本文一共涵盖3篇精选的论文范文,关于《电信网络安全论文(精选3篇)》,欢迎大家借鉴与参考,希望对大家有所帮助!摘要:首先对电信网络安全防护应当遵循的原则进行论述,然后详尽的探讨保证电信网络安全的相关措施。
电信网络安全论文 篇1:
电信网络安全及防护
摘 要:电信网络的安全问题不容忽视。分析了电信网络安全现状,指出了影响电信网络安全的主要因素,并从技术角度提出了防护措施。
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
[1]信息产业部电信管理局.电信网络与信息安全管理[M].北京:人民邮电出版社,2004.
[2]陈纲.保障电信网络安全的五项措施[N].通信产业报,2003-9-28.
作者:何勇来
电信网络安全论文 篇2:
关于电信网络安全的探讨
摘要: 首先对电信网络安全防护应当遵循的原则进行论述,然后详尽的探讨保证电信网络安全的相关措施。
关键词: 电信网络;安全防护;电信网络管理
作者:田宏伟
电信网络安全论文 篇3:
电信网络安全问题与常用技术分析
【摘要】本文探讨了网络安全的概念和常用的主要技术手段,并分析了当前电信网络中的安全问题,针对这些问题从保障网络安全运行的角度进行了相应的技术分析。
【关键词】电信网络;网络安全;技术分析
1.网络安全的概念与主要技术手段概述
网络安全是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术,保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。从网络的组成结构来看,网络安全的概念涵盖了网络组成硬件的安全、网络运行的安全以及网络数据的安全三个层次。网络安全运行的基本目标包括以下三个方面:①信息的保密性,即实现用户信息不被非法用户获得和利用,以及不被合法用户非法使用;②信息的完整性,信息的完整是指信息的存储和修改等操作都必须在授权的前提下进行,避免出现存储信息的破坏或丢失;③信息的可用性,信息的可用性是指在需要向用户提供网络信息时,能够及时的将对应权限内的信息完整的提供给用户。为了实现以上网络安全的基本目标,就必须依赖于一定的技术手段,目前在保证网络安全运行方面技术手段主要有以下6大类:数据加密技术、数字签名技术、消息认证技术、身份鉴别技术、访问控制技术以及PKI技术。这几类技术手段从不同的角度来实现对网络安全运行。由于这几类技术的技术难度和应用需求各异,因此在适用范围上会有所差异。
2.电信宽带城域网的网络安全问题分析
对于网络运行商来说,网络安全基本的、也是重要的目标就是保障各级网络的正常运行,对蠕虫病毒和DDOS攻击等常见攻击形式应当具有一定的抵御能力。为了保障网络安全,已经普遍采用防火墙技术、数据加密等技术手段,提高了面临网络攻击时的应对速度。但这些技术手段都还需要不断的维护和升级才能适应网络的发展步伐。
为便于讨论,本文仅限于对电信宽带的城域网网络安全问题的探讨。笔者认为当前电信城域网网络的安全问题主要表现在以下几个方面:①在网络规模越来越大的情况下,并没有形成一套能够有效的城域网安全管理体系,现有技术对网络安全的保障力度不够;②缺乏网络在运行中的实时诊断、监控技术,在面临网络攻击时缺乏有效的应对技术手段;③对不同服务级别的安全承诺SLSA缺乏有效的服务模式。
在上述几类问题存在的情况下,要让电信网络正常运行并为客户提供更好的增值服务,首先是保障网络的可用性,这是网络安全基本特征之一。而就当前城域网网络安全的主要威胁来看,对网络可用性威胁最大的因素是DDOS攻击和网络滥用。因此这是首先需要着力解决的问题。为达到这一目标,就必须建立各层次网络的防护系统,规范网络边界,对各业务系统范围内的网络提供有效保护,并提高面临网络攻击时的应急处理能力。从具体实施步骤上看,笔者认为应当完成以下三类基本的任务:①提高对网络中异常流量的监控力度,加强对城域网出口层、汇聚层、接入层等各个级别的网络设备的监控;②加强对网络数据的源地址合法性审查;③完善各级网络的安全管理机制,形成一套集网络监控、攻击应对机制、常规安全管理为一体的网络安全管理模式。
3.技术体系分析
3.1 网络边界的保护措施
电信宽带城域网的网络层次结构包括出口层、核心层、汇聚层和接入层四个部分。对上述四个网络组成部分的边界保护是实现网络安全的基础之一。具体到各个层次而言,相应的安全控制措施为:①出口层,通过访问控制列表来控制进入电信城域网流量。②核心层,对与核心层相连接的网络端口进行数据包的ACL控制,加强对核心层基础网络设备的保护,对核心层管理系统进行安全强化。③汇聚层,汇聚层的安全控制是网络安全控制的核心,是网络用户数据汇聚的层次。为了加强这一层次的安全管理,首先应加强对网络数据包的监控和管理,可通过配置uRPF来防御源IP地址欺骗,同时开启TCP拦截或者CAR来限制网络流量以避免高频网络数据包攻击。此外,对已知网络病毒的防御也应在汇聚层的设备接口处来完成,可通过配置访问列表的方式来进行拦截。④接入层,启用uRPF或配置ACL,以加强对IP地址的控制和对外访问,依据需要还可以选择ICMP限速等其他功能来配合接入层的安全控制。
3.2 应用系统的安全防护
应用系统的安全防护是配合当前电信网络中部署的DNS服务器、邮件服务器、数据库等的正常使用。应用系统的安全防护的内容主要是指主机的安全防护、应用系统的入侵检测、应用系统的安全隔离以及病毒防护等。现分别对这几个方面的安全防护方式进行探讨。
(1)主机安全防护
主机的安全对于网络安全的重要意义不言而喻。主机的安全防护应首先从主机系统的漏洞修补开始,及时对主机所使用的系统进行更新和病毒检测。此外,为了避免主机在遭受攻击时造成大面积的服务瘫痪,应将重要的服务内容分布在不同的主机上,并将主机的使用权限进行严格的限制。
(2)访问的安全控制
对应用系统访问的控制是保护系统数据安全的重要手段,当前电信网络应用系统中对访问的主要控制手段是网络隔离和密码更换等方式。从理论上讲,对访问的控制应当是全方面的,从物理层面到技术、管理层面都应实施相应的控制手段,而不应当局限于当前采用的技术手段。
(3)安全隔离手段
当前电信网络中的安全隔离手段主要是设置防火墙来实现对网络边界的保护和访问控制。因此鉴于这種普遍存在的情况,在防火墙的设置时应在以下几个方面进行改进。1以网络重要性为基础,将网络划分为具有不同安全级别的区域,在各个区域的边界设置不同的防火墙安全级别,并依据安全隔离的需要配置合适类型的防火墙设备。除了对硬件和软件上的改进,更重要是对不同安全区域之间的访问进行控制,根据网络的结构变化和业务上的需求来实时的调整访问控制的管理的方式。
(4)入侵检测
以防火墙为主要安全隔离手段的网络攻击防护并不能完全保证系统不被非法入侵,而且也无法抵御来自系统内部的攻击,因此还需要配合系统的入侵检测来进一步保障系统的安全性。从系统的检测形式来看,主要分为两类,一是来自网络的系统入侵检测,二是针对主机的系统入侵检测。对于来自网络的入侵检测通过基于网络的IDS宿主机来实现是比较理想的方式,可以对网络数据包来源进行检测和识别,具有较好的实时性,并可对受到的攻击留下证据。基于主机的IDS能够监视系统的所有操作,在配合基于网络的IDS方面有不可替代的作用,因此是其重要补充。总之使用基于网络的IDS与基于主机的IDS的配合使用是检测系统监控和实时入侵检测的必要手段。
(5)病毒防护
对病毒的防护是保障网络安全的又一个重要方面,应对可能存在的网络安全漏洞进行定期的检查分析,并采取常规的防病毒措施。一旦发生系统病毒感染,关键阻止病毒的进一步扩散和查杀病毒。当病毒无法及时清除时,需要采取必要的应急措施来避免损失扩大,可采取以下几个方面备用应急措施:1对发生病毒感染的主机实施必要的隔离;2阻止被感染主机向外发送数据包;3必要时关闭邮件服务器,以避免病毒以邮件方式扩散。
4.应用实例
4.1 基本设置
本节中以某地电信防护DDOS攻击应用为例来阐述网络安全的防御技术。该公司在防御DDOS攻击时采用Detector攻击探测器和Guard保护器的组合防护策略,该防御策略的工作流程如图1所示。
4.2 系统配置
(1)清洁中心的配置
根据DDOS的攻击原理,清洁中心越靠近攻击源头则越能够发挥其作用,因此将清洁中心布置在网络中比较脆弱的连接部位上游。
(2)Guard保护器的配置
该公司城域网中共配置有两套Guard保护器。每套设备配置3条链路与核心设备连接,参数为:10GE链路×2+1GE链路×1,流量的转发和吸引由10GE链路完成,链路冗余由1GE链路完成。
(3)Detector攻击探测器的配置
Detector攻击探测器的工作需要依赖于一定的监控平台,此处的安全监控平台由Cisco和Detector共同构成,Cisco和Detector通过2个GE接口连接,并在核心链路中加入分光器,将发往用户的光信号分流,监控平台和用户之间光信号分流比例为2:8。在Cisco上配置SPAN作为进入将Cisco的流量镜像至Detector的途径。此外,配合使用MSP设备,在策略路由中使用ACL过滤用户流量,只将监测对象的流量复制至Cisco以节约带宽。
4.3 测试结果概述
为检测上述配置应对网络攻击的能力,采用模拟方法来进行检验。在实际测试中,采用4台机模拟网络攻击,当产生的攻击流量在200Mpbs时,Guard的CPU使用率不超过3%,能够较好的应对网络攻击。当采用子ZONE方式时,Guard可有效分流被攻击主机的数据流,从而保障服务器的正常运行。
参考文献
[1]陈继宏.电信网络信息安全的体系结构[C].中国航海学会通信导航专业委员会论文集.
[2]韩国柱.电信企业提高管理与服务对策[C].中国通信发展与经营管理学术论文集.
[3]文光斌.主动防御网络安全研究[J].计算机安全,2009(8).
作者:梅 雪