,甚至多個網絡。

同時，我在外面所報名的華三H3C的NE課程中也認識到網絡安全問題的重要性：當前,威脅網絡安全的主要有木馬程序病毒、蠕蟲病毒、電子郵件攻擊、Web攻擊、軟件漏洞、系統漏洞、拒絕服務(DoS)攻擊、IP地址欺騙、即時通信攻擊、端到端攻擊、緩沖溢出等。

從上述威脅網絡的種種可以看出,黑客與病毒的目的不外呼是破壞系統和竊取信息。面對這一形勢,目前電信網絡如何增強其安全性呢?

二、本課題研究內容：

首先我們就先來看互聯網和電信網的特點：

電信網絡的特點

傳統的電信網絡(PSTN)是基于電路交換的方式,面向連接,網絡QoS有保證。其網絡的安全性體現在網絡的可靠性和可用性,網絡的可靠性涵蓋了傳輸系統和相應的設備,可靠性的指標很高,設備間的連接電路也有相同的可靠性要求,并且還設計了冗余備份和保護倒換等技術來進一步保證系統的可靠性。

PSTN對用戶的信息是透明的,網絡保證不對用戶信息進行任何的修改和破壞。用戶信息也不會對網絡節點設備構成任何沖擊和危害。

PSTN的網絡安全還包含運營網絡不得隨意使用加密技術,而對于個人用戶的私人保密是以不危及國家安全為限的。在傳統的電信網中,用戶數據加密是有規定的,普通用戶數據是不準加密的,商密用戶,普密用戶,絕密用戶可以使用密碼技術加密,但必需經過相關部門批準。

互聯網的特點

互聯網是基于分組交換的方式,面向無連接,網絡QoS保證較差。互聯網又可稱為IP網,傳統的PSTN網由于是面向連接,一條鏈路要么接通,要么不通,問題容易發現也容易解決。而IP網是無連接的,其網絡的路由和流量分配都是隨機的,不同的流量分配帶來的網絡效率也不一樣。IP網絡攻擊源無處不在,難以追蹤和查找,使IP網絡維護的復雜性大大增加。

近年來,由于互聯網的迅猛發展,新業務及傳統業務的迅速IP化,終端設備的智能化,網絡規模越來越大,網絡的安全問題也越來越突出,加上互聯網的不可管理,不可控制,網絡只保證通達,而把安全問題交給了用戶的一些網絡設計中,這樣就進一步惡化。上面所談的一些威脅安全的種類都是由于互聯網及其業務的發展所引起的。而當今互聯網已把PSTN和移動網緊密地聯系起來了,如VoIP業務的迅猛發展更是和每個網絡有關系。這樣上述的網絡安全的種種自然也帶給了電信網絡。

從客觀來講二者之間的差異一目了然，可二者的技術關聯是密不可分的。互聯網和電信網的普遍性、加密性、覆蓋面廣決定了我們所依賴此類網絡的前提。下面我們談談其防范：

網絡安全的防范

網絡安全的防范是一個體系和系統,必需協調法律,技術和管理三個方面。要集成防護,監測,響應,恢復等多種技術。

網絡安全的防范是通過各種計算機,網絡,密碼和信息安全技術,保護在網絡中傳輸,交換和存儲信息的機密性,完整性和真實性,并對信息的傳播及內容進行控制。

網絡按全的防范從技術層次上看,主要有防火墻技術,入侵監測(IDS/IPS,IPS可以做到一手檢測,一手阻擊)技術,數據加密技術和數據恢復技術,此外還有安全協議,安全審計,身份認證,數字簽名,拒絕服務等多種技術手段。這里特別需要指出的是防火墻,防病毒和安全協議的技術。防火墻守住網絡門戶,防病毒是網絡的第一把保護傘,安全協議提供了身份鑒別,密鑰分配,數據加密,防信息重傳,以及通信雙方的不可否認性等重要功能。

三、研究目標、主要特色及工作進度：這里的電信網包括電信,移動等運營商的固定網和移動網,以及專門供運營商使用的專用網,如DCN(數據通信網)等。電信網絡的安全保障可從以下幾方面考慮:

1.在電信網絡各節點處構筑防御(如防火墻),防止外網影響內網。這里說的節點就是與其他各種網絡連接的地方,除固定網與移動網外,還有ISP,ICP,企業網,個人電腦等許多終端設備。

2.建立一個統一,完善的安全防護體系,該體系不僅包括防火墻,網關,防病毒及殺毒軟件等產品,還有對運營商安全保障的各種綜合性服務措施,通過對網絡的管理和監控,可以在第一時間發現問題,解決問題,防患于未然。

3.在互聯網日益廣泛應用的今天,為保障電信網絡的安全,必需樹立全程安全的觀念。全程安全就是在安全的每個過程中,如物理層,網絡層,接入終端,服務層面,人員管理等每個和安全有關的過程都要添加相應的安全措施,并且還要考慮安全隨時間變化的因素,也就是說,無論用戶在任何特定的時間,用戶的安全性都能得到保障。

4.需要建立安全管理機制。例如,口令管理;各種密鑰的生成,分發與管理;全網統一的管理員身份鑒別與授權;建立全系統的安全評估體系;建立安全審計制度;建立系統及數據的備份制度;建立安全事件/安全報警反應機制和處理預案;建立專門的安全問題小組和快速響應體系的運作等。為了增強系統的防災救災能力,應制定災難性事故的應急計劃,如緊急行動方案,資源(硬件,軟件,數據等)備份及操作計劃,系統恢復和檢測方法等。

5.建立專門的數據容災系統。其內容主要是數據容災和應用容災。數據容災是指建立一個異地的數據系統,該系統是本地關鍵應用的一個實時復制,當本地數

據及整個應用系統發生災難時,系統至少在異地保存一份可用的關鍵業務的數據。應用容災是在數據容災的基礎上在異地建立一套完整的,與本地相當的備份應用系統(可以互為備用),在遇到災難時,遠程系統迅速接管業務運行。

2、主要特色：網絡管理是電信網絡運營商的重要手段之一。它監控網絡話務量及路由繁忙的情況,以及設備及鏈路的可靠運行。網絡管理在網絡內部安全方面具有先天的優勢,它可以通過對網絡流量發生異常的分析及深度檢測,對IP數據進行截獲,發現已知及未知的新型侵入者。通過網絡管理中增加的安全手段還可對多數安全設備顧及不到的4-7 層的內容安全與網絡行為的法律取證等采取有效措施。因此,網絡管理與網絡安全管理相結合將使電信運營商能更有效地保障電信網絡的安全。

第二篇：電信網絡安全及防護

電信網絡安全及防護

摘 要：電信網絡的安全問題不容忽視。分析了電信網絡安全現狀，指出了影響電信網絡安全的主要因素，并從技術角度提出了防護措施。

關鍵詞：電信；網絡安全；技術防護

從20世紀90年代至今，我國電信行業取得了跨越式發展，電信固定網和移動網的規模均居世界第一，網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面，和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作，是一項重要的工作。筆者結合工作實際，就電信網絡安全及防護工作做了一些思考。電信網絡安全及其現狀

狹義的電信網絡安全是指電信網絡本身的安全性，按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面；廣義的網絡安全是包括了網絡本身安全這個基本層面，在這個基礎上還有信息安全和業務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網絡安全的建設，針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年，原中國電信意識到網絡安全的重要性，并專門成立了相關的網絡安全管理部門，著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此，建立了網絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保障和完備的技術管理體系，以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作，來完成對網絡安全事件的監控，完成對網絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統。

然而，網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等，造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中，安全問題更加暴露。從狹義的網絡安全層面看，隨著攻擊技術的發展，網絡攻擊工具的獲得越來越容易，對網絡發起攻擊變得容易；而運營商網絡分布越來越廣泛，這種分布式的網絡從管理上也容易產生漏洞，容易被攻擊。從廣義的網絡安全層面看，業務欺詐、垃圾郵件、違法違規的SP行為等，也是威脅網絡安全的因素。電信網絡安全面臨的形勢及問題

2.1 互聯網與電信網的融合，給電信網帶來新的安全威脅

傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送，信令網、網管網等支撐網與業務網隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統，保障了網絡安全。IP電話引入后，需要與傳統電信網互聯互通，電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上，TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現不法行為，無論是運營商還是執法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2 新技術、新業務的引入，給電信網的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網絡的復雜性和不可控性。此外，3G、WMiAX、IPTV等新技術、新業務的引入，都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網絡側發送信息的能力大大增強，每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網絡群，其拒絕服務攻擊的破壞力將可能十分巨大。2.3 運營商之間網絡規劃、建設缺乏協調配合，網絡出現重大事故時難以迅速恢復

目前，我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監管措施還不配套，給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面，原來由行業主管部門對電信網絡進行統一規劃、統一建設，現在由各運營企業承擔各自網絡的規劃、建設，行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題，不同運營商之間的網絡能否互相支援配合就存在問題。

2.4 相關法規尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網絡安全相關的法律法規還不完備，且缺乏操作性。在規范電信運營企業安全保障建設方面，也缺乏法律依據。運營企業為了在競爭中占據有利地位，更多地關注網絡建設、業務開發、市場份額和投資回報，把經濟效益放在首位，網絡安全相關的建設、運行維護管理等相對滯后。電信網絡安全防護的對策思考

強化電信網絡安全，應做到主動防護與被動監控、全面防護與重點防護相結合，著重考慮以下幾方面。

3.1 發散性的技術方案設計思路

在采用電信行業安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發散性的思路進行安全分析和保護，并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統，使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。

3.2 網絡層安全解決方案

網絡層安全要基于以下幾點考慮：控制不同的訪問者對網絡和設備的訪問；劃分并隔離不同安全域；防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。同時，應結合網絡系統的安全防護和監控需要，與實際應用環境、工作業務流程以及機構組織形式進行密切結合，在系統中建立一個完善的安全體系，包括企業級的網絡實時監控、入侵檢測和防御，系統訪問控制，網絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統的總體可控性。

3.3 網絡層方案配置

在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品，將工作站直接連接到主干交換機的監控端口(SPANPort)，用以監控局域網內各網段間的數據包，并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。

3.4 主機、操作系統、數據庫配置方案

由于電信行業的網絡系統基于Intranet體系結構，兼呈局域網和廣域網的特性，是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡，它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產品進行中央管理。

3.5 系統、數據庫漏洞掃描

系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統/數據庫漏洞掃描工具。

第三篇：論電信網絡安全管理

論電信網絡安全管理

摘 要：電信網絡的安全狀況直接影響著金融、交通、能源等基礎設施的正常運行。盡管目前國內電信運營商都比較重視網絡安全，但安全問題仍不容忽視，因為影響電信網絡安全的因素是多方面的。電信企業應做到主動防護與被動監控、全面防護與重點防護相結合，搭建深層防御安全體系。

關鍵詞：電信網絡；電信網絡安全；電信運營商

電信已經深入到人類生活的方方面面，和日常生活的結合越來越緊密。世界各國也將電信業的發展上升到國家戰略的角度，通過發展電信業和信息行業來推動國家發展。在這個大背景下，電信網絡安全已經上升到國家安全的層面。

狹義的電信網絡安全是指電信網絡本身的安全性，按照網絡對象的不同包括了PSTN網絡的安全、IP／Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面；廣義的網絡安全是包括了網絡本身安全這個基本層面，在這個基礎上還有信息安全和業務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

從20世紀90年代至今，我國電信行業取得了跨越式發展。經過十幾年的建設，目前我國電信固定網和移動網的規模均居世界第一，網絡的技術水平也居世界前列。電信服務幾乎已經滲透到我國所有地區、所有行業、所有不同階層的 群體，而且已經融入到了老百姓的日常生活中。同時，隨著信息技術在我國的廣泛運用，信息系統已經成為金融、交通、能源等基礎設施的神經中樞。電信網的安全狀況直接影響這些基礎設施的正常運行。正是由于存在這種依賴性，電信網一旦出現重大事故，將可能嚴重影響國民經濟發展和社會穩定。可以這么說，電信網已經和電力設施一樣，成為所有基礎設施的基礎之一。隨著信息化的進一步推進，社會對電 信網的依賴性還會越來越強。因此，我們應該關注電信 網的安全問題，研究應對措施，做到未雨綢繆。

一、我國電信網絡安全的現狀

目前，國內電信運營商都比較重視網絡安全的建 設，幾大運營商都針對自己的網絡特點、業務特點建立 了系統的網絡安全保障體系。

中國電信的網絡安全保障體系建設起步較早。在2000年，原中國電信意識到網絡安全的重要性，并專門成立了相關的網絡安全管理部門，著力建立中國電信自己的網絡安全保障體系。這個安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此，建立了網絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保 障和完備的技術管理體系，以完成中國電信互聯網的安全保障工作。目前SOC已經進入系統建設的試點階段。這個系統通過幾個模塊協同工作，來完成對網絡安全事件的監控，完成對網絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統。

中國移動的網絡與信息安全保障體系NISS，對于涉及公司的所有信息資產，包括通信網、業務支撐系統、網絡部、市場部、財務部、研發部、人力等各種重要信息進行保護。這個系統在2005年8月份，狙擊波病毒來襲的時候發揮了重要作用。

中國網通的網絡安全建設重點在其寬帶網絡上。其建立的信息安全管理體系(ISMS)，包括組織管理、技術保障、運作保障三個子體系，在網絡層面上對總部大網(CHINA169+CNCNET)100多臺骨干網設備和核心網管系統進行加固。建設SAN網絡，安全事件存儲可以利用現有存儲系統，實現集中存儲，方便擴展，對異常流量系統和垃圾郵件系統的建設在進一步完善，對機房環境、動力電源系統進行規范管理，對全網的路由安全策略進行管理，等等。

然而，網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等，造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中，安全問題更加暴露。從狹義的網 絡安全層面看，隨著攻擊技術的發展，網絡攻擊工具的獲得越來越容易，對網絡發起攻擊變得容易；而運營商網絡分布越來越廣泛，這種分布式的網絡從管理上也容易產生漏洞，容易被攻擊。從廣義的網絡安全層面看，業務欺詐、垃圾郵件、違法違規的SP行為等，也是威脅網絡安全的因素。

二、影響電信網絡安全的因素

進入21世紀以來，電信領域的新技術、新業務、新情況不斷出現，電信網與互聯網的融合趨勢日益明顯，電信體制改革不斷推進，形成由多運營商組成的競爭格局。這些情況的出現，使原有的電信網絡安全保障體系面臨新的挑戰。

1、互聯網與電信網的融合，給電信網帶來新的安全威脅

傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送，信令網、網管網等支撐網與業務網隔離，完全由運營商控制，電信用戶無法進入。此外，每個用戶都有一個唯一的號碼，用戶的身份是明確的。這種機制有效地避免了電信用戶非法進人網絡控制系統，保障了網絡安全。

IP電話的用戶信息和控制信息都在IP包中傳送。IP電話引人后，需要與傳統電信網互聯互通，電信用戶的信息不再與控制信息隔離，電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP／IP協議基礎上，因此TCP／IP協議面臨的所有安全問題都有可能引入傳統電信網，如病毒、黑 客攻擊、非法入侵等，由此可能帶來電信網絡中斷甚至癱瘓、拒絕服務攻擊、非法存取信息、話費詐欺或竊聽等一系列新問題。IP電話的主叫用戶號碼不在IP包中傳送，因此一旦出現不法行為，無論是運營商還是執法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2、新技術、新業務的引入，給電信網的安全保障帶來不確定因素

近年來，電信新技術不斷涌現，新業務層出不窮。NGN的引入，徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的，如提高了網絡的利用效率，增加了網絡的靈活性，降低了網絡的建設和運行維護成本等。但從網絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網絡的復雜性和不可控性。此外，3G、WiMAX、IPI-V等新技術、新業務的引入，都有可能給電信網的安全帶來不確定因素。尤其需要指出的是，隨著寬帶接人的普及，用戶向網絡側發送信息的能力大大增強，導致每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網絡群，其拒絕服務攻擊的破壞力將可能十分巨大。

3、運營商之間網絡規劃、建設缺乏協調配合，網絡出現重大事故時難以迅速恢復

1998年以來，我國出臺了一系列針對電信行業的重大改 革措施，如政企分離、企業拆分等。目前，我國有中國電信、中國移動、中國聯通、中國網通以及中國鐵通和中國衛通6家基礎電信運營企業。應該說，這些改革措施極大加快了我國電信行業的發展，目前我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監管措施還不配套，給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面，原來由行業主管部門對電信網絡進行統一規劃、統一建設，現在由各個運營企業承擔各自網絡的規劃、建設，行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題，不同運營商之間的網絡能否互相支援配合就存在問題。此外，軍隊與地方之間的網絡銜接配合問題也需要協調落實。

4、相關法規尚不完善，落實保障措施缺乏力度 隨著電信網基礎性地位的日益顯現，應該通過立法來明確其安全保障工作，這樣才能保證對攻擊、破壞電信網行為有足夠的懲罰力度。當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中。現有的與網絡安全相關的法律法規還不完備，且缺乏操作性，導致有關部門在具體工作中沒有足夠的法律依據對破壞網絡安全的行為進行制裁。

此外，在規范電信運營企業安全保障建設方面，也缺乏法律依據。運營企業為了在競爭中占據有利地位，更多地關注網絡建設、業務開發、市場份額和投資回報，把經濟效益 放在首位，網絡安全相關的建設、運行維護管理等相對滯后。

三、保障電信網絡安全的技術手段

針對特殊信息安全當前的形勢，電信企業要做到主動防護與被動監控、全面防護與重點防護相結合，搭建具有主動防御能力的深層防御安全體系。

1、發散性的技術方案設計思路

在采用電信行業安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發散性的思路進行安全分析和保護，并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統，使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。

2、網絡層安全解決方案

網絡層安全主要是基于以下幾點考慮：控制不同的訪問者對網絡和設備的訪問；劃分并隔離不同安全域；防止內部訪問者對無權訪問區域的訪問和誤操作。

我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部，也同樣需要按照安全級別的不同進行安全隔離。與此同時，還應結合網絡系統的安全防護和監控需要，與實際應用環境、工作業務流程以及機構組織形式進行密切結合，在系統中建立 一個完善的安全體系，包括企業級的網絡實時監控、入侵檢測和防御，系統訪問控制，網絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統的總體可控性。

3、網絡層方案配臵

在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測(如，冠群金辰公司的干將／莫邪入侵檢測系統)產品，將工作站直接連接到主干交換機的監控端口(SPAN Port)，用以監控局域網內各網段間的數據包，并可在關鍵網段內配臵含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。

4、主機、操作系統、數據庫配臵方案

由于電信行業的網絡系統基于Intranet體系結構，兼呈局域網和廣域網的特性，是一個充分利用了Intra—net技術、范圍覆蓋廣的分布式計算機網絡，它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產品進行中央管理。

5、系統、數據庫漏洞掃描

系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統／數據庫漏洞掃描工 具。

[參考文獻] [1]信息產業部電信管理局．電信網絡與信息安全管理[M]，北京：

人民郵電出版社．2004：215—228．

[2]諾盛電信咨詢，電信網絡安全[EB／OL]．(2006—06—21)[2007 一O1一O5]．http：／／www.tmdps.cn／news／review／story／0，3800057985，39451650，00．htm．

[3]陳綱．保障電信網絡安全的五項措施[N／0L]，通信產業報，(2003一O9—28)[2007一Ol—O6]．http：／／industry．ceidnet．corn／

ar 238／20o30928／65782 1．htIrI1．

第四篇：基于電信企業網絡安全策略

網絡教育學院

本 科 生 畢 業 論 文（設 計）

需要完整版請點擊屏幕右上的“文檔貢獻者”

題

目： 基于電信企業的網絡安全策略

基于電信企業的網絡安全策略

內容摘要

隨著企業辦公網絡的發展，如何保障網絡正常運行，網絡資源的合法訪問，使網絡免受黑客、病毒和其他不良意圖的攻擊顯得尤為重要。本文簡要介紹了企業網絡安全的威脅因素，根據網絡訪問機制給出了相應的管理策略，并重點討論了信息加密以及內外網互連的企業網絡安全策略。

關鍵詞：

I 電信網絡；網絡安全；策略基于電信企業的網絡安全策略

目 錄

內容摘要 ··························································································································· I 引

言 ···························································································································· 2 1 概述 ···························································································································· 3

1.1 研究背景 ·········································································································· 3 1.2 網絡安全現狀 ·································································································· 3 1.2 本文的主要內容及組織結構 ·········································································· 4 2 企業網絡安全需求及隱患 ························································································ 5

2.1 企業網絡安全需求 ·························································································· 5 2.2 企業網絡安全隱患 ·························································································· 5 2.3 安全問題對企業網絡的危害 ·········································································· 5 3 電信企業網絡安全策略 ···························································································· 6

3.1 訪問控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 內外網互聯安全策略 ······················································································ 6 4 數據備份策略 ············································································································ 8 5 結論 ···························································································································· 9 參考文獻 ························································································································ 10

１

基于電信企業的網絡安全策略

引

言

隨著計算機網絡的出現和互聯網的飛速發展，網絡在信息獲取及傳遞中發揮著無可比擬的作用。眾多的企業、組織、政府部門與機構都在組建和發展自己的網絡，并連接到Internet上，以充分共享、利用網絡的信息和資源。伴隨著網絡的發展，也產生各種各樣的問題，其中安全隱患日益突出，無論是企業、服務供應商、政府部門還是研究和教育機構，安全性顯然決定著網絡要求和工作的優先級。對于企業而言，提高內部信息集成，實現信息共享，提高工作效率，必須要建立完善、高效的網絡。

２

基于電信企業的網絡安全策略 概述

1.1 研究背景

當今，互聯網的發展已經出乎人們的想象，新技術、新概念層出不窮，互聯網實現了人們在信息時代的夢想，預示著新經濟時代的到來。因特網的迅速發展使得信息資源可以迅速的高度共享。隨著全球的網絡化，經濟的全球化，世界縮小了，人類的工作、生活變的更加快捷方便。隨著政府上網、海關上網、電子商務、網上娛樂等一系列網絡應用的蓬勃發展，因特網正在越來越多地離開原來單純的學術環境，融入到經濟、軍事、科技、教育等各個領域中。電子商務、遠程教育、網上醫療漸漸步入千家萬戶，網絡吸引了億萬用戶，它已經成為人們生活的一部分。

1.2 網絡安全現狀

Internet正在越來越多地融入到社會的各個方面[1]。一方面，隨著網絡用戶成分越來越多樣化，出于各種目的的網絡入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務為代表的網絡應用的日益發展，Internet越來越深地滲透到各行各業的關鍵要害領域。Internet的安全包括其上的信息數據安全，日益成為與政府、軍隊、企業、個人的利益休戚相關的“大事情”。尤其對于政府和軍隊而言，如果網絡安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。

隨著互聯網技術的發展，網上內容的豐富，互聯網猶如空氣、水融于世界每個角落。互聯網不只是高科技的象征，它已成為整個國民經濟的神經網絡。企業上網不僅是一種時尚，更成為企業成功的必選項。截止到年2001年4月3日，在我國已有的個網站中，企業網站所占比重最大，為77.8%，到,2001年底全國通過網絡進行的電子交易達近4萬億美元。然而，在企業紛紛享受現代文明成果之時，網絡潛在的危害也在威脅著企業[2]。據統計，2001年全球電腦病毒造成的經濟損失高達129億美元，僅紅色代碼給企業和個人造成的經濟損失就達26.2億美元，90%的網站均遭受過網絡攻擊。

2000年2月，在三天的時間里，黑客使美國數家頂級互聯網站－Yahoo、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS（分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網站的服務器，使 3

基于電信企業的網絡安全策略

其不能提供正常服務。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網站遭受攻擊。

國內網站也未能幸免于難，新浪、當當書店、EC123等知名網站也先后受到黑客攻擊[3]。國內第一家大型網上連鎖商城IT163網站3月6日開始運營，然而僅四天，該商城突遭網上黑客襲擊，界面文件全部被刪除，各種數據庫遭到不同程度的破壞，致使網站無法運作。

客觀地說，沒有任何一個網絡能夠免受安全的困擾，依據Financial Times曾做過的統計，平均每20秒鐘就有一個網絡遭到入侵。僅在美國，每年由于網絡安全問題造成的經濟損失就超過100億美元。

1.2 本文的主要內容及組織結構

基于電信企業的網絡安全策略 企業網絡安全需求及隱患

企業網絡通常采用TCP/IP、WWW、電子郵件、數據庫等通用技術和標準，依托多種通信方式進行廣域連接，覆蓋系統的大部分單位，傳輸、存儲和處理的信息大都涉及到行業內部信息。因此必須對信息資源加以保護，對服務資源予以控制和管理。

2.1 企業網絡安全需求

2.2 企業網絡安全隱患

網絡的入侵不僅來自網絡外部，也來自于網絡內部，由于辦公網絡在用途和實現方式上與公眾網絡有所不同，大部分辦公網絡都采用內部網的形式進行組建，外部網相對而言網絡節點數量和信息量都較少，敏感信息一般存放在內部網絡中，而且內外網之間大多采用了較強的保護甚至物理隔離措施，因此大多數的安全威脅來自網絡內部，而非外部，其原因主要有：

一般來說，大部分機構的信息安全保護措施都是“防外不防內”，很多辦公網絡賴以保障其安全的防火墻系統大部分位于網絡邊界，對來自內部的攻擊毫無作用。

內部人員最容易接觸敏感信息，而且對系統的結構、運作都非常熟悉，因此行動的針對性很強，很容易危害系統的核心數據和資源，而且很難被發覺。

內部人員可能采用常用的非法用戶技術和軟件對辦公網絡進行測試。

2.3 安全問題對企業網絡的危害

基于電信企業的網絡安全策略 電信企業網絡安全策略

3.1 訪問控制策略

訪問控制的目的是防止非法訪問，實現用戶身份鑒別和對重要網絡、服務器的安全控制[4]。防火墻就是一類較有效并廣泛應用的網絡訪問控制設備，它主要通過對IP地址、端口號等進行控制和設置應用安全代理等措施，實現內部被保護網絡與外部網絡的隔離。

在安全規則上，企業網絡可以針對單獨的主機、一組主機、一段網絡，按照網絡協議進行設置，面向對象的安全規則編輯；根據網絡通訊端口設置安全規則，針對企業保護對象只開放某些服務端口；根據信息傳輸方向設置安全規則，同時在安全規則中設置允許、拒絕等操作方式；按照星期幾或每一天具體的時間設置，實現訪問控制；根據網絡服務設置安全規則。

3.2 信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據[5]。網絡加密常用的方法有鏈路加密、節點加密和端點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護；端端加密的目的是對源端用戶到目的端用戶的數據提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

3.3 內外網互聯安全策略

隨著網絡拓撲結構、網絡應用以及網絡安全技術的不斷發展，安全策略的制訂和實施是一個動態的延續過程。需要制定周密可靠的安全體制以保護內網的機密信息、阻隔外網對內網系統的有害侵襲以及有效的管理和限制內網用戶對外網資源的訪問等。為保證企業辦公網絡的安全性，一般采用以下一些策略:(1)利用防火墻技術。它是以TCP/ IP體系架構為核心，針對具體應用和用戶角色進行智能決策的系統，以保護網絡的可用性、系統服務的連續性;防范網絡資源的非法訪問及非授權訪問;檢測各種入侵、攻擊和異常事件，并以響應的方式通知相關人員，管理人員根據警報信息及時修改相應的安全策略;通過防火墻的http訪問控制管理，過濾網絡地址URL，對URL中的路徑部分以及網頁內容進行過濾、對JAYAAP2 PLET、ACTIVEX過濾；通過防火墻的FTP訪問控制管理，提供命令級的過濾功能、部分命令參數的過濾功能、限制用戶的訪問，對用戶名進行 6

基于電信企業的網絡安全策略

過濾、保護FTP服務器信息。

(2)利用入侵檢測技術。入侵檢測技術可使系統管理員時刻了解網絡系統，給網絡安全策略的制定提供依據。入侵檢測系統可以監視、分析用戶級系統活動；構造變化和弱點的審計;識別反映己知進攻的活動模式并向網管人員報警;操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

(3)利用VLAN技術。VLAN技術的核心是網絡分段。運用VLAN技術跨越交換機按功能對網絡進行統一的VLAN劃分，可以將通信限定在同一虛網中，形成特別有效的限制非授權訪問的屏障。如在集中式網絡環境下，將中心的所有服務器系統集中到一個VLAN中，將網管工作站、系統管理員經常用來登陸服務器的工作站等高安全性的用戶組織到另一個VLAN中，在這些VLAN里不允許有任何用戶節點，從而較好的保護敏感資源，在分布式網絡環境下，可按機構和部門的設置來劃分VLAN，各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。

基于電信企業的網絡安全策略 數據備份策略

對企業服務器及數據應利用防火墻實現雙機熱備份和災難冗余。對于需要高度可靠性的用戶，一定要選用具有雙機熱備份功能的防火墻，在同一個網絡節點使用兩個配置相同的防火墻，正常情況下一個處于工作狀態，另一個處于備份狀態，當工作狀態的系統出現故障時，備份狀態的防火墻自動切換到工作狀態，保證網絡的正常使用。備用防火墻系統能夠在一秒鐘內完成整個切換過程，不需要人為操作和除兩個防火墻以外的其他系統的參與，而且整個切換過程不影響網絡上的任何通訊連接和信息傳輸。如果是不具有雙機熱備份功能的防火墻，即使能夠做到雙機熱備份，一旦出現故障時，備用防火墻需要10秒鐘以上才能替代主用防火墻正常工作，網絡上的所有服務連接均需要重新建立，費時費力而且會造成很大損失。

基于電信企業的網絡安全策略 結論

隨著網絡建設的發展，企業網絡的規模將越來越大，網絡安全管理工作將越來越復雜，網絡安全維護將是企業的一項重要任務。在維護網絡安全時，必須結合網絡安全防范技術，綜合考慮安全因素，制定合理的管理方案、有效的技術方案，采取切實可行的安全防護措施，逐步完善的網絡安全防護體系，增強每個網絡用戶的安全意識，從根本上解決網絡安全問題。

榆林電信分公司網絡安全系統涉及的安全方案考慮到了榆林電信分公司網絡安全系統的實際情況，均衡了性能價格比，從整個系統的可靠性，穩定性，安全性和可擴展性多方面進行了考慮，有如下優勢：

基于電信企業的網絡安全策略

參考文獻

[1]陳則徐.淺析企業網絡安全策略,電腦知識與技術2009.3，5(9):106-108 [2] Roberta Bmgg，CISSE Certified Information Systems Security Professional．北京：人民郵電出版社，2003：98～102 [4]胡春安.中小型企業網絡升級方案的研究:[碩士學位論文].華中科技大學,2006.9,34-40 [4]仇劍鋒.基于VLAN和三層交換的企業網絡安全策略研究[碩士學位論文].中南大學，2006.10,8-12 [5] 1912E巖明，冼沛勇．建立數據安全系統，維護企業信息安全．計算機與網絡，2003，(24)：19-21 10

第五篇：電信企業的IT網絡安全探討

電信企業的IT網絡安全探討

羅振一

（單位：中國聯通廣西分公司

郵編：530000）

摘要：文中論述了電信企業的IT網絡安全體系復雜性，闡明了建立計算機網絡安全體系的必要性，提出了解決現有計算機網絡安全技術方案。著重介紹了主動防御和被動防御的各種技術，通過具體的網絡安全實例，闡述了電信企業計算機網絡安全體系的合理構成。

關鍵詞：網絡拓撲 網絡安全體系

防火墻 加密技術 入侵檢測

虛擬局域網

1． 網絡架構及安全體系特點

本文主要介紹電信企業中的IT網絡安全體系，不涉及通信網絡的安全問題。電信企業的IT網絡組成主要有：計費網、營銷網絡、辦公網絡，計費網是核心網絡；營銷網絡是整個企業的營銷系統主體，辦公網絡是實現企業信息化及辦公自動化的基礎。網絡安全體系主要基于計費網為核心網，營業網、辦公網、其他外圍網絡作為接入網絡，計費網做為核心網絡，放置大部分的核心數據庫和主機，具有最高的安全局別，主要考慮采用主動防御和被動防御相結合的方案；營銷網絡安全級別僅次于計費網，是整個公司營銷的基石，營銷網的特點是：覆蓋的地域廣、接入方式不統一、終端類型繁多、INTERNET網嚴格隔離等，網絡安全主要采用被動防御安全技術；辦公網主要是為企業信息化和辦公自動化建設，辦公網的特點主要是：網絡拓撲清晰、接入公網、權限管理復雜，辦公網的安全體系，建議采用被動防御為主，主動防御為輔。基于以上的網絡特點，IT網絡的整個安全體系是建立在以計費網為核心，保證核心能夠免疫來自內部和外部的入侵和非法訪問，各種接入網建立各自的安全體系，從而建立起多級、全方位的IT網絡安全體系.2． 網絡安全技術

經過幾十年的研究和發展，網絡安全（從屬信息安全）已經成為計算機科學，非常重要的組成部分，形成比較成型的理論和應用技術。電信企業應該采用這些經驗和技術，建立安全、可靠的IT網絡，減少由于入侵、非法訪問、病毒入侵、網絡故障等引起的損失，為企業發展建立一個良好的環境。以下主要介紹一些主流的網絡信息安全保護技術.2.1 主動防御保護技術

主動防御保護技術主要有：數據加密、身份鑒別、存取控制、權限設置、虛擬局域網等。在主動防御保護技術方面，電信企業一般主要采用：身份鑒別、存取控制、權限設置、虛擬局域網（VLAND）等技術。身份鑒別和權限設置在不同系統，有不同的要求，有分散設置、有統一設置，機制和手段都比較成熟，在這里不做簡介。對于存儲控制和虛擬局域網，許多IT網絡在建設時候，都有這樣的技術概念，但是真正有效應用起來比較少，原因可能比較簡單，麻煩或沒有必要。存取控制的內容包括人員限制、訪問權限設定、數據標識、和風險分析等，是內部網絡信息安全的重要方向，實現方式可以通過路由訪問策略、網絡監控、專用物理地址和IP地址的訪問控制系統等等，有效的建立起存取控制機制，可以將網絡的安全性、可靠性提高一個水平，目前很多企業的網絡不夠穩定或出現故障，經過故障排查后發現，真正的原因和存取控制機制不夠健全有很大關系。對于虛擬局域網技術，相信大家都很熟悉，在此不做太多討論，利用好虛擬局域網技術，非常廉價也很便利。某公司曾經發生大面積的IT網絡癱瘓，經過排查，故障的原因很簡單，主要是一臺備用的服務器出現故障，不斷在網絡上大量發包，造成一臺主用的業務服務器受到影響。經過重新分析和排查后，發現這樣問題如果將應用服務器之間進行虛擬局域網劃分和設定良好的路由策略，是完全可以避免的。

2.2被動防御保護技術

被動防御保護技術主要有防火墻技術、入侵檢測系統、安全掃描器、口令驗證等。在電信企業的IT網絡中，我們主要強調防火墻技術、入侵檢測系統技術、安全掃描技術的應用。在很多公司的IT網絡架構體系中，防火墻都起非常重要的做用，本文中，我們主要采用硬件防火墻,保證核心計費網同接入網實現安全隔離,辦公網和公網的接入口,也采用硬件防火墻進行訪問控制;入侵監測系統(IDS)處于防火墻之后對計費網絡活動進行實時檢測/監控,保證核心網絡安全;安全掃描器 由于核心計費網和公網或外網沒有直接的接口,在建立網絡安全體系的時候,安全掃描只是設置為定期操作,比如一周或1個月,為應用服務器或 普通終端升級或打補丁,提供數據依據.在規劃網絡架構的時候,建議將入侵檢測系統、安全掃描器放置于一臺主機上。

2.3 反病毒技術。

反病毒技術涉及內容很復雜和廣泛，目前主要使用到的基本是成熟的殺毒工具，有網絡殺毒工具和單機殺毒工具，電信企業應該更多的考慮到如何使用現有的殺毒技術，對核心計費網、營銷網和辦公網進行病毒防范。我們建立的反病毒機制主要是，對重要的應用服務器進行實時防毒監控，統一采用網絡防毒工具，單機的終端安裝單機的實時放病毒軟件。，3．網絡安全體系的解決方案及實例

根據IT網絡架構特點，及安全層次要求，電信企業的網絡安全體系，應該充分利用現有的網絡安全技術，主要從三個方面入手：

3.1 外來非法入侵的防范，即采用現有的網絡防火墻技術，根據網絡的拓撲結構特點，層層作防，把外來非法入侵的可能性降到最低點。

3.2 采用現有的認證技術，比如PKI技術等等，建立完善的內部認證體系，把來自企業內部的非法訪問控制到最低點，很多調查表明，很大比例的非法入侵是來自于企業內部，因此對于企業內部的訪問認證控制，是建立網絡安全體系的重要工作之一，也是保證營銷網絡和辦公網絡真正能達到信息安全的重要手段。

3.3建立完善的反病毒機制，充分利用現有的很多著名的殺毒工具，比如瑞星反病毒工具、NORTON反病毒工具等，定時殺毒和作病毒防范，給公司員工灌注反病毒的意識。

以下是一個簡單的網絡架構實例，主要根據電信企業的網絡特點規劃，也是部分電信企業目前的大致網絡架構，沒有涉及具體的業務和各種認證系統，這樣的方案在很多集成商的案例 中都可以看到，做為電信企業的IT技術人員，我著眼點主要是從整體上，從整個網絡結構

上規劃IT網絡的安全體系。這個網絡邏輯架構也是我參與建設一個企業內部網，原始的網絡構造邏輯圖，該網絡目前在運行很好，但是仍然存在一些問題，問題將在后面的總結中具體概括。

INTERNET防火墻路由器服務器辦公網入侵檢測、安全掃描、反病毒營業終端入侵檢測、安全掃描、反病毒服務器路由器防火墻應用服務器群路由器計費核心網路由器數據庫營銷網網管系統管理營業終端營業終端營業服務器

以上的網絡架構及安全體系結構，只是一個大致的網絡邏輯架構，簡化了許多實際應用中需要考慮的問題，只是把主要涉及網絡安全的部分重點畫出。我在這里引用，主要是強調從網絡規劃，從網絡架構上實現網絡信息安全保護是極為重要的。

4．電信企業IT網絡安全概括

要建立完整的計算機網絡安全體系，外來入侵的防范、內部訪問的認證控制、反病毒機制的建立及完善缺一不可，網絡安全體系的建立是一項長期而復雜的過程，電信企業只有不斷的適應安全技術的新發展，不斷完善企業網絡的安全防范，才能真正做到企業信息的安全，和保證企業業務正常發展。

作者簡介：羅振一 男 1978年2月出生 2000年7月畢業于廣西大學計算機與信息工程學院 工程學士

供職于中國聯通廣西分公司 助理工程師 通訊地址：中國聯通廣西分公司信息化部新興大夏24樓 聯系電話：***。