網(wǎng)絡(luò)安全技術(shù)在鐵通計(jì)費(fèi)管理網(wǎng)中的應(yīng)用

胡平平

【摘 要】作為為鐵通公司提供收入保障重要數(shù)據(jù)的鐵通計(jì)費(fèi)管理網(wǎng)，由于數(shù)據(jù)的敏感性，在該網(wǎng)絡(luò)中應(yīng)用了多種網(wǎng)絡(luò)安全技術(shù)。本文詳細(xì)介紹了網(wǎng)絡(luò)安全技術(shù)在鐵通計(jì)費(fèi)管理網(wǎng)中的具體應(yīng)用，并且還提出了網(wǎng)絡(luò)現(xiàn)存的安全問(wèn)題并給出了相應(yīng)的對(duì)策。

【關(guān)鍵詞】網(wǎng)絡(luò)安全，鐵通計(jì)費(fèi)管理網(wǎng)，網(wǎng)絡(luò)安全技術(shù)，安全問(wèn)題，對(duì)策

【中圖分類號(hào)】F626【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）02-0132-02

鐵通計(jì)費(fèi)管理網(wǎng)系統(tǒng)（DCN）是鐵通公司支撐網(wǎng)系統(tǒng)中的重要組成部分，該系統(tǒng)為鐵通公司的運(yùn)營(yíng)提供了計(jì)費(fèi)、營(yíng)業(yè)、結(jié)算、攤分、賬務(wù)和決策支持的平臺(tái)。作為為鐵通公司提供收入保障重要數(shù)據(jù)的計(jì)費(fèi)管理網(wǎng)，由于數(shù)據(jù)的敏感性，從設(shè)計(jì)規(guī)劃的初期就高度重視網(wǎng)絡(luò)的安全，并且逐步實(shí)施了多種網(wǎng)絡(luò)安全技術(shù)。這些網(wǎng)絡(luò)安全技術(shù)的使用，保證了鐵通計(jì)費(fèi)管理網(wǎng)的信息安全，使鐵通計(jì)費(fèi)管理網(wǎng)經(jīng)受了多次安全攻擊的考驗(yàn)，為鐵通公司的經(jīng)營(yíng)活動(dòng)提供了有力的支撐。

1.網(wǎng)絡(luò)安全技術(shù)在鐵通計(jì)費(fèi)管理網(wǎng)中的具體應(yīng)用

網(wǎng)絡(luò)安全的常見(jiàn)技術(shù)措施主要有：訪問(wèn)控制技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與安全漏洞掃描、病毒防范技術(shù)、加密技術(shù)、數(shù)據(jù)備份與恢復(fù)技術(shù)、建立完善的安全管理制度和加強(qiáng)主機(jī)安全七個(gè)方面。

鐵通公司出于投資回報(bào)的考慮，目前只采用最必要的且與數(shù)據(jù)損失成本相適應(yīng)的網(wǎng)絡(luò)安全技術(shù)。同時(shí)，在管理方面，不斷建立健全各項(xiàng)安全管理規(guī)章制度，調(diào)動(dòng)網(wǎng)絡(luò)安全管理中最活躍因素中的人的積極因素，保證各項(xiàng)技術(shù)手段行之有效的落實(shí)和發(fā)揮作用。這些措施都保證了鐵通計(jì)費(fèi)管理網(wǎng)的網(wǎng)絡(luò)安全。

1.1 訪問(wèn)控制技術(shù)

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要方法，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，而只允許有訪問(wèn)權(quán)限的用戶獲得網(wǎng)絡(luò)資源。同時(shí)控制用戶可以訪問(wèn)的網(wǎng)絡(luò)資源范圍以及可以對(duì)網(wǎng)絡(luò)資源進(jìn)行的操作。訪問(wèn)控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

1.1.1 物理隔離技術(shù)

鐵通公司從企業(yè)內(nèi)部和外部實(shí)現(xiàn)計(jì)費(fèi)管理網(wǎng)與其他網(wǎng)絡(luò)物理隔離。鐵通計(jì)費(fèi)管理網(wǎng)是企業(yè)的內(nèi)部專用網(wǎng)，基本與外網(wǎng)隔離。在公司內(nèi)部，生產(chǎn)網(wǎng)與辦公網(wǎng)是物理隔離的，嚴(yán)格禁止公司員工使用生產(chǎn)設(shè)備通過(guò)撥號(hào)或其他方式訪問(wèn)互聯(lián)網(wǎng)。

1.1.2 路由訪問(wèn)控制

鐵通計(jì)費(fèi)管理網(wǎng)是以集團(tuán)總部計(jì)費(fèi)中心為單一根結(jié)點(diǎn)的樹型廣域計(jì)算機(jī)網(wǎng)，為適應(yīng)集團(tuán)總部-省公司-地市公司的垂直管理體系，數(shù)據(jù)信息也是由根結(jié)點(diǎn)到葉結(jié)點(diǎn)垂直流動(dòng)。出于管理上的需要，鐵通公司在集團(tuán)總部計(jì)費(fèi)中心路由器上通過(guò)ACL（訪問(wèn)控制列表）等技術(shù)防止省與省之間的訪問(wèn)。省與省之間禁止水平訪問(wèn)，以保護(hù)各省計(jì)費(fèi)賬務(wù)中心的網(wǎng)絡(luò)安全。

1.1.3防火墻技術(shù)

鐵通計(jì)費(fèi)管理網(wǎng)在與外網(wǎng)物理連接的邊界結(jié)點(diǎn)設(shè)置防火墻以防止外部用戶對(duì)計(jì)費(fèi)管理網(wǎng)以及計(jì)費(fèi)管理網(wǎng)內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的非法訪問(wèn)。鐵通公司使用的是百兆速率的基于通用操作系統(tǒng)的防火墻硬件設(shè)備。銀行代收系統(tǒng)與鐵通計(jì)費(fèi)管理網(wǎng)之間設(shè)有防火墻，以保證銀行和鐵通公司的專網(wǎng)之間的訪問(wèn)是按約定端口進(jìn)行的，是安全的。防火墻具有包過(guò)濾，封堵禁止的訪問(wèn)行為，記錄通過(guò)防火墻的信息和活動(dòng)等功能。

1.1.4身份認(rèn)證與口令管理

操作人員對(duì)鐵通計(jì)費(fèi)管理網(wǎng)系統(tǒng)的訪問(wèn)通過(guò)口令進(jìn)行身份認(rèn)證。口令安全管理按照安全管理組口令保管員、口令使用者（超級(jí)用戶管理員、普通使用者）兩個(gè)層次、三種角色構(gòu)成口令安全管理體系框架。口令長(zhǎng)度須在9～15位之間，并且由字母、數(shù)字及各種特殊字符共同組成。每月定期修改口令。

1.2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與安全漏洞掃描

入侵檢測(cè)能彌補(bǔ)訪問(wèn)控制技術(shù)在某些方面的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵監(jiān)測(cè)。網(wǎng)絡(luò)安全漏洞掃描實(shí)際上是通過(guò)模擬網(wǎng)絡(luò)攻擊的方式，提前獲得可能被攻擊的薄弱環(huán)節(jié)，為系統(tǒng)安全提供可信的分析報(bào)告，從而為提高網(wǎng)絡(luò)安全性提供重要的依據(jù)。

鐵通公司主要用人工檢測(cè)輔以簡(jiǎn)易的安全漏洞掃描工具的方式，尋找安全漏洞、發(fā)現(xiàn)安全隱患，不斷完善安全防護(hù)體系。例如，安全管理組口令保管員定期抽查用戶口令的更新情況；系統(tǒng)管理員定期查看日志；網(wǎng)絡(luò)管理員每天監(jiān)控網(wǎng)絡(luò)流量，如有異常，則采取屏蔽地址的方式，以防止病毒或黑客的攻擊。

1.3 病毒防范技術(shù)

為了減少病毒在企業(yè)網(wǎng)絡(luò)內(nèi)部的傳播，必須采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的預(yù)防、病毒的檢測(cè)、以及殺毒技術(shù)，它們提供了完整的多級(jí)病毒防護(hù)系統(tǒng)，可以有效的保護(hù)網(wǎng)絡(luò)不受病毒的侵害。

技術(shù)上，公司在所有接入鐵通計(jì)費(fèi)管理網(wǎng)的PC機(jī)上安裝統(tǒng)一配置的網(wǎng)絡(luò)版防毒軟件來(lái)防毒，并且自動(dòng)地定期更新病毒特征庫(kù)和全面殺毒以及下載操作系統(tǒng)安全補(bǔ)?。还芾砩?，公司規(guī)定使用外來(lái)文件時(shí)必須執(zhí)行查毒、殺毒程序，切斷病毒利用可移動(dòng)媒介傳播的途徑，防止感染病毒。當(dāng)發(fā)現(xiàn)計(jì)算機(jī)感染病毒時(shí)，立即拔掉網(wǎng)線，斷開(kāi)與計(jì)費(fèi)管理網(wǎng)的連接，在查殺病毒確保無(wú)毒之后才能重新接入計(jì)費(fèi)管理網(wǎng)。

1.4數(shù)據(jù)備份與恢復(fù)技術(shù)

數(shù)據(jù)備份是在系統(tǒng)出現(xiàn)災(zāi)難性事件時(shí)重要的恢復(fù)手段。數(shù)據(jù)備份顧名思義，就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用的一個(gè)過(guò)程。數(shù)據(jù)備份的根本目的，是重新利用，這也就是說(shuō)，備份工作的核心是恢復(fù)，一個(gè)無(wú)法恢復(fù)的備份，對(duì)任何系統(tǒng)來(lái)說(shuō)都是毫無(wú)意義的。

2.鐵通計(jì)費(fèi)管理網(wǎng)現(xiàn)存的安全問(wèn)題

雖然鐵通計(jì)費(fèi)管理網(wǎng)在六個(gè)方面采取了措施來(lái)保證網(wǎng)絡(luò)安全，但是從技術(shù)和管理兩方面都還存在著薄弱環(huán)節(jié)。隨著技術(shù)的發(fā)展以及網(wǎng)絡(luò)安全攻擊方式的層出不窮，鐵通計(jì)費(fèi)管理網(wǎng)整體安全防御體系將略顯不足，為信息安全留下漏洞和隱患。具體有以下幾點(diǎn)：

1.缺乏實(shí)時(shí)的入侵檢測(cè)手段和技術(shù)，不能及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖。

2. 缺乏加密技術(shù)，使信息在脆弱的公共信道中傳輸，容易遭受惡意地竊取、篡改或破壞，存在著安全隱患。

3.計(jì)費(fèi)系統(tǒng)與客服系統(tǒng)有直接的物理連接，而客服系統(tǒng)與互聯(lián)網(wǎng)相連。雖然客服系統(tǒng)與互聯(lián)網(wǎng)之間設(shè)有防火墻，但防火墻無(wú)法防止病毒入侵，如此為黑客攻擊提供了一定的可能性，存在著安全隱患。

4.員工可能會(huì)繞過(guò)防火墻的限制，利用辦公電話私自撥號(hào)上網(wǎng)，如此很可能遭受黑客攻擊，泄漏內(nèi)部信息。

5.容災(zāi)能力不足。鐵通沒(méi)有全國(guó)容災(zāi)中心和數(shù)據(jù)備份中心，一旦全國(guó)中心或省中心所在城市發(fā)生地震等大的災(zāi)害，該節(jié)點(diǎn)的數(shù)據(jù)會(huì)全部丟失，業(yè)務(wù)也將癱瘓。

3.解決鐵通計(jì)費(fèi)管理網(wǎng)安全問(wèn)題的對(duì)策

針對(duì)上述計(jì)費(fèi)管理網(wǎng)存在的安全問(wèn)題，提出以下幾點(diǎn)改進(jìn)建議：引進(jìn)實(shí)時(shí)入侵檢測(cè)技術(shù)和漏洞掃描軟件，變被動(dòng)應(yīng)對(duì)為主動(dòng)防護(hù)。使用加密技術(shù)，讓加密后的隱藏信息在網(wǎng)絡(luò)中傳輸，從而保證信息傳輸?shù)陌踩?。在鐵通計(jì)費(fèi)管理網(wǎng)的邊界、內(nèi)部各級(jí)之間加強(qiáng)訪問(wèn)控制管理。如在客服系統(tǒng)與計(jì)費(fèi)系統(tǒng)之間設(shè)立防火墻，降低非法訪問(wèn)的安全風(fēng)險(xiǎn)，更好地保護(hù)核心數(shù)據(jù)。加強(qiáng)網(wǎng)絡(luò)安全管理，杜絕內(nèi)部人員隨意訪問(wèn)互聯(lián)網(wǎng)等行為，減少安全漏洞和隱患。建立全國(guó)容災(zāi)中心和數(shù)據(jù)備份中心，采用光通道傳輸技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)或準(zhǔn)實(shí)時(shí)同步。

結(jié)束語(yǔ)

網(wǎng)絡(luò)安全技術(shù)的應(yīng)用是一個(gè)與時(shí)俱進(jìn)的過(guò)程。鐵通公司出于投資回報(bào)率的考慮，目前只采用最必要的且與數(shù)據(jù)損失成本相適應(yīng)的網(wǎng)絡(luò)安全技術(shù)，再配以各項(xiàng)安全管理規(guī)章制度，充分調(diào)動(dòng)網(wǎng)絡(luò)安全管理中人的積極因素，來(lái)保證各項(xiàng)技術(shù)手段行之有效的落實(shí)和發(fā)揮作用。畢竟安全只是一個(gè)相對(duì)的概念，只有相對(duì)的安全，沒(méi)有絕對(duì)的安全。對(duì)于鐵通公司而言，在可承受的風(fēng)險(xiǎn)損失范圍內(nèi)或在網(wǎng)絡(luò)安全的部分環(huán)節(jié)上追求較安全的技術(shù)是較為可行的策略。

[1] 胡道元：網(wǎng)絡(luò)設(shè)計(jì)師教程[M].清華大學(xué)出版社，2001年5月第1版

[2] 石志國(guó) ：計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北方交通大學(xué)出版社，2004年2月第1版