电信企业计算机网络安全构建策略研究.docVIP

电信企业计算机网络安全构建策略研究摘要 随着互联网的应用，我国的电信网络安全面临着越来越多的挑战。本文对我国电信计算机网络的现状进行了分析，从技术层面和管理层面出发提出了改进计算机网络安全的建议。 关键词 电信网络；计算机网络；安全 中图分类号TP39 文献标识码A 文章编号 1674-6708（2013）88-0217-02 0引言 随着计算机技术和通信技术的融合，电信企业建立起了以计算机网络作为基础的电信支撑系统。这提高了电信企业的运营水平，但是同时也带来了很多新的问题。因此，加强电信企业计算机网络的安全管理，让安全的网络为畅通的电信系统保驾护航至关重要。本文拟对电信计算机网络中存在的安全问题进行分析，并对提高电信计算机网络安全建设策略提出了建设思路。 1 电信计算机网络的安全现状 1.1 源自网络层面的相关问题 这其中最主要的问题是由于网络的开放性和交互性的增强，计算机病毒横行，而电信网络规模大，无法避免在某个时段和环节与因特网相连，因此感染计算机病毒，常见和棘手，有些病毒诸如网络蠕虫病毒，可以消耗带宽，造成拒绝服务攻击。其次，虽然电信计算机网络上也有防火墙系统，但是防火墙系统主要阻止的是来自网络外部的，非法的访问，对于各专业子系统间的不安全访问无法发挥多大作用。再次，尽管部分路由器配置了ACL，但是访问控制表不能实现复杂繁复的安全控制策略。由于所有的系统都有可能存在漏洞，所以，增加了因为IOS协议漏洞造成路由器遭受攻击的可能性。另外，由于用户的增加，网络结构的不合理也渐渐暴露，因特网的骨干网一般都是网状结构，容易出现网络拥堵。在电信企业内部，由于计算机网络都是管理存在保留IP地址的做法，因此IP地址的合理分配是网络安全的重要保证，曾经就发生过由于IP地址混乱造成电信计算机网无络法使用的现象[1]。 1.2 人为因素带来的安全问题 工作人员在日常工作中安全意识薄弱，可能由于各种原因丢失了主机口令，或者不能及时对主机口令等更新，这使得保护系统设备和网络的口令容易被黑客破解，黑客获取了权限，就会严重危害电信计算机网络系统。在公司内部的安全管理上，各个安全机构间信息交流少，不能协调配合处理安全事件。比如电信网络的交换机，不同的应用系统常划分了不同的VLAN，VLAN间互相联通，但是，在管理上却是由不同的部门管理的，这就给协调的配合的处理安全事件成了障碍。 1.3 对电信计算机网络安全的认识误区 首先很多人认为电信计算机网络是很安全的，唯一要提起注意的就是计算机病毒，所以计算机网络安全就是及时杀毒。这是不全面的看法，网络安全还受到外部黑客攻击，内部员工的管理等等的影响。其次，网络安全问题的产生不仅仅都来自网络外部。在实际运行过程中，很多公司出现网络安全问题，都是来自公司内部。比如浙江省电信系统某市的计费系统破坏事件，就是由于公司内部员工把机密数据打包带走。另外，不能认为有CA认证系统就安全了，CA认证确实在一定时间内代表了一定程度的网络安全等级，但是不是绝对的安全。 2 电信计算机网络安全措施 2.1 提高网络安全的技术保证 2.1.1 采用防火墙机制和Anti-DDOS系统 防火墙是一组或者一个网络设备，比如计算机系统或者路由器，目的是加强多个网络间的访问控制，保护网络不受到来自其他网络的攻击。为了加强电信网络的安全，要在每台交换机的操作系统和终端安装防火墙，防止来自外网的攻击。 2.1.2 采用访问控制策略 访问控制策略是电信计算机网络安全的主要保护策略。通过访问控制，可以保证电信网络资源不被非法访问和使用。目前访问控制策略的实现有多种途径，比如可以使用的入网访问控制，网络权限控制，网络服务器安全控制，网络监测和锁定控制，网络端口和节点的安全控制等等措施。这样的措施实施后，如果遇到无权用户或者权限受限用户，系统就会自动的终止访问或者屏蔽一部分访问的地址。对于需要保护的服务器也可以使用主机访问控制软件，鉴别请求人的合法身份以及请求的合法性[2]。 2.1.3 采用入侵检测机制和漏洞检测机制 分布式漏洞扫描器IS主要是通过模拟入侵，找出网络的漏洞，验证系统的安全，从而让工作人员能够及时发现安全隐患，采取相对的措施，比如打补丁和优化系统，进行补救。分布式网络入侵检测系统IDS，和异常流量分析设备不同，异常流量分析的原理是流量采样统计，在大流量的环境下有较强的检测能力，分布式网络入侵检测系统则主要是用来发现网络攻击，并且可以为截获和追踪，分析网络攻击行为提供原始数据，帮助监督和管理计算机网络安全。 2.2 增强电信网络的安全管理 2.2.1 建立有效的电信网络安全管理制度 尽管目前我们已经不断提高计算机