電信計算機網絡的安全策略

張時華

[摘要]隨著計算機網絡和電信行業(yè)的迅速發(fā)展，電信計算機網絡的安全問題日益突出，結合電信計算機網絡的實際操作和應用，分析電信計算機網絡中存在的主要安全問題，簡要的介紹電信計算機網絡在當代所面臨的威脅，以及面對這些威脅我們所采取的物理安全策略、訪問控制策略、網絡信息加密等安全策略。

[關鍵詞]安全策略 計算機網絡 訪問控制 信息加密

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0220077－01

一、電信計算機網絡存在的主要安全隱患

（一）信息泄密。主要表現(xiàn)為電信計算機網絡上的信息被竊聽，這種僅竊聽而不破壞網絡中傳輸信息的網絡侵犯者被稱為消極侵犯者。

（二）信息篡改或刪除。非法分子通過各種手段登錄電信計算機網絡系統(tǒng)主機，惡意篡改或刪除關鍵信息，造成系統(tǒng)無法服務或服務錯誤，該類破壞后果最為嚴重。

（三）網絡攻擊。非法分子通過各種手段對電信計算機系統(tǒng)進行非法攻擊，可造成系統(tǒng)服務錯誤或癱瘓，用戶可能允許自己同其他用戶進行某些類型的通信，但禁止其它類型的通信。如允許電子郵件傳輸而禁止文件傳送。

（四）病毒感染。由于各種原因導致電信計算機網絡上設備感染病毒，造成系統(tǒng)故障或癱瘓。

（五）非法操作。合法用戶的非法操作后果嚴重的也會導致電信計算機網絡系統(tǒng)出現(xiàn)服務故障甚至系統(tǒng)癱瘓。

（六）IP地址配置故障。電信企業(yè)內部計算機網大都是采用保留IP地址，IP地址的合理分配和正確使用是網絡正常運行的保證。

由于電信計算機網絡所帶來的諸多不安全因素使得電信網絡管理者不得不采取相應的網絡安全對策。為了堵塞安全漏洞和提供安全的通信服務，必須運用一定的技術來對網絡進行安全建設，并制定周全的安全防范體系。

二、電信計算機網絡安全策略

（一）重視電信計算機網絡安全規(guī)劃建設。電信計算機網絡的建設是一項龐大的技術性很強的綜合工程，一般需要經過：網絡調研，系統(tǒng)設計，可行性分析，設備選型和工程招標，硬件施工，軟件環(huán)境的建立，人員培訓，聯(lián)調測試，系統(tǒng)驗收等九個階段，在每一個階段都需要把安全因素考慮在內，只有這樣建立起的電信計算機網絡才有一個比較安全的基礎設施。

（二）對電信計算機網絡設備進行基本安全配置。對電信計算機網絡的系統(tǒng)和設備使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的，因此使用復雜的密碼，將會大大提高電信計算機的安全系數(shù)（特別是管理Administrator密碼）；經常升級安全補丁，以防范未然；不在同一個服務器開多種服務，因為服務器上服務越多，安全漏洞就越多；關閉不需要的功能，遵守簡單就是穩(wěn)定，簡單就是安全的原則；加強設備訪問的認證與授權；使用訪問控制列表限制訪問和使用訪問控制表限制數(shù)據包類型等等，下面就其中的物理安全策略、訪問控制策略、信息加密策略進行討論：

1．物理安全策略。物理安全策略的目的是保護電信計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保電信計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入電信計算機控制室和各種偷竊、破壞活動的發(fā)生。

2．訪問控制策略。訪問控制是電信網絡安全防范和保護的主要策略，它的主要任務是保證電信網絡資源不被非法使用和非常訪問。它也是維護電信網絡系統(tǒng)安全、保護電信網絡資源的重要手段，可以說是保證電信網絡安全最重要的核心策略之一。下面我們分述電信計算機網絡安全中的幾種訪問控制策略。

（1）入網訪問控制。入網訪問控制為電信計算機網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到電信計算機網絡服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

（2）網絡的權限控制。電信計算機網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。

（3）網絡服務器安全控制。電信計算機網絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。

（4）網絡監(jiān)測和鎖定控制。電信計算機網絡管理員應對網絡實施監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。

（5）網絡端口和節(jié)點的安全控制。電信網絡中服務器的端口應使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對電信計算機進行攻擊。

3．信息加密策略。信息加密的目的是保護電信計算機網內的數(shù)據、文件、口令和控制信息，保護電信網上傳輸?shù)臄?shù)據。電信計算機網絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護電信計算機網絡節(jié)點之間的鏈路信息安全；端-端加密的目的是對電信計算機網絡的源端用戶到目的端用戶的數(shù)據提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。在多數(shù)情況下，信息加密是保證電信信息機密性的唯一方法。

（三）安全培訓與組織管理。電信員工的安全意識是電信計算機網絡系統(tǒng)是否安全的決定因素，因此對電信計算機網絡使用者的安全培訓是整個安全體系中重要、不可或缺的一部分。電信企業(yè)各部門應建立完善健全的計算機網絡安全檢查及防范組織管理制度，制度的制定應從以下幾個方面入手：（1）鑒于保證電信計算機網絡系統(tǒng)安全的重要性，應加強對網絡安全的組織領導。建議成立電信計算機網絡安全防范領導小組，由企業(yè)主管領導擔任組長，各相關電信部門分管領導擔任領導小組成員，日常辦事機構建議設在技術網絡支撐中心，領導小組負責電信計算機網絡安全防范的組織領導工作，制定《電信計算機系統(tǒng)安全管理辦法》。（2）建立定期安全檢查制度。通過分析日志、掃描系統(tǒng)安全弱點并查封漏洞等方法檢驗系統(tǒng)的安全性，有問題及時處理；（3）建立包機或網絡安全專人負責制。明確安全責任，充分調動人員的責任感和積極性；（4）建立定期備份制度。對于重要的路由器、服務器、數(shù)據庫（更新），每月至少進行一次全數(shù)據備份，每周進行一次增量備份；

三、結束語

對于電信計算機網絡安全問題，我們最希望的是能擁有徹底的、一勞永逸的網絡安全解決策略。但是實際上電信網絡的安全防范不可能做到絕對安全，安全總是相對的。由于目前電信網絡安全的核心技術都掌握在國外大公司手里，單單依靠技術手段來保證電信網絡安全是遠遠不夠的，我們更多的應在管理和制度方面下工夫，建立完善的電信網絡安全防范體系，這樣才能確保我們電信計算機網絡的安全。