通信網(wǎng)絡安全與維護

水利部黃河水利委員會信息中心 宋宇捷

通信網(wǎng)絡安全與維護

水利部黃河水利委員會信息中心 宋宇捷

一、通信網(wǎng)絡安全的定義及其重要性

通信網(wǎng)絡安全是指信息安全和控制安全這兩部分。從國際標準化組織的角度來看，信息安全是指信息的完整性、可用性、保密性和可靠性?？刂瓢踩侵干矸菡J證、不可否認性、授權和訪問控制。通信網(wǎng)絡作為信息傳遞的一種主要載體，在推進信息化建設的過程中與多種社會經(jīng)濟生活有著十分緊密的聯(lián)系。這種聯(lián)系一方面帶來了巨大的社會價值和經(jīng)濟價值；另一方面也意味著巨大的潛在危險，即一旦通信網(wǎng)絡出現(xiàn)安全事故時，就有可能使成千上萬人之間的通信出現(xiàn)障礙，帶來社會價值和經(jīng)濟價值無法估計的損失。

二、通信網(wǎng)絡安全分析

針對計算機系統(tǒng)及網(wǎng)絡固有的開放性等特點，一定要加強和提高網(wǎng)絡管理人員的安全意識和技術水平。

1.密碼安全分析。如果明密界限不清，密件明發(fā)，且長期重復使用一種密鑰，將導致密碼交易被破譯，如在下發(fā)口令及密碼后沒有及時地收回，致使在口令和密碼到期后仍能通過原密碼進入網(wǎng)絡系統(tǒng)，將造成系統(tǒng)被侵入。

2.系統(tǒng)遠程登錄功能漏洞。為了方便管理，部分軟硬件系統(tǒng)在設計時留有遠程終端的登錄控制通道，同時在軟件設計時不可避免地存在著許多不完善或是未發(fā)現(xiàn)的漏洞（bug），加上商用軟件源程序完全或部分公開，使得在使用通信網(wǎng)絡的過程中，如果沒有必要的安全等級鑒別和防護措施，攻擊者可以利用上述軟硬件漏洞直接侵入網(wǎng)絡系統(tǒng)，破壞或竊取通信信息。

3.電磁輻射產(chǎn)生的問題。如果傳輸信道沒有采取相應的電磁屏蔽措施，那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射，從而使得某些不法分子可以利用專門設備接收并竊取機密信息。

三、通信網(wǎng)絡安全維護措施及技術

隨著通信網(wǎng)絡功能的越來越強大，保護通信網(wǎng)絡中的硬件、軟件及其數(shù)據(jù)不受偶然或惡意的破壞、更改和泄露；保障系統(tǒng)連續(xù)可靠地運行；保證網(wǎng)絡服務不中斷，成為通信網(wǎng)絡安全工作的主要內(nèi)容。為了實現(xiàn)對非法入侵的監(jiān)測、防偽、審查和追蹤，從通信線路的建立到進行信息的傳輸，我們可以運用以下幾種防衛(wèi)措施。

1.身份鑒別措施。身份鑒別可以通過用戶口令和密碼等鑒別方式達到網(wǎng)絡系統(tǒng)權限分級的功能，權限受限用戶在連接過程中就會被終止，從而達到網(wǎng)絡分級的效果。網(wǎng)絡授權通過向終端發(fā)放訪問許可證書來防止非授權用戶訪問網(wǎng)絡和網(wǎng)絡資源。數(shù)據(jù)保護則可以利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性，即使被截獲也會由于在不同協(xié)議層中加入了不同的加密機制，從而使密碼變得幾乎不可破解。

2.收發(fā)確認措施。收發(fā)確認是用發(fā)送確認信息的方式，表示對發(fā)送數(shù)據(jù)和接收數(shù)據(jù)的確認，以避免不承認發(fā)送過的數(shù)據(jù)和不承認接受過數(shù)據(jù)等而引起的爭執(zhí)。

3.保證數(shù)據(jù)的完整性措施。保證數(shù)據(jù)的完整性，一般是通過數(shù)據(jù)檢查核對的方式完成的，數(shù)據(jù)檢查核對方式通常有2種：一種是邊發(fā)送接收邊核對檢查，一種是接收完或后進行核對檢查。業(yè)務流分析可阻止垃圾信息大量出現(xiàn)而造成的擁塞，同時也使得惡意網(wǎng)絡終端無法從網(wǎng)絡業(yè)務流的分析中獲得相關用戶的信息。

4.通信網(wǎng)絡安全維護措施。為了實現(xiàn)上述種種的安全措施，必須采用多種安全技術來構筑防御系統(tǒng)，常用的主要有以下幾種技術。

（1）防火墻技術。在網(wǎng)絡的對外接口采用防火墻技術，在網(wǎng)絡層上進行訪問控制。通過鑒別、限制、更改跨越防火墻的數(shù)據(jù)流，來實現(xiàn)對網(wǎng)絡的安全保護，最大限度地阻止網(wǎng)絡中黑客訪問網(wǎng)絡并防止黑客隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。因而防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制。

（2）入侵檢測技術。防火墻可保護內(nèi)部網(wǎng)絡不受外部網(wǎng)絡的攻擊，但它對內(nèi)部網(wǎng)絡的一些非法活動的監(jiān)控還不夠完善，入侵檢測系統(tǒng)是對防火墻技術的重要補充，它積極主動地提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，提高系統(tǒng)的安全性。

（3）網(wǎng)絡加密技術。網(wǎng)絡加密技術的作用就是防止公用或私有的信息在網(wǎng)絡上被攔截和竊取，它是網(wǎng)絡安全的核心。采用網(wǎng)絡加密技術，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?，它可解決在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩珕栴}，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。

（4）身份認證技術。提供基于身份的認證，在各種認證機制中都可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性和可控性等特性。

（5）虛擬專用網(wǎng)技術。通過一個公用網(wǎng)（一般是因特網(wǎng)）建立一個臨時的、安全的連接，它是一條穿過混亂的公用網(wǎng)絡的安全和穩(wěn)定的隧道。通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等跟公司的內(nèi)網(wǎng)連接起來，構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機并不會覺察到公共網(wǎng)絡的存在，仿佛所有的機器都處于同一個網(wǎng)絡之中。

（6）漏洞掃描技術。面對網(wǎng)絡的復雜性和不斷變化的情況，僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估，顯然是不夠的，我們必須通過網(wǎng)絡安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大限度地彌補最新的安全漏洞并消除安全隱患。

目前，解決網(wǎng)絡安全問題的大部分技術是先進和可靠的，但是隨著社會的發(fā)展，人們對網(wǎng)絡功能的要求也在不斷提高，這就意味著通信網(wǎng)絡的安全維護是一個長遠和持久的工作。為此，我們必須適應社會發(fā)展的需求，不斷地提高技術水平，以保證網(wǎng)絡安全維護工作的順利進行。