IP城域網(wǎng)網(wǎng)絡(luò)安全技術(shù)在“數(shù)字黃河”中的應(yīng)用

魏彬++張晶++侯曉燕++郝建立

摘 要：本文闡述了IP城域網(wǎng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用與黃河治理開發(fā)信息化管理思想，提供了IP城域網(wǎng)網(wǎng)絡(luò)安全技術(shù)在黃河信息化應(yīng)用方案研究，為黃河治理開發(fā)在網(wǎng)絡(luò)安全管理方面提供了有益的建議和方案。

關(guān)鍵詞：城域網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)行為

水利信息化建設(shè)以不可抗拒的力量，影響和改變著我們科研工作模式，管理工作模式，讓我們充分享用到網(wǎng)絡(luò)帶來的方便、高效和利益。IP城域網(wǎng)作為“數(shù)字黃河”基礎(chǔ)設(shè)施建設(shè)的組成部分，發(fā)展迅速，網(wǎng)絡(luò)用戶數(shù)量不斷增加，網(wǎng)絡(luò)應(yīng)用內(nèi)容不斷擴(kuò)展，這就對(duì)網(wǎng)絡(luò)的維護(hù)和安全提出了更高的要求。

1 IP城域網(wǎng)網(wǎng)絡(luò)安全存在的問題

⑴網(wǎng)絡(luò)使用狀況統(tǒng)計(jì)。對(duì)于黃河IP城域網(wǎng)，有限的公網(wǎng)出口帶寬的占用情況，用戶最常發(fā)生的網(wǎng)絡(luò)訪問行為，用戶最常訪問的網(wǎng)站等，網(wǎng)絡(luò)管理者當(dāng)前都無法掌握真實(shí)情況，而只能靠部分員工反映或抱怨，通常只能簡(jiǎn)單記錄的一些IP訪問情況，查詢、審計(jì)非常不便。

⑵網(wǎng)絡(luò)訪問控制。沒有完善的互聯(lián)網(wǎng)訪問權(quán)限控制手段，而僅僅依靠傳統(tǒng)的防火墻等設(shè)備，將無法有效管控內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)訪問行為；內(nèi)網(wǎng)員工在上班時(shí)間使用QQ、MSN等聊天，瀏覽各種網(wǎng)站（甚至色情、反動(dòng)網(wǎng)站），BBS、論壇發(fā)貼（包括不負(fù)責(zé)任的反動(dòng)言論等），在線炒股、網(wǎng)絡(luò)游戲娛樂等，不僅降低了工作效率，甚至通過Email泄漏機(jī)構(gòu)機(jī)密信息，給單位帶來直接經(jīng)濟(jì)損失，還可能引起不必要的法律糾紛。

⑶網(wǎng)絡(luò)帶寬流量、需求?，F(xiàn)有的公網(wǎng)出口帶寬通常都比較有限，帶寬100M的Internet出口，如果有幾個(gè)內(nèi)部用戶全速下載BT、eMule等，其他用戶和業(yè)務(wù)系統(tǒng)的訪問與開展都會(huì)及其緩慢，甚至完全不可用。而網(wǎng)絡(luò)管理者一方面無法有效的獲知機(jī)構(gòu)現(xiàn)有帶寬資源的使用情況和利用率，同時(shí)對(duì)于各種P2P等非業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)訪問行為也無法有效管控。

⑷網(wǎng)絡(luò)客戶端的端點(diǎn)安全。類似于木桶理論，內(nèi)網(wǎng)網(wǎng)絡(luò)安全的等級(jí)取決于安全最薄弱環(huán)節(jié)。如果有內(nèi)網(wǎng)員工的終端設(shè)備使用陳舊的操作系統(tǒng)、不更新操作系統(tǒng)補(bǔ)丁、不安裝指定的殺毒/防火墻軟件、甚至不更新，反而使用和安裝不允許的軟件，這都將造成該終端設(shè)備成為內(nèi)網(wǎng)的安全短板。

2 IP城域網(wǎng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用措施

IP城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)一般分為三個(gè)層次：網(wǎng)絡(luò)核心層、網(wǎng)絡(luò)匯聚層、寬帶接入層，網(wǎng)絡(luò)的各個(gè)層次承擔(dān)了不同的功能。根據(jù)城域網(wǎng)不同網(wǎng)絡(luò)層次的不同功能，每個(gè)層次都有不同的特點(diǎn)，面臨不同的安全問題。

⑴有效的身份認(rèn)證技術(shù)?；谏矸菡J(rèn)證技術(shù)，可以為組織提供多種身份認(rèn)證方式，如：web認(rèn)證，與常見的第三方服務(wù)器結(jié)合認(rèn)證（AD、LDAP、RADUIS、Proxy、POP3等），IP/MAC綁定認(rèn)證等，更高級(jí)的還有key認(rèn)證、硬件認(rèn)證等。提供單點(diǎn)登錄、用戶自注冊(cè)等，方便管理員使用。身份認(rèn)證功能幫助管理員建立網(wǎng)絡(luò)用戶管理體系，實(shí)現(xiàn)管理與用戶的一一對(duì)應(yīng)。

⑵權(quán)限控制技術(shù)。提供基于時(shí)間、應(yīng)用、用戶（基本元素）的上網(wǎng)權(quán)限控制。權(quán)限控制功能幫助組織建立與組織文化、業(yè)務(wù)職能、用戶職權(quán)相匹配的上網(wǎng)權(quán)限管理體系，防止越權(quán)訪問，防范法律和泄密風(fēng)險(xiǎn)。

⑶流量管理控制技術(shù)。提供基于時(shí)間、應(yīng)用、用戶組/用戶、上下行帶寬（基本元素）的流量控制，幫助用戶限制與業(yè)務(wù)無關(guān)應(yīng)用的帶寬占用情況，保障核心用戶、核心業(yè)務(wù)的帶寬需求。識(shí)別率與流控粒度是評(píng)判產(chǎn)品優(yōu)劣的重要標(biāo)準(zhǔn)。

⑷應(yīng)用行為記錄管理體系。提供上網(wǎng)行為記錄、數(shù)據(jù)挖掘、日志定位功能，一方面幫助組織提供滿足主管部門要求的上網(wǎng)行為記錄，避免安全事故發(fā)生后無據(jù)可查的情況，另一方面幫助組織進(jìn)行業(yè)務(wù)分析，了解網(wǎng)絡(luò)利用情況，應(yīng)用行為記錄功能也常常被作為信息安全防護(hù)、防泄密方案的重要組成

⑸安全防護(hù)系統(tǒng)。主流的專業(yè)安全防護(hù)管理產(chǎn)品都是硬件系統(tǒng)，作為管理系統(tǒng)其具有對(duì)網(wǎng)絡(luò)威脅的識(shí)別和防御技術(shù)，一方面對(duì)網(wǎng)絡(luò)威脅的防御（如防止DOS攻擊、防ARP欺騙）能保護(hù)系統(tǒng)本身的穩(wěn)定安全，進(jìn)而保障網(wǎng)絡(luò)可靠性；另一方面識(shí)別并攔截網(wǎng)絡(luò)中的異常流量，可以避免威脅擴(kuò)散而給單位造成不良影響。

⑹終端安全檢測(cè)與修復(fù)。安全防護(hù)系統(tǒng)管理的“核心技術(shù)”之一“終端安全識(shí)別”包括進(jìn)程、注冊(cè)表、操作系統(tǒng)與補(bǔ)丁、殺毒軟件與病毒庫升級(jí)、多網(wǎng)卡狀態(tài)、應(yīng)用程序檢測(cè)等等。但僅僅發(fā)現(xiàn)問題并不能滿足管理員的需求。為此，安全防護(hù)系統(tǒng)提供了擴(kuò)展功能，支持和第三方的安全服務(wù)器結(jié)合，一旦發(fā)現(xiàn)存在安全隱患的終端，自動(dòng)向終端發(fā)起提醒或主動(dòng)運(yùn)行相關(guān)程序，修復(fù)安全短板。

⑺數(shù)據(jù)防泄密。由于認(rèn)知程度的限制和僥幸心理的存在，在過去，數(shù)據(jù)防泄密管理方案的普及度十分有限。隨著近幾年各種數(shù)據(jù)泄密事件頻頻曝光，給個(gè)人或組織造成了聲譽(yù)和財(cái)產(chǎn)上的損失，安全防護(hù)系統(tǒng)在數(shù)據(jù)防泄密方面的優(yōu)勢(shì)逐漸被重視起來：事前預(yù)防（過濾與控制技術(shù)、異常行為預(yù)警）、事發(fā)攔截（異常流量攔截、敏感內(nèi)容過濾）、事后追蹤（日志記錄）。數(shù)據(jù)防泄密功能能幫助用戶有效減少泄密風(fēng)險(xiǎn)。

IP城域網(wǎng)的網(wǎng)絡(luò)資源信息安全問題，歷來沒有得到很好的解決，這是由網(wǎng)絡(luò)自身的特點(diǎn)決定的，只要存在安全漏洞，就會(huì)產(chǎn)生安全威脅，通過IP城域網(wǎng)安全防護(hù)管理，提高“數(shù)字黃河”網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性，構(gòu)建更加穩(wěn)定的防汛信息交流和網(wǎng)絡(luò)辦公平臺(tái)。使“數(shù)字黃河”網(wǎng)絡(luò)運(yùn)行更加可靠，在日常辦公、對(duì)外聯(lián)絡(luò)等方面也發(fā)揮積極作用，社會(huì)效益明顯。

[參考文獻(xiàn)]

[1]水利部黃河水利委員會(huì).“數(shù)字黃河”工程規(guī)劃[M].鄭州：黃河水利出版社.2003.

[2]李景宗，寇懷忠.“數(shù)字黃河”工程建設(shè)的現(xiàn)狀與未來發(fā)展[J].人民黃河.2011（11）.

[3]胡捷，王和宇.IP城域網(wǎng)業(yè)務(wù)演進(jìn)對(duì)設(shè)備、組網(wǎng)的要求[J].電信技術(shù).2005（06）.endprint