通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)對(duì)安全的考慮

林 倜

（華信咨詢?cè)O(shè)計(jì)研究院有限公司，浙江 杭州 310000）

0 引 言

通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)工作是保證網(wǎng)絡(luò)和信息安全性的重要工作，要從網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)技術(shù)兩方面入手進(jìn)行規(guī)劃設(shè)計(jì)。通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)是一項(xiàng)涵蓋范圍較廣、技術(shù)難度復(fù)雜及安全性要求較高的設(shè)計(jì)工作，設(shè)計(jì)過程中要根據(jù)不同的需求進(jìn)行綜合考慮，以充分保證通信網(wǎng)絡(luò)的安全性。

1 通信網(wǎng)絡(luò)安全性分析

1.1 通信網(wǎng)絡(luò)環(huán)境新特點(diǎn)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和更新，通信網(wǎng)絡(luò)在網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)傳輸要求及設(shè)備情況等方面呈現(xiàn)出新的特點(diǎn)。例如，網(wǎng)絡(luò)容量的擴(kuò)大使得網(wǎng)絡(luò)整體結(jié)構(gòu)取得更加精簡(jiǎn)的設(shè)計(jì)效果；為了適應(yīng)龐大體量的業(yè)務(wù)信息交換工作，不同類型的通信節(jié)點(diǎn)設(shè)備也不斷增加。這使得網(wǎng)絡(luò)設(shè)備的整體環(huán)境復(fù)雜度提高，不利于網(wǎng)絡(luò)管理工作的開展。隨著網(wǎng)絡(luò)通信設(shè)備智能化程度的提升，通信網(wǎng)絡(luò)設(shè)備呈現(xiàn)出模塊化、大容量發(fā)展趨勢(shì)，同時(shí)體積也呈現(xiàn)逐漸減小的趨勢(shì)[1]。

1.2 網(wǎng)絡(luò)安全保障

網(wǎng)絡(luò)安全提升離不開防火墻等技術(shù)的運(yùn)用，通過防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)環(huán)境的分割，利用訪問控制等技術(shù)來充分保證內(nèi)部網(wǎng)絡(luò)的安全性。防火墻的選擇直接關(guān)系到網(wǎng)絡(luò)安全等問題，但是單純依靠網(wǎng)絡(luò)防火墻很難保證網(wǎng)絡(luò)整體安全性的穩(wěn)定。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)和加密技術(shù)作為提升網(wǎng)絡(luò)安全性的重要手段，不僅彌補(bǔ)了網(wǎng)絡(luò)防火墻在安全性保障方面的不足，而且在很大程度上阻止了大量非法入侵者的惡意攻擊。入侵檢測(cè)技術(shù)主要是利用網(wǎng)絡(luò)監(jiān)控來阻止惡意網(wǎng)絡(luò)信息流的非法入侵，通過對(duì)非法數(shù)據(jù)流的識(shí)別、阻止、截獲以及警報(bào)，以保障網(wǎng)絡(luò)環(huán)境的安全性。加密技術(shù)主要是針對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)出現(xiàn)的網(wǎng)絡(luò)攻擊現(xiàn)象而發(fā)展的網(wǎng)絡(luò)安全技術(shù)，可以對(duì)即將傳輸?shù)男畔⑦M(jìn)行加密處理，以防止竊密者非法竊取業(yè)務(wù)信息，從而提升網(wǎng)絡(luò)安全系數(shù)[2]。

1.3 信息安全保障

做好信息安全保障工作，要從用戶身份、信息傳輸?shù)确矫嫣嵘畔⒌陌踩?，盡量避免出現(xiàn)欺騙、竊取以及篡改等網(wǎng)絡(luò)竊取行為。例如，對(duì)于身份識(shí)別方面，利用公鑰加密認(rèn)證等方式進(jìn)行加密，以充分保證業(yè)務(wù)信息獲取的安全性[3]。此外，利用數(shù)據(jù)庫技術(shù)做好關(guān)鍵數(shù)據(jù)信息的管理工作，以有效保證信息的安全性和完整性。

2 基于安全的通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)建議

2.1 對(duì)信息進(jìn)行加密設(shè)計(jì)

基于安全性考慮的通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，要做好信息加密技術(shù)設(shè)計(jì)。信息加密技術(shù)可保證信息在網(wǎng)絡(luò)傳輸過程中的安全，也是提升信息安全性的必要技術(shù)手段。通信網(wǎng)絡(luò)設(shè)計(jì)過程中要注重加密設(shè)計(jì)環(huán)節(jié)，既要保證有效信息的安全性，也要維護(hù)整體通信網(wǎng)絡(luò)的安全性[4]。從常用的加密方式進(jìn)行設(shè)計(jì)考慮，信息加密手段主要包括端到端加密方式、鏈路加密方式以及節(jié)點(diǎn)加密方式3種類型。端到端加密方式主要面向數(shù)據(jù)信息中的有效載荷信息，對(duì)于報(bào)文中用于識(shí)別的數(shù)據(jù)信息不具備加密性。這種加密方式可以有效保護(hù)關(guān)鍵數(shù)據(jù)信息以及安全協(xié)議不被竊取。但是由于這種加密技術(shù)不對(duì)報(bào)文頭部等信息進(jìn)行加密，所以報(bào)文頭部數(shù)據(jù)很容易受到攻擊或者欺騙，從而降低信息安全性。鏈路加密方式主要面向節(jié)點(diǎn)之間的中繼傳輸信號(hào)。這種加密方式既可以保證通信網(wǎng)絡(luò)所有信息的安全性，又可以確保相關(guān)協(xié)議的安全性。此外，鏈路加密方式也可以對(duì)網(wǎng)絡(luò)通信過程中產(chǎn)生的流量進(jìn)行保護(hù)，避免其他無關(guān)流量干擾阻礙重要信息的傳輸。

2.2 構(gòu)建和完善網(wǎng)絡(luò)安全管理系統(tǒng)

具有高度安全性的網(wǎng)絡(luò)管理系統(tǒng)，是通信網(wǎng)絡(luò)規(guī)劃安全性設(shè)計(jì)中重要的一環(huán)。網(wǎng)絡(luò)管理系統(tǒng)很大程度上影響數(shù)據(jù)信息的安全性。擁有高度嚴(yán)密的網(wǎng)絡(luò)安全系統(tǒng)，不僅可以有效阻止外部未知非法網(wǎng)絡(luò)攻擊，而且可以保證內(nèi)部網(wǎng)絡(luò)足夠的安全性[5]。網(wǎng)絡(luò)管理系統(tǒng)通常包含大量網(wǎng)絡(luò)管理協(xié)議。這些協(xié)議是網(wǎng)絡(luò)非法攻擊的主要對(duì)象。設(shè)計(jì)網(wǎng)絡(luò)管理系統(tǒng)的過程中，要注意網(wǎng)管協(xié)議的安全性，以保證網(wǎng)絡(luò)惡意攻擊行為無法成功實(shí)現(xiàn)入侵。此外，網(wǎng)絡(luò)黑客以及竊密者還會(huì)利用病毒植入以及大量非法訪問對(duì)網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行入侵操作。為保證通信網(wǎng)絡(luò)整體安全性以及通信網(wǎng)絡(luò)的效率不受影響，避免核心數(shù)據(jù)信息被非法分子竊取，針對(duì)網(wǎng)絡(luò)安全管理系統(tǒng)的通信網(wǎng)絡(luò)設(shè)計(jì)過程中，要著重從安全性技術(shù)目標(biāo)、健全性建設(shè)標(biāo)準(zhǔn)、數(shù)據(jù)信息加密性和完整性以及系統(tǒng)訪問控制4個(gè)方面進(jìn)行綜合分析考慮，設(shè)計(jì)建成具有較高安全性的網(wǎng)絡(luò)管理系統(tǒng)，以盡量保護(hù)通信網(wǎng)絡(luò)環(huán)境不受侵害。

2.3 對(duì)通信網(wǎng)絡(luò)內(nèi)部協(xié)議進(jìn)行規(guī)劃

基于安全性考慮的通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，離不開對(duì)通信網(wǎng)絡(luò)內(nèi)部協(xié)議的科學(xué)合理規(guī)劃。通信網(wǎng)絡(luò)內(nèi)部協(xié)議是保證信息安全最重要的組成部分和設(shè)計(jì)考慮重點(diǎn)，也是非法網(wǎng)絡(luò)攻擊最想攻擊的部分。例如，黑客等攻擊者可以偽裝成合法用戶進(jìn)行數(shù)據(jù)信息交換，并在使用協(xié)議信息的過程中對(duì)協(xié)議進(jìn)行重置，便于黑客實(shí)現(xiàn)信息竊取或者網(wǎng)絡(luò)攻擊，輕則導(dǎo)致網(wǎng)絡(luò)服務(wù)暫時(shí)中斷，重則導(dǎo)致網(wǎng)絡(luò)無法提供服務(wù)。無論是路由協(xié)議還是其他內(nèi)部協(xié)議，一旦在任何一個(gè)環(huán)節(jié)遭到攻擊破壞，將直接影響整體通信網(wǎng)絡(luò)的安全性以及正常運(yùn)轉(zhuǎn)能力。網(wǎng)絡(luò)通信內(nèi)部協(xié)議是安全性規(guī)劃設(shè)計(jì)的重中之重，必須要保證內(nèi)部協(xié)議設(shè)計(jì)高度安全性。通信網(wǎng)絡(luò)設(shè)計(jì)過程中，應(yīng)當(dāng)主要考慮認(rèn)證技術(shù)和鑒別技術(shù)，著重對(duì)實(shí)體認(rèn)證以及協(xié)議鑒別進(jìn)行設(shè)計(jì)規(guī)劃。要選擇合適的加密算法工具，對(duì)傳輸過程中的每個(gè)環(huán)節(jié)進(jìn)行加密。設(shè)計(jì)過程中，既要保證內(nèi)部協(xié)議整體高度的安全性，又要充分考慮網(wǎng)絡(luò)整體運(yùn)行的安全性。

2.4 完善通信網(wǎng)節(jié)點(diǎn)內(nèi)系統(tǒng)

基于安全性考慮的通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，離不開通信網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)部系統(tǒng)的設(shè)計(jì)完善工作。通信網(wǎng)絡(luò)節(jié)點(diǎn)作為重要的數(shù)據(jù)信息傳輸部分，要在保證信息安全性的基礎(chǔ)上完成信息傳輸工作。常見的通信網(wǎng)絡(luò)節(jié)點(diǎn)包括路由器和交換機(jī)。隨著網(wǎng)絡(luò)非法攻擊手段的不斷豐富，針對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)展開的網(wǎng)絡(luò)攻擊行為越來越多。這使得通信網(wǎng)節(jié)點(diǎn)的安全性成為網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃工作中需要重點(diǎn)考慮設(shè)計(jì)的部分。網(wǎng)絡(luò)設(shè)計(jì)過程中，首先要結(jié)合安全性具體要求以及網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備具體情況進(jìn)行綜合考慮，利用防火墻技術(shù)、訪問控制技術(shù)、數(shù)據(jù)庫技術(shù)以及認(rèn)證等技術(shù)做好通信節(jié)點(diǎn)內(nèi)系統(tǒng)安全設(shè)置。設(shè)計(jì)環(huán)節(jié)要把安全目標(biāo)放在首位，同時(shí)兼顧技術(shù)難點(diǎn)以及技術(shù)優(yōu)勢(shì)，綜合設(shè)計(jì)出較高穩(wěn)定性和安全性的通信網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)系統(tǒng)。此外，通信網(wǎng)絡(luò)設(shè)計(jì)要盡量減少不必要的風(fēng)險(xiǎn)，慎重使用具有一定風(fēng)險(xiǎn)因素的技術(shù)措施，以保證信息整體安全性。

2.5 積極研發(fā)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

基于安全性考慮的通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，要積極研發(fā)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，以更好地保障網(wǎng)絡(luò)安全性。入侵檢測(cè)技術(shù)主要是通過檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)中非法的入侵行為進(jìn)行感知，并及時(shí)采取警報(bào)的方式完成網(wǎng)絡(luò)防護(hù)工作。由于入侵檢測(cè)技術(shù)在不同的網(wǎng)絡(luò)形態(tài)中使用情況不同，受網(wǎng)絡(luò)形態(tài)因素影響較大，無法根據(jù)不同的通信協(xié)議制定出較為統(tǒng)一全面的入侵檢測(cè)技術(shù)，因而在過去的通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)過程中并沒有得到充分利用。隨著網(wǎng)絡(luò)安全需求的不斷提升，基于入侵檢測(cè)技術(shù)思想的檢測(cè)系統(tǒng)設(shè)計(jì)逐漸成為提升通信網(wǎng)絡(luò)安全性的新手段。通過對(duì)網(wǎng)管系統(tǒng)以及相關(guān)數(shù)據(jù)的檢測(cè)，可以在更短時(shí)間內(nèi)高效精準(zhǔn)地發(fā)現(xiàn)非法入侵行為，以保證通信網(wǎng)絡(luò)安全性的進(jìn)一步提升。要積極研發(fā)新的智能化網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，以更好地應(yīng)對(duì)不同通信協(xié)議網(wǎng)絡(luò)形態(tài)下的入侵行為，全面提升網(wǎng)絡(luò)入侵檢測(cè)水平。

3 結(jié) 論

通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)作為保障通信網(wǎng)絡(luò)安全性、完整性以及高效性的首要工作，逐漸受到越來越多網(wǎng)絡(luò)相關(guān)技術(shù)人員的重視。通信網(wǎng)絡(luò)安全性要求在網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃過程中做好加密設(shè)計(jì)、網(wǎng)管系統(tǒng)設(shè)計(jì)、協(xié)議規(guī)劃設(shè)計(jì)、節(jié)點(diǎn)系統(tǒng)設(shè)計(jì)以及網(wǎng)絡(luò)入侵檢測(cè)技術(shù)設(shè)計(jì)工作，以充分保障通信網(wǎng)絡(luò)整體安全性。