网络安全问题及解决措施篇(1)

电力信息的迅猛发展使得电力系统及数据信息网络迎来了前所未有的挑战。本文分析研究了网络系统信息安全存在的问题，全面规划了网络安全系统，提出了合理有效的安全措施、方法，大大提升了电力企业信息网络安全工作的效率。

一、网络系统信息安全存在问题分析

（一）计算机及信息网络安全意识不强

由于计算机信息技术高速发展，计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大，对新出现的信息安全问题认识不足。

（二）缺乏统一的信息安全管理规范

设计院虽然对计算机安全一直非常重视，但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。

（三）缺乏适应电力行业特点的计算机信息安全体系

近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广，但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行，应建立一套结合电力行业计算机应用特点的计算机信息安全体系。

（四）缺乏预防各种外部安全攻击的措施

计算机网络化使过去孤立的个人电脑在联成局域网后，面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了，但现在要面对国际互联网上各种安全攻击，如网络病毒和电脑“黑客”等。

二、保证网络系统信息安全的对策

（一）建立信息安全体系结构框架

实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况，及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际，建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。

按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度，确定计算机应用系统的安全等级，制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系，利用现代网络及信息安全最新技术，研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。

（二）建立网络系统信息安全身份认证体系

CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证，对系统中关键业务进行安全审计，并开展与银行之间，上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。

（三）建立数据备份中心

数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障，使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点，选择合理的备份设备和备份系统.在企业建立数据备份中心，根据其应用的特点，制定相应的备份策略。

（四）建立网络级计算机病毒防范体系

计算机病毒是一种进行自我复制、广泛传染，对计算机程序及其数据进行严重破坏的病毒，具有隐蔽性与随机性，使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制，在计算中心建立计算机病毒管理中心，按其信息网络管辖范围，分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。

（五）建立网络系统信息安全监测中心

计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞，使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置，消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流，当发现网络违规模式和未授权网络访问时，自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。

（六）建立完备信息网络系统监控中心

网络安全问题及解决措施篇(2)

[关键词]网络安全技术 公安网络 系统安全 维护方案

一、公安网络系统中存在的安全问题

1、公安系统存在问题的特征。1）系统安全问题具有动态性。随着信息技术的飞速发展，不同时期有不同的安全问题，安全问题不断地被解决，但也不断地出现新的安全问题。例如线路窃听劫持事件会因为加密协议层的使用而减少。安全问题具有动态性特点，造成系统安全问题不可能拥有一劳永逸的解决措施。2）系统安全问题来自于管理层、逻辑层和物理层，并不是单一的。管理层的安全主要包括安全政策及人员组织管理指标方面的内容。逻辑层的安全主要涉及到信息保密性，也就是在授权情况下，高密级信息向低密级的主体及客体传递，确保信息双方的完整性，信息不会被随意篡改，可以保证信息的一致性。一旦双方完成信息交易，任何一方均不可单方面否认这笔交易。物理层的安全涉及的内容是多个关键设备、信息存放地点等，如计算机主机、网络等，防止信息丢失和破坏。

2、公安网络系统中存在的安全问题。1）一机两用的现象比较普遍。部分公安值班人员在公安网络中接入自己的私人电脑，同时还包括一些无线上网设备等。外接上网设备通常安装了无线网卡，外界侵入公安网络的可能性增大，公安网络的安全隐患扩大。此外，公安系统中的计算机出现故障，需要检查维修时，没有事先格式化计算机，导致系统计算机中的资料泄露，甚至出现“一机两用”的情况，可以将病毒引入系统中引起信息泄露。

3、安全意识淡薄。公安网络中的计算机存在滥用的情况，非在编的基层人员在未经允许、教育培训的情况私自使用公安网络，从而出现信息泄露的情况，给网络带来严重的安全隐患。此外，公安部门人员缺乏安全意识，办公室计算机的保密性不强，安全等级不高，重要软件、文件等均没有进行必要的加密处理，很多人员可以随意访问公安网络，降低了公安网络中计算机及其信息的安全性。

二、网络安全技术与公安网络系统的维护方案

1、积极建设网络信息安全管理队伍。网络安全管理队伍对管理公安网络具有重要作用。为提升公安网络的安全性与稳定性，可以定期组织信息安全管理人员进行培训，强化技术教育与培训，增强网络安全管理人员的责任意识，改善管理效率，提升管理水平。

2、充分运用网络安全技术。1）防毒技术。随着病毒的传播速度、频率、范围的不断扩大，公安网络系统中也需要建立全方位、立体化的防御体系，运用全平台反病毒技术、自动解压缩技术与实时监视技术等完善病毒防御方案。为了实现系统低层和反病毒软件之间的相互配合，达到杀除病毒的目的，公安网络中的计算机应运用全平台反病毒技术。利用光盘、网络等媒介所传播的软件通常是以压缩状态存在的，反病毒软件要对系统内部所有的压缩文件进行解压缩，清除压缩包内的病毒，若不运用自动解压技术，存在于文件中的病毒会随意传播。

3、提高系统的可靠性。安网络系统中一般是以敏感性资料、社会安全资料为主，这些资料被泄漏或者损坏均会产生严重后果。为了提升信息资料的安全性，必须定期备份，同时还应增强系统的可靠性。此外，还应明确系统灾难的原因，如雷电、地震等环境因素，资源共享中，人为入侵等，针对可能出现的系统灾难，可以建立起对应的灾难备份系统。灾难恢复指的是计算机系统遭遇灾难之后，重组各种资源并恢复系统运行。

三、公安网络系统中的网络安全技术体系

网络安全问题及解决措施篇(3)

【关键词】 网络 信息 安全 防范

Abstract ： The paper mainly discusses the network information security.

1.网络安全的含义

1.1含义 网络安全是指：为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时，能使网络得到保护，正常运行。

它具有三方面内容：①保密性：指网络能够阻止未经授权的用户读取保密信息。②完整性：包括资料的完整性和软件的完整性。资料的完整性指在未经许可的情况下确保资料不被删除或修改。软件的完整性是确保软件程序不会被错误、被怀有而已的用户或病毒修改。③可用性：指网络在遭受攻击时可以确保合法拥护对系统的授权访问正常进行。

1.2特征 网络安全根据其本质的界定，应具有以下基本特征：①机密性：是指信息不泄露给非授权的个人、实体和过程，或供其使用的特性。②完整性：是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性：是指授权的用户能够正常的按照顺序使用的特征，也就是能够保证授权使用者在需要的时候可以访问并查询资料。

2.网络安全现状

网络目前的发展已经与当初设计网络的初衷大相径庭，安全问题已经摆在了非常重要的位置上，安全问题如果不能解决，会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性，例如网络的互联性，共享性，开放性等，现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻，不法分子的手段越来越先进，系统的安全漏洞往往给他们可趁之机，因此网络安全的防范措施要能够应付不同的威胁，保障网络信息的保密性、完整性和可用性。

3.网络安全解决方案

要解决网络安全，首先要明确实现目标：①身份真实性：对通信实体身份的真实性进行识别。②信息机密性：保证机密信息不会泄露给非授权的人或实体。③信息完整性：保证数据的一致性，防止非授权用户或实体对数据进行任何破坏。④服务可用性：防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性：建立有效的责任机智，防止实体否认其行为。⑥系统可控性：能够控制使用资源的人或实体的使用方式。⑦系统易用性：在满足安全要求的条件下，系统应该操作简单、维护方便。⑧可审查性：对出现问题的网络安全问题提供调查的依据和手段。

4.如何保障网络信息安全

网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术：

4.1防病毒技术。病毒因网络而猖獗，对计算机系统安全威胁也最大，做好防护至关重要。应采取全方位的企业防毒产品，实施层层设防、集中控制、以防为主、防杀结合的策略。

4.2防火墙技术。通常是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件）。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

4.3入侵检测技术。入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控，从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动；系统构造和弱点审计；识别反映已进攻的活动规模并报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

4.4安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合，对网络安全的提高非常有效。通过对系统以及网络的扫描，能够对自身系统和网络环境有一个整体的评价，并得出网络安全风险级别，还能够及时的发现系统内的安全漏洞，并自动修补。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，做到防患于未然。

4.5网络安全紧急响应体系。网络安全作为一项动态工程，意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略，并及时组建网络安全紧急响应体系，专人负责，防范安全突发事件。

4.6安全加密技术。加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。⑦网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全；同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后，是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生，如果有入侵发生，则启动应急处理措施，并产生警告信息。而且，系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

小结

网络安全问题及解决措施篇(4)

【关键词】 网络安全 防火墙 数据加密 内部网

1 计算机网络安全的概念

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

2 计算机网络中存在的威胁

外部威胁：网络病毒、网络黑客、各种网络业务活动都成为了对计算机网络安全的外部威胁。人为的无意失误是造成网络不安全的重要原因。网络管理员在这方面不但肩负重任，还面临越来越大的压力。稍有考虑不周，安全配置不当，就会造成安全漏洞。另外，用户安全意识不强，不按照安全规定操作，如口令选择不慎，将自己的账户随意转借他人或与别人共享，都会对网络安全带来威胁。

内部威胁：内部工作人员的泄密、系统自身漏洞、软硬件出现各种问题这些都可以看做内部的威胁。

对于上面的叙述大部分人都会认为外部的威胁对于网络安全影响巨大，比如人们熟知的熊猫烧香、冲击波病毒、蠕虫病毒、灰鸽子等等这些都给人们带了巨大的损失，当人们把黑客攻击和网络病毒所带来的安全问题作为网络安全的重点进行防范的时候，却不知道网络内部的威胁才是引发安全问题的根源，正所谓"祸起萧墙"。通过国内外多家安全权威机构对各大企事业单位进行的统计调查表明，又百分之八十以上的安全事件完全或部分地由内部引发。在一定程度上，外部的安全问题可以通过购置一定的安全产品来解决，但是，大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此，建立组织的部门的网络安全体系是解决网络安全的首要任务。

3 计算机网络安全的防范

计算机网络安全的防范措施可以从技术和管理上两个方面来考虑解决。

3.1 从技术上解决网络安全问题

（1）物理隔离网闸。物理隔离网闸是使用带有多个控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的来年两个独立主机系统之间，不存在通信的物理连，逻辑连接，信息传输命令，信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议‘摆渡’，且对固态存储介质只有‘读’和‘写’两个命令。所以，物理隔离网闸从物理上隔离，阻断了具有潜在攻击可能的一切连接，使‘黑客’无法入侵，无法攻击，无法破坏，实现了真正的安全。

（2）防火墙技术。防火墙是位于内部网或Web站点与Internet之间的一个路由器或一台计算机又称为堡垒主机，其目的如同一个安全门。为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在门前的安全卫士，控制并检查站点的访问者。

典型的防火墙建立在一个服务器/主机机器上，亦称“堡垒”，是一个多边协议路由器，这个堡垒有两个网络联接：一边与内部网相联，另一边与Internet相联。它的主要作用除了防止未经授权的来自或对Internet的访问外，还包括为安全管理提供详细的系统活动的记录。在有的配置中，这个堡垒主机经常作为一个公共Web服务器或一个FTP或E-mail服务器使用。通过在防火墙上运行的专问HTTP服务器，可使用“”服务器，以访问防火墙的另一边的Web服务器。另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。

（3）加密技术。加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息全部通过加密处理。加密技术是保障信息安全的基石，它以很小的代价，对信息一种强有力的安全保护。长期以来，密码技术被广泛应用于政治、经济、军事、外交、情报等重要部门。近年来，随着计算机网络和通信技术的发展，密码学得到了前所未有的重视并迅速普及，同时其应用领域也广为拓展。如今，密码技术不仅服务于信息的加密和解密，还是身份认证、访问控制及数字签名等多种安全机制的基础。

3.2 从管理上解决网络安全问题

（1）在强调技术解决信息网络安全的同时，还必须花大力气加强对使用的网络人员的管理，注意管理方式和实现方法，因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入，使用等方面，而中又是计算机网络安全必须考虑的基本问题。

（2）网络安全管理体系的建立。实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性，才能保证安全控制措施有效地发挥其效能，从而确保实现预期的安全目标。因此，建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构，把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。

总之，对于解决安全的措施有很多，以上提到的可能仅仅是一小部分。在具体工作中还需要根据网络的实际情况做出细致而全面的多级安全防护措施，提高网络的可靠性、安全性，使网络能够更好的为大家服务才是最终目标。

参考文献：

[1]马宜兴.网络安全与病毒防范.上海交通大学出版社，2009.

网络安全问题及解决措施篇(5)

我国高速公路近几年来建设里程越来越远，而且随着互联网的迅速发展，高速公路进入了全国联网、信息交互的时代。一方面，这有助于高速公路网络信息的共享和传播。但另一方面，高速公路全面联网也对网络安全提出了新的要求。一旦网络被别有用心的人攻击，轻则导致信息泄露，重则有可能引起大的交通事故。

一、高速公路网络信息安全分析

针对目前高速公路信息网络系统安全的现状，很多专家学者都提出自己的观点和看法，例如：北京交科公路勘察设计研究院盛刚谈到网络安全问题时指出：一方面，不管是在设计还是建设方面，偏重于网络系统的技术和设备方面，缺乏整体系统的思想观念和管理理念；重点放在外部攻击与入侵，忽视内容的监管；重视网络安全的专业性知识，忽视培养技术人员，技术储备力量不足；新产品，技术发展快，信息安全隐患日益凸显，另一方面，针对高速收费、联网监控这方面，1、建设施工方面，相关的运营单位的认识和重视度不够，存在着投资大、效率低、操作难等问题；2、技术方面，未能严格按照国际相关标准规定执行，提出的技术不具备针对性。

网络安全现阶段的外部威胁主要来自黑客活动，包括：木马程序、网络安全漏洞、各种病毒，而内部人员监管手段的疏忽和不规范的操作也是导致网络安全系统受到威胁的原因之一。

在网络信息安全问题上，各省又都有各自的实际问题。例如：江苏高速公路呈现出：网络宽带分配不均、网络大小不同、网络技术复杂、网络资源分散、网络系统陈旧、网络结构多样化的特点。网络信息安全问题已经日趋严重，已成为当前高速网络首要解决的难题，治理措施刻不容缓。

二、网络信息安全的途径分析

基于现阶段高速公路网络信息存在的安全问题，多数学者提出自己的看法，其中盛刚提出需要从多角度、多方位的考虑，指出了全面的安全保障体系，包括：技术体系、运维体系、管理体系和标准体系。技术体系主要从主机安全、物理安全、数据安全、网络安全等多方面考虑的综合建设体系；运维体系分为四个部分：风险管理安全、安全体系的推广落实、安全维护、安全管理的工程建设这四部分；管理体系指信息安全的方针目标，以及在完成这些目标的过程中所使用的体系方法；标准体系具体主要确定网络信息安全的规章制度、管理办法，工作流程和总体框架。

针对各省份出现的安全问题，各自根据实际情况提出不同的解决方案，例如山西省针对本省高速公路网络信息安全也提出了自己的解决方案。从管理和技术两方面入手，管理具体从以下几方面着手：人员安全管理、系统运维管理、管理制度安全、安全管理机构、系统建设管理等方面提出的具体要求。技术方面主要分为：系统主机安全、物理安全、应用安全、数据安全和网络安全。管理和技术在维护系统安全中起着不可替代的作用，两者相辅相成，缺一不可。

山西省不仅从管理和技术两方面确保高速公路网络安全，在具体的实施过程中，更全面透彻地分析了全省高速公路在网络安全中存在的各种安全隐患，涉及网络安全、主机设备、物理安全、网络病毒、数据安全、业务管理、应用体系安全、主机系统安全、行为操作安全等各类隐患，针对具体存在的安全问题，对症下药，采取实施有效的安全防护措施。

除江苏和山西省外，福建省也提出了自己的安全措施，制定了详细的分析报告（确定框架―制定方案―修改方案―执行方案），从2013年试开始运行，截止目前为止，安全防护措施已步入正轨，已将相关制度运行管理制度实现了良好的衔接。

在技术防控上，为解决主机安全方面存在的威胁，浪潮集团已成功研发并实施系统安全加固系统（SSR），此系统不仅解决了主机面临的安全威胁，更能做到免疫已知和未知的恶意代码从而降低“零日漏洞”风险、提升系统的安全防护。

当前，APT是安全威胁的主要因素，趋势科技提出了APT解决方案。分为：晕（数据中心）、管（数据传输）、端（移动终端），不仅解决了APT安全威胁，而且配有威胁发现设备TDA。

参 考 文 献

[1] 赵璞.国土资源局计算机信息系统安全技术的研究及其应用[J]. 电子技术与软件工程. 2014（10）

[2] 彭秋蓉.计算机信息系统安全技术的研究及其应用[J]. 中小企业管理与科技（下旬刊）. 2014（01）

网络安全问题及解决措施篇(6)

关键词：软交换；网络安全；安全区

中图分类号：F626.3 文献标识码：A

软交换网络一个很大的优势就是具有开放性的平台和接口，这样可以方便的进行业务扩展，这样各种第三方的业务以及网络都可以方便的和电信网络实现无缝连接。这就导致电信网络的规模以及业务类型十分的反正，传统互联网所面临的病毒、黑客等危险也随之蔓延到电信网络上，从而给运营商的服务造成巨大的威胁。因此，对于软交换来说，能否做好安全保障工作是一个非常重要的环节。随着软交换技术的使用以及推广，这就导致软交换面临着传统的网络安全问题。同时，软交换网络和传统网络相比还有自身的一些特点，因此其安全问题也具有自身的一些特点。在进行软交换安全防护的过程当中一般都是从软交换设备本身以及网络这两个大的方面为切入点来进行的。首先应该确保软交换的相关设备自身在设置上的安全，并且做好相应的硬件和软件防护工作，从而使软交换设备自身具有一定的安全防护能力。而对于网络的安全，则是对于软交换的承载网络安全采取相应的措施，建立健全完善的保护机制，防止通过网络对软交换设备造成的攻击。

在软交换网络建设过程当中一定要同时抓好软交换设备安全以及网络安全，两者相辅相成，缺一不可。运营商首先要在思想上引起足够的重视，做好相应的软交换安全保障工作。

1软交换面临的主要安全隐患

软交换所面临的安全问题十分多样，种类层出不穷，但是大体可以分为以下几个方面：第一，网络安全，主要是软交换网络自身的安全；第二，终端安全，终端主要是指用户侧的终端设备。当前对于用户终端的病毒以及攻击十分常见，由于软交换网络无法对其进行有效的防范，因此往往利用终端对网络发起攻击，进而对软交换的设备产生影响；第三，设备安全，主要是指各种软交换的承载设备自身的安全，这种安全隐患大多都是由于设备运行不规范或者是外部对其进行攻击。

2软交换安全服务措施

由于软交换所面临的安全隐患十分繁多，因此必须做好相应的防范工作，为用户提供安全的服务，可以通过以下几个方面的措施来实现。

2.1保密性。应该采取相应的手段对软交换网络中传递的数据进行相应的加密，从而防止没有经过授权的用户非法截留数据。这样讲数据以加密的形式传递，即使数据被截留，那么也没法进行解读。除此之外，应该做好相应的数据传输端口的防护工作，防止非法对相应的端口进行监听，保护数据的安全性。

2.2认证。建立严密的身份认证程序，防止用户合法身份被盗用，而对资源进行窃取。对于数据传输之前双方的身份以及数据来源进行认证，从而保证通信双方都具有相应的合法身份和对应的权限。将业务和实体身份进行捆绑，防止身份被盗用或者是伪装欺骗。

2.3完整性。为了防止未经授权的用户对数据继续非法修改，可以利用VPN技术进行通信。为了防止数据受到损坏，可以积极采用数字签名以及其它的完整性检测技术地数据完整性进行检测。

2.4 访问控制。通过完善的授权机制对于网络中的关键部分提供保护，对于相应的访问者进行等级划分，具备相应的等级才能够访问相应的资源，防止对于没有权限的资源进行使用。建立完善的数据库，用于存储安全认证信息，用户进行认证时需要将信息进行严格的比对。对于认证信息数据库也应该设立较高的等级，防止数据库被非法篡改。

2.5安全协议。目前应用较多的是IPSEC,SSL/TLS。至于MPLS, 严格地说它并不是一种安全协议, 其主要用途是兼容和并存目前各种IP路由和ATM交换技术, 提供一种更加具有弹性和扩充性的、效率更高的交换路由技术, 它对网络安全贡献应主要在于流量方面。

3软交换安全方案

软交换网络安全的实现, 有多种方案可供选择,下面介绍的IPSEC(ESP遂道模式)+SSL/TLS+认证服务器/策略服务器+FW/NAT是一种可运营解决方案。IPSec 体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。另外对IPV6 而言它是一个强制标准,是今后发展的一个趋势。

IPSec协议主要由AH (认证头)协议, ESP(封装安全载荷)协议和负责密钥管理的IKE(因特网密钥交换) 协议三个协议组成。认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。ESP协议除了提供数据完整性校验、身份认证和防重放保护外, 同时提供加密。ESP 的加密和认证是可选的, 要求支持这两种算法中的至少一种算法, 但不能同时置为空。根据要求, ESP 协议必须支持下列算法: 第一，使用CBC 模式的DES算法。第二，使用MD5的HMAC算法。第三，使用SHA-1的HMAC算法。第四，空认证算法。第五，空加密算法。数据完整性可以通过校验码(MD5) 来保证；数据身份认证通过在待认证数据中加入一个共享密钥来实现；报头中的序列号可以防止重放攻击。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。IKE采用自动模式进行管理, IKE的实现可支持协商虚拟专业网(VPN),也可从用于在事先并不知道的远程访问接入方式。

认证系统和策略系统对商用软交换系统而言是必不可少的。它们在管理层面上实施访问控制、信息验证、信息保密性等措施,可以为网络提供安全保证。同时, 认证服务可以提计费的准确性,保证网络的商业运营。

防火墙/NAT 是保证网络安全必不可少的一部分。防火墙种类繁多,它在较交换中的窍越问题可以通过两种方法实现:一是使用TCP；二是用短于关闭墙口时长为周期,不断发送消息,维持端口开启

4结束语

基于软交换的NGN 网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,以IP作为承载媒体的软交换所面临的一些安全隐患, 实际是目前IP 网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,软交换才能够在新的电信网中持久稳定的发挥作用,并成为解决话音、数据、视频多媒体通信需求的有效解决方法, 并最终完成“三网合一”。

网络安全工作是一个以管理为主的系统工程, 靠的是“三分技术,七分管理”, 因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等, 这些措施应覆盖网络安全的各个方面,达到能够解决的安全问题及时解决,可以减轻的安全问题进行加固,不能解决的问题编制应急预案减少安全威胁。与此同时,需要强有力的管理来保障这些制度和手段落到实处。

参考文献：

[1] 徐鹏,廖建新,吴乃星,马旭涛.基于软交换的集群媒体服务器的安全问题及其解决方案[J].计算机应用研究,2006(6).

网络安全问题及解决措施篇(7)

1、通信基础设施比较薄弱

使4G通信技术在人们的生产和生活中更好地发挥作用，实现4G通信技术的功能，就应该对原有的基础通信设备进行更新和改造，摒弃落后的通信设施。当前3G通信的基础设备覆盖面较广，与4G通信技术不完全匹配，因此要改造通信基础设备需要耗费大量的人、财、物力，这种物质上的支撑相对薄弱，给网络安全问题造成一定隐患。

2、技术不规范

现有的4G通信技术不规范，突出体现在技术上存在不足，而且容量受到限制。从理论上说，4G通信比3G通信速度快10倍，因此可以促进通信质量的改善，然而实际操作中会受到很多阻碍，难以实现理想的效果。此外，4G通信系统的网络架构非常复杂，解决技术性问题需要很长时间。因此，我国目前的4G通信技术还很不规范，因此不能实现理论上要求的状态，会影响网络安全系数。

3、网络攻击

因为网络攻击手段变化多端，因此会产生许多新兴的网络安全隐患及现象。当4G通信系统日渐兴起和运用，将给人们带来更大的安全威胁。与传统的网络系统相比，4G通信系统的存储和计算能力更加强大，因此与之配套的通信系统被移动终端感染的几率增加。正是因为如此，4G网络的安全问题被提上日程，必须加以重视，解除安全威胁。例如，来自手机病毒的威胁，并且随着科学技术的不断改革，手机的功能更多，相应的手机病毒的种类也在变多，现阶段手机病毒可以分为短信类病毒、炸弹类病毒、蠕虫累病毒以及木马类病毒等，病毒种类层出不穷，使得病毒防不胜防。

4、4G通信技术的相关配套措施不完善

我国的4G通信技术的有关配套措施不健全，影响了相关的网络安全性能。体现在以下两方面：现象一：缺乏规范的服务区域。我国4G通信技术的当前服务区域尚未规范，通信用户对终端的无线网络抱有很大期望值，却受阻于多方原因不能顺畅的使用上网功能，因为终端的天线尺寸存在问题或者自身功率不足。现象二：4G通信的收费较高。我国4G通信的收费如果沿用3G收费标准，主要根据用户实际使用的流量和时间长短作为计费标准，则上网费用将非常高昂，这种收费显然超出了用户的可承受范围，因此将会阻碍4G通信事业的顺利发展。

二、关于4G通信技术的网络安全问题的对策

我国现阶段的4G通信技术还不是十分完善，针对我国的4G通信技术中存在的网络安全问题进行分析，本文提出了一些意见和建议，希望能够解决一些现存的网络安全问题。

1、构建4G通信安全模型

打造健全的4G通信系统的安全结构模型，在该安全结构模型中，可以体现出网络通信系统的安全状况，并且能提出相应的解决措施。从而能够形象的放映通信系统的网络安全问题，当出现相关问题，能及时提出相应的解决策略。

2、更新密码体制

能及时更新和改进现存的密码体制，使其对网络通信更合理地适应。在4G通信系统里，服务类别和特征各存差异，尽量将现行密码体制进行转换，将私钥性质的密码体制转变为混合性质，再对认证安全体系进行更新，从而更好的对网络安全实行保护。

3、全体系透明化

要促进4G通信系统的安全体系清晰与透明，才能使通信系统更安全。网络通信运用的发展趋势表明，4G通信系统的安全核心设备最好能够相对独立，能较对终端和网络端进行独立识别和加密处理，让通信系统工作者能对全过程进行监控，对网络通信工程中存在的问题与不足及时掌控，从而实现通信网络的安全保护。

4、使用先进的密码技术

在网络安全系统中运用新兴的密码技术，能提高网络安全系统质量。科技的更新给终端处理数据带来很大的促进作用，在4G通信网络安全系统中使用了先进的密码技术，能提高对恶意攻击行为的抵抗能力。

5、网络安全设施让用户参与

4G通信系统的使用者在上网使用过程中，应该能够对安全密码的级别进行自主设定，从而有针对性地加强网络安全，使安全参数能够兼具系统默认和用户自主设置，将用户纳入安全措施体系中，提升用户对安全系统的认知程度，促进网络安全系数。

6、加强4G通信网络与互联网的统一

要让4G通信网络和互联网进行统一，提高网络安全系统的安全度。影响4G网络系统安全的主要因素有两方面：移动和固网的安全问题。固网和计算机网络关于安全的定义基本类似，因此关于计算机网络可能出现的问题在固网上也会出现，我们技术人员可以根据计算机网络安全解决方式进行处理，对固网安全系统进行建设。

三、结语