第一篇：電信企業計算機網絡安全構建策略分析

電信企業計算機網絡安全構建策略分析

摘要 隨著互聯網的應用，我國的電信網絡安全面臨著越來越多的挑戰。本文對我國電信計算機網絡的現狀進行了分析，從技術層面和管理層面出發提出了改進計算機網絡安全的建議。

關鍵詞 電信網絡；計算機網絡；安全

0引言

隨著計算機技術和通信技術的融合，電信企業建立起了以計算機網絡作為基礎的電信支撐系統。這提高了電信企業的運營水平，但是同時也帶來了很多新的問題。因此，加強電信企業計算機網絡的安全管理，讓安全的網絡為暢通的電信系統保駕護航至關重要。本文擬對電信計算機網絡中存在的安全問題進行分析，并對提高電信計算機網絡安全建設策略提出了建設思路。電信計算機網絡的安全現狀

1.1 源自網絡層面的相關問題

這其中最主要的問題是由于網絡的開放性和交互性的增強，計算機病毒橫行，而電信網絡規模大，無法避免在某個時段和環節與因特網相連，因此感染計算機病毒，常見和棘手，有些病毒諸如網絡蠕蟲病毒，可以消耗帶寬，造成拒絕服務攻擊。其次，雖然電信計算機網絡上也有防火墻系統，但是防火墻系統主要阻止的是來自網絡外部的，非法的訪問，對于各專業子系統間的不安全訪問無法發揮多大作用。再次，盡管部分路由器配置了ACL，但是訪問控制表不能實現復雜繁復的安全控制策略。由于所有的系統都有可能存在漏洞，所以，增加了因為IOS協議漏洞造成路由器遭受攻擊的可能性。另外，由于用戶的增加，網絡結構的不合理也漸漸暴露，因特網的骨干網一般都是網狀結構，容易出現網絡擁堵。在電信企業內部，由于計算機網絡都是管理存在保留IP地址的做法，因此IP地址的合理分配是網絡安全的重要保證，曾經就發生過由于IP地址混亂造成電信計算機網無絡法使用的現象[1]。

1.2 人為因素帶來的安全問題

工作人員在日常工作中安全意識薄弱，可能由于各種原因丟失了主機口令，或者不能及時對主機口令等更新，這使得保護系統設備和網絡的口令容易被黑客破解，黑客獲取了權限，就會嚴重危害電信計算機網絡系統。在公司內部的安全管理上，各個安全機構間信息交流少，不能協調配合處理安全事件。比如電信網絡的交換機，不同的應用系統常劃分了不同的VLAN，VLAN間互相聯通，但是，在管理上卻是由不同的部門管理的，這就給協調的配合的處理安全事件成了障礙。

1.3 對電信計算機網絡安全的認識誤區

首先很多人認為電信計算機網絡是很安全的，唯一要提起注意的就是計算機病毒，所以計算機網絡安全就是及時殺毒。這是不全面的看法，網絡安全還受到外部黑客攻擊，內部員工的管理等等的影響。其次，網絡安全問題的產生不僅僅都來自網絡外部。在實際運行過程中，很多公司出現網絡安全問題，都是來自公司內部。比如浙江省電信系統某市的計費系統破壞事件，就是由于公司內部員工把機密數據打包帶走。另外，不能認為有CA認證系統就夜宴

安全了，CA認證確實在一定時間內代表了一定程度的網絡安全等級，但是不是絕對的安全。2 電信計算機網絡安全措施

2.1 提高網絡安全的技術保證

2.1.1 采用防火墻機制和Anti-DDOS系統

防火墻是一組或者一個網絡設備，比如計算機系統或者路由器，目的是加強多個網絡間的訪問控制，保護網絡不受到來自其他網絡的攻擊。為了加強電信網絡的安全，要在每臺交換機的操作系統和終端安裝防火墻，防止來自外網的攻擊。

2.1.2 采用訪問控制策略

訪問控制策略是電信計算機網絡安全的主要保護策略。通過訪問控制，可以保證電信網絡資源不被非法訪問和使用。目前訪問控制策略的實現有多種途徑，比如可以使用的入網訪問控制，網絡權限控制，網絡服務器安全控制，網絡監測和鎖定控制，網絡端口和節點的安全控制等等措施。這樣的措施實施后，如果遇到無權用戶或者權限受限用戶，系統就會自動的終止訪問或者屏蔽一部分訪問的地址。對于需要保護的服務器也可以使用主機訪問控制軟件，鑒別請求人的合法身份以及請求的合法性[2]。

2.1.3 采用入侵檢測機制和漏洞檢測機制

分布式漏洞掃描器IS主要是通過模擬入侵，找出網絡的漏洞，驗證系統的安全，從而讓工作人員能夠及時發現安全隱患，采取相對的措施，比如打補丁和優化系統，進行補救。分布式網絡入侵檢測系統IDS，和異常流量分析設備不同，異常流量分析的原理是流量采樣統計，在大流量的環境下有較強的檢測能力，分布式網絡入侵檢測系統則主要是用來發現網絡攻擊，并且可以為截獲和追蹤，分析網絡攻擊行為提供原始數據，幫助監督和管理計算機網絡安全。

2.2 增強電信網絡的安全管理

2.2.1 建立有效的電信網絡安全管理制度

盡管目前我們已經不斷提高計算機網絡安全技術，但是也不能忽略人員的管理工作。建立有效的管理制度很重要。筆者認為可以成立安全管理團隊，系統的負責的管理和監督電信網路安全。管理小組可以通過分析日志，檢查漏洞等方法定期對網絡的安全進行檢驗，建立網絡安全的專人負責，對于口令也要每月修改至少一次。這樣可以充分調動人員的積極性。

2.2.2 增強電信工作人員的安全意識

電信工作人員的安全和保密意識非常重要。對員工定期進行培訓，讓員工意識到從最基礎的物理層到接入終端，人員管理等等和安全有關的所有過程，都可能出現安全問題。在提升他們的專業能力時，也要提高他們的保密和安全意識，對相關的法律知識進行宣傳。另外，2.2.3 增強電信網絡的應急能力

為了增加應對突發情況，應當做一個備份系統與其他地方的管理系統相連。這樣當遇到重大問題時，這個系統可以及時啟動，接管發生問題的系統。另外，應當制定應急預案，并且定期演習，增加網絡的應急能力。結論

電信計算機網絡和公眾的通信息息相關，其安全運行關系到了社會的穩定和經濟活動的順利進行。隨著電信網絡不斷擴大規模，面臨著安全問題也更加嚴峻，所以必須加強電信計算機網絡的安全，提高電信網絡的安全水平。

夜宴

第二篇：基于電信企業網絡安全策略

網絡教育學院

本 科 生 畢 業 論 文（設 計）

需要完整版請點擊屏幕右上的“文檔貢獻者”

題

目： 基于電信企業的網絡安全策略

基于電信企業的網絡安全策略

內容摘要

隨著企業辦公網絡的發展，如何保障網絡正常運行，網絡資源的合法訪問，使網絡免受黑客、病毒和其他不良意圖的攻擊顯得尤為重要。本文簡要介紹了企業網絡安全的威脅因素，根據網絡訪問機制給出了相應的管理策略，并重點討論了信息加密以及內外網互連的企業網絡安全策略。

關鍵詞：

I 電信網絡；網絡安全；策略基于電信企業的網絡安全策略

目 錄

內容摘要 ··························································································································· I 引

言 ···························································································································· 2 1 概述 ···························································································································· 3

1.1 研究背景 ·········································································································· 3 1.2 網絡安全現狀 ·································································································· 3 1.2 本文的主要內容及組織結構 ·········································································· 4 2 企業網絡安全需求及隱患 ························································································ 5

2.1 企業網絡安全需求 ·························································································· 5 2.2 企業網絡安全隱患 ·························································································· 5 2.3 安全問題對企業網絡的危害 ·········································································· 5 3 電信企業網絡安全策略 ···························································································· 6

3.1 訪問控制策略 ·································································································· 6 3.2 信息加密策略 ·································································································· 6 3.3 內外網互聯安全策略 ······················································································ 6 4 數據備份策略 ············································································································ 8 5 結論 ···························································································································· 9 參考文獻 ························································································································ 10

１

基于電信企業的網絡安全策略

引

言

隨著計算機網絡的出現和互聯網的飛速發展，網絡在信息獲取及傳遞中發揮著無可比擬的作用。眾多的企業、組織、政府部門與機構都在組建和發展自己的網絡，并連接到Internet上，以充分共享、利用網絡的信息和資源。伴隨著網絡的發展，也產生各種各樣的問題，其中安全隱患日益突出，無論是企業、服務供應商、政府部門還是研究和教育機構，安全性顯然決定著網絡要求和工作的優先級。對于企業而言，提高內部信息集成，實現信息共享，提高工作效率，必須要建立完善、高效的網絡。

２

基于電信企業的網絡安全策略 概述

1.1 研究背景

當今，互聯網的發展已經出乎人們的想象，新技術、新概念層出不窮，互聯網實現了人們在信息時代的夢想，預示著新經濟時代的到來。因特網的迅速發展使得信息資源可以迅速的高度共享。隨著全球的網絡化，經濟的全球化，世界縮小了，人類的工作、生活變的更加快捷方便。隨著政府上網、海關上網、電子商務、網上娛樂等一系列網絡應用的蓬勃發展，因特網正在越來越多地離開原來單純的學術環境，融入到經濟、軍事、科技、教育等各個領域中。電子商務、遠程教育、網上醫療漸漸步入千家萬戶，網絡吸引了億萬用戶，它已經成為人們生活的一部分。

1.2 網絡安全現狀

Internet正在越來越多地融入到社會的各個方面[1]。一方面，隨著網絡用戶成分越來越多樣化，出于各種目的的網絡入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務為代表的網絡應用的日益發展，Internet越來越深地滲透到各行各業的關鍵要害領域。Internet的安全包括其上的信息數據安全，日益成為與政府、軍隊、企業、個人的利益休戚相關的“大事情”。尤其對于政府和軍隊而言，如果網絡安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。

隨著互聯網技術的發展，網上內容的豐富，互聯網猶如空氣、水融于世界每個角落。互聯網不只是高科技的象征，它已成為整個國民經濟的神經網絡。企業上網不僅是一種時尚，更成為企業成功的必選項。截止到年2001年4月3日，在我國已有的個網站中，企業網站所占比重最大，為77.8%，到,2001年底全國通過網絡進行的電子交易達近4萬億美元。然而，在企業紛紛享受現代文明成果之時，網絡潛在的危害也在威脅著企業[2]。據統計，2001年全球電腦病毒造成的經濟損失高達129億美元，僅紅色代碼給企業和個人造成的經濟損失就達26.2億美元，90%的網站均遭受過網絡攻擊。

2000年2月，在三天的時間里，黑客使美國數家頂級互聯網站－Yahoo、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS（分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網站的服務器，使 3

基于電信企業的網絡安全策略

其不能提供正常服務。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網站遭受攻擊。

國內網站也未能幸免于難，新浪、當當書店、EC123等知名網站也先后受到黑客攻擊[3]。國內第一家大型網上連鎖商城IT163網站3月6日開始運營，然而僅四天，該商城突遭網上黑客襲擊，界面文件全部被刪除，各種數據庫遭到不同程度的破壞，致使網站無法運作。

客觀地說，沒有任何一個網絡能夠免受安全的困擾，依據Financial Times曾做過的統計，平均每20秒鐘就有一個網絡遭到入侵。僅在美國，每年由于網絡安全問題造成的經濟損失就超過100億美元。

1.2 本文的主要內容及組織結構

基于電信企業的網絡安全策略 企業網絡安全需求及隱患

企業網絡通常采用TCP/IP、WWW、電子郵件、數據庫等通用技術和標準，依托多種通信方式進行廣域連接，覆蓋系統的大部分單位，傳輸、存儲和處理的信息大都涉及到行業內部信息。因此必須對信息資源加以保護，對服務資源予以控制和管理。

2.1 企業網絡安全需求

2.2 企業網絡安全隱患

網絡的入侵不僅來自網絡外部，也來自于網絡內部，由于辦公網絡在用途和實現方式上與公眾網絡有所不同，大部分辦公網絡都采用內部網的形式進行組建，外部網相對而言網絡節點數量和信息量都較少，敏感信息一般存放在內部網絡中，而且內外網之間大多采用了較強的保護甚至物理隔離措施，因此大多數的安全威脅來自網絡內部，而非外部，其原因主要有：

一般來說，大部分機構的信息安全保護措施都是“防外不防內”，很多辦公網絡賴以保障其安全的防火墻系統大部分位于網絡邊界，對來自內部的攻擊毫無作用。

內部人員最容易接觸敏感信息，而且對系統的結構、運作都非常熟悉，因此行動的針對性很強，很容易危害系統的核心數據和資源，而且很難被發覺。

內部人員可能采用常用的非法用戶技術和軟件對辦公網絡進行測試。

2.3 安全問題對企業網絡的危害

基于電信企業的網絡安全策略 電信企業網絡安全策略

3.1 訪問控制策略

訪問控制的目的是防止非法訪問，實現用戶身份鑒別和對重要網絡、服務器的安全控制[4]。防火墻就是一類較有效并廣泛應用的網絡訪問控制設備，它主要通過對IP地址、端口號等進行控制和設置應用安全代理等措施，實現內部被保護網絡與外部網絡的隔離。

在安全規則上，企業網絡可以針對單獨的主機、一組主機、一段網絡，按照網絡協議進行設置，面向對象的安全規則編輯；根據網絡通訊端口設置安全規則，針對企業保護對象只開放某些服務端口；根據信息傳輸方向設置安全規則，同時在安全規則中設置允許、拒絕等操作方式；按照星期幾或每一天具體的時間設置，實現訪問控制；根據網絡服務設置安全規則。

3.2 信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據[5]。網絡加密常用的方法有鏈路加密、節點加密和端點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護；端端加密的目的是對源端用戶到目的端用戶的數據提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

3.3 內外網互聯安全策略

隨著網絡拓撲結構、網絡應用以及網絡安全技術的不斷發展，安全策略的制訂和實施是一個動態的延續過程。需要制定周密可靠的安全體制以保護內網的機密信息、阻隔外網對內網系統的有害侵襲以及有效的管理和限制內網用戶對外網資源的訪問等。為保證企業辦公網絡的安全性，一般采用以下一些策略:(1)利用防火墻技術。它是以TCP/ IP體系架構為核心，針對具體應用和用戶角色進行智能決策的系統，以保護網絡的可用性、系統服務的連續性;防范網絡資源的非法訪問及非授權訪問;檢測各種入侵、攻擊和異常事件，并以響應的方式通知相關人員，管理人員根據警報信息及時修改相應的安全策略;通過防火墻的http訪問控制管理，過濾網絡地址URL，對URL中的路徑部分以及網頁內容進行過濾、對JAYAAP2 PLET、ACTIVEX過濾；通過防火墻的FTP訪問控制管理，提供命令級的過濾功能、部分命令參數的過濾功能、限制用戶的訪問，對用戶名進行 6

基于電信企業的網絡安全策略

過濾、保護FTP服務器信息。

(2)利用入侵檢測技術。入侵檢測技術可使系統管理員時刻了解網絡系統，給網絡安全策略的制定提供依據。入侵檢測系統可以監視、分析用戶級系統活動；構造變化和弱點的審計;識別反映己知進攻的活動模式并向網管人員報警;操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

(3)利用VLAN技術。VLAN技術的核心是網絡分段。運用VLAN技術跨越交換機按功能對網絡進行統一的VLAN劃分，可以將通信限定在同一虛網中，形成特別有效的限制非授權訪問的屏障。如在集中式網絡環境下，將中心的所有服務器系統集中到一個VLAN中，將網管工作站、系統管理員經常用來登陸服務器的工作站等高安全性的用戶組織到另一個VLAN中，在這些VLAN里不允許有任何用戶節點，從而較好的保護敏感資源，在分布式網絡環境下，可按機構和部門的設置來劃分VLAN，各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。

基于電信企業的網絡安全策略 數據備份策略

對企業服務器及數據應利用防火墻實現雙機熱備份和災難冗余。對于需要高度可靠性的用戶，一定要選用具有雙機熱備份功能的防火墻，在同一個網絡節點使用兩個配置相同的防火墻，正常情況下一個處于工作狀態，另一個處于備份狀態，當工作狀態的系統出現故障時，備份狀態的防火墻自動切換到工作狀態，保證網絡的正常使用。備用防火墻系統能夠在一秒鐘內完成整個切換過程，不需要人為操作和除兩個防火墻以外的其他系統的參與，而且整個切換過程不影響網絡上的任何通訊連接和信息傳輸。如果是不具有雙機熱備份功能的防火墻，即使能夠做到雙機熱備份，一旦出現故障時，備用防火墻需要10秒鐘以上才能替代主用防火墻正常工作，網絡上的所有服務連接均需要重新建立，費時費力而且會造成很大損失。

基于電信企業的網絡安全策略 結論

隨著網絡建設的發展，企業網絡的規模將越來越大，網絡安全管理工作將越來越復雜，網絡安全維護將是企業的一項重要任務。在維護網絡安全時，必須結合網絡安全防范技術，綜合考慮安全因素，制定合理的管理方案、有效的技術方案，采取切實可行的安全防護措施，逐步完善的網絡安全防護體系，增強每個網絡用戶的安全意識，從根本上解決網絡安全問題。

榆林電信分公司網絡安全系統涉及的安全方案考慮到了榆林電信分公司網絡安全系統的實際情況，均衡了性能價格比，從整個系統的可靠性，穩定性，安全性和可擴展性多方面進行了考慮，有如下優勢：

基于電信企業的網絡安全策略

參考文獻

[1]陳則徐.淺析企業網絡安全策略,電腦知識與技術2009.3，5(9):106-108 [2] Roberta Bmgg，CISSE Certified Information Systems Security Professional．北京：人民郵電出版社，2003：98～102 [4]胡春安.中小型企業網絡升級方案的研究:[碩士學位論文].華中科技大學,2006.9,34-40 [4]仇劍鋒.基于VLAN和三層交換的企業網絡安全策略研究[碩士學位論文].中南大學，2006.10,8-12 [5] 1912E巖明，冼沛勇．建立數據安全系統，維護企業信息安全．計算機與網絡，2003，(24)：19-21 10

第三篇：電信網絡安全應對策略解決方案[最終版]

電信網絡安全應對策略解決方案

網絡安全是一個涉及面廣泛的問題。隨著人們對網絡依賴性的增強，電信網的安全性、可靠性與容災能力越來越受到重視。雖然一開始，網絡設計者就采用SDH恢復、雙歸屬等技術來進行網絡的冗余與備份，以提高電信業務的抗災能力，但是由于災難的不可預測性，如何做到未雨綢繆以及在緊急情況下迅速提供電信業務一直是人們關注的焦點。此外，隨著WLAN、互聯網和3G的廣泛應用，下一代網絡的安全性問題也日益受到重視。

一、網絡安全涉及的內容

網絡安全涉及的層面非常廣，從網絡到信息，從物理網絡的保護到對各種病毒和網絡攻擊的預防，涉及IT行業的方方面面。一般來講，網絡安全可以簡單分為以下幾個層次。

1.電信網絡的安全可靠性

電信網絡的可靠性問題由來已久。傳統上，電信網的可靠性一般分為兩個方面，即預防網絡故障的發生以及電信網絡發生故障后的保護和恢復。目前隨著通信協議在網絡中的應用越來越廣泛，通信協議的安全性也越來越重要，特別是在互聯網的開放環境中，對通信協議的安全性要求更高。

預防網絡故障的發生一般在網絡規劃和建設時就已經考慮，但仍然需要根據構成設備的可靠性來分析建成后系統的整體可靠性。

故障發生時的網絡保護和恢復能力也是電信網絡建設所考慮的重點，特別是隨著傳輸設備的交叉連接能力的增強，為傳輸網絡的故障恢復能力提供了重要保證。目前，IP網絡的相關故障恢復主要發生在以下三個層次：光傳輸層、ATM層和IP層。其中，越是底層的網絡，要求保護和恢復的時間越快、代價越高，也越不靈活。

2.互聯網的安全可靠性

由于互聯網是一種全球性、開放性、透明性的網絡，是無邊界的，任何團體或個人都可以在互聯網上方便地傳送或獲取各種各樣的信息。然而目前網絡自身的安全保護能力有限，許多應用系統處于不設防或很少設防的狀態，存在很多漏洞，而將來對網絡的攻擊不僅僅是已經出現的蠕蟲、病毒和黑客攻擊，還會有針對互聯網基本機理的攻擊，使關鍵的交換機、路由器和傳輸設備癱瘓。隨著上網單位和網上信息的日益增多，網絡與信息安全面臨的挑戰越來越大。

互聯網協議構件的安全性問題也越來越嚴重，一方面與互聯網協議本身有關，另一方面也與互聯網的商業化進程密切相關，如目前由于互聯網運營模式的變化，可能受到的攻擊手段也在增加，特別是隨著VoIP業務使得互聯網和傳統電信網互連，對傳統電信網的信令系統也造成很大的威脅。因此對于互聯網架構的安全性問題，一方面可以通過協議的安全性改進、實現的一致性、安全性問題標準化等措施來加強，另一方面則應盡量減少協議受攻擊或者威脅的可能。

3.信息安全

網絡安全與信息安全是休戚相關的，網絡不安全，就談不上信息安全;然而網絡再安全，也不可能萬無一失，所以還要加強信息自身的安全性?，F在，基本上在網絡硬件、網絡操作系統、網絡中的應用程序、數據安全和用戶安全等五個層面上開展研究工作。除了常用的防火墻、代理服務器、安全過濾、用戶證書、授權、訪問控制、數據加密、安全審計和故障恢復等安全技術外，還要采取更多的措施來加強網絡的安全，例如，針對現有路由器、交換機、邊界網關協議(BGP)、域名系統(DNS)所存在的安全漏洞提出解決辦法;迅速采用增強安全性的網絡協議(特別是IPv6);對關鍵的網元、網站、數據中心設置真正的冗余、分集和保護;實時全面地觀察和了解整個互聯網的情況，對傳送的信息內容負責，不盲目傳遞病毒或進行攻擊;嚴格控制新技術和新系統，在找到和克服安全漏洞或者另加安全性之前不允許把它們匆忙推向市場。

目前就信息的安全性要求來說，一般強調五個要求，即信息的可用性、保密性、完整性、真實性和不可抵賴性。

二、電信行業在網絡安全方面的經驗

電信網絡一般指有線、無線、衛星網絡以及互聯網等，電信網絡所受到的威脅主要是恐怖襲擊、自然災難或類似情況。電信行業在安全方面的工作重點主要包括業務、網絡和企業的安全可靠性。

對于電信行業來講，安全隱患一般分為以下兩種：

脆弱性(vulnerability)：指通信網絡設施的某些方面容易損壞或受到安全威脅的特性;

威脅：可能損害或危及網絡安全的任何潛在因素。

1.通信設施主要安全問題及對策

通信設施的安全問題主要來自以下幾個方面，運營商應該在問題發生之前采取預防措施，或在問題發生之后采取積極的補救措施。

(1)環境

包括建筑物、電纜溝槽、衛星軌道的空間、海纜沿途等環境。沒有絕對安全的環境，要整體考慮環境安全計劃，需要定期對環境進行評估和再評估，特殊環境需要特殊考慮。

(2)供電

包括電池、地線、電纜、保險絲、備用應急發電機和燃料。內部電力設施常常被忽略，需要持續檢驗電力系統是否有效，業務提供商和網絡運營商要保證對重要的設備不間斷供電，在發生自然災難(如臺風、地震)時，能夠提供發電機的燃料供應和后備電源的使用。

(3)硬件

包括硬件架構、電子電路模塊和電路板、金屬件以及光纜、電纜、半導體芯片。關鍵網元的設備供應商應該對電子硬件進行測試，以確保兼容性、抗震性、耐壓性、溫度適應性等。

(4)軟件

包括軟件版本的物理儲藏、開發與測試、版本控制與管理等。提供商應提供安全的軟件傳送方式。

(5)網絡

包括節點的配置、多種網絡與技術、同步、冗余、物理與邏輯的分集。業務提供商和網絡運營商應該開發一套嚴密的程序，以評估和管理各種危險(如迂回路由、緊急狀態快速反應)。

(6)負載

包括跨越網絡設施傳送的信息、業務量模型與統計、信息攔截偵聽。網絡運營商在設計網絡時應該使潛在的信息攔截降到最小。

(7)人員

包括有意和無意的行為、限制、教育與培訓、道德規范等。業務提供商與網絡運營商應該考慮建立員工安全意識培訓計劃。

2.運營商對互聯網采取的安全措施

互聯網是未來的發展方向，也是安全隱患最大的地方。目前，互聯網最常見的安全問題是病毒、蠕蟲、拒絕服務攻擊，網絡受到的攻擊越來越多。據美國計算機緊急響應小組協調中心(CERTCC)統計，1999～2002年間，每年網絡受攻擊數分別為9859、21756、52 658、86 000次，網絡攻擊愈演愈烈之勢由此可見一斑。因此，運營商都在積極努力，以保證網絡的正常運行。AT&T已經有七層安全協議來應對外部攻擊，并且在其網絡中樞構建了基于網絡的主動式安全系統，可以進行細致深入的分析并能預見到各種攻擊。

3.保護七號信令網

七號信令網絡是電信網重要的控制系統，目前七號信令及其安全性越來越受到關注。FCC在調查造成網絡癱瘓的因素時，專門對因七號信令而造成的事故進行了調查與研究。其2002年底的一份調查顯示，由于七號信令而造成的網絡故障有上升的趨勢。幾年前美國參議院司法委員會就提議運營商重視七號信令的安全，FBI國家基礎設施保護中心(NIPC)也把此列為工作重點。

七號信令攻擊具有以下一些共同的特點：

消息中帶有非相鄰信令節點的地址;

特定消息類型的量增加或異常;

特定消息類型的出現頻次增加或異常;

消息集中在某鏈路或鏈路集上。

高質量的防衛將是一個多元的安全政策，最好的防衛是早期檢測。運營商必須安裝能夠監控整個網絡的設備，該設備必須能夠實時地檢測所有的信令消息并向中心地點報告這些情況，而且要能夠對消息進行分析。

運營商應該認識到，對七號信令網絡真正的攻擊可能不只是簡單的攻擊，很可能是一個充分組織的復雜攻擊，因此更要積極防范。

三、網絡安全是NGN的重要內容

NGN指移動與固定運營商未來將擁有的能夠提供一系列先進新業務的網絡設施。在NGN中，網絡安全是最重要的內容，也是亟待解決的問題。隨著新技術特別是WLAN、IP分組網絡、3G等的發展與應用，網絡中的薄弱環節也越來越多。

1.WLAN

如今，WLAN的安全性成為一個突出的問題。隨著WLAN的普遍實施，其安全性應該引起業界足夠的重視。設備廠商在試圖通過加密與認證等方式來減少一些安全隱患。

針對WLAN存在的安全問題，目前有四項主要的技術措施：802.1x認證協議、專門針對WLAN的安全體系標準802.11/802.11i、VPN和實現WLAN中用戶隔離的虛擬局域網(VLAN)。這4項技術有的正在開發之中，有的又過于復雜，因此WLAN的安全問題在最近一段時間內難以得到徹底的解決。

2.基于IP的分組交換網

在過去的電信網絡中，網絡所受到的安全威脅比較典型，如毀壞PBX、惡意撥號等。而基于IP的分組交換網的安全問題將更加突出，并且與以往的安全問題相比有很大的不同。

人們使用VoIP或者MPLS來構筑VPN時，安全隱患將變大。因為人們在使用IP地址時會把自己“暴露”在大庭廣眾之中，這樣就會面臨電路交換網甚至ATM或者幀中繼中從未有過的安全問題。你可以從公共域“看到”別人，別人也可以采用標準的攻擊形式輕而易舉地破壞路由表。例如，攻擊一個交換機并非易事，但是攻擊一個實施了MPLS的交換設備卻方便得多，因為可以從內部網看到它所擁有的IP地址。如果有人進到內部網，就可以接入到交換機，從而帶來更大的安全隱患。

3.3G

3G電話更易受到攻擊。在2.5G網絡中，IP地址是在基站，黑客必須先攻擊基站才能攻擊到電話，而基站一般都有保護措施。然而在3G網絡中，IP地址實際上是在電話中，黑客可以直接攻擊電話。因此，3G在安全性方面與2.5G或者i-mode相比有很大的弱點。

四、結語

隨著技術的發展，電信網絡涵蓋的范圍越來越廣，以前單

一、封閉的網絡正在向開放多樣的網絡演進，因此電信行業面臨的安全問題更加復雜、多樣，保障電信網絡和業務的安全面臨著更加嚴峻的形勢。由于電信網絡是人們向信息社會邁進的基石，與人們的工作、生活息息相關，因此無論政府、運營商還是用戶，都應該更多地關心電信網絡的安全問題。

第四篇：電信企業的IT網絡安全探討

電信企業的IT網絡安全探討

羅振一

（單位：中國聯通廣西分公司

郵編：530000）

摘要：文中論述了電信企業的IT網絡安全體系復雜性，闡明了建立計算機網絡安全體系的必要性，提出了解決現有計算機網絡安全技術方案。著重介紹了主動防御和被動防御的各種技術，通過具體的網絡安全實例，闡述了電信企業計算機網絡安全體系的合理構成。

關鍵詞：網絡拓撲 網絡安全體系

防火墻 加密技術 入侵檢測

虛擬局域網

1． 網絡架構及安全體系特點

本文主要介紹電信企業中的IT網絡安全體系，不涉及通信網絡的安全問題。電信企業的IT網絡組成主要有：計費網、營銷網絡、辦公網絡，計費網是核心網絡；營銷網絡是整個企業的營銷系統主體，辦公網絡是實現企業信息化及辦公自動化的基礎。網絡安全體系主要基于計費網為核心網，營業網、辦公網、其他外圍網絡作為接入網絡，計費網做為核心網絡，放置大部分的核心數據庫和主機，具有最高的安全局別，主要考慮采用主動防御和被動防御相結合的方案；營銷網絡安全級別僅次于計費網，是整個公司營銷的基石，營銷網的特點是：覆蓋的地域廣、接入方式不統一、終端類型繁多、INTERNET網嚴格隔離等，網絡安全主要采用被動防御安全技術；辦公網主要是為企業信息化和辦公自動化建設，辦公網的特點主要是：網絡拓撲清晰、接入公網、權限管理復雜，辦公網的安全體系，建議采用被動防御為主，主動防御為輔?；谝陨系木W絡特點，IT網絡的整個安全體系是建立在以計費網為核心，保證核心能夠免疫來自內部和外部的入侵和非法訪問，各種接入網建立各自的安全體系，從而建立起多級、全方位的IT網絡安全體系.2． 網絡安全技術

經過幾十年的研究和發展，網絡安全（從屬信息安全）已經成為計算機科學，非常重要的組成部分，形成比較成型的理論和應用技術。電信企業應該采用這些經驗和技術，建立安全、可靠的IT網絡，減少由于入侵、非法訪問、病毒入侵、網絡故障等引起的損失，為企業發展建立一個良好的環境。以下主要介紹一些主流的網絡信息安全保護技術.2.1 主動防御保護技術

主動防御保護技術主要有：數據加密、身份鑒別、存取控制、權限設置、虛擬局域網等。在主動防御保護技術方面，電信企業一般主要采用：身份鑒別、存取控制、權限設置、虛擬局域網（VLAND）等技術。身份鑒別和權限設置在不同系統，有不同的要求，有分散設置、有統一設置，機制和手段都比較成熟，在這里不做簡介。對于存儲控制和虛擬局域網，許多IT網絡在建設時候，都有這樣的技術概念，但是真正有效應用起來比較少，原因可能比較簡單，麻煩或沒有必要。存取控制的內容包括人員限制、訪問權限設定、數據標識、和風險分析等，是內部網絡信息安全的重要方向，實現方式可以通過路由訪問策略、網絡監控、專用物理地址和IP地址的訪問控制系統等等，有效的建立起存取控制機制，可以將網絡的安全性、可靠性提高一個水平，目前很多企業的網絡不夠穩定或出現故障，經過故障排查后發現，真正的原因和存取控制機制不夠健全有很大關系。對于虛擬局域網技術，相信大家都很熟悉，在此不做太多討論，利用好虛擬局域網技術，非常廉價也很便利。某公司曾經發生大面積的IT網絡癱瘓，經過排查，故障的原因很簡單，主要是一臺備用的服務器出現故障，不斷在網絡上大量發包，造成一臺主用的業務服務器受到影響。經過重新分析和排查后，發現這樣問題如果將應用服務器之間進行虛擬局域網劃分和設定良好的路由策略，是完全可以避免的。

2.2被動防御保護技術

被動防御保護技術主要有防火墻技術、入侵檢測系統、安全掃描器、口令驗證等。在電信企業的IT網絡中，我們主要強調防火墻技術、入侵檢測系統技術、安全掃描技術的應用。在很多公司的IT網絡架構體系中，防火墻都起非常重要的做用，本文中，我們主要采用硬件防火墻,保證核心計費網同接入網實現安全隔離,辦公網和公網的接入口,也采用硬件防火墻進行訪問控制;入侵監測系統(IDS)處于防火墻之后對計費網絡活動進行實時檢測/監控,保證核心網絡安全;安全掃描器 由于核心計費網和公網或外網沒有直接的接口,在建立網絡安全體系的時候,安全掃描只是設置為定期操作,比如一周或1個月,為應用服務器或 普通終端升級或打補丁,提供數據依據.在規劃網絡架構的時候,建議將入侵檢測系統、安全掃描器放置于一臺主機上。

2.3 反病毒技術。

反病毒技術涉及內容很復雜和廣泛，目前主要使用到的基本是成熟的殺毒工具，有網絡殺毒工具和單機殺毒工具，電信企業應該更多的考慮到如何使用現有的殺毒技術，對核心計費網、營銷網和辦公網進行病毒防范。我們建立的反病毒機制主要是，對重要的應用服務器進行實時防毒監控，統一采用網絡防毒工具，單機的終端安裝單機的實時放病毒軟件。，3．網絡安全體系的解決方案及實例

根據IT網絡架構特點，及安全層次要求，電信企業的網絡安全體系，應該充分利用現有的網絡安全技術，主要從三個方面入手：

3.1 外來非法入侵的防范，即采用現有的網絡防火墻技術，根據網絡的拓撲結構特點，層層作防，把外來非法入侵的可能性降到最低點。

3.2 采用現有的認證技術，比如PKI技術等等，建立完善的內部認證體系，把來自企業內部的非法訪問控制到最低點，很多調查表明，很大比例的非法入侵是來自于企業內部，因此對于企業內部的訪問認證控制，是建立網絡安全體系的重要工作之一，也是保證營銷網絡和辦公網絡真正能達到信息安全的重要手段。

3.3建立完善的反病毒機制，充分利用現有的很多著名的殺毒工具，比如瑞星反病毒工具、NORTON反病毒工具等，定時殺毒和作病毒防范，給公司員工灌注反病毒的意識。

以下是一個簡單的網絡架構實例，主要根據電信企業的網絡特點規劃，也是部分電信企業目前的大致網絡架構，沒有涉及具體的業務和各種認證系統，這樣的方案在很多集成商的案例 中都可以看到，做為電信企業的IT技術人員，我著眼點主要是從整體上，從整個網絡結構

上規劃IT網絡的安全體系。這個網絡邏輯架構也是我參與建設一個企業內部網，原始的網絡構造邏輯圖，該網絡目前在運行很好，但是仍然存在一些問題，問題將在后面的總結中具體概括。

INTERNET防火墻路由器服務器辦公網入侵檢測、安全掃描、反病毒營業終端入侵檢測、安全掃描、反病毒服務器路由器防火墻應用服務器群路由器計費核心網路由器數據庫營銷網網管系統管理營業終端營業終端營業服務器

以上的網絡架構及安全體系結構，只是一個大致的網絡邏輯架構，簡化了許多實際應用中需要考慮的問題，只是把主要涉及網絡安全的部分重點畫出。我在這里引用，主要是強調從網絡規劃，從網絡架構上實現網絡信息安全保護是極為重要的。

4．電信企業IT網絡安全概括

要建立完整的計算機網絡安全體系，外來入侵的防范、內部訪問的認證控制、反病毒機制的建立及完善缺一不可，網絡安全體系的建立是一項長期而復雜的過程，電信企業只有不斷的適應安全技術的新發展，不斷完善企業網絡的安全防范，才能真正做到企業信息的安全，和保證企業業務正常發展。

作者簡介：羅振一 男 1978年2月出生 2000年7月畢業于廣西大學計算機與信息工程學院 工程學士

供職于中國聯通廣西分公司 助理工程師 通訊地址：中國聯通廣西分公司信息化部新興大夏24樓 聯系電話：***。

第五篇：淺談計算機網絡安全對策分析

淺談計算機網絡安全對策分析

論文關鍵詞：計算機 網絡 安全 對策

論文摘要：本文對計算機網絡安全存在的問題進行了深入探討，提出了對應的改進和防范措施。

隨著計算機信息化建設的飛速發展，計算機已普遍應用到日常工作、生活的每一個領域，比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是，計算機網絡安全也受到全所未有的威脅，計算機病毒無處不在，黑客的猖獗，都防不勝防。本文將著重對計算機信息網絡安全存在的問題提出相應的安全防范措施。

1、技術層面對策

在技術方面，計算機網絡安全技術主要有實時掃描技術、實時監測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來，技術層面可以采取以下對策：

1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息，嚴格做好開機查毒，及時備份數據，這是一種簡單有效的方法。

2)網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

3)數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法?；謴褪窃谝馔獍l生后利用備份來恢復數據的操作。有三種主要備份策略：只備份數據庫、備份數據庫和事務日志、增量備份。

4)應用密碼技術。應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證?；诿艽a的數字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。

5)切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U盤和程序，不隨意下載網絡可疑信息。

6)提高網絡反病毒技術能力。通過安裝病毒防火墻，進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測，在工作站上采用防病毒卡，加強網絡目錄和文件訪問權限的設置。在網絡中，限制只能由服務器才允許執行的文件。

7)研發并完善高安全的操作系統。研發具有高安全的操作系統，不給病毒得以滋生的溫床才能更安全。

2、管理層面對策

計算機網絡的安全管理，不僅要看所采用的安全技術和防范措施，而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合，才能使計算機網絡安全確實有效。計算機網絡的安全管理，包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用

戶的法律、法規和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。

這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數據保護法等，明確計算機用戶和系統管理人員應履行的權利和義務，自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網絡系統的安全，維護信息系統的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統安全而建立的一切規章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。

3、物理安全層面對策

要保證計算機網絡系統的安全、可靠，必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施，主要包括以下內容：

1)計算機系統的環境條件。計算機系統的安全環境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴格的標準。

2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地，要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。

3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。為做到區域安全，首先，應考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統中心設備外設多層安全防護圈，以防止非法暴力入侵；第四設備所在的建筑物應具有抵御各種自然災害的設施。

計算機網絡安全是一項復雜的系統工程，涉及技術、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術，將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重，安全技術必須結合安全措施，并加強計算機立法和執法的力度，建立備份和恢復機制，制定相應的安全標準。此外，由于計算機病毒、計算機犯罪等技術是不分國界的，因此必須進行充分的國際合作，來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。

參考文獻：

[1] 張千里.網絡安全新技術[M].北京:人民郵電出版社，2003.[2] 龍冬陽.網絡安全技術及應用[M].廣州:華南理工大學出版社,2006.[3] 常建平，靳慧云，婁梅枝，網絡安全與計算機犯罪[M].北京:中國人民公安大學出版社，2002