2武警乌鲁木齐指挥学院训练部 乌鲁木齐 830049;
3新疆大学 乌鲁木齐 830011
摘要:针对电信运营网络信息安全面临的威胁与问题,对网络安全防护的技术体系建设及网络安全防护的管理体系建设进行了探讨,为电信运营网络的安全体系建设进行创新性和探索性研究提供思路。
关键词:电信运营商;网络安全;安全防护体系建设
1引言
伴随着“互联网+”及信息化的快速发展,对网络及信息安全提出了更高的要求,运营商网络及信息安全一般是指通常指核心网、业务网和支撑网的系统安全,是处于网络体系的上层,一旦出现故障,将会直接影响到网络的正常运行和通信服务。如何最大限度地减少、避免、防止各类对网络造成的威胁,确保网络的安全运行,是摆在各运营商面前亟待妥善解决的一项具有重大意义的课题。
2电信运营网络信息安全面临的主要安全威胁与问题
网络安全是一个系统性概念,不仅包括网络信息的存储安全,还要涉及信息的产生、传输和使用过程中的安全,应该说网络节点处的安全和通信链路上的安全共同构成了网络系统的安全体系。电信运营网络信息安全面对的主要安全威胁与安全问题依然比较突出,重视程度也不一。现阶段网络安全威胁主要存在如下内容,包括网络DDOS攻击、网页篡改、信息窃取、互联网安全威胁、DNS安全威胁及安全漏洞等。
3电信运营网络信息安全防护体系建设
构建网络安全防护体系的总体思路是加强两大体系建设:即网络安全防护的技术体系建设和网络安全防护的管理体系建设。本文着重介绍网络安全防护的技术体系建设。网络安全防护体系的常见技术措施包括访问控制技术、网络入侵检测系统与安全漏洞扫描、病毒防范技术、加密技术、数据备份与恢复技术、堡垒主机安全等。
3.1访问控制技术
访问控制是网络安全防范和保护的主要方法,它的主要任务是保证网络资源不被非法使用和访问,而只允许有访问权限的用户获得网络资源。同时控制用户可以访问的网络资源范围以及可以对网络资源进行的操作。它是保证网络安全最重要的核心策略之一。包括以下内容,用于入网访问控制的设备—防火墙;通过路由器或交换机访问控制列表的设置实现访问控制功能;对远程网络用户接入进行控制的技术—虚拟专用网(VPN)技术;基于用户名和口令的访问控制机制。
(1)防火墙:目前在实际应用中所使用的防火墙产品有很多,但从其采用的技术来看主要包括两类:包过滤技术和应用代理技术,实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。具体来说主要包括:简单包过滤防火墙、状态检测包过滤防火墙、应用代理防火墙和复合型防火墙。
(2)安全域划分:通过安全域划分,可以将大规模复杂系统的安全问题,有效划分为小区域简单系统的安全保护问题,从而有利于采取针对性的防护策略。安全域防护整体原则可根据安全域等级划分和边界保护进行,不同等级间必须采取相应的安全防护策略。比如交互网络域,对于网络交互域采用通用防护设备或技术,在核心交换机设置访问控制策略、划分VLAN等技术手段对交互网络域进行安全防护。
(3)虚拟专用VPN:它可以通过特殊的加密通信协议为连接在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路,如图所示。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
期刊文章分类查询,尽在期刊图书馆
3.2 网络入侵检测系统与安全漏洞扫描
入侵监测系统处于防火墙之后对网络活动进行实时检测,入侵检测能弥补防火墙在某些方面的不足。许多情况下,两者相互联动,可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙、路由器配合工作。为网络安全提供实时的入侵监测,以及采取相应的防护手段。网络入侵检测分为基于网络的入侵检测和基于主机的入侵检测两种方式。网络安全漏洞扫描实际上是通过模拟网络攻击的方式,提前获得可能被攻击的薄弱环节,为系统安全提供可信的分析报告,从而为提高网络安全性提供重要的依据。目前国际主流的入侵检测系统主要以模式发现技术为主,并结合异常发现技术。
3.3 病毒防范技术
为了减少病毒在企业网络内部的传播,必须采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的预防、病毒的检测、以及杀毒技术,它们提供了完整的多级病毒保护系统,可以有效的保护网络不受病毒的侵害。运营商通过部署防病毒服务器系统,可以有效监测查杀病毒,也避免相应的病毒木马等在内部的传播。
3.4 加密技术
运用数据加密措施、数据加密技术是保障信息安全的最基本、最核心的技术措施之一。这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。加密过程由加密算法来具体实施。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方使用的密钥是否相同来分类,可以将这些加密算法分为对称密码算法和非对称密码算法。
3.5 数据备份与恢复技术
计算机网络系统由于系统崩溃,黑客入侵以及管理员的误操作等各种原因会导致数据丢失和损害。数据备份是在系统出现灾难性事件时重要的恢复手段。数据备份顾名思义,就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。数据备份的根本目的,是重新利用,这也就是说,备份工作的核心是恢复。
3.6 加强堡垒主机安全
内部网络的各项操作都是在操作系统的基础上完成的,所以操作系统的安全性能是网络安全性能的基础。然而现有的各种操作系统,在安全性方面都存在先天不足的情况。为此,可以采用禁止使用一些不必要的服务等方式,把操作系统和应用平台的安全隐患降低到最小水平。另外,及时了解网络安全的各方面信息,升级系统、下载安装安全补丁,也能有效地减少安全漏洞所带来的安全隐患。
3.7 防攻击技术
针对DDoS攻击,部署了ADS等系统来拦截,根据监测到的DDoS攻击中的目的IP,对其异常流量进行清洗,实现异常流量的清洗和正常业务的保护,从而实现对DDoS攻击的安全防护。为了提高DNS系统对网络攻击的防护性能,运营商建设了域名服务系统。在提供传统DNS域名解析的基础上,将域名状态监控、域名安全防护、域名智能纠错、流量分析等功能加入其中,保障在能正常提供域名解析的同时,也能完成对域名的实时监控,及早发现DDoS攻击,保障用户的正常使用。
4结束语
针对电信运营网络信息安全面临的威胁与问题,对网络安全防护的技术体系建设及网络安全防护的管理体系建设进行了探讨,为电信运营数据网的安全体系建设进行创新性和探索性研究提供思路,为今后网络安全工作的开展奠定了基础,对持续推进和完善电信网络安全体系建设有重要意义。
参考文献
[1]杨旭.网络信息安全技术防护体系建设的探讨[J].中国新通信,2016, 18:46-47.
[2]韩全惜.论网络信息安全技术防护体系建设方法[J].无线互联科技,2015,08:43-45.
论文作者:石朗昱1,马玲2,冷洪勇3
论文发表刊物:《基层建设》2017年6期
论文发表时间:2017/6/19
标签:网络论文; 技术论文; 体系建设论文; 安全防护论文; 信息安全论文; 防火墙论文; 网络安全论文; 《基层建设》2017年6期论文;