鄭曉梅 張靳松

中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司唐山市分公司

寬帶城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化

鄭曉梅 張靳松

中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司唐山市分公司

隨著社會(huì)的發(fā)展，網(wǎng)絡(luò)已經(jīng)廣泛應(yīng)用于我們的生活中，為我們的生活帶來(lái)了很多的方便。網(wǎng)絡(luò)延伸到了各個(gè)領(lǐng)域，因此也會(huì)涉及個(gè)人、企業(yè)、政府的隱私信息，網(wǎng)絡(luò)安全問(wèn)題也更加為世人所關(guān)注，只有構(gòu)建完善的寬帶城域網(wǎng)網(wǎng)絡(luò)安全體系，才能保證計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步提升，因此進(jìn)一步加強(qiáng)對(duì)其的研究非常有必要?；诖吮疚姆治隽藢拵С怯蚓W(wǎng)網(wǎng)絡(luò)安全與優(yōu)化。

寬帶城域網(wǎng)；網(wǎng)絡(luò)安全；優(yōu)化

1 、城域網(wǎng)網(wǎng)絡(luò)安全目標(biāo)和需求

網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中的安全性分析立足于網(wǎng)絡(luò)整體，考慮的是網(wǎng)絡(luò)結(jié)構(gòu)性的、技術(shù)性的安全問(wèn)題以及在危機(jī)情況下網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、可用性和可靠性，確保網(wǎng)絡(luò)能夠在負(fù)載變化、部分受損的情況下比較穩(wěn)定、可靠地運(yùn)行。

根據(jù)IS07498-2中提出的建議，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)當(dāng)能夠提供以下安全服務(wù)：1)實(shí)體認(rèn)證：實(shí)體認(rèn)證安全服務(wù)是防止主動(dòng)進(jìn)攻的重要防御措施，對(duì)于開(kāi)放系統(tǒng)環(huán)境中的各種信息安全有重要的作用。認(rèn)證就是識(shí)別實(shí)體的身份和證實(shí)其身份的正確性；2)訪問(wèn)控制：訪問(wèn)控制服務(wù)是針對(duì)越權(quán)使用網(wǎng)絡(luò)資源的防御措施，實(shí)現(xiàn)機(jī)制可以是機(jī)遇訪問(wèn)控制屬性的訪問(wèn)控制列表，或基于安全標(biāo)簽、用戶分類和資源分檔的多級(jí)訪問(wèn)控制；3)數(shù)據(jù)保密性：數(shù)據(jù)保密性安全服務(wù)是針對(duì)信息泄露的防御措施，細(xì)分為信息保密、選擇數(shù)據(jù)段保密與業(yè)務(wù)流保密；4)數(shù)據(jù)完整性：數(shù)據(jù)完整性安全服務(wù)是針對(duì)非法篡改信息、文件和業(yè)務(wù)流而設(shè)置的防范措施，保證資源的可獲得性，分為連接完整性、無(wú)連接完整性、選擇數(shù)據(jù)段完整性；5)防抵賴：防抵賴安全服務(wù)是針對(duì)對(duì)方進(jìn)行抵賴的防范措施，可用來(lái)證實(shí)發(fā)生過(guò)的操作，分為對(duì)發(fā)送防抵賴、對(duì)遞交防抵賴與公證。

2 、城域網(wǎng)網(wǎng)絡(luò)安全優(yōu)化

城域網(wǎng)網(wǎng)絡(luò)安全優(yōu)化措施可以從以下幾方面入手：

1)實(shí)體認(rèn)證。就是通過(guò)網(wǎng)絡(luò)外實(shí)體對(duì)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)進(jìn)行獲取的一種手段，對(duì)于在開(kāi)放型的網(wǎng)絡(luò)環(huán)境下保證各類數(shù)據(jù)不被竊取有著很好的效果，具有相當(dāng)高的安全性；2)訪問(wèn)控制。指的是根據(jù)網(wǎng)絡(luò)資源本身所存在的缺陷，對(duì)所使用的網(wǎng)絡(luò)資源進(jìn)行防范監(jiān)控；3)數(shù)據(jù)保密技術(shù)。數(shù)據(jù)加密技術(shù)可分成密鑰的管理技術(shù)、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)以及數(shù)據(jù)完整性的鑒別。數(shù)據(jù)傳輸加密技術(shù)是為了對(duì)傳輸中的數(shù)據(jù)信息加密，數(shù)據(jù)完整性鑒別是對(duì)相關(guān)數(shù)據(jù)內(nèi)容處理人的身份進(jìn)行驗(yàn)證以及介入信息的存取、傳送，以此來(lái)滿足保密作用，系統(tǒng)將事先設(shè)定的參數(shù)和輸入的特征值進(jìn)行對(duì)比分析，可以通過(guò)這個(gè)方法來(lái)確保數(shù)據(jù)的安全。數(shù)據(jù)存儲(chǔ)加密技術(shù)可以分成密文存取以及存儲(chǔ)兩種，目的是為了防止數(shù)據(jù)在存儲(chǔ)環(huán)節(jié)上的流失。數(shù)據(jù)加密在很多時(shí)候的作用是密鑰的應(yīng)用，密鑰管理技術(shù)包括密鑰的銷毀、更換、分配保存以及產(chǎn)生等多個(gè)環(huán)節(jié)上的保密措施。4)數(shù)據(jù)完整性。在網(wǎng)絡(luò)攻擊中，對(duì)于數(shù)據(jù)和程序的非法篡改也是一個(gè)重要問(wèn)題。那么，就需要保證數(shù)據(jù)的完整性服務(wù)措施，減少程序漏洞，保證數(shù)據(jù)源的完整性、安全性，同時(shí)也需要保證數(shù)據(jù)段的完整性。

3 、網(wǎng)絡(luò)安全保護(hù)措施

3.1 采用雙重路由認(rèn)證

目前，大部分路由器均是采用的路由認(rèn)證方法進(jìn)行防護(hù)。其實(shí)，在采用明文認(rèn)證，得到路由協(xié)議支持時(shí)，同時(shí)也可以采取MD5來(lái)進(jìn)行校驗(yàn)，這樣就起到了雙重認(rèn)證的防護(hù)。這種雙重認(rèn)證方法本身的操作過(guò)程比較接近，但其所設(shè)置的密鑰在城域網(wǎng)絡(luò)內(nèi)并不以明文形式出現(xiàn)，而是利用MDS算法所產(chǎn)生的信息摘要，這也就從根本上保證了密碼的安全性。現(xiàn)在比較流行的網(wǎng)絡(luò)協(xié)議便是BGP，它采用的是TCP來(lái)提供可靠的數(shù)據(jù)連接。為了防止被欺騙的TCP分段進(jìn)入端口，就利用BGP連接實(shí)施相應(yīng)的攻擊，以加大安全性和可靠性。

3.2 加強(qiáng)權(quán)限管理模式

對(duì)城域網(wǎng)網(wǎng)絡(luò)的權(quán)限管理應(yīng)采取集中化的管理模式，針對(duì)不同的操作工作人員、不同的操作系統(tǒng)以及不同的終端采取相應(yīng)的管理，對(duì)于共享數(shù)據(jù)庫(kù)，應(yīng)由網(wǎng)站系統(tǒng)管理員設(shè)置相應(yīng)的訪問(wèn)權(quán)限，并且設(shè)立相應(yīng)的密碼或口令，防止非相關(guān)人員的惡意訪問(wèn)或篡改，確保信息的安全。對(duì)于不同的操作人員，應(yīng)設(shè)置有不同的不同的用戶名及相應(yīng)密碼，嚴(yán)禁各個(gè)操作人員之間相互泄露自己的密碼，并且操作人員還應(yīng)定期或不定期的對(duì)自己的操作密碼進(jìn)行更換，最大程度上確保信息的安全。此外，對(duì)操作員的訪問(wèn)權(quán)限嚴(yán)格遵守崗位職責(zé)的設(shè)定，網(wǎng)站系統(tǒng)管理員還需定期對(duì)操作人員的權(quán)限進(jìn)行檢查。

3.3 洞掃描及修復(fù)技術(shù)

安全問(wèn)題遲遲無(wú)法全面妥善解決的重要原因是及網(wǎng)絡(luò)本身所帶有的漏洞，這種漏洞給病毒造成了可乘之機(jī)，加大了網(wǎng)絡(luò)安全管理的難度。因此為了規(guī)避風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全管理員應(yīng)當(dāng)定期對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)進(jìn)行檢查掃描，及時(shí)發(fā)現(xiàn)漏洞并進(jìn)行修復(fù)與升級(jí)。

3.4 防火墻功能服務(wù)

為了防止網(wǎng)絡(luò)受到攻擊，對(duì)于IP源路由設(shè)置防火墻功能，能夠攔截被系統(tǒng)忽略了報(bào)告的傳輸文件和路徑，經(jīng)過(guò)防火墻的設(shè)置能夠限制一些不法網(wǎng)絡(luò)的攻擊，這樣就可以很好的控制網(wǎng)絡(luò)安全，減少網(wǎng)絡(luò)攻擊者的攻擊。防火墻的使用可以減少網(wǎng)絡(luò)攻擊者破壞網(wǎng)絡(luò)結(jié)構(gòu)。防火墻的主要作用就是對(duì)流經(jīng)它的網(wǎng)絡(luò)信息進(jìn)行分析，防火墻能夠過(guò)濾掉一些攻擊的數(shù)據(jù)和信息，可以避免這些網(wǎng)絡(luò)攻擊的信息被計(jì)算機(jī)系統(tǒng)執(zhí)行。防火墻還可以主動(dòng)關(guān)閉那些計(jì)算機(jī)不使用的端口，并且防火墻還能禁止計(jì)算機(jī)特定端口的流出數(shù)據(jù)和信息，封鎖病毒和木馬。防火墻還可以禁止來(lái)自特殊網(wǎng)絡(luò)和不明站點(diǎn)的訪問(wèn)，這樣就可以在很大程度上攔截來(lái)自不明入侵者的所有數(shù)據(jù)和信息。因此防火墻具有很好的計(jì)算機(jī)系統(tǒng)保護(hù)作用，網(wǎng)絡(luò)入侵者必須首先穿越防火墻的安全防線，才能入侵計(jì)算機(jī)系統(tǒng)對(duì)系統(tǒng)進(jìn)行篡改和破壞。我們可以以攻擊程度的高低，將防火墻配置成許多不同保護(hù)級(jí)別，這些保護(hù)級(jí)別會(huì)依據(jù)破壞的程度的高低對(duì)系統(tǒng)進(jìn)行自動(dòng)的防護(hù)，對(duì)入侵的攻擊進(jìn)行過(guò)濾。防火墻高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，防火墻保護(hù)是比較好的選擇。

總之，中國(guó)信息安全市場(chǎng)進(jìn)入高速成長(zhǎng)期，越來(lái)越多的企業(yè)意識(shí)到網(wǎng)絡(luò)安全的重要性，因此進(jìn)一步加強(qiáng)對(duì)其的研究非常有必要。本文分析了寬帶城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化，以期提供一些借鑒。

[1]徐峰.寬帶IP城域網(wǎng)的應(yīng)用研究[D].南京郵電大學(xué)，2012.

[2]周強(qiáng).寬帶城域網(wǎng)優(yōu)化擴(kuò)容方案研究[D].南京郵電大學(xué)，2014.