浅析如何做好电信网络安全保障
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅析如何做好电信网络安全保障
[摘要] 电信网络的安全,是各电信运营商发展和运营的后盾保障,没有安全可靠的电信网络,无从谈经营和发展。网络安全的防范是一个体系和系统,必需协调法律,技术和管理三个方面。
[关键词] 病毒安全防护全程全网安全的观念安全管理机制网络管理与网络安全管理
电信网络的安全,是各电信运营商发展和运营的后盾保障,没有安全可靠的电信网络,无从谈经营和发展。近年来,随着互联网业务的兴起,TCP/IP协议簇的采用,各种应用层出不穷,传统的固定网、移动网与互联网的联系越来越紧密。有线、无线等各种接入方式不断推出,企业网、ISP、ICP、个人电脑等都以不同的方式与互联网等网络相联,这样,各种网络互联,对电信运营商提出了更高的要求和考验。虽然用户使用方便了,但网络安全问题的威胁也增加了,往往一个点或一个地方的问题会影响到其他地方、其他网络,甚至多个网络。
面对这一形势,电信网络如何增强其安全性、可靠性,是电信网络维护人员的首要任务。
传统的电信网络(PSTN)是基于电路交换的方式,面向连接,网络QoS有保证。其网络的安全性体现在网络的可靠性和可用性,网络的可靠性涵盖了传输系统和相应的设备,可靠性的指标很高,设备间的连接电路也有相同的可靠性要求,并且还设计了冗余备份和保护倒换等技术来进一步保证系统的可靠性。
PSTN对用户的信息是透明的,网络保证不对用户信息进行任何的修改和破坏。用户信息也不会对网络节点设备构成任何冲击和危害。PSTN的网络安全还包含运营网络不得随意使用加密技术,而对于个人用户的私人保密是以不危及国家安全为限的。在传统的电信网中,用户数据加密是有规定的,普通用户数据是不准加密的,商密用户,普密用户,绝密用户可以使用密码技术加密,但必需经过相关部门批准。
互联网是基于分组交换的方式,面向无连接,网络QoS保证较差。互联网又可称为IP网,传统的PSTN网由于是面向连接,一条链路要么接通,要么不通,问题容易发现也容易解决。而IP网是无连接的,其网络的路由和流量分配都是随机的,不同的流量分配带来的网络效率也不一样。IP网络攻击源无处不在,难以追踪和查找,使IP网络维护的复杂性大大增加。
由于互联网的迅猛发展,新业务及传统业务的迅速IP化,终端设备的智能化,网络规模越来越大,网络的安全问题也越来越突出,加上互联网的不可管理,不可控制,网络只保证通达,而把安全问题交给了用户的一些网络设计中,这样就进一步恶化。而当今互联网已把PSTN和移动网紧密地联系起来了,如V oIP业务的迅猛发展更是和每个网络有关系,尤其是利用VOIP修改电话号码进行咋骗,已严
重威胁到电信网络安全。
网络安全从用户的要求来看,主要是涉及个人隐私或商业利益的信息要受到机密性,完整性和真实性的保护,避免其他人窃听,冒充,修改和非法访问等。从运营商的要求来看,主要是对本地网络的信息访问,读写等操作受到保护和控制,避免出现病毒,非法存取,拒绝服务和网络资源被非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。从政府主管的要求来看,主要是对非法的,有害或涉及国家机密的信息进行过滤和防堵,避免这类信息从网络上泄漏。此外,对不健康的内容和对社会稳定有影响的信息也必需加以控制。
网络安全的防范是一个体系和系统,必需协调法律,技术和管理三个方面。要集成防护,监测,响应,恢复等多种技术。网络安全的防范是通过各种计算机,网络,密码和信息安全技术,保护在网络中传输,交换和存储信息的机密性,完整性和真实性,并对信息的传播及内容进行控制。网络按全的防范从技术层次上看,主要有防火墙技术,入侵监测(IDS/IPS,IPS可以做到一手检测,一手阻击)技术,数据加密技术和数据恢复技术,此外还有安全协议,安全审计,身份认证,数字签名,拒绝服务等多种技术手段。这里特别需要指出的是防火墙,防病毒和安全协议的技术。防火墙守住网络门户,防病毒是网络的第一把保护伞,安全协议提供了身份鉴别,密钥分配,数据加密,防信息重传,以及通信双方的不可否认性等重要功能。
电信网包括固定网和移动网,以及专门供运营商使用的专用网,如DCN(数据通信网)等。电信网络的安全保障可从以下几方面考虑:
建立一个统一,完善的安全防护体系,该体系不仅包括防火墙,网关,防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合性服务措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。
病毒安全防护方面,在电信网络各节点处构筑防御(如防火墙),防止外网影响内网。这里说的节点就是与其他各种网络连接的地方,除固定网与移动网外,还有ISP,ICP,企业网,个人电脑等许多终端设备。安全漏洞检查,定期对安全漏洞进行检测,对发现的漏洞均能及时修补或加固,并形成自查的报告;对通用主机操作系统和应用软件,以安全方式进行版本升级和打补丁;本地操作维护终端均是专机专用,安装有防病毒软件,并有专人定期进行漏洞检测和病毒库升级。
为保障电信网络的安全,必需树立全程全网安全的观念。全程全网安全就是在安全的每个过程中,如物理层,网络层,接入终端,服务层面,人员管理等每个和安全有关的过程都要添加相应的安全措施,并且还要考虑安全随时间变化的因素,也就是说,无论用户在任何特定的时间,用户的安全性都能得到保障。电信网络内部独立成网,与互联网、支撑网相关系统的边界采取的逻辑隔离,只允许访问独立节点,且需要帐户、口令访问。
需要建立安全管理机制。例如,口令管理;各种密钥的生成,分发与管理;全网统一的管理员身份鉴别与授权; 账号口令、日志审计和介质安全管理方面,网络系统和设备维护管理有明确角色、责任、权限的划分,用户账号有专人管理,不允
许使用默认账号,离岗人员账号立即删除;访问口令要求字母、数字混用,并定期更新。建立全系统的安全评估体系,建立安全审计制度,对运行日志和有关记录要求定期进行安全审计并存储备份;建立系统及数据的备份制度,移动硬盘和U盘要求专盘专用,不允许带离工作环境;建立安全事件/安全报警反应机制和处理预案,各专业系统预案要完善;建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力,应制定灾难性事故的应急计划,如紧急行动方案,资源(硬件,软件,数据等)备份及操作计划,系统恢复和检测方法等。
建立专门的数据容灾系统。其内容主要是数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统,该系统是本地关键应用的一个实时复制,当本地数据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务的数据。应用容灾是在数据容灾的基础上采取负荷分担、环网保护、异地建立一套完整的,与本地相当的备份应用系统(可以互为备用),在遇到灾难时,远程系统迅速接管业务运行。
网络管理与网络安全管理相结合,网络管理是电信网络运营商的重要手段之一。监控网络话务量及路由繁忙的情况,以及设备及链路的可靠运行,对话务流量实时监控,分析话务流向,掌握网络动向,了解安全状况。网络管理在网络内部安全方面具有先天的优势,它可以通过对网络流量发生异常的分析及深度检测,对不法分子的异常行为,对互联网IP数据进行截获,发现已知及未知的新型侵入者,进行拦截封堵,减少非法事件的发生。通过网络管理中增加的安全手段还可对多数安全设备顾及不到的内容与网络行为的法律取证等采取有效措施,提供必要证据数据。因此,网络管理与网络安全管理相结合将使电信运营商能更有效地保障电信网络的安全。
电信技术发展越来越快,当今的时代是信息的时代,用户的需求也越来越高,高科技的发展对电信运营商提出了更高要求,如何保证网络安全?是各位运营商时时应该考虑的问题。科技在发展,确保电信行业的良性发展任重而道远。